Android: ne bízz senkiben!

Nem is hinné, milyen gyorsan feltörhető az új rendszer!

Tarjanyi Tamás
2014. 08. 18. 6:19
VéleményhírlevélJobban mondva - heti véleményhírlevél - ahol a hét kiemelt témáihoz fűzött személyes gondolatok összeérnek, részletek itt.

A Silent Circle cég nevét a biztonság iránt érdeklődő olvasók már bizonyára hallották. A cég akkor került be szélesebb körben a köztudatba, amikor a titkos NSA-dokumentumokat kiszivárogtató Edward Snowdennel kapcsolatban kezdték emlegetni, mint titkosított levelezési szolgáltatást nyújtó vállalkozás.

A Silent Circle később a Geeksphone-nal együtt készítette el a Blackphone készüléket, amivel elsősorban a személyes adatok és a biztonság miatt aggódó felhasználókat célozták meg. A készüléken egy módosított Android verzió fut és beépítve tartalmaz pár, a biztonságra fókuszáló alkalmazást, ami például titkosított hang- és SMS-továbbítást tesz lehetővé, amihez a szolgáltatási hátteret a Silent Circle biztosítja, illetve a Spideroak klienst, ami egy titkosított felhőalapú tárhely kliens.

A fenti listából is látszik, hogy a Blackphone inkább a személyes adatok védelmét helyezi előtérbe titkosítást használó alkalmazások előtelepítésével és a hozzájuk szükséges szolgáltatások elérhetővé tételével.

Edward Snowden óta egyre nagyobb hangsúlyt kap az úgynevezett end-to-end titkosítások használata és terjednek az azokat a felhasználók számára egyszerű módon elérhetővé tevő alkalmazások is. Ebben talán az Open Whispersystems jár az élen. Az eddig csak Androidra elérhető RedPhone és TextSecure alkalmazásuk hamarosan elérhető lesz (Signal néven) Apple iOS platformra is. De end-to-end titkosítást használ a Silent Circle is mind a hang-, mind a szöveges üzenetek átviteléhez. Elméletileg az end-to-end titkosítás tökéletes technikai és jogi védelmet ad a lehallgatások ellen – a szolgáltatást nyújtó cég sem képes technikailag az adatok továbbadására.

Azonban, ha a telefon maga nem elég biztonságos, az alkalmazások már nem sokat érnek, sérül a „Trust No One” elv, mivel egy rootolt telefonból már könnyen ki lehet olvasni a titkosításhoz használt kulcsokat, amivel a lehallgatás már lehetővé válik.

Sajnos egy @TeamAndIRC (Twitter) néven elérhető szakértőnek a telefon Android operációs rendszerében lévő hibákat kihasználva sikerült 5 perc alatt rendszergazdai jogosultságot szereznie a készüléken úgy, hogy még a bootloadert sem kellett unlockolnia.

Ugyan egyelőre van némi vita a gyártó és a hibát bejelentő szakértő között arról, hogy a hibák közül melyik tényleges biztonsági rés és melyik nem, a cég már ki is adott egy javítást az egyik hibára. A cég a hibát rendkívül gyorsan, egy nap alatt javította, majd a második napon ki is küldte a frissítést, hogy jelezzék, mennyire kiemelten kezelik a biztonságot, amivel egyszersmind akaratlanul is elismerték a hiba súlyosságát. Sajnos azonban ez nem változtat a tényen, hogy a telefon sérülékeny volt és hogy egy ilyen sérülékenységet rosszindulatú támadók vagy mondjuk az NSA mire tud felhasználni.

A „Trust No One”-nak nem csak mint biztonsági elvnek kell továbbélnie, de a technikai eszközökkel való személyes viszonyunkban is jó, ha napi gyakorlat marad. Használjuk ezeket az eszközöket és programokat, de legyünk tisztában vele, hogy a biztonság terén tényleg mindig a leggyengébb láncszem a meghatározó.

Hasonló írások olvashatók az Androbit oldalán.

Ne maradjon le a Magyar Nemzet legjobb írásairól, olvassa őket minden nap!

Google News
A legfrissebb hírekért kövess minket az Magyar Nemzet Google News oldalán is!

Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.