17:32
2/7/2010

Kilka dni temu na naszym Facebooku (na który wrzucamy ciekawe, ale zbyt krótkie na pełnego posta informacje) opublikowaliśmy newsa poświęconemu “smartphonowej aferze”. Google zdalne usunęło “podejrzaną” aplikację z telefonów komórkowych z Androidem na pokładzie. Teraz okazuje się, że Android ma wbudowaną również funkcję do zdalnego instalowania aplikacji. Ciekawe.

Zdalne usuwanie programów

Zdalne usuwanie aplikacji to żadna nowość. Apple od dawna posiada taką możliwość — w iPhone’a znajduje się mechanizm zdalnego zabijania wybranych programów. Na marginesie, w sieci krążą też aplikacje blokujące owy mechanizm, w większości sprowadzające się do DNS Blackhollingu niektórych domen Apple.

Android, trojanoid, rootkitoid? :)

Google i Apple zgodnie twierdzą, że skorzystanie z “przycisku śmierci” to ostateczność. Według programistów, użycie tzw. kill-switcha może okazać się paskudnym błędem, ale jeszcze większym błędem byłby brak takiego mechanizmu.

Instalowanie ciekawsze niż usuwanie?

Jon Oberheide, który stworzył fałszywą aplikację usuniętą (zdalnie) z telefonów przez Google, zauważył że Android pozwala również na zdalną instalację oprogramowania na telefonach użytkowników. I tu pojawia się problem, bo o ile niektórzy ufają Google i akceptują decyzje zdalnego skasowania niebezpiecznych dla ich telefonu aplikacji, to nie wykazują już takiego optymizmu w przypadku zdalnego instalowania jakiegokolwiek oprogramowania na swoich telefonach.

W najczarniejszych scenariuszach na myśl oczywiście od razu przychodzą takie straszne rzeczy jak rootkity, trojany, etc. ale trzeba podkreślić, że ta funkcja może być zbawieniem dla administratorów w firmach — w końcu będą mogli zapanować nad “bezpieczeństwem urządzeń mobilnych” swoich pracowników.

Ataki na telefony komórkowe

Nie wiadomo czy zdalna instalacja została kiedykolwiek wykorzystana przez Google (np. do zainstalowania patcha). Jeśli tak, to pozostaje mieć nadzieje, że Google nigdy nie doinstaluje dodatkowego ale niepotrzebnego oprogramowania, tak jak ma to miejsce podczas aktualizacji Flasha ;)

Update telefonu komórkowego

Uważam, że funkcja update’u OS jest jak najbardziej pożądana, zwłaszcza na telefonach komórkowych, ale użytkownicy powinni mieć możliwość jej wyłączenia (abstrahując od tego, jakie jest domyślne ustawienie tej opcji). Tymczasem, wg doniesień Richa Canningsa na konferencji Usenix Security ’09, Google ma możliwość zdalnej instalacji oprogramowania na telefonach klientów bez pytania ich o zgodę.

P.S. Ciekawe kiedyś ktoś wpadnie na pomysł jak skorzystać z tej funkcji do podrzucenia wszystkim androidowcom malware’u albo dziecięcej pornografii (a potem donosika na policję).

Przeczytaj także:


21 komentarzy

Dodaj komentarz
  1. podejrzewam, ze wszystkie zdalne polecenia instalowania / usuwania oprogramowania, musza byc podpisane cyfrowo przez google, wiec ‘podrzucic’ cos bedzie mozna tylko sobie :p

  2. Cholera, a ostatnio się z kumplem pożarliśmy niemal na śmierć, bo stwierdziłem, że Google > Apple, bo przynajmniej “nie będą mi grzebać w telefonie bez mojej wiedzy”… :/ No i teraz będę musiał odszczekiwać, a następny telefon, jaki kupię, to chyba jakaś Nokia sprzed 15 lat będzie. :/
    I przy okazji, w drugim akapicie jest “iPhone’a”, a jak mniemam powinno być “iPhone’ach”. ;)

  3. Mniejsza o podrzucanie, ale możliwość podluchiwania rozmów, korespondencji i listy kontaktów to prawdzowe wywiadowcze Eldorado. Oczywiście nie wszytskim hurtem, bo by się prawdoopodbnie wydało, ale wybranym celom.

    Nie wykluczałbym też możliwości samego podrzucania trefnych towarów przez samego Googla na zamówienie rządu, właściciela lub działających w Google (wbrew Google) kretów. To już na pewno nie jest masówka i żeby oberwac takimi metodami to trzeba być Kimś ;).

  4. Nie zdziwiłbym się gdybym obudził się z wszystkimi aplikacjami. Czytaj:atak.

  5. Google stąpa po cienkim lodzie, i jak ktoś zainfekuje DNS’a a potem w imieniu google podeśle coś brzydkiego klientom to będzie wstyd i płacz.

