Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Bakalářská práce 2014 Vladimír Rahm
Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra systémové analýzy Bezpečnost chytrých mobilních telefonů Vypracoval: Vladimír Rahm Vedoucí práce: Ing. Ladislav Luc Rok vypracování: 2014
Čestné prohlášení: Prohlašuji, že jsem tuto bakalářskou práci vypracoval samostatně. Veškeré použité podklady, ze kterých jsem čerpal informace, jsou uvedeny v seznamu použité literatury a citovány v textu podle normy ČSN ISO 690. V... dne.. Podpis:
Poděkování: Rád bych poděkoval panu Ing. Ladislavu Lucovi za vedení, cenné rady a všestrannou podporu při tvorbě této práce.
Abstrakt Tato bakalářská práce se zabývá bezpečnostními riziky u chytrých telefonů a jejich řešením. Práce je rozdělena na tři části. První část se věnuje teoretickému podkladu v podobě přehledu verzí nejrozšířenějších mobilních operačních systémů. Druhá část se věnuje třem aspektům, které mají spojitost s bezpečností chytrých telefonů. V této části lze nalézt zejména analýzu bezpečnostních hrozeb u chytrých telefonů a dále je vybrán nejrozšířenější mobilní operační systém, u kterého je zkoumáno jeho zabezpečení vůči škodlivým aplikacím. Na závěr druhé částí je vytvořena analýza zabezpečení konkrétní aplikace. Třetí část této práce se věnuje prevenci bezpečnostních rizik v podobě antivirových aplikací pro chytré telefony a uživatelskému povědomí o mobilních hrozbách. V rámci této části je vytvořeno porovnání mobilních bezpečnostních produktů a analýza, zda se tyto produkty umí vypořádat s bezpečnostními riziky identifikovanými v rámci této práce. Na závěr třetí části je provedena anketa, která se zaměřuje zejména na uživatelské povědomí o hrozbách pro chytré telefony. Klíčová slova Bezpečnost chytrých telefonů, verze mobilních OS, chytré telefony, antivirové programy, bezpečnost mobilní aplikace, Android, ios, Windows Mobile, Windows Phone
Abstract This bachelor's thesis is focused on smartphone security risks and their solutions. The work is divided into three parts. The first part deals with the theoretical background in the form of a summary version of the most popular mobile operating systems. The second part focuses on three aspects, which are linked to the security of smartphones.in this section you can find an analysis of security risks for smartphones followed by the selection of most widely used mobile operating system in which it is exploring its security against malicious applications. In conclusion to this part a security analysis of a specific smartphone application is formed. The third part of this thesis is devoted to preventing security risks in the form of antivirus applications for smartphones. Within this section is created an overview of security products and analysis of whether these products can deal with security risks. The third part also analyzes user awareness of smartphone security risks and that is obtained by evaluation of survey among users. Keywords Smartphone security, mobile OS versions, smartphones, antivirus application, mobile applications security, Android, ios, Windows Mobile, Windows Phone
Obsah 1. Úvod... 1 2. Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony. 3 2.1. Historie verzí platformy Android... 3 2.1.1. Android 1.0...3 2.1.2. Android 1.1 (Petit Four)...3 2.1.3. Android 1.5 (Cupcake)...3 2.1.4. Android 1.6 (Donut)...4 2.1.5. Android 2.0 2.1 (Eclair)...5 2.1.6. Android 2.2 2.2.3 (Froyo)...5 2.1.7. Android 2.3 2.3.7 (Gingerbread)...5 2.1.8. Android 4.0 4.0.4 (Ice Cream Sandwich)...6 2.1.9. Android 4.1 4.2 (Jelly Bean)...7 2.2. Historie verzí platformy Windows Mobile/Phone... 8 2.2.1. Windows Mobile 2003 (Ozone)...8 2.2.2. Windows Mobile 2003 SE...8 2.2.3. Windows Mobile 5.0 (Magneto)...9 2.2.4. Windows Mobile 6 (Crossbow)...9 2.2.5. Windows Mobile 6.1... 10 2.2.6. Windows Mobile 6.5... 10 2.2.7. Windows Phone 7... 10 2.2.8. Windows 7.5 (Mango/Refresh/Tango)... 11 2.2.9. Windows Phone 7.8... 11 2.2.10. Windows Phone 8 (Apollo)... 12 2.3. Historie verzí platformy ios... 12 2.3.1. iphone OS 1.x... 12 2.3.2. iphone OS 2.x... 13 2.3.3. iphone OS 3.x... 14 2.3.4. ios 4.x... 14 2.3.5. ios 5.x... 15 2.3.6. ios 6.x... 15 3. Analýza bezpečnosti představených platforem a vybrané mobilní aplikace... 17 3.1. Analýza bezpečnostních hrozeb chytrých mobilních telefonů a jejich dopadů... 17 3.1.1. Ztráta zařízení... 17 3.1.2. Phising útoky... 19 3.1.3. Diallerware... 20 3.1.4. Neúmyslné zveřejňování dat o poloze... 21 3.1.5. Nesprávný způsob vyřazení chytrého telefonu... 21 3.1.6. Spyware... 22 3.1.7. Bankovní malware... 22 3.2. Analýza bezpečnosti nejrozšířenější platformy a vybrané mobilní aplikace... 24 3.2.1. Analýza zabezpečení platformy Android vůči škodlivým aplikacím... 25 3.2.2. Analýza bezpečnosti bankovní aplikace u nejrozšířenější platformy... 28
4. Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace... 33 4.1. Porovnání mobilních antivirových aplikací... 33 4.1.1. Výběr dodavatelů mobilních antivirových aplikací... 33 4.1.2. Kritéria a bodové hodnocení pro porovnávání produktů... 34 4.1.3. AVG mobilní antivirové aplikace... 37 4.1.4. Avast mobilní antivirové aplikace... 40 4.1.5. ESET mobilní antivirové aplikace... 43 4.1.6. Výsledek porovnání neplacených verzí mobilních antivirových produktů... 46 4.1.7. Výsledek porovnání placených verzí mobilních antivirových produktů... 47 4.1.8. Závěr porovnávání mobilních antivirových aplikací... 47 4.2. Anketa... 49 4.2.1. Cíl ankety... 49 4.2.2. Popis ankety... 49 4.2.3. Definice a popis otázek... 49 4.2.4. Výsledky otázek... 51 4.2.5. Závěr ankety... 59 5. Závěr... 61 5.1. Shrnutí práce... 61 5.2. Přínos práce a dosažení cílů... 61 5.3. Prostor pro další práci... 62 6. Použité zdroje... 63
Úvod 1. Úvod Téma bezpečnosti chytrých mobilních telefonů, známých také pod názvem smartphone, jsem si vybral zejména z důvodu, že se velice zajímám o moderní technologie a jejich bezpečnost mi přijde klíčová z hlediska používání. Téma jsem si vybral i z důvodu, že chytré telefony jsou v současné době populárním zařízením většiny domácností. Chytré telefony disponují kromě klasických funkcí mobilních telefonů, kterými jsou telefonická a textová spojení skrze mobilní síť, taktéž moderními mobilními operačními systémy, které umožňují instalaci a úpravu aplikací od kterýchkoliv programových vývojářů. Současným trendem vývojářů mobilních operačních systémů je dosažení téměř takové funkcionality systémů, kterou mají systémy osobních počítačů. S tímto trendem roste důležitost chytrého telefonu, jelikož už tato zařízení nejsou pouze prostými komunikačními nástroji. Chytrý telefon dokáže v mnoha ohledech nahradit osobní počítač a může uchovávat důležitá data, o která majitel rozhodně nechce přijít. Čím více se chytré telefony stávají součástí běžného života, tím více se veřejnost začíná zajímat o jejich bezpečnost. Téma bezpečnosti chytrých telefonů je aktuální zejména z důvodu, že v současné době dochází na trhu ke zvýšené nabídce antivirových aplikací pro chytré telefony od mnoha antivirových společností a mnoho majitelů chytrých telefonů ani neví, zda je antivirový program zapotřebí, anebo ne. V první části této práce se budu zabývat historií verzí nejrozšířenějších mobilních operačních systémů pro chytré telefony a to z důvodu, že právě mobilní operační systém dělá z výkonného zařízení chytrý telefon. Existuje mnoho výrobců výkonných zařízení, která po spojení s mobilním operačním systémem vytvoří smartphone, ale z hlediska klasifikace jednotlivých zařízení pro tuto práci nejsou výrobci hardwarové součásti důležití. Na historii verzí jednotlivých mobilních operačních systémů se zaměřím zejména z důvodu, aby došlo u čtenáře k osvojení problematiky jednotlivých verzí a aby si čtenář uvědomil, že byť vývojáři mobilních operačních systémů mohou prohlašovat, že určitou hrozbu již vyřešili, že se toto řešení promítne zejména na nových verzích. Takové řešení se tedy vůbec nemusí vyskytnout na starších verzích, které tím pádem stále mohou obsahovat bezpečnostní rizika docela jiná, než nejnovější verze mobilních operačních systémů. 1
Úvod Jako součást druhé části této práce vytvořím analýzu obecných hrozeb, které mohou potkat všechny majitele chytrých telefonů bez ohledu na platformu chytrého telefonu. Dále v rámci druhé kapitoly zvolím z nejvíce používaných platforem jednu, která je nejrozšířenější vzhledem k počtu prodaných kusů chytrých telefonů s touto platformou. K této volbě se pokusím najít relevantní zdroj od důvěryhodné analytické společnosti. U vybrané nejrozšířenější platformy vytvořím analýzu zabezpečení vůči škodlivým aplikacím, jelikož největší rizika chytrých telefonů se skrývá právě za infikovanými aplikacemi a vytvořím analýzu bezpečnosti vybrané aplikace, protože zabezpečení ze strany vývojářů aplikací hraje nemalou roli. V poslední části této práce provedu analýzu nabídky výrobců antivirových produktů a zhodnotím, zda se tato nabídka dokáže vypořádat s problémy analyzovanými v rámci druhé části této práce. U několika vybraných mobilních antivirových aplikací provedu porovnání na základě mnou definovaných kritérií. Kritérii pro porovnání bude zejména schopnost antivirových programů vypořádat se s hrozbami identifikovanými v rámci této práce. Dále v rámci poslední části této práce provedu průzkum mezi uživateli chytrých mobilních telefonů o jejich znalostech mobilních bezpečnostních hrozeb. Přínosem této práce by měla být analýza současných mobilních hrozeb a vyhledání řešení na identifikované hrozby. Práce by měla dále prozkoumat, jak velké je mezi uživateli chytrých mobilních telefonů povědomí o mobilních bezpečnostních hrozbách. Čtenář práce by měl být obeznámen s tím, jaké existují hrozby pro chytré mobilní telefony a jaký přínos mají antivirové produkty v rámci řešení těchto hrozeb. 2
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony 2. Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony 2.1. Historie verzí platformy Android 2.1.1. Android 1.0 Android 1.0 byla první komerční verze operačního systému Android. Před verzí Android 1.0 existovaly nekomerční verze systému pod názvy Android alpha a Android beta. Tyto dvě nekomerční verze byly využívány mezi lety 2007 až 2008 a sloužily pro potřeby vývoje první komerční verze. V září roku 2008 nastal zlomový okamžik operačního systému Android tím, že vstoupila na scénu verze Android 1.0, se kterou přišlo mnoho klíčových funkcí. Bylo umožněno stahování aplikací z Android Marketu, webový prohlížeč byl vybaven plnou podporou HTML a XHTML webových stránek, byla vytvořena základní podpora pro fotoaparát a kameru a nechyběla ani podpora pro Wi-Fi a Bluetooth. Samozřejmostí byla podpora SMS a MMS, jelikož platforma byla určena zejména pro mobilní telefony. Za zmínku stojí určitě i podpora všech standardních Google aplikací, tedy kalendář, kontakty, mapy, Gmail a Google Talk. Mezi další zajímavé podporované funkce patří přehrávač médií a prohlížeč obrázků. Ostatní aplikace, které přišly s verzí Android 1.0, byly spíše drobnosti ve stylu budíku a kalkulačky. Dle dostupných dat by v současné době nemělo využívat verzi Android 1.0 ani 0.1% uživatelů a nebál bych se tvrdit, že téměř žádné zařízení již touto verzí nedisponuje. (1) 2.1.2. Android 1.1 (Petit Four) V průběhu února 2009 byl vydán update platformy Android pod názvem Android 1.1. Tento update byl určen pro chytrý telefon pod názvem HTC Dream, tedy pro první Android zařízení. Update nesl interní název Petit Four, což je označení pro skupinu malých dezertů, ale oficiálně nebyl s tímto názvem spojován. Kvůli velké oblibě interního názvu se společnost Google rozhodla každý svůj další update oficiálně spojit s názvem dezertu. Update Android 1.1 vyřešil mnoho chyb a přidal několik nových funkčností. Mezi tyto funkčnosti patří možnost ukládání příloh do zpráv a zobrazování detailů a recenzí, když uživatel vyhledává podniky v aplikaci Google Mapy. Dále přibyly nové možnosti úpravy layoutu při vývoji aplikací. (1) 2.1.3. Android 1.5 (Cupcake) Android 1.5 je první významnou aktualizací pro operační systém Android. Právě u této verze přišla společnost s nápadem, že bude spojovat své updaty s názvy dezertů. Není 3
