neděle 15. listopadu 2009

Spyware a viry na iPhone?

Před pár dny se objevily dvě zprávy týkající se bezpečnosti iPhonu: první virus a aplikace, které sbírají potají osobní údaje vlastníka telefonu.

Virus pro iPhone

Skutečně existuje.
Dobrá zpráva ale je ta, že ke svému šíření potřebuje Jailbreak, telefony s neupraveným systémem napadnout nemůže.
Při jailbreaknutí iPhonu se do telefonu nainstaluje řada programů včetně OpenSSH serveru, přes který je možné se k telefonu připojit po síti. Pro přístup se vyžaduje login a heslo. Většina těch co Jailbreak udělají se ale nenamáhá heslo změnit. A ani funkci SSH serveru nevypnou. Toho právě využívá virus ke svému šíření.
V prvních verzích Jailbreaku byla kdysi chyba, kvůli které dokonce ani heslo nešlo změnit. Takže telefon byl přes wifi zcela otevřený... Bylo jen otázkou času, kdy to někomu nedá a takovou věc využije.
V originálním systému jsou preventivně jednotlivé aplikace třetích stran (tedy ty, co nejsou dodávané přímo s telefonem) od sebe navzájem izolované. Jedna aplikace nemá přímý přístup k datům ostatních aplikací ani systému a nemá oprávnění v systému ani v datech ostatních aplikací něco změnit. To sice na jednu stranu omezuje možnosti aplikací, ale na druhou stranu i kdyby se někomu podařilo do aplikace vložit "záškodnický" kód, nemůže systém poškodit. Jailbreak ruší i tuhle bariéru - na telefonu s Jailbreakem může aplikace třetí strany běžet s právy roota, tedy může číst a měnit jakékoliv data v telefonu uložená. A jednou z takových aplikací je výše zmíněný SSH server. Když si ho někdo nainstaluje, nechá běžet a nezmění standardní každému známé heslo.... prostě nechá dveře otevřené dokořán.
Možnosti zneužití jsou přitom obrovské. Z hlediska hackerů jsou telefony v podstatě hotové peníze - stačilo by jen, aby virus zavolal na určité telefonní číslo v Lichtenštejnsku, jak ukazuje nedávný případ napadení telefonní ústředny.

Další zpráva ohledně bezpečnosti iPhonů se tentokát vztahuje na všechny telefony - i na ty s originálním firmwarem, bez Jailbreaku. Dalo by se říct, že jde o:

Spyware v aplikacích


Bylo zjištěno, že populární hry firmy Storm8 zjišťují tajně telefonní číslo SIM karty a odesílají ho přes Internet na firemní server. Proč a k čemu takový seznam firmě je? Možná ho hodlala použít pro cílenou reklamu na své vlastní produkty, ale to není momentálně důležité. Podstatné je, že podle telefonního čísla je možné zjistit identitu vlastníka telefonu, jedná se tedy o citlivý osobní údaj, který byl sbíraný bez jeho souhlasu. A v tomto případě se jedná o aplikaci distribuovanou oficiálně přes AppleStore a provozovanou na neupravovaném systému.

Jak se k tomu postavila firma Apple?

Poměrně dobře a rázně. Stáhla ony aplikace z AppleStoru. A zdůvodnila to tím, že Storm8 použil pro zjištění telefonního čísla nedokumentované funkce z privátního API a tím jako vývojář porušil pravidla.
A jak to vypadá, tak na základě tohoto případu zahájili v Apple hlubší kontrolu ostatních aplikací v AppleStore a vyřadili z něj další hry, které také používají nedokumentované funkce API.
Postižené aplikace se ale mohou v budoucnosti v AppleStore znovu objevit, pokud autoři aplikaci upraví, aby splňovala podmínky Applu.

Je tedy vyloučené, aby v aplikacích pro iPhone distribuovaných přes AppleStore byl spyware?

Otázkou je, co kdo za spyware považuje.
Existují reklamní systémy pro iPhone, které některé aplikace používají - jde o "free" aplikace, jejichž autoři se pokouší získat alespoň nějaký peníz od uživatelů pomocí reklamy. Tyto aplikace při svém spuštění odešlou do reklamního systému nějaké informace a zpátky dostanou reklamní banner, který následně zobrazí. Ale co vlastně odesílají? Reklamnímu systému by mohla stačit IP adresa telefonu, ze které zjistí stát a město, kde je telefon připojený k síti. Tuhle informaci o nás ví všechny weby, které si prohlížíme a servírují nám reklamu na míru. Takové systémy zřejmě Applu nevadí.
Některé aplikace ale možná posílají i naše GPS souřadnice, tedy polohu s přesností až plus minus deset metrů... není to už moc důvěrná informace? Neměla by taková aplikace o tom informovat uživatele a vyžádat si jeho souhlas? Příkladem takových podezřelých aplikací je Young Painter nebo populární hra TapDefense, u kterých jsem si toho všiml před rokem. Obě se při spuštění pokoušely zjistit aktuální polohu přes GPS.
Na otázku k čemu to aplikace potřebuje a jaká data aplikace odesílá při svém spuštění na firemní server mi TapDefense tenkrát neodpověděla.

1 komentář:

Anonymní řekl(a)...

Ano, asi tak to je