После того, как на конференции
Hack In The Box
в Куала-Лумпуре свои презентации провели Бруно Гонсалвес ("Hacking from the Rest
Room") и Шеран Гунасекера ("Bugs and Kisses: Spying on BlackBerry Users for Fun"),
прояснились некие общие риски, которые необходимо учитывать пользователям
платформы Android:
- Следует уделять больше внимания тому, что они устанавливают на телефон,
в особенности требуемым разрешениям. - Модифицированные образы (ROM) представляют собой потенциальную угрозу
для ничего не подозревающих пользователей.
Также как Blackberry или другие платформы, Android SDK предоставляет
разработчикам доступ к частной информации – контактам, фотографиям и другим
данным, которые автор программы может украсть и использовать по собственному
усмотрению. Как продемонстрировал на примере смартфона Blackberry Шеран
Гунасекера, "вредоносные" приложения способны помимо выполнения своих основных
функций (например, резервного копирования SMS) осуществлять и
другие манипуляции, в частности –
отсылать хакеру входящие и исходящие текстовые сообщения.
Более сложные программы для удаленной слежки могут по звонку с определенного
номера перевести телефон в состояние "без звука", отключить все уведомления и
включить режим громкой связи, что позволит прослушивать разговоры.
Насчет образов. Ты уже наверняка знаешь, что компания Google обязала человека
с ником Cyanogen отказаться от распространения модифицированных ROM,
содержащих программы Google. И хотя это тема
отдельного разговора, вопрос остается, поскольку большинство пользователей не
понимают, что делают, когда прошивают образы на смартфоны.
В своей презентации Бруно Гонсалвес уделил особое внимание тому, насколько
опасно запускать устройства с разблокированным root-доступом, в особенности,
если в них без видимой необходимости активирован SSH, поскольку в этом случае
хакеры могут легко проникнуть в систему и взломать ее "изнутри". И пока еще
остаются люди, доверяющие модифицированным образам, нельзя гарантировать того,
что в их смартфонах отсутствует вредоносное ПО, которое делает не только то, что
заявлено.
Руководствующийся злым умыслом разработчик может внести в ядро модификации,
позволяющие отслеживать нажатия клавиш, выуживать личную информацию и даже
устанавливать трояны на любое подключенное устройство. В то же самое время,
прелесть открытой операционной системы состоит в том, что подобные умышленные
вредоносные действия могут быть быстро разоблачены сообществом.
Ознакомиться со слайдами обоих экспертов можно по этим адресам:
Bugs and Kisses: Spying on BlackBerry Users for Fun (Шеран Гунасекера)
Hacking from the Rest Room (Бруно Гонсалвес)