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony zvykem tyto názvy překládat do lokalizačních jazyků zemí, ve kterých se s platformou Android obchoduje. Naopak je zvykem tyto názvy uvádět v anglickém jazyce. Android 1.5 Cupcake byl vydán ke konci dubna v roce 2009 a zahrnoval několik nových funkčností, včetně nových zobrazovacích změn. V této aktualizaci je zahrnuta podpora pro klíčovou funkčnost nazvanou Widget. Widgety jsou miniatury aplikací, které mohou být zobrazeny v jiných aplikacích, zejména v aplikaci Home screen, tedy na domovské stránce chytrého telefonu. Přidána byla nová softwarová klávesnice, která dokázala automaticky dokončovat slova. Bluetooth bylo rozšířeno o podporu A2DP, tedy o profil, který umožňuje bezdrátově přenášet stereo zvuk. Toto rozšíření samozřejmě přidalo možnost propojení chytrého telefonu s headset zařízením. V rámci aktualizace Android 1.5 byla přidána možnost sdílení videa na portál YouTube a sdílení fotek na portál Picasa. Mezi další rozšíření této aktualizace patří nové animace, možnost přidat si obrázek ke kontaktu a automatická rotace obrazovky. (1) 2.1.4. Android 1.6 (Donut) Aktualizace Android 1.6 Donut byla vydána v polovině září roku 2009. V rámci této aktualizace bylo zahrnuto mnoho nových funkčností. V updatu Android 1.6 Donut byla přidána klíčová podpora pro displeje WVGA, tedy pro displeje s rozlišením, u kterého první rozměr odpovídá 480 pixelům a druhý rozměr odpovídá více než 640 pixelům. Aktualizace je zaměřena také na rozšíření rozhraní pro gesta, která může uživatel v rámci ovládání chytrého telefonu provádět. Toto rozšíření zahrnuje zejména GestureBuilder nástroj, který vývojářům umožňuje jednoduše přidávat různá gesta do jejich aplikací. (1) Další novinkou aktualizace je update podpory protokolu IEEE 802.1X, tedy protokolu, který umožňuje jednoduchý a bezpečný přístup do sítě LAN či WLAN. Významnou součástí aktualizace je tzv. text-to-speech funkce. Tato funkce, jak její anglický název napovídá, umožňuje uživateli tvořit textové záznamy na základě mluveného slova do mikrofonu chytrého telefonu. Zpočátku byla podpora pro Text-to-speech funkce jen u pár jazyků a to u angličtiny (britského i amerického akcentu), francouzštiny, italštiny, němčiny a španělštiny. Součástí aktualizace Android 1.6 Donut jsou i zdánlivé maličkosti typu mazání více fotek najednou, rychlejší vyhledávání v kamerové aplikaci a snadnější vyhledávání aplikací v Android Marketu 1. (1) 1 Oficiální obchod aplikací od společnosti Google. Dnes je tento obchod znám pod názvem Google Play 4
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony 2.1.5. Android 2.0 2.1 (Eclair) Update pod názvem Android 2.0 Eclair byl vydán ke konci října 2009. Za klíčovou vlastnost této aktualizace je považována podpora HTML5 a podpora pro Microsoft Exchange. Dále byla v rámci updatu optimalizována rychlost hardwaru, byly přidány animované tapety pro domovskou stránku, byl aktualizován seznam kontaktů, byl přidán digitální zoom pro fotoaparát chytrého telefonu a byla přidána podpora pro Bluetooth 2.1. Za zmínku stojí i výrazné vylepšení uživatelského prostředí, jelikož s touto aktualizací vzniklo intuitivnější ovládání zařízení s platformou Android. Update Android 2.0 Eclair byl následován prosincovou aktualizací Android 2.0.1 Eclair a lednovou aktualizací Android 2.1 Eclair. V rámci těchto aktualizací došlo pouze k menším úpravám rozhraní pro vývojáře a k opravám chyb. Jelikož se nejednalo o závratné změny, nesou tyto verze stejnou přezdívku Eclair, jako aktualizace Android 2.0. (1) 2.1.6. Android 2.2 2.2.3 (Froyo) Android 2.2 Froyo aktualizace byla vydána ke konci května roku 2010 na celosvětově známé konferenci Google I/O. Jedná se o významnou aktualizaci z hlediska nových funkcí a technologií. Za podstatnou část této aktualizace je považována možnost vytvoření z chytrého telefonu tzv. WiFi hotspot, tedy možnost vytvořit rychlé sdílení telefonního připojení k internetu pro ostatní zařízení. Další významnou součástí aktualizace Android 2.2 Froyo je možnost instalovat aplikace i na paměťovou kartu. Tuto funkčnost ocenili zejména majitelé chytrých telefonů s velmi malou interní pamětí. Mezi ostatní nové funkčnosti se řadí více možností u nastavení fotoaparátu a dva nové režimy telefony pod názvy režim v autě a noční režim. Za aktualizací Android 2.2 následovaly aktualizace Android 2.2.1, Android 2.2.2 a Android 2.2.3. Nejednalo se o významnější aktualizace, ale pouze o aktualizace řešící některé chyby a upravující bezpečnost. Proto byly tyto aktualizace spojovány s názvem Froyo, stejně jako původní aktualizace Android 2.2 Froyo. (1) 2.1.7. Android 2.3 2.3.7 (Gingerbread) Na počátku prosince roku 2010 byla vydána aktualizace pod názvem Android 2.3 Gingerbread. Mezi zásadní změny v rámci této aktualizace se řadí podpora Near Filed Communication, zkráceně NFC, standardu. NFC technologie umožňuje rychlé bezdrátové spojení dvou zařízení ve vzdálenosti několika málo centimetrů. Tehdy předpokládané a dnešní využití je zejména u bezkontaktních transakcí a rychlé výměně dat mezi dvěma zařízeními. V rámci této aktualizace byla taktéž upravena virtuální 5
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony klávesnice a došlo k výraznému zlepšení kopírování a vkládání textu. Přibyla také podpora pro VoIP technologii, tedy technologii pro přenos digitalizovaného hlasu přes internet. Aktualizace Android 2.3 Gingerbread byla následována aktualizací Android 2.3.1 ke konci prosince a aktualizací Android 2.3.2 v průběhu ledna následujícího roku. Obě tyto následující aktualizace obsahovaly opravu chyb a drobná vylepšení pro zařízení pod názvem Google Nexus S. (1) V únoru byla vydána aktualizace Android 2.3.3, která zlepšovala prostředí pro vývojáře a nadále jí zůstala přezdívka Gingerbread. V průběhu dubna roku 2011 byla vydána aktualizace Android 2.3.4 Gingerbread, se kterou přišla podpora pro hlasové a video hovory skrze aplikace Google Talk. Ke konci července vyšla aktualizace Android 2.3.5 Gingerbread, která řešila výkonnostní problémy a chyby u zařízení Nexus S 4G. Dále tato aktualizace vyřešila chyby ohledně Bluetooth technologie u zařízení Samsung Galaxy S, zlepšila uživatelské rozhraní a některé aplikace. Na počátku září roku 2011 byla vydána aktualizace Android 2.3.6 Gingerbread, která řešila chyby hlasového vyhledávání a ke konci září byla v rámci aktualizace Android 2.3.7 Gingerbread přidána podpora pro klíčovou funkci Google Wallet, prozatím u zařízení Nexus S 4G. Google Wallet je mobilní systém pro platby, který umožňuje uchovávat v zařízení údaje o kreditních kartách a má možnost využívat dříve zmíněnou NFC technologii. Tento systém má za hlavní cíl urychlení a zjednodušení plateb. (1) 2.1.8. Android 4.0 4.0.4 (Ice Cream Sandwich) Update Android 4.0 Ice Cream Sandwich byl vydán v polovině října roku 2011 a tato aktualizace měla za účel zkombinovat Android OS pro tablety a Android OS pro chytré telefony. Před aktualizací Android 4.0 Ice Cream Sandwich byla totiž vydána sada aktualizací pro tablety pod názvy Android 3.0 3.2 Honeycomb. V rámci aktualizace Android 4.0 Ice Cream Sandwich bylo přidáno velké množství novinek. Mezi nejvýznamnější vylepšení se řadí výrazně vylepšená správa kontaktů, vylepšené rozpoznání uživatelova hlasu, možnost zachytit fotoaparátem panoramata, možnost nahrávat videa v kvalitě 1080p a podpora technologie Android Beam, která umožňuje skrze dříve zmíněnou NFC technologii téměř okamžitou výměnu dat mezi dvěma zařízeními. (1) Dva dny po vydání aktualizace Android 4.0 Ice Cream Sandwich byla vydána aktualizace pod názvem Android 4.0.1 Ice Cream Sandwich, která řešila drobné chyby pro zařízení 6
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony Samsung Galaxy Nexus a ke konci listopadu byla vydána aktualizace pod názvem Android 4.0.2 Ice Cream Sandwich, která řešila drobné chyby tentokrát u zařízení Verizon Galaxy Nexus. Na konci prosince byla vydána aktualizace pod názvem Android 4.0.3 Ice Cream Sandwich, která zlepšovala prostředí pro vývojáře a zahrnovala opravu mnoha chyb. V rámci této aktualizace proběhlo ještě vylepšení kalendáře, vylepšení funkcí fotoaparátu a pár drobných optimalizací. Ke konci března roku 2012 byla vydána aktualizace Android 4.0.4 Ice Cream Sandwich, která zahrnovala stabilizační optimalizace a plynulejší přechody v rámci ovládání chytrého telefonu. (1) 2.1.9. Android 4.1 4.2 (Jelly Bean) Aktualizace Android 4.1 Jelly Bean byla oznámena 27. června 2012 na konferenci Google I/O a vydána byla pár dní poté 9. července 2012. Uživatelé u této aktualizace uvítali zejména doopravdy plynulejší přechody v rámci ovládání chytrého telefonu, jelikož společnost Google se o takový efekt pokoušela bez většího úspěchu již delší dobu. V rámci aktualizace bylo přidáno rozpoznávání uživatelova hlasu i v offline verzi, jelikož do této doby pracovalo rozpoznávání hlasu pouze online a znemožňovalo využívání této funkce v lokacích bez signálu. Přidána byla také podpora pro významnou funkci Google Now. Google now je vyhledávací mechanismus, který se přizpůsobuje uživatelově lokaci a návykům a dokáže uživatelovi doporučovat vhodná řešení pro situace, které uživatel může v dané chvíli zrovna řešit. Mezi další vylepšení této aktualizace se řadí vylepšení aplikace pro fotoaparát, vylepšení hlasového vyhledávání, rozšířené notifikace a intuitivnější ovládání zařízení. (1) Ke konci července byla vydána aktualizace Android 4.1.1 Jelly Bean, která opravovala chyby u zařízení pod názvem Nexus 7. V průběhu října byla vydána aktualizace Android 4.1.2 Jelly Bean, která opět řešila drobné chyby u zařízení Nexus 7, nicméně taktéž přidala vylepšení notifikací a zahrnovala i vylepšení výkonu. Aktualizace pod názvem Android 4.2 Jelly Bean byla oznámena ke konci října roku 2012 a vydána byla 13. listopadu 2012 spolu s prvními zařízeními, nesoucími tuto platformu, pod názvy LG Nexus 4 a Samsung Nexus 10. Aktualizace Android 4.2 Jelly Bean přinesla bezpečnostní prvky, mezi kterými je velmi užitečné potvrzování prémiově placených SMS zpráv. Dosud totiž měla kterákoliv aplikace možnost v pozadí posílat prémiově placené SMS zprávy a uživatel o ničem nemusel vědět. Nyní na uživatele vyskočí okénko se třemi možnostmi. První možností v tomto okénku je potvrzení úkonu a poslání prémiové placené SMS zprávy. Druhou možností v tomto okénku je neodeslání prémiové 7
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony SMS zprávy a třetí možnost okénka umožňuje nahlásit aplikaci jako infikovanou aplikaci, která se snaží záměrně oklamat uživatele a v pozadí vydělat na jeho nepozornosti. Mezi další vylepšení aktualizace Android 4.2 Jelly Bean patří seskupování SMS zpráv, vylepšené ovládání pro nastavení zařízení a vylepšení klávesnice, v rámci kterého může uživatel psát pouhým přejetím prstu po klávesnici. Ke konci listopadu 2012 byla vydána aktualizace pod názvem Android 4.2.1 Jelly Bean, která opravovala chyby a přidala podporu pro některý Bluetooth herní hardware. V průběhu února roku 2013 byla vydána aktualizace pod názvem Android 4.2.2 Jelly Bean, která zjednodušovala ovládání telefonu, opravila Bluetooth chyby, přidala nové oznamovací zvuky a optimalizovala výkon. (1) (2) 2.2. Historie verzí platformy Windows Mobile/Phone 2.2.1. Windows Mobile 2003 (Ozone) Windows Mobile 2003 byl vydán 23. června 2003 v několika verzích a oficiálně byl spojován s přezdívkou Ozone. Pro tuto práci je zajímavá pouze verze pod názvem Windows Mobile 2003 for Smartphone, tedy verze operačního systému pro chytré telefony. Jednalo se o operační systém pro bezdotyková zařízení a základním pilířem této práce byla podpora Bluetooth technologie. Podpora Bluetooth technologie umožňovala zařízením s tímto operačním systémem, aby si skrze tuto technologii dokázala vyměňovat data s jinými zařízeními a poskytovala možnost připojit k telefonu externí Bluetooth hardware, kupříkladu telefonní handsfree set nebo přídavnou klávesnici. V rámci této verze byla přidána aplikace pro procházení obrázků a byla přidána možnost manipulovat s těmito obrázky přes ostatní aplikace. Součástí této verze byl i známý Windows Media Player 9.0 k přehrávání audio a video souborům. Bylo přidáno mnoho předinstalovaných aplikací, mezi kterými se objevily i odpočinkové herní tituly. Dále bylo ve verzi Windows Mobile 2003 usnadněno odpovídání na SMS zprávy a byl vylepšen předem nainstalovaný webový prohlížeč pod názvem Pocket Internet Explorer. (3) 2.2.2. Windows Mobile 2003 SE Verze Windows Mobile 2003 SE, celým názvem Windows Mobile 2003 Second Edition, byla vydána ke konci března 2004 a poprvé byla distribuována na zařízení pod názvem Dell Axim x30. V rámci této aktualizace byl přidán významný bezpečnostní prvek v podobě protokolu WPA, celým názvem WiFi Protected Access, který zaručoval mnohem bezpečnější bezdrátové připojení k internetu. Ve verzi Windows Mobile 2003 8
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony SE byla přidána celá škála podporovaných rozlišení. Mezi tato podporovaná rozlišení se řadí 176 pixelů na výšku a 220 pixelů na šířku, 240 pixelů na výšku i na šířku, 480 pixelů na výšku i na šířku a rozlišení VGA, tedy 640 pixelů na výšku a 480 pixelů na šířku. Dále bylo ve verzi Windows Mobile 2003 SE vydáno mnoho vylepšení pro předem nainstalovaný prohlížeč Pocket Internet Explorer. (3) 2.2.3. Windows Mobile 5.0 (Magneto) Na počátku května 2005 byla představena verze Windows Mobile 5.0, která nesla označení Magneto, v rámci konference MEDC, celým názvem Mobile and Embedded Developers Conference, ve městě Las Vegas. Poprvé byla tato verze distribuována na zařízení nesoucí název Dell Axim x51. Klíčovou změnou v rámci verze Windows Mobile 5.0 Magneto byla implementace nové verze kancelářského balíčku Microsoft Office Mobile, tedy kancelářského balíčku pro chytré telefony. Nová verze Microsoft Office Mobile zahrnovala podporu grafů v aplikaci Excel Mobile, podporu formátu PPT skrze aplikace PowerPoint Mobile a širší možnosti editace v aplikaci Word Mobile. Mezi další významnou součást této verze se řadí změna práce s pamětí na zařízeních s platformou Windows Mobile. Paměť RAM, celým názvem Random-Access Memory, je v rámci verze Windows Mobile 5.0 Magneto využívána pouze pro běh aplikací a ostatní data se ukládají do flash paměti. Dále v rámci verze Windows Mobile 5.0 Magneto přibyla nová aplikace Windows Media Player 10 Mobile k přehrávání audio a video souborům. Zahrnuta byla v této verzi taktéž podpora pro technologii USB 2.0. (3) 2.2.4. Windows Mobile 6 (Crossbow) V průběhu února 2007 byla na konferenci 3GSM World Congress 2007 představena nová verze operačního systému od společnosti Microsoft pod názvem Windows Mobile 6. Tato verze byla známá také pod přezdívkou Crossbow a byla vydána ve více podobách. Pro tuto práci jsou důležité pouze podoby pod názvy Windows Mobile 6 Standard a Windows Mobile 6 Professional, jelikož tyto podoby jsou určeny pro chytré telefony. Verze Windows Mobile 6 byla poprvé distribuována na zařízení pod názvem Orange SPV E650. V rámci verze Windows Mobile 6 byla zahrnuta podpora pro WVGA rozlišení, tedy pro rozlišení, kterému odpovídá 480 pixelů na šířku a více než 640 pixelů na výšku. Další součástí této nové verze byla podpora mnoha technologií, mezi které se řadí technologie AJAX a JavaScript. Přibyla také snadnější editace souborů v kancelářském balíčku Microsoft Office Mobile a přibyla funkce smartfilter pro rychlejší vyhledávání v zařízeních. V rámci této verze přibyla i podpora pro VoIP 9
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony technologii. Novým bezpečnostních prvkem verze Windows Mobile 6 Crossbow je šifrování dat na výměnné paměťové kartě. (3) 2.2.5. Windows Mobile 6.1 Verze Windows Mobile 6.1 byla představena na začátku dubna 2008. Jedná se o verzi s menšími úpravami oproti předešlé verzi Windows Mobile 6 Crossbow. Tato verze je určena pro všechny zařízení s dotykovými displeji, především tedy pro chytré telefony. Větší změnu v této verzi představovalo intuitivnější ovládání zařízení. Ve verzi Windows Mobile 6.1 byla dále upravena historizace SMS zpráv, aby uživatel mohl zprávy vidět v chronologickém pořadí za sebou. Mezi další úpravy této se řadí podpora nových formátů pro kancelářský balíček Microsoft Office Mobile a vylepšená správa emailů. (3) 2.2.6. Windows Mobile 6.5 Na počátku října 2009 byla představena verze s názvem Windows Mobile 6.5, u které bylo představeno mnoho cloudových služeb. Mezi tyto cloudové služby patří SkyBox, SkyLine a SkyMarket. SkyBox byl později označován jako MyPhone a SkyMarket byl později převzat jako Windows Marketplace for Mobile, tedy oficiální obchod s aplikacemi pro platformu Windows Mobile. Nicméně služby MyPhone a Marketplace for Mobile byly ukončeny v polovině června 2011. Ve verzi Windows Mobile 6.5 byl výrazně upraven vzhled systému a bylo vylepšeno ovládání zařízení, aby bylo intuitivnější. Na verzi Windows Mobile 6.5 byly vydány tři aktualizace. Tyto aktualizace nesou názvy Windows Mobile 6.5.1, Windows Mobile 6.5.3 a Windows Mobile 6.5.5. Aktualizace Windows Mobile 6.5.1 zahrnuje drobné úpravy systému k lepší přehlednosti a výkonnosti. Update Windows Mobile 6.5.3 zahrnuje intuitivnější ovládání systému a nový kancelářský balíček Office Mobile 2010. Aktualizace Windows Mobile 6.5.5 byla vydána v průběhu ledna 2010 a zahrnovala pouze drobné úpravy systému. Tato verze je poslední verzí v sérii Windows Mobile. Pro další verze začala společnost Microsoft používat označení Windows Phone. (3) 2.2.7. Windows Phone 7 Verze nesoucí název Windows Phone 7 byla představena světu ke konci října 2010 a jednalo se o první verzi nové řady Windows Phone. Verze Windows Phone 7 sloužila pouze jako představovací verze této nové řady a zahrnovala nový systém pro stahování aktualizací systému. V rámci aktualizací bylo představeno uživatelské rozhraní pod názvem Metro, které mělo za cíl přehledný obsah a jednoduchost. V současnosti není pro 10
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony toto uživatelské prostředí využíván název Metro, nýbrž je oficiálně označováno jako rozhraní Windows 8. (3) 2.2.8. Windows 7.5 (Mango/Refresh/Tango) V průběhu února 2011 byla na konferenci Mobile World Congress představena verze Windows 7.5, která nesla oficiální označení Mango. Vydána byla tato verze ke konci září 2011 a první zařízení s touto verzí vyšlo v posledním čtvrtletí roku 2011. Součástí tohoto updatu bylo ohromné množství vylepšení, změn a nových záležitostí. Mezi nejvýznamnější změny se řadí komplexní úprava aplikace pro fotoaparát, změna způsobu posílání zpráv, nový kancelářský balíček a nové funkce související s multimédii. V rámci verze Windows 7.5 Mango byla předem nainstalovaný webový prohlížeč Internet Explorer 9 Mobile, který zahrnoval širší podporu HTML5 technologie. Součástí nového zabezpečení bylo zrušení možnosti hlasových příkazů v případě uzamčeného zařízení a podpora alfanumerického PIN kódu. (3) Aktualizace s názvem Windows Phone 7.5 Refresh zahrnovala podporu pro LTE technologii, tedy technologii určenou pro vysokorychlostní internet v mobilních sítích. Další součástí verze Windows Phone 7.5 Refresh je oprava chyb. Mezi významné opravené chyby se řadí oprava mizející softwarové klávesnice a oprava chyby, na základě které uživatel veřejně odesílal informace o poloze i když k tomu nedal povolení. (4) Ke konci července 2012 byla vydána aktualizace Windows Phone 7.5 Tango. V rámci této aktualizace byly vylepšeny notifikace, byla zahrnuta lepší podpora pro levná zařízení a byla přidána možnost odesílání vyzvánění skrze MMS, tedy skrze multimediální zprávy. Součástí verze Windows Phone 7.5 Tango byla také oprava mnoha chyb a byla přidána další drobná vylepšení systému. (5) 2.2.9. Windows Phone 7.8 Verze pod názvem Windows Phone 7.8 byla vydána počátkem února 2013 a jednalo se o aktualizaci, která byla zdarma dostupná pro všechna zařízení s verzemi Windows Phone 7. Tato aktualizace zahrnovala úpravu úvodní obrazovky, kterou rozdělila na malé, střední a velké okénka s podporou změny velikosti těchto okének. Úprava úvodní obrazovky měla za cíl širší možnosti customizace. Součástí aktualizace bylo přidání nových barev motivů, byla přidána podpora dalších jazyků a dále bylo přidáno několik 11