  6. @Sergi
    nie sądzę, aby Android pozwalał zdalnie instalować niepodpisany (przez Google) soft, ale kto wie…

  7. A kto zapłaci za tak przesłane dane? Przecież ja płacę za dane ściągnięte z internetu.

    Pozdrawiam

  8. „na naszym Facebooku (na który wrzucamy ciekawe, ale zbyt krótkie na pełnego posta informacje)”

    A można je gdzieś jeszcze zobaczyć poza FB? NIenawidzę, FB…

    • Jurgi Filodendryta: Tak, na Blipie lub Twitterze. Też nie przepadam za “web 2.0” (do for nigdy się nie przekonałem, usenet FTW!) — ale wejść z Facebooka Niebezpiecznika ma *zauważalną* ilość. Ciężko dyskutować z liczbami :-)

    • Algebra i ognia ;)

  9. Ciekawe czy droid wall może wyciąć taką próbę? To rozwiązanie oparte na iptables, teoretycznie powinno zatrzymać każdy proces próbujący łączyć się z netem bez zgody użytkownika. Aż bym sprawdził…

  10. Akurat usunięcie tych (bo były 2 takie) aplikacji było jak najbardziej uzasadnione, sam twórca przyznał że zawierały szkodliwy kod (chciał w ten sposób sprawdzić jak google poradzi sobie z tego typu zagrożeniem). Co innego apple które może z appstore ( i telefonów pewnie też) usuwać co mu się żywcem podoba bez podania przyczyny (przypadki takie sa ponoć częstsze niż te publicznie uzasadnione).

  11. Zdaje się, że przy rootniętym telefonie wystarczy pozbyć się marketu żeby ‘być bezpiecznym’.

  12. Nie wiem, czy Wy też tak macie, ale u mnie coś dziwnego dzieje się z Wirtualną Polską. Niby główna się ładuje, ale podstrony, w tym poczta nie działają.

  13. re Jurgi Filodendryta Nikt nie mówił że tam mają być jakiekolwiek prawdziwe dane, ja sobie do f-booka nawet maila osobnego założyłem. Jak będzie trzeba pożegnam konto bez żalu niezależnie od aktualnego regulaminu..

  14. @Piotr Konieczny

    Fora to nie Web 2.0… Wątpię, by się łapały na 1.5 ;)

  15. Mnie zastanawia:
    – która wersja Androida ma taką funkcję ?
    – jeśli takie coś istniało od samego początku, dlaczego dopiero teraz informacja o tym ‘wypłynęła’ ? Przecież źródła tego OS są ogólnie dostępne – nikt się nie zorientował ?

    Przypomina mi się niedawny raport firmy SMobile Systems: http://threatcenter.smobilesystems.com/wp-content/uploads/2010/06/Android-Market-Threat-Analysis-6-22-10-v1.pdf
    Stwierdzili w nim, że jakieś 20% aplikacji dostępnych na Markecie ‘może’ naruszać prywatność użytkowników.
    Trzeba być (sorry za porównanie) debilem, żeby zainstalować np. kalkulator albo pasjansa i zezwolić mu na dostęp do kontaktów, sms, sieci Internet itp.
    A tu proszę – firma ‘przypadkiem’ sprzedaje soft chroniący użytkowników przed spamem, wirusami, kradzieżą prywatnych danych itp.
    Teraz ‘rodzynek’ – sprzedają też soft umożliwiający permanentną inwigilację danego telefonu :D Kontakty, zdjęcia, treści smsów i maili, lokalizacja telefonu via GPS – a to wszystko zdalnie, przez sms lub mail :D Na liście jest też instalacja i kasowanie aplikacji – ciekawe czy też zdalnie…

    PS. Czy aktualizacja OS ‘w locie’ byłaby bez tego możliwa ? iPhone od lat ma taką funkcję i nikt nie płakał ani go do sądu nie pozywał za to.
    Żeby dało się to wyłączyć ? A po co ? Masz starą wersję OS to odcinamy ci dostęp do App Store. Podepniesz telefon do kompa żeby wgrać muzykę, to iTunes wepchnie ci aktualizację. Też nie chcesz ? To nie będziesz miał możliwości transferu czegokolwiek na/z telefonu ;)

    Google nie jest takie złe, jak niektórzy twierdzą – trzeba tylko umieć korzystać z mózgu i wszystko będzie ok ;)

  16. @Torwald
    Najprawdopodobniej wszystkie. Kiedyś czytałem na pewnym forum, że ktoś czytając regulamin Android Market, zauważył taką klauzulę.

    Ps. Wersja 2.2 umożliwia zdalną instalację oprogramowania używając przeglądarki w komputerze.

  17. @Torwald: Na moje robią z Androidem to samo, co robią z Chrome.

  18. gdzie jest test spyware malware symbian vs android vs iphone

  19. […] usuwanie “złośliwego” oprogramowania to jedyna rzecz, do której można wykorzystać mechanizm typu kill switch. Przecież zdecydowanie ciekawsza jest możliwość zdalnej instalacji na komórkach użytkowników […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: