Ukaž mi svůj telefon, řeknu ti, kdo jsi

LP Fish
11. 8. 2011 9:20
Pro applovské chytré telefony je na trhu 500 000 aplikací, pro Android dalších 250 000. U řady z nich jsou zanedbána bezpečnostní pravidla
Foto: Reuters

Aplikace pro obě největší platformy pro chytré telefony - iPhone a Android - mají vážné bezpečnostní chyby, spočívající ve zbytečném ukládání osobních informací. Ukázal to poslední průzkum bezpečnostní firmy ViaForensics, o kterém informuje Wired.

K uloženým citlivým informacím se může dostat skoro každý se základními informacemi, které se dají zjistit na internetu. Získaná data pak lze využít k připojení k účtu oběti a manipulaci s ním.

Ztráta mobilu - ztráta kontroly

Ze stovky testovaných aplikací mělo 76 % uložené v nezašifrovaném textu uživatelské jméno, 10 % z nich pak mělo tímto způsobem uloženo i heslo. Mezi těmi druhými jsou i aplikace pro mobilní komunikaci se sociální sítí LinkedIn nebo s americkou online DVD službou Netflix.

Zatímco Netflix slíbil bezpečnostní upgrade, který by měl problém vyřešit, LinkedIn je s bezpečností svojí aplikace spokojena. Jeho mluvčí Krista Carnfield problém v rozhovoru pro Wired zhodnotila slovy: "Používáme standardní postupy pro programování aplikací v operačním systému Android."

Jenže problém jsou právě standardní postupy. Podle nezávislého bezpečnostního experta Ashkana Soltaniho "máme velkou komunitu vývojářů, kteří jsou dobří v programování jako takovém, ale nejsou experti na bezpečnost." Podle něj je za malou bezpečností konkurenční tlak na trhu s aplikacemi. "Jakmile výrobce napíše fungující aplikaci, snaží se ji okamžitě dostat ven", dodal Soltani.


Ztracený mobil odhalí uživatele před zloději

Nejviditelnějšími daty je podle ViaForensics uživatelské jméno, hned na druhém jsou však tzv. app data. Tímto termínem označuje Via Forensics data používaná aplikací při komunikaci s danou stránkou.

Například populární aplikace Mint.com, která informuje o stavech finančních aktiv uživatele, ukládá do telefonu nezašifrované informace o transakční historii klienta, stejně jako informaci o zůstatku na jeho účtech. I když s těmito informacemi nelze manipulovat přímo s bankovním účtem, mohou poskytnout dobrou informaci o tom, v jaké finanční situaci je majitel telefonu a být využity například při tzv. tipování oběti.

"Pokud dostanu do ruky ztracený mobil", řekl pro Wired Ted Eull,  viceprezident ViaForensics, "bude mi trvat deset minut, než se k uloženým údajům dostanu".


 

 

Právě se děje

Další zprávy