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony drobnějších úprav systému. V rámci verze Windows Phone 7.8 byl přidán nový bezpečnostní prvek, který představoval vylepšenou zamykací obrazovku. (6) 2.2.10. Windows Phone 8 (Apollo) V průběhu srpna 2011 byla v rámci semináře MSDN, celým názvem Microsoft Developer Network, představena verze s názvem Windows Phone 8, která nese přezdívku Apollo. Ke konci října 2012 byla tato verze vydána a jedná se, v době psaní této práce, o prozatím poslední verzi Windows Phone. Verze Windows Phone 8 Apollo přináší podporu pro rozlišení 1280 pixelů na výšku a 720 pixelů na šířku a pro rozlišení 1280 pixelů na výšku a 768 pixelů na šířku. V rámci této verze byl představen nový systém multitaskingu, tedy systému, kdy může současně probíhat několik procesů na pozadí. Dále byl součástí této verze nový předem instalovaný webový prohlížeč Internet Explorer 10. Důležitou součást verze Windows Phone 8 Apollo tvoří podpora MicroSD paměťových karet. Představen byl také nový systém nákupů z aplikací, který mají v oblibě vývojáři mající byznys model aplikace na bázi mikrotransakcí. Tento byznys model spočívá v tom, že vývojáři nabídnou aplikaci zdarma, či velmi levně a poté uživatel může za malé finanční částky nakupovat určité výhody v rámci aplikace. Součástí verze Windows Phone 8 Apollo byla také podpora pro více jádrové procesy a novým bezpečnostním prvkem této verze je 128 bitové šifrování nástrojem Bitlocker, které zaručovalo větší bezpečnost zařízení v případě útoku na tuto verzi. (3) 2.3. Historie verzí platformy ios 2.3.1. iphone OS 1.x Verze iphone OS 1.0 byla vydána ke konci června 2007 a jednalo se o první verzi pro první chytrý telefon od společnosti Apple. Chytrý telefon byl tehdy označen názvem iphone a tento název si drží dodnes. V průběhu měsíců byla verze iphone OS 1.0, jakožto i všechny následující verze platformy ios, doplňována drobnými či většími aktualizacemi, nicméně pořád se typově klasifikuje jako první verze. Tyto aktualizace začaly od verze iphone OS 1.0 a skočily u aktualizace iphone OS 1.1.4. Po aktualizaci iphone OS 1.1.4 následovala aktualizace iphone OS 1.1.5, nicméně aktualizace iphone 1.1.5 nebyla určena pro chytré telefony, ale pro jiná zařízení od společnosti Apple a proto není zahrnuta. Zpočátku se v rámci aktualizací první verze jednalo o posílení bezpečnosti a opravu chyb. Prvním významnější aktualizací byla aktualizace na verzi iphone 1.1.1. V rámci verze iphone 1.1.1 bylo přidáno mnoho vylepšení, mezi kterými je hlasitější mikrofon a reproduktor, podpora pro televizní výstup, zlepšení ovládání 12
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony systémové klávesnice, zlepšení aplikace pro emaily a možnost nastavit automatické vypnutí technologie EDGE/GPRS, tedy technologie využívané zejména pro internetové připojení, pokud se zařízení dostane do zahraničí, jelikož v zahraničí jsou pro uživatele mnohem dražší datové přenosy. (7) (8) Další významnou aktualizací je aktualizace na verzi iphone 1.1.3 v rámci které přibylo mnoho nových funkcí především pro aplikace itunes 2. Ve verzi iphone 1.1.3 došlo k rozšíření prostoru pro textové zprávy z 1000 SMS na 75 000 SMS a přibyla možnost posílat textové zprávy více příjemcům najednou. Dále v rámci verze iphone 1.1.3 přibyla efektivnější podpora aplikace Google Maps, na základě které bylo zařízení snadněji lokalizovatelné. Poslední aktualizace na verzi iphone 1.1.4 vyšla ke konci února 2008 a zahrnovala pouze drobné úpravy a opravu menších chyb. (7) (9) 2.3.2. iphone OS 2.x V polovině července 2008 byla vydána druhá významná verze pod názvem iphone OS 2.0. Tato verze byla vydána spolu se zařízením, které neslo název iphone 3G. V rámci samotného vydání verze iphone OS 2.0 došlo k vylepšení správy kontaktů, k vylepšení kalendáře, k optimalizaci emailové aplikace a přibyla podpora mnoha nových jazyků. Ve verzi přibyla taktéž podpora specifikace WPA2, která zajišťuje vyšší bezpečnost v rámci bezdrátového připojení. Další důležitou součástí verze iphone OS 2.0 je zahrnutí podpory formátu SVG, tedy formátu, který se snaží být základním otevřeným formátem pro vektorovou grafiku na Internetu. Na počátku září 2008 byla vydána aktualizace na verzi iphone OS 2.1. Mezi verzemi iphone OS 2.0 a iphone OS 2.1 proběhly aktualizace, které pouze řešily chyby a z toho důvodu nejsou zajímavými v rámci tohoto přehledu. Verze iphone OS 2.1 taktéž řešila mnoho chyb, ale přibylo i mnoho vylepšení. V rámci těchto vylepšení byla optimalizována zejména multimediální funkce chytrého telefonu a byla přidána podpora mnoha dalších jazyků. (8) (9) Ke konci listopadu 2008 byla vydána aktualizace na verzi iphone OS 2.2. Tato verze zahrnovala optimalizování emailová aplikace, vylepšení aplikace Google Maps, vylepšení předem instalovaného webového prohlížeče Safari a nové možnosti u obchodu App Store. V rámci této verze byla opět přidaná podpora několika nových jazyků a byly provedeny drobné bezpečnostní úpravy, které řešily zejména chování systému při otevření infikovaného obsahu. Poslední aktualizací druhé verze byla aktualizace na verzi 2 Program, který umožňuje přehrávat a organizovat multimediální soubory. Skrze itunes lze stahovat aplikace z obchodu aplikací App Store. 13
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony iphone OS 2.2.1 ke konci ledna 2009. Součástí poslední aktualizace je stabilizace předem nainstalovaného webového prohlížeče Safari a oprava drobných chyb. (7) 2.3.3. iphone OS 3.x Verze iphone 3.0 byla vydána v polovině června 2009 spolu se zařízením iphone 3GS. Tato verze přidala klíčovou funkčnost kopírování a vkládání textu napříč aplikací. Dále byla v rámci této verze vylepšena implementována podpora nových funkcí aplikace Google Maps a byl vylepšen obchod App Store. V rámci verze iphone 3.0 byla ještě přidána podpora nových jazyků, byl optimalizován webový prohlížeč Safari, byla vylepšena podpora technologie Bluetooth a byla vylepšena aplikace pro emaily. Další důležitou součástí této verze je implementace MMS 3 a nové vývojové prostředí. (9) Na počátku září 2009 byla vydána aktualizace na verzi iphone 3.1 v rámci které bylo zahrnuto mnoho vylepšení. Mezi tato vylepšení patří nový vzhled aplikace pro fotoaparát v zařízení, nový způsob vedení událostí v kalendáři, optimalizace multimediální funkčnosti zařízení a optimalizace pro ovládání zařízení. Ve verzi iphone 3.1 byla opět zahrnuta podpora nových jazyků. Mezi vylepšení bezpečnosti patří anti-phising funkčnost předem nainstalovaného webového prohlížeče Safari, které slouží k prevenci útoků typu phising. Útoku typu phising se věnuji v dalších kapitolách této práce. Poslední aktualizací třetí verze pro chytré telefony byla verze iphone OS 3.1.3, která vyšla na počátku února 2010. Následovaly ještě další aktualizace třetí verze, ale ty již nebyly určeny pro chytré telefony a proto nejsou brány v potaz v rámci této práce. Verze iphone OS 3.1.3 zlepšovala přesnost ukazatele baterie, opravovala drobné chyby a zahrnovala bezpečnostní záplaty, aby nedocházelo k jailbreakingu 4. (8) (9) 2.3.4. ios 4.x Koncem června 2010 vyšla verze ios 4.0 spolu s chytrým telefonem nesoucím označení iphone 4. V rámci verze ios 4.0 byla zahrnuta klíčová metoda multitaskingu 5, bylo zlepšeno ovládání zařízení a bylo upraveno mnoho aplikací. V této verzi byla taktéž zahrnuta podpora nových jazyků. Z bezpečnostního hlediska byl zahrnutý nový prvek komplexního hesla k zařízení, které se může skládat z alfanumerických i numerických znaků. Počátkem záři 2010 byla vydána aktualizace na verzi ios 4.1, která zahrnovala 3 Multimedia Messaging Service umožňuje kromě textu posílat i multimediální přílohy, mezi které patří obrázky, audio a video. 4 V rámci platformy ios je možné instalovat pouze oficiální aplikace z obchodu App Store a jailbreaking umožňuje instalovat na zařízení i neoficiální aplikace dostupné z jiných zdrojů. 5 Tato metoda umožňuje, aby na zařízení běželo více procesů najednou. 14
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony mnoho oprav chyb a vylepšení. Důležitým vylepšením této verze byla úprava systému takovým způsobem, aby docházelo k delší životnosti baterie. (7) Za verzí ios 4.1 následovala důležitá aktualizace na verzi ios 4.2. V rámci verze ios 4.2 došlo zejména k opravě mnoha chyb a životnost baterie byla optimalizována ještě lepším způsobem. Poslední aktualizací čtvrté verze byla aktualizace na verzi ios 4.3.5, která vyšla ke konci července 2011. Součástí této verze byla bezpečnostní záplata na zranitelnost validačních certifikátů. (9) 2.3.5. ios 5.x Verze ios 5.0 byla vydána v polovině října 2011 spolu se zařízením iphone 4S. Důležitou součástí této verze byla podpora imessages, což znamenalo synchronizaci konverzací mezi všemi Apple zařízeními pod jedním Apple ID. Na základě této funkčnosti lze začít konverzaci na jednom zařízení a dokončit ji na zařízení jiném. Součástí verze ios 5.0 bylo dále vylepšení aplikace pro fotoaparát v zařízení, nové funkce v kalendáři, vylepšení itunes synchronizace, optimalizace emailu a nové funkce předem nainstalovaného webového prohlížeče Safari. (7) (9) V této verzi byl také vytyčen trend, který naznačoval přesun do cloudu 6. V rámci tohoto trendu byla implementována služba icloud, která všechen obsah dokázala přenést právě do cloudu. Na počátku března 2012 byla vydána aktualizace na verzi ios 5.1, která zahrnovala mnoho drobných vylepšení a opravu drobných bezpečnostních chyb. Poslední aktualizací verze pět byla aktualizace na verzi ios 5.1.1, která byla vydána v průběhu května 2012. Mezi nové bezpečnostní prvky patří větší ochrana zařízení proti infikovaných webovým stránkám. (8) (9) 2.3.6. ios 6.x V průběhu června 2012 byla na konferenci WWDC 7 představena verze ios 6.0 a vydána byla v průběhu září 2012 spolu se zařízením nesoucím název iphone 5. V rámci této verze bylo zahrnuto mnoho změn. Mezi důležité patří větší integrace sociálních sítí, vylepšení multimediálních vlastností a mnoho systémových zlepšení. V rámci této verze bylo optimalizováno mnoho předem nainstalovaných aplikací, mezi kterými je webový prohlížeč Safari, emailová aplikace a aplikace pro přehrávání videí z internetu pod 6 Technologie, se kterou dochází k virtualizaci software, či hardware zdroje. 7 Apple Worldwide Developers Conference. Jedná se o konferenci, která je určena pouze vývojářům. 15
Představení nejvýznamnějších mobilních platforem pro chytré mobilní telefony názvem YouTube. Novým bezpečnostním prvkem verze ios 6.0 bylo přidání jádra ASLR 8. (7) (9) Ke konci ledna 2013 byla vydána aktualizace na verzi ios 6.1. Zejména byly v rámci této verze opraveny bezpečnostní mezery a byla implementována lepší podpora aplikace icloud. Poslední aktualizace v době psaní této práce proběhla na počátku května 2013 a byla to aktualizace na verzi ios 6.1.4, která pouze řešila chybu hlasitého odposlechu u zařízení iphone5. (9) 8 Address Space Layout Randomization je metoda počítačové bezpečnosti, která umisťuje strojový kód aplikace, data v operační paměti a knihovny na náhodně zvolené adresy za účelem znemožnění útoků a odhalení chyb systému. 16
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace 3. Analýza bezpečnosti představených platforem a vybrané mobilní aplikace 3.1. Analýza bezpečnostních hrozeb chytrých mobilních telefonů a jejich dopadů Chytré mobilní telefony obsahují různé mobilní operační systémy, a přesto existuje mnoho bezpečnostních rizik ohrožujících téměř všechna zařízení bez ohledu na platformu. V rámci této kapitoly se budu zabývat obecnými hrozbami, které mohou ohrožovat uživatele dříve představených nejvýznamnějších platforem. Jedná se tedy o rizika, která mohou být větší či menší hrozbou pro uživatele všech představených platforem. 3.1.1. Ztráta zařízení Zařízení, které nese označení jako chytrý mobilní telefon, je kapesním zařízením a proto se nelze divit, že může dojít ke ztrátě z nepozornosti. Ztráta takového zařízení může být mnohem rizikovější než ztráta např. peněženky. Ztrátou peněženky může dojít ke ztrátě většího či menšího finančního obnosu, ke ztrátě osobních průkazů, což může vést akorát tak ke ztrátě času při shánění nových průkazů a ke ztrátě kreditních karet, které si každý ihned jednoduše může zablokovat skrze mobilní telefon. Poslední myšlenka předešlé věty je právě to podstatné. Většina obyvatel s sebou nosí jeden mobilní telefon, a proto při jeho ztrátě nemohou jednoduše někam zavolat. Samozřejmě se dá SIM karta zablokovat skrze pobočku operátora, či po zavolání na příslušný kontakt operátora, nebo dokonce skrze Policii České republiky (10), nicméně než toto uživatel má možnost udělat, může případný zloděj vaše zařízení zneužít několika způsoby. Mezi zneužití patří krádež kontaktů, krádež citlivých dat a zneužití zařízení pro komerční účely. 3.1.1.1. Krádež kontaktů Co se jeví jako malicherný problém pro běžného uživatele, může mít kritický dopad pro obchodního ředitele. Pro běžného uživatele může ztráta kontaktů znamenat pouze časovou komplikaci při shánění všech čísel, která ztratil, ale pro obchodního ředitele může ztráta kontaktů znamenat velkou komplikaci, pokud se ke kontaktům dostane nesprávná osoba, která kontakty dokáže využít a může tím dokonce způsobit finanční újmu společnosti, u které je obchodní ředitel zaměstnán. Případně ztráta kontaktů vysoce postaveného úředníka také nepatří mezi nejpříjemnější záležitost. Mnoho z kontaktů by mohlo být každý den doslova zaplaveno hovory a zprávami od nespokojených občanů a úředníkům by nezbylo nic jiného, než změna kontaktu. 17
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace 3.1.1.2. Krádež citlivých dat Citlivá data jsou dle definice bezpečnostního standardu SEC 501: Jakákoliv data, jejichž kompromitace porušením utajení, integrity nebo dostupnosti může mít zásadní dopad na zájmy dotčené strany, průběh programů organizace nebo soukromí jednotlivců. Citlivost dat je přímo úměrná škodám, které mohou vzniknout jejich kompromitací. Organizace musí klasifikovat každý IT systém příslušným stupněm citlivosti, a to dle nejcitlivějších dat, která systém skladuje, zpracovává nebo přenáší. (11) Pro běžného uživatele mohou citlivá data představovat textové zprávy, které podléhají listovnímu tajemství a proto má uživatel právo se domnívat, že nikdy nebudou k dispozici někomu jinému, než právě jemu. Listovní tajemství je totiž jedním ze základních lidských práv, která jsou zaručena Listinou základních práv a svobod. Správně by tedy nálezce mobilu měl nález nahlásit na nejbližší policejní stanici a nesnažit se skrze citlivá data dohledávat, komu mobil patří. Najde se totiž i pár poctivých nálezců, kteří se mohou skrze obsah SMS zpráv dopátrat vlastníka a mobil mu osobně předat, nicméně tímto porušují listovní tajemství a může dojít právě ke ztrátě citlivých dat. Nehledě na situaci, kdy je běžný uživatel přihlášen skrze chytrý mobilní telefon na některou ze sociálních sítí, či na email. V případě, že chytrý mobilní telefon s přístupem na sociální síť a email najde záškodník, může ztráta citlivých dat znamenat až fyzické napadení či únos uživatele. Ztráta chytrého mobilního telefonu se tedy nesmí v žádném případě brát na lehkou váhu a každý si musí uvědomit, o co všechno ztrátou přišel a co všechno je v sázce. Ztráta citlivých dat představuje jednu z nejvyšších hrozeb všech vlastníků chytrých mobilních telefonů. V případě ztráty firemního zařízení může dojít k naprosto fatálním následkům. Ztráta firemního chytrého telefonu s citlivými daty by v extrémním případě mohlo vyústit doslova k bankrotu dotyčné společnosti. 3.1.1.3. Zneužití zařízení pro komerční účely Samozřejmostí je, že nepoctivý nálezce může zneužít chytrý mobilní telefon ke svému osobnímu zbohatnutí. Je mnoho možností, jak poslanou SMS zprávou získat určité benefity. Může se jednat o zapojení do soutěže, o rozšíření prostoru virtuálního úložiště či prostě o platbu za zboží. Zařízení se taktéž dá použít k hovoru na nadstandardně placenou linku, ať už za účelem získání drahých informací, či pro jiné účely. Kombinací 18
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace placených SMS zpráv a nadstandardně placených hovorů může uživatel přijít o desetitisíce korun. 3.1.2. Phising útoky S útokem pod názvem phising je možno setkat se v českém jazyce pod názvem rhybařeni. (12) Jedná se o podvodnou techniku používanou na internetu k získání citlivých údajů za pomocí elektronické komunikace. Principem phisingu je získání důvěry u potenciální oběti tím, že se phisingový útok tváří jako oficiální žádost významného subjektu o zadání citlivých údajů. Subjekt, za který se útočníci vydávají, nejčastěji představuje banku, či jinou podobnou instituci, ale může jím být i sociální síť, aukční síť a mnoho dalších. Jedná se tedy potenciální hrozbu pro méně obezřetné uživatele chytrých mobilních telefonů, kteří se mohou nechat oklamat důvtipem útočníků. 3.1.2.1. Emailový/webový phising útok Jedná se o variantu phising útoku, která je téměř totožná phising útoku na stolní počítače. Každý chytrý mobilní telefon je vybaven emailovým klientem a drtivá většina uživatelů skrze svůj telefon čte elektronickou poštu. Velkou hrozbu představuje phisingový útok v podobě dokonale propracovaného emailu, který odkazuje na webové stránky a tváří se jako oficiální žádost do nejmenšího detailu. Webové stránky mívají přesnou podobu oficiálních webových stránek konkrétního subjektu a dokonce po kliknutí na některé odkazy může být uživatel odkázán přímo na oficiální webové stránky subjektu. Na falešných webových stránkách, které se tváří jako oficiální, je po uživateli požadováno, aby zadal své citlivé údaje, kterými jsou uživatelské jméno a heslo. Útok je úspěšný v případě, kdy uživatel svá citlivá data zadá a klikne na tlačítko k potvrzení zadaných údajů. V takové chvíli jsou uživatelské údaje odeslány útočníkovi a uživatelův účet je ve velkém ohrožení. Nemusí se jednat pouze o útok formou elektronické pošty. Na kterékoliv webové stránce může být falešný odkaz žádající přihlašovací údaje a to k čemukoliv. Velmi časté jsou útoky na sociálních sítích, kdy útočník podnítí diskuzi k určité problematice a poskytne odkaz, kde se uživatelé mají vyjádřit k uměle vytvořené diskuzi. Po kliknutí na odkaz je oběť přesměrována na falešné stránky, které jí žádají o přihlášení. Nepozorný uživatel zadá své citlivé údaje, odešle je a může být dokonce přesměrován na požadovanou diskuzi. Vše propracované do nejmenšího detailu. Uživatel nemusí mít nejmenší tušení, 19
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace že útočník právě získal jeho citlivá data. Ztráta citlivých dat v podobě přihlašovacích údajů může znamenat vážné problémy. V případě phising útoku na přihlašovací údaje sociální sítě může být oběť okradena o další citlivá data, která chtěla udržet pouze mezi nejbližšími přáteli a profil může být zneužit ke komerčním účelům přihlášením do nejrůznějších aplikací, které se na dané sociální síti vyskytují. Ovšem v případě phising útoku na přihlašovací údaje do internetového bankovnictví může dojít k drastickému odlivu financí z účtu oběti. Phisingové útoky skrze elektronickou poštu se stávají v poslední době čím dál více důvěryhodnějšími a proto se jedná o velkou hrozbu pro všechny majitele chytrých mobilních telefonů, kteří skrze telefon otevírají poštu. Aby totiž došlo k větší důvěryhodnosti u uživatele, začínají se falešné stránky tvořit i ve verzi mobilního vzhledu. 3.1.2.2. Telefonní phising útok Velkou hrozbou je pro majitele chytrých mobilních telefonů tzv. telefonní phising útok. Útočník se představí jako zástupce určité společnosti a manipulativní cestou se snaží z uživatele dostat citlivá data. Lukrativní je pro útočníky předstírat, že jsou zaměstnanci banky a že došlo k útoku na účet uživatele. K ověření uživatele požadují jeho citlivá data a uživateli častokrát nemusí dojít, že se jedná o podvodníky. Občas dokonce pustí útočníci falešného hlasového robota, který požaduje k ověření vstupní PIN kód k ověření totožnosti uživatele. Všechny útoky jsou velmi důvěryhodné a je zde velká šance, že majitel mobilního telefonu naletí, protože k ověření totožnosti jsou uživatelé žádáni i od operátorů jejich mobilního tarifu. Může totiž nastat situace, kdy operátor nabízí optimalizaci služeb skrze telefonní hovor a při souhlasu uživatele jej požádá o citlivá data k ověření totožnosti. Pokud by útočník postupoval stejným způsobem, je pro uživatele velmi těžké rozeznat, zda opravdu volá operátor anebo ne. Pro méně obezřetné uživatele může telefonní phising útok znamenat ztrátu citlivých dat a následně finanční ztráty. 3.1.3. Diallerware Chytré mobilní telefony mohou uchovávat ve své paměti mnoho aplikací a bohužel se mezi nabízenými aplikacemi v příslušných obchodech nachází i škodlivé aplikace, které mají za cíl finančně poškodit uživatele. Pokud je totiž stažena škodlivá aplikace, která obsahuje hrozbu typu diallerware, začínají pro uživatele perné chvíle. Aplikace se může 20
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace tvářit ve všech směrech jako zcela standardní aplikace. Může se jednat o pozadí pro chytrý mobilní telefon, nebo o kalkulačku anebo dokonce o nějakou herní aplikaci. Může se totiž jednat o jakoukoliv aplikaci. Nicméně v pozadí aplikace probíhá škodlivý kód, který může posílat nadstandardně placené SMS zprávy, může v pozadí provádět placené hovory a může automaticky nakupovat skrze staženou aplikaci. Jedná se o velmi nebezpečnou hrozbu, jelikož uživatel nemusí vůbec nic poznat až do chvíle, kdy mu přijde měsíční vyúčtování od operátora. A ani po této chvíli nemusí vědět, odkud vítr vane. Finanční ztráta může dosahovat desetitisíců korun, jelikož aplikace může dokonce provádět transakce skrze sebe sama z bankovního účtu uživatele, který je v možno v chytrém mobilním telefonu nastavit. Diallerware je jednou z největších hrozeb, která může majitele smartphonu potkat. 3.1.4. Neúmyslné zveřejňování dat o poloze Chytrý mobilní telefon je plný osobních dat a v nepřehledném nastavení může uživatel snadno ztratit přehled o tom, co kde a komu sdílí. Smartphony nabízí mnoho inovativních řešení a patří mezi ně i možnost vytvoření fotografie fotoaparátem u mobilního telefonu a následné jednoduché sdílení na webové stránky či sociální síť. Jenže takto pořízené fotografie mohou obsahovat informaci o místu pořízení. Tudíž ve chvíli, kdy uživatel pořídí fotografii pomocí chytrého telefonu, se může stát, že při sdílení fotografie na internet uživatel zároveň neúmyslně sdílí informace o své poloze. Jedná se o velmi závažný problém, jelikož zde dochází ke ztrátě soukromí uživatele a potenciální útočník získává do ruky mocnou zbraň ke sledování aktivit oběti. Stejně tak může uživatel neúmyslně zveřejnit data o poloze skrze sociální síť, či geolokační aplikace 9. (13) 3.1.5. Nesprávný způsob vyřazení chytrého telefonu Nesprávný způsob vyřazení chytrého telefonu je hrozbou pro uživatele ve chvíli, kdy mění svůj chytrý telefon za nové zařízení a tím pádem se zbavuje svého starého chytrého telefonu. V rámci tohoto procesu se může tento starý chytrý telefon dostat do rukou jiného majitele a to zejména v případě, kdy původní majitel své zařízení prodává. Pokud ale původní majitel uchovával na svém starém chytrém telefonu důležitý obsah, kupříkladu některá citlivá data, může nastat problém. Původní majitel může zapomenout smazat některá důležitá data chytrého telefonu a ve chvíli změny svého zařízení o 9 Aplikace, která v rámci svého fungování využívá polohu uživatele 21
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace takováto data přichází. V případě, že se chytrý telefon dostane do rukou záškodníka, může nastat velká komplikace pro původního uživatele chytrého telefonu. Chytrý telefon může uchovávat téměř jakékoliv informace a proto je tato zdánlivě zanedbatelná hrozba velkým problémem, který může způsobit širokou škálu komplikací, mezi kterými může být i finanční ztráta a fyzické napadení původní majitele. 3.1.6. Spyware Hrozba typu spyware je pro uživatele chytrých mobilních telefonů velmi nebezpečnou záležitostí. Tento typ útoku na uživatele smartphonu funguje tak, že se virus typu spyware snaží nashromáždit veškeré informace a údaje týkající se právě uživatelů a je schopen tyto informace odeslat útočníkovi. Mobilní virus typu spyware může mít za cíl osobní údaje uživatele, ale může shromažďovat téměř cokoliv. Spyware může sledovat GPS pozici uživatele, může sledovat pořízené fotky a videa, může sledovat kontakty, úkoly, události v kalendáři, poznámky, může sledovat kompletní obsah přijatých i odeslaných textových zpráv. (14) Pokud je chytrý telefon napaden virem typu spyware, ztrácí uživatel veškeré soukromí. Virus může shromaždovat kupříkladu i data o webových stránkách, které uživatel skrze chytrý mobilní telefon sleduje. Samostatná nashromážděná data nemusí mít vůbec žádnou hodnotu, ale dohromady mohou být poskládána jako mozaika, která může představovat kritickou hrozbu pro uživatele. Dle antivirových statistik roste počet výskytu viru typu spyware do desetitisíců. Takovéto statistiky nemusí být relevantní, jelikož se jedná o pozitivní zprávy pro antivirové společnosti a mohou na těchto statistikách vydělávat. Nicméně hrozba typu spyware může číhat na kteréhokoliv uživatele a je třeba se mít na pozoru. O to horší je fakt, že uživatel vůbec nemusí vědět, že jeho chytrý mobilní telefon obsahuje spyware. Útoky jsou natolik sofistikované, že spyware nemusí být vidět ani mezi přehledem nainstalovaných aplikací a může se skrývat, jak jen to systém dovolí. Proto je tento typ útoku tolik nebezpečný. 3.1.7. Bankovní malware Bezesporu nejznámějším a nejrozšířenějším typem bankovního malwaru je tzv. ZITMO, celým názvem Zeus in the Mobile. Jedná se o trojského koně, jehož cílem jsou uživatelé mobilního bankovnictví. Trojský kůň Zeus in the Mobile se zničehonic neobjevil na smartphonech, ale jedná se o následovníka trojské koně Zeus, jehož cílem byla citlivá data pro internetové bankovnictví, která doloval od uživatelů stolních počítačů, či 22
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace notebooků. Trojský kůň Zeus již napadl miliony počítačů a právě pro jeho úspěch se přesouvá na chytré mobilní telefony. V největším nebezpečí jsou uživatelé, kteří mají na svém chytrém telefonu platformu Android, jelikož jsou známé případy, kdy ZITMO využívá bezpečnostních děr právě v tomto systému. To ale neznamená, že ostatní platformy jsou mimo riziko. Riziko je velké, jelikož trojský kůň ZITMO se dokáže do chytrého telefonu dostat bez vědomí uživatele. Cíle kyberzločince, který stojí za malwarem ZITMO, jsou v tomto případě jasné. Kyberzločinec má za cíl vydolování z uživatele přístupové údaje do internetového bankovnictví a vybrání velkého množství financí na daném účtu. (15) Malware Zeus in the Mobile napadá dvoustupňový autentizací proces, který byl bankami vytvořen na ochranu uživatelů. Proces mimo uživatelova hesla vyžaduje autentizační číslo transakce, tzv. TAN. Autentizační číslo transakce obdrží uživatel od banky v textové zprávě. Trojský kůň ZITMO se zaměřuje právě na textovou komunikaci mezi bankou a uživatelem. Tímto zásahem získá útočník citlivá data od uživatelova internetového bankovnictví a může se bez větších problémů dostat na uživatelův bankovní účet. Malware Zeus in the Mobile tedy není důmyslným škodlivým kódem, jako takovým. U tohoto typu útoku se kyberzločinci spoléhají na sociální inženýrství a zvyklosti uživatele, na základě kterých mohou získat potřebná data. Jedná se tedy vlastně o zvláštní formu phising útoku skrze malwarovou aplikaci. Že je bankovní malware nebezpečný dokládá citace od odborníka na bezpečnost Tonyho Anscombla: "Zitmo není nový malwarem jako takovým, ovšem způsob, jakým ho kyberzločinci používají, nám potvrzuje, že vzrůstá trend útoků pomocí sociálního inženýrství, díky němuž se kyberzločinci lépe vžívají do zvyků uživatele." (16) 23
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace 3.2. Analýza bezpečnosti nejrozšířenější platformy a vybrané mobilní aplikace Pro zvolení nejrozšířenější platformy pro chytré mobilní telefony využiji analýzy globálně významné analytické společnosti Gartner Inc., dříve známé pod názvem GartnerGroup. Obrázek 3.1: Současné prodeje a odhad budoucích prodejů mobilních operačních systémů (17) Z grafu lze získat velmi cenné informace ohledně rozšířenosti mobilních platforem. Zatímco téměř z počátku éry chytrých mobilních telefonů bylo trendem vlastnit mobilní telefon s platformou Symbian, rok od roku si větší kus koláče ukrajovala platforma Android. Mezi roky 2009 a 2012 došlo k tak rapidnímu růstu popularity platformy Android, že podíl prodeje na trhu převyšoval 60%. Proč došlo k tak velkému vzrůstu popularity u této platformy, to je otázkou. Mohlo to být výbornou podporou populárních aplikací od firmy Google, mohlo to být agresivní cenovou politikou anebo to mohlo být přívětivým uživatelským prostředím. V rámci této práce ale nadále nebudu spekulovat o tom, co by mohlo způsobit zvýšenou popularitu platformy Android, pro tuto práci je důležité pouze to, že je tato platforma současně nejprodávanější a tudíž nejrozšířenější. Dále je zajímavá platforma BlackBerry, která je v grafu zastoupena zástupkou RIM, což je zástupka firmy, která platformu vyvinula a celým názvem se firma jmenuje Research 24
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace in Motion. Platforma BlackBerry byla totiž často považována za nejbezpečnější platformu a to dokonce i v podnikovém prostředí. Proto by mohl zmenšující se podíl na trhu u platformy BlackBerry signalizovat, že prvním a posledním kritériem u výběru chytrého mobilního telefonu nemusí hrát výhradně bezpečnost. V poslední době vyvíjí Microsoft velikou snahu protlačit svou platformu na mobilní zařízení. Nová platforma Widows 8 od Mirosoftu se těší poměrně velké popularitě a dokáže si najít své příznivce. Z grafu lze vyčíst, že se dá v dohledné budoucnosti očekávat zvýšený podíl chytrých mobilních telefonů fungujících pod platformami od Microsoftu. Zbývá ještě zmínit aktivitu okolo platformy ios. Platforma ios má svou základnu věrných uživatelů a prozatím nic nenasvědčuje tomu, že by se měla ztenčovat. Společnost Apple, i přes velké inovace v nedávné minulosti, v poslední době nepřišla s revolučními inovacemi a dle grafu lze vidět, že se neočekává rapidní nárůst příznivců této platformy. I když si tedy v budoucnu ostatní platformy mohou ukrajovat z podílu platformy Android na trhu, všechny okolnosti prozatím nasvědčují tomu, že se jedná o nejrozšířenější platformu a předpokládá se, že tomu tak bude i v dohledné budoucnosti. Dále se v práci tedy budu zabývat tím, jak se platforma Android u chytrých mobilních telefonů umí bránit proti hrozbám, které jsem dříve v práci analyzoval. 3.2.1. Analýza zabezpečení platformy Android vůči škodlivým aplikacím Nejrozšířenější platformou je dle předešlé analýzy platforma Android a u této platformy se v této sekci budu zabývat analýzou bezpečnosti vůči škodlivým aplikacím. V rámci analýzy pro tuto platformu budu předpokládat nejnovější verzi mobilního operačního systému a z toho důvodu nemusí být některá opatření funkční u starších verzí. Operační systém pro chytré mobilní telefony Android je postaven na jádru operačního systému Linux a ke všem systémovým zdrojům je přistupováno skrze tento operační systém. Systémové zdroje neboli sekce, představují funkce kamery, GPS data, funkce Bluetooth, funkce telefonních hovorů, síťová připojení atd. (18) 3.2.1.1. Režim sandbox a práva aplikací Aplikace, které jsou nedílnou součástí všech chytrých mobilních telefonů, mohou zasahovat jen do předem vyznačených sekcí. Aplikace totiž fungují v tzv. sandbox režimu, který je velmi podobný stejnojmenné verzi vyskytující se na osobních počítačích. Každé aplikaci je v sandbox režimu alokována určitá paměť a pouze v této paměti se může aplikace pohybovat. Nikam jinam aplikace zasahovat nemůžou. Nemohou tedy 25
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace v podstatě ani číst data z jiných aplikací. Toto je velice důležitá bezpečnostní vsuvka, jelikož takto nemůže žádný vir z infikované aplikace získat data z jiné aplikace a tudíž jsou veškerá data, která jsou uložena v ověřené aplikaci, v bezpečí. Kupříkladu se útočník skrze infikovanou aplikaci rozhodně nemůže dostat do bankovní aplikace, ukrást vstupní data a provést útok za účelem získání financí z uživatelova účtu. (18) Možnost manipulace v jednotlivých sekcích je pro aplikace dosažitelná v případě, že je uživatelem schválen přístup k těmto sekcím. Každá aplikace si žádá o přístup k jednotlivým sekcím, čili když potřebuje aplikace z nějakého důvodu používat GPS funkci chytrého mobilního telefonu, musí o to uživatele požádat. Uživatel při instalaci aplikace tedy dává aplikaci práva k přístupu do jednotlivých sekcí a v této chvíli je pouze na uživateli, zda může aplikaci věřit anebo zda se nesnaží aplikace získat přístup do sekcí, do kterých by přístup neměla mít. (18) Toto se tváří jako velmi komplikovaná otázka, na kterou by nedokázal ve většině případů odpovědět možná ani velký znalec platformy Android, nicméně vše je jednodušší, než se může zdát. Veškerý popis práv se pohybuje na srozumitelné úrovni pro běžného uživatele a proto když aplikace obsahující prosté pozadí pro chytré mobilní telefony žádá o přístup k funkci textových zpráv, tak by uživatel měl snadno poznat, že něco není v pořádku a nepovolit tato práva. Ovšem bezpečnost je v tomto případě závislá na uživatelově obezřetnosti a všímavosti. Aplikace jsou ale mnohdy svázány s reputací vývojáře a samotným hodnocením aplikace. I když se může zdát, že tyto dvě skutečnosti nesouvisí s bezpečností, tak na základě reputace vývojáře si uživatel může být jistý bezpečností jeho aplikací. Pokud se jedná o neznámého vývojáře, který vydal jednu aplikaci, uživatel často zbystří, a buď detailně prozkoumá práva, nebo si najde alternativu k požadované aplikaci. Signalizovat velké nebezpečí může i záporné hodnocení aplikace s případným negativním komentářem. Nutno podotknout, že takovéto škodlivé aplikace jsou většinou velmi rychle z příslušného obchodu odstraněny. Problém může nastat, když uživatel stahuje jednu aplikaci za druhou a nevnímá počet práv, která schválil. Z hlediska zabezpečení ze strany platformy Android je ovšem bezpečnostní prvek neprůstřelný. Pokud se aplikace snaží dostat do sekce, do které nemá přístup, systém ji jednoduše ukončí. 26
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace 3.2.1.2. Bezpečnost obchodů pro aplikace a schvalovací proces Aplikace, pro chytré mobilní telefony s platformou Android, jsou dostupné z velkého počtu obchodů, které mají různě, více či méně, bezpečné schvalovací procesy. Nejrozšířenější mezi uživateli je ovšem rádoby oficiální obchod pod názvem Google Play, čímž jsem se v práci již zabýval. Tímto obchodem a jeho schvalovacím procesem se proto budu nadále v práci zabývat. Na rozdíl od konkurence neexistuje u tohoto obchodu téměř žádný schvalovací proces a na obchod s aplikacemi se může dostat doslova každý. Za možnost nahrávání vlastních aplikací na Google Play stačí zaplatit drobný poplatek, který v České republice představuje 550 Kč. (19) Dříve byl poplatek vyšší a lze očekávat, že s výší poplatku může společnost Google nadále experimentovat. Po zaplacení tohoto poplatku musí vývojář splnit technické náležitosti aplikace a bez sebevětší prodlevy může nahrát svou aplikaci na obchod. I přes chybějící schvalovací proces existují na Google Play bezpečnostní algoritmy, které automaticky prověřují aplikace a pokud narazí na prokazatelné nebezpečí, ihned je aplikace z obchodu stažena. Společnost Google si svůj obchod velice dobře hlídá a riziko, že si uživatel skrze Google Play stáhne škodlivou aplikaci, je minimální. Mnohem vyšší riziko na uživatele čeká při stahování aplikací z nelegálních zdrojů. Jedná se nejčastěji o nelegální verze her, které jsou ve všech ostatních obchodech řazeny mezi placenými aplikacemi. K této akci ovšem uživatel musí v telefonu povolit instalaci aplikací z neznámých zdrojů. Uživatelé většinou mají z tohoto povolení strach a z důvodu bezpečnosti jej nedají. Proto se nejedná o závažné riziko pro běžného uživatele. 3.2.1.3. Postup v případě nálezu škodlivé aplikace v Google Play Ve výjimečném případě se může nastat situace, kdy se škodlivá aplikace dostane na Google Play a je volně dostupná ke stažení všem uživatelům. Aplikace se může jevit jako zcela standardní aplikace s naprosto běžnými právy. V takovém případě uživatel nemá téměř šanci poznat, že se jedná o škodlivou aplikaci a stáhne si malware do svého chytrého mobilního telefonu. V minulosti se takovéto útoky již odehrály a uživatelé měli možnost stáhnout si škodlivé aplikace od vývojářů se jmény Myournet, Kingmall2010 a we20090202. Tudíž se jedná o reálné bezpečnostní riziko, kterým je zapotřebí se zabývat. Aplikace nijak nevyčnívaly z davu, vyskytovaly se pod jmény Photo Editor, Chess, Music Box, Bowling Time, 27
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace Piano, Finger Race, atd. Uživatel tedy neměl téměř žádnou možnost riziko odhalit a aplikaci si bez podezření stáhl. (20) Postup společnosti Google v případě, že nalezne škodlivou aplikaci ve svém obchodě, je efektivní. Aplikace je ihned stažena z Google Play obchodu a navíc je vyslán příkaz k automatickému smazání do všech infikovaných zařízení. Tento postup nazvala společnost Google jménem Kill Switch. Spolu s příkazem na smazání aplikace je do všech chytrých mobilních telefonů odeslána bezpečnostní záplata, aby eliminovala všechny hrozby, které aplikace mohla napáchat. Uživatel nemusí provádět žádné aktivní kroky, jelikož vše proběhne bez jeho vědomí. Uživateli je pouze zaslán informační email o instalaci bezpečnostního prvku a následně ještě potvrzovací email, ve kterém je uživatel informován, že všechny hrozby od infikované aplikace byly eliminovány. Detailnější popis procesu Kill Switch je z bezpečnostních důvodů utajen. (21) 3.2.2. Analýza bezpečnosti bankovní aplikace u nejrozšířenější platformy Bezpečnost aplikací pro chytré telefony z velké části leží také na vývojářích aplikací. Koneckonců je to právě vývojář, který vytvoří nebezpečnou aplikaci, která má za cíl škodit. V rámci této práce se pokusím zachytit, jak se o bezpečnost postarali tvůrci bankovních aplikací pro chytré mobily. Bankovní aplikace pro chytré telefony umožňuje provádět transakce skrze klientské účty a z toho důvodu se každý uživatel právoplatně bojí takovou aplikaci používat na chytrém telefonu, když ani pořádně neví, jestli je aplikace vůbec bezpečná. Bezpečnostní prvky jsou u těchto aplikací podobné a z toho důvodu budu v rámci této práce nadále analyzovat bezpečnost u bankovní aplikace České spořitelny. Aplikaci České spořitelny jsem si pro tuto práci vybral z důvodu, že tato banka je v České republice bankovním gigantem a disponuje zhruba pěti milionovým počtem klientů. (22) Česká spořitelna pro svou bankovní aplikaci používá název SERVIS 24. 3.2.2.1. SERVIS 24 Mobilní banka Bankovní aplikace SERVIS 24 je pro platformu Android zdarma dostupná skrze obchod Google Play. Aplikace je nabízena zároveň pro konkurenční platformu ios, kde je také zdarma dostupná. Aplikace je určena zejména pro klienty České spořitelny, kteří mají aktivován SERVIS 24 Internetbanking, ale obsahuje některé funkce i pro ostatní uživatele. Pro všechny uživatele je v rámci aplikace možno vyhledávat nejbližší bankomaty a pobočky na základě polohy zařízení. 28
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace Dále pro všechny uživatele obsahuje aplikace SERVIS 24 kontaktní informace na infolinku České spořitelny a na linku SERVIS 24. Všechny následující možnosti aplikace SERVIS 24 jsou už pouze pro klienty České spořitelny, kteří mají aktivovaný SERVIS 24 Internetbanking. V rámci aplikace lze zobrazovat zůstatek na účtu, provádět platby na účty všech bank v České republice, lze zobrazovat transakční historii a lze naskenovat složenky, které aplikace automaticky konvertuje do digitální podoby a automaticky připraví příkaz k úhradě. (23) Při instalaci aplikace je zapotřebí schválit následující seznam oprávnění: (23) Řízení hardwaru o Pořizování fotografií a videí o Zabránění přechodu zařízení do režimu spánku Vaše poloha o Přibližná poloha (pomocí sítě) o Přesná poloha (pomocí gps a sítě) Síťová komunikace o Úplný přístup k síti Telefonní hovory o Čtení stavu a identity telefonu Systémové nástroje o Zabránění přechodu zařízení do režimu spánku Síťová komunikace o Zobrazení síťových připojení 29
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace K samotné aktivaci všech funkcí aplikace SERVIS 24 na chytrém telefonu je zapotřebí, aby se uživatel přihlásil na svůj účet SERVIS 24 Internetbanking, v záložce nastavení přešel na odkaz Nastavení SERVIS 24 Mobilní banka, poznamenal si jednorázový kód a vytvořil si heslo pro SERVIS 24 Mobilní banku. Obrázek 3.2: První krok při aktivaci mobilního bankovnictví (24) Tento jednorázový kód je následně využit k aktivaci profilu SERVIS 24 Mobilní banky. V rámci jednoho zařízení může být vytvořeno více profilů, což se hodí zejména ve chvíli, kdy jeden chytrý telefon používá více uživatelů. Obrázek 2.3: Aktivace služby skrze chytrý telefon (24) 30
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace Po splnění předešlých kroků se může uživatel přihlásit do mobilního bankovnictví SERVIS 24 a naplno využívat tuto aplikaci. Tyto kroky podnikne uživatel pouze jednou a poté se do aplikace přihlašuje pouze pod heslem pro mobilní bankovnictví. Obrázek 3.3: Přihlášení do mobilního bankovnictví skrze chytrý telefon (23) Znovu všechny kroky není zapotřebí absolvovat, jelikož si aplikace pamatuje uživatelův profil. Nicméně zde nevzniká vůbec žádné nebezpečí v tom ohledu, že si aplikace uchovává tyto data. Jednak z důvodu, že ověřovací kód profilu je jednorázový a při spárování s účtem nemůže být použit znovu a zároveň dle předešlé kapitoly v rámci této práce, která se věnuje režimu sandbox, je v této otázce jasně uvedeno, že aplikace do sebe navzájem vidět nemohou. Dá se tedy skoro říci, že softwarová bezpečnost SERVIS 24 Mobilní banky téměř závisí na bezpečnosti SERVIS 24 Internetbanking. Pokud ale dojde k prolomení bezpečnosti SERVIS 24 Internetbanking, tak útočníka již nebude pravděpodobně zajímat mobilní verze této služby. Bezpečnostním rizikem může být odcizení zařízení přímo ve chvíli, kdy uživatel zadává transakci. Touto krádeží by mohl útočník získat mobilní bankovnictví původního majitele na poměrně dlouhou dobu, jelikož původní majitel by nemusel mít možnost ihned si účet zablokovat. Blokace se totiž provádí zejména skrze telefonní spojení a bez svého telefonu by uživatel takové spojení nemohl ihned provést. V rámci této hrozby jsou implementovány dva bezpečnostní prvky. 31
Analýza bezpečnosti představených platforem a vybrané mobilní aplikace Prvním bezpečnostním prvkem je automatické odhlášení z aplikace ve chvíli, kdy je se zařízením zatřeseno. (23) Toto znemožní náhodným zlodějům v přístupu do mobilního bankovnictví. Pokud by si ale útočník majitele vytipoval a získal by jeho heslo, mohl by vzniknout problém. Heslo by mohl útočník získat například phising útokem, o kterém se tato práce zmiňuje v rámci dřívějších kapitol. Pro tento případ je nastaven denní a měsíční limit pro transakce skrze mobilní bankovnictví, aby nedošlo k příliš velké ztrátě v případě útoku. Česká spořitelna má nastavený denní limit na 30 000 Kč a měsíční limit na 200 000 Kč. (25) Pro případného útočníka schopného takto sofistikovaného útoku by tyto částky neměly být natolik lákavé a proto je toto opatření prozatím úspěšné. Dalším bezpečnostním prvkem této aplikace je potvrzovací email k zadané platbě, aby klient měl možnost vidět, zda mu někdo neoprávněně nevybírá z účtu. Tento výpis je vhodný v případě, že si uživatel někde zapomene své zařízení a útočník by mohl nepozorovaně mobilní bankovnictví využít. Útočník by ovšem opět musel znát heslo původního majitele a proto se jedná o krajní případ bezpečnostního rizika. Zablokovat mobilní bankovnictví aplikace lze trojím chybným zadáním hesla anebo na infolince SERVIS 24, která je dostupná 24 hodin denně. (23) 32
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace 4. Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace Výrobci vyvíjí enormní snahu při zabezpečování svých platforem pro chytré mobilní telefony, ale i přesto existuje mnoho hrozeb, které podchycené nemají. V této chvíli je zapotřebí zvážit otázku, zda je zapotřebí mít na chytrém mobilním telefonu antivirový program. V poslední době roste počet uživatelů chytrých mobilních telefonů a s tímto růstem je spojen růst zájmu ze strany útočníků. Zákonitě tedy rostou hrozby a antivirové společnosti začínají nabízet mobilní podoby svých antivirových řešení. V rámci této práce se budu zabývat charakteristikou antivirových programů a zhodnotím, zda je žádoucí antivirový program nainstalovat na chytrý mobilní telefon. Antivirový software je většinou nabízen zdarma s možností nákupu prémiové verze, která poskytuje další funkce. Práce v předešlé kapitole vytyčila nejrozšířenější platformu a nadále se na tuto platformu zaměřila. V tomto zaměření bude práce pokračovat, a proto budou další kapitoly zaměřené na platformu Android. Následující kapitoly se budou zabývat tím, zda současné antivirové aplikace dokáží efektivně odrážet hrozby identifikované v rámci této práce. Při průzkumu současných mobilních antivirových aplikací vznikne srovnání verzí zdarma a srovnání placených verzí. V rámci dalšího pokračování práce bude proveden průzkum mezi uživateli chytrých mobilních telefonů o tom, jaké mají povědomí o mobilních hrozbách identifikovaných v rámci této práce. K tomuto účelu budou v práci vytyčeny hypotézy, které výsledky ankety mezi uživateli buďto potvrdí anebo vyvrátí. 4.1. Porovnání mobilních antivirových aplikací V následujících kapitolách budou porovnány mobilní antivirové aplikace od vybraných dodavatelů mezi sebou. Vybráni budou tři dodavatelé, pro jejichž produkty vznikne popisná analýza toho, jak účinně se dokáží vypořádat s hrozbami identifikovanými v rámci této práce. Pro porovnání produktů těchto dodavatelů budou definována kritéria. Samotné porovnání vznikne pro placené a neplacené verze mobilního antivirového řešení. U dodavatelů antivirových produktů budou rozebrány nejprve neplacené verze z důvodu, že placená verze často obsahuje tytéž funkce rozšířené o další možnosti. Analýza dílčích částí pro porovnání proběhne na zařízení Lenovo P780 s operačním systémem Android 4.2. 4.1.1. Výběr dodavatelů mobilních antivirových aplikací Na trhu existuje celá škála antivirových řešení pro mobily. Od známých značek po neznámé začínající společnosti, které vidí v rostoucích hrozbách pro chytré mobilní 33
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace telefony svou šanci. Tato práce se bude zabývat nejznámějšími řešeními od společností, které již mají bohaté zkušenosti s hrozbami jak na osobních počítačích, tak na chytrých mobilních telefonech. Nadále se tedy práce bude zabývat produkty společnosti Avast, produkty společnosti ESET a produkty společnosti AVG. Tyto společnosti nejsou zajímavé jen z hlediska svých produktů, ale jsou zajímavé i z lokalizačního hlediska. Společnosti AVG a Avast jsou totiž českého původu a společnost ESET je slovenského původu. Společnost ESET má hlavní centrálu v Bratislavě (26), společnost AVG má hlavní centrálu v Praze (27) a společnost Avast má hlavní centrálu v Brně (28). Všechny tři společnosti jsou mezinárodně velmi uznávané a disponují celou škálou stabilních a spolehlivých produktů. 4.1.2. Kritéria a bodové hodnocení pro porovnávání produktů Porovnání produktů mezi sebou bude uskutečněno na základě přidělených bodů. Bodové ohodnocení dílčích částí porovnávání bude dosahovat od 1 bodu do 3 bodů, kdy více bodů znamená lepší výsledek v dané části. Porovnávány budou následující oblasti: Cena (u placených verzí) Bodové ohodnocení bude rozděleno na základě ceny jednotlivých řešení. Nejlevnější řešení bude ohodnoceno třemi body a nejdražší řešení bude ohodnoceno jedním bodem. Dva body dostane řešení, které bude cenově mezi nejlevnějším a nejdražším produktem. V případě časové licence, kdy uživatel platí měsíčně či ročně za využívání aplikace, bude práce brát v potaz roční interval. Reklama v aplikaci (u neplacených verzí) V případě výskytu reklamy v aplikaci dostane produkt 1 bod, pokud je reklama viditelná stále a 2 body, pokud je reklama viditelná pouze občas. Produkt dostane 3 body, pokud žádnou reklamu v zařízení nezobrazuje. Ergonomie Ergonomie bude v této práci brána z pohledu intuitivního a snadného používání aplikace. Jedná se o subjektivní faktor, kdy bude bodově ohodnocena jednoduchost manipulace s rozhraním a přehlednost aplikace. Hodnocena bude i struktura výsledků antivirových testů. Produkt může z této sekce obdržet 1 až 3 body. 34
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace Úspěšnost detekování virů K této části budou v práci využity statistiky renomovaných testů AV-TEST. Testy od AV-TEST zaznamenávají úspěšnost antivirových programů při zachycování hrozeb. Výsledky testů jsou veřejně dostupné přímo na oficiálním webovém portálu AV-TEST a v rámci této práce budou využity výsledky testů z listopadu roku 2013. Testy společnosti AV-TEST hodnotí úspěšnost detekce virů přidělenými procenty od 0-100%. U mobilních antivirových programů dosahují antivirové skenery průměr zachytávání virů 96.6%. Produkty dostanou přidělené body dle úspěšnosti zachycení virů následovně. Při 100% úspěšnosti bude produkt ohodnocen třemi body. Při menší než 100% úspěšnosti ale větší než průměrné úspěšnosti 96.6% dostane produkt dva body. Při stejné či menší než průměrné úspěšnosti dostane produkt pouze jeden bod. Protekce proti hrozbám K analýze toho, jak se antivirové programy dokáží vypořádat s hrozbami, byly vybrány téměř všechny hrozby chytrých mobilních telefonů identifikovaných v rámci této práce. Jedna hrozba byla vynechána z důvodu, že se jedná vysloveně o uživatelskou chybu a nelze proti ní efektivně technicky bojovat. Z toho důvodu nebude nesprávný způsob vyřazení chytrého telefonu brán v potaz pro srovnávání produktů a analýzu toho, zda antivirový software dokáže proti této hrozbě účinně bojovat. Mezi hodnocené hrozby se tedy řadí ztráta zařízení, webové phising útoky, telefonní phising útoky, emailové phising útoky, diallwerware, spyware, bankovní malware a neúmyslné zveřejňování dat o poloze. K těmto hrozbám vznikne bodové přiřazení na základě toho, jak hrozby ohrožují uživatele z pohledu řízení rizik 10. Každá z hrozeb dostane bodové ohodnocení od 1 bodu do 3 bodů a v případě, že se porovnávaný produkt dokáže vypořádat s danou hrozbou, dostane v rámci zkoumané hrozby udělen definovaný počet bodů ve výsledné porovnávací tabulce. 4.1.2.1. Bodové ohodnocení mobilních hrozeb Bodové ohodnocení jednotlivých mobilních hrozeb bude uskutečněno na základě pohledu řízení rizik. K vytvoření kritérií a hodnocení jednotlivých mobilních hrozeb bude využito hodnocení na základě průniku jednotlivých bezpečnostních rizik. Bezpečnostní rizika v rámci řízení rizik (29): 10 Řízení rizik je oblast řízení zaměřující se na analýzu a snížení rizika, pomocí různých metod a technik prevence rizik, které eliminují existující nebo odhalují budoucí faktory zvyšující riziko (34) 35
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace Personální bezpečnost poškození majetku, zdraví a života osob, ochrana osobních údajů Fyzická bezpečnost poškození zařízení, narušení objektů a systémů Informační rizika narušení bezpečnosti dat, sítě či informačního systému, znežití či poškození dat Předešlý výčet bezpečnostních rizik definuje tři základní skupiny. V rámci dalšího pokračování práce vznikne tabulka, která bude definovat, kterých bezpečnostních rizik dosahují jednotlivé hrozby chytrých mobilních telefonů. Ke každé hrozbě chytrých mobilních telefonů bude přiřazeno patřičné riziko a na základě těchto přiřazení vznikne bodové ohodnocení jednotlivých rizik. Body budou přiřazeny dle součtu naplněných rizik. Pokud hrozba pro chytrý mobilní telefon bude splňovat kritéria personální bezpečnosti, fyzické bezpečnosti i informačního rizika, dostane taková hrozba 3 body. Pokud bude hrozba splňovat kritéria u pouze dvou rizik, dostane pouze 2 body. Pokud hrozba splní pouze kritérium pouze u jednoho rizika, dostane 1 bod. Bezpečností rizika v rámci řízení rizik Personální bezpečnost Fyzická bezpečnost Informační rizika Bodové zastoupení pro porovnávání antivirových produktů Hrozby pro uživatele chytrých mobilních telefonů Ztráta zařízení ano ano ano 3 Telefonní phising útok ano ne ano 2 Emailový phising útok ano ne ano 2 Webový phising útok ano ne ano 2 Diallerware ano ano ano 3 Neúmyslné zveřejňování dat o poloze ano ne ne 1 Spyware ano ano ano 3 Bankovní malware ano ano ano 3 Tabulka 4.1: Bodové zastoupení mobilních bezpečnostních hrozeb (zdroj: autor) Z předešlé tabulky lze rozlišit jednotlivé hrozby mobilních telefonů na méně a více závažné a to dle přiřazených bodů. Některé hrozby se tedy z hlediska řízení rizik jeví jako méně závažné, než jiné. Mezi nejnebezpečnější hrozby pro uživatele chytrých mobilních telefonů patří ztráta zařízení, spyware, bankovní malware a diallerware. Mezi 36
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace středně závažné hrozby se řadí telefonní, emailový a webový phising útok. Neúmyslné zveřejňování dat o poloze je nejméně rizikovou hrozbou. 4.1.3. AVG mobilní antivirové aplikace Společnost AVG nabízí mobilní antivir pro platformu Android ve dvou variantách, v placené a neplacené verzi. Placená verze nese název AVG AntiVirus PRO a neplacená verze nese název AVG AntiVirus FREE. (30) Reklama v aplikaci 4.1.3.1. AVG AntiVirus FREE V neplacené verzi AVG mobilního antivirového řešení se vyskytuje reklama. Tato reklama ovšem není stále viditelná a objevuje se pouze po přechodu do některých sekcí v aplikaci. Za tuto část tedy AVG AntiVirus FREE získává 2 body. Ergonomie Aplikace nabízí přehledné základní menu a uživatel se velmi rychle zorientuje v možnostech, které mu antivirové řešení nabízí. Manipulace s aplikací je velmi snadná a intuitivní. Provádět test proti virům lze po dvou kliknutích a výsledky testů jsou přehledně strukturovány. Za tuto část získává aplikace 3 body. Úspěšnost detekování virů Úspěšnost detekování virů je u tohoto antivirového řešení pouze 99.9% (31), tudíž aplikace nemá odchycené veškeré testované hrozby. Jelikož se jedná o méně než 100%, dostává aplikace za tuto část pouze 2 body. Protekce proti hrozbám Ztráta zařízení Proti ztrátě a zneužití zařízení dokáže aplikace AVG AntiVirus FREE zabezpečit vlastníka chytrého mobilního telefonu funkcí Anti-Theft. Pokud dojde ke ztrátě zařízení, tak může uživatel skrze tuto funkci svůj telefon buď alokovat anebo okamžitě zablokovat skrze webový prohlížeč. K blokaci telefonu může uživatel využít i SMS zaslanou z jiného zařízení. Aplikace nabízí i možnost vzdáleného vymazání dat, za pomoci které může uživatel vymazat veškerá data z telefonu. (30) 37
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace Webové phising útoky Proti phising útokům dokáže aplikace chránit za pomocí neustálého dozoru nad tím, které webové stránky uživatel navštěvuje. Tato kontrola probíhá ještě před otevřením nebezpečné stránky. Pokud je webová stránka vedena v AVG seznamu nebezpečných portálů, pak nemůže uživatel danou stránku navštívit. (30) Diallerware, spyware a bankovní malware Proti hrozbám, které se mohou skrývat v mobilních aplikacích, nabízí AVG AntiVirus FREE svou klíčovou funkci a tou je skener aplikací. Skenovat zařízení lze buď manuálně anebo nastavit automatické spouštění v definovaném intervalu. Skener upozorňuje na nebezpečné aplikace i s detailním popisem, o jakou hrozbu se jedná. Doporučeným postupem v případě nálezu nebezpečné aplikace je její okamžité odstranění. (30) Neúmyslné zveřejňování dat o poloze Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. Telefonní phising útok Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. Emailový phising útok Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. 4.1.3.2. AVG AntiVirus PRO Cena Plnou verzi aplikace lze pořídit za 99 Kč. V porovnávání s ostatními antivirovými řešeními se jedná o nejlevnější řešení. Aplikace tedy dostává za tuto část 3 body. Ergonomie Placená verze AVG antivirové mobilní aplikace má stejně přehledné a intuitivní rozhraní jako neplacená verze. Výsledky testů jsou přehledně strukturované. Za tuto část tedy dostává 3 body. 38
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace Úspěšnost detekování virů Stejně jako u neplacené verze odchytává placená aplikace pouze 99.9% (31) ze všech testovaných hrozeb. Placená verze tedy dostává také 2 body za tuto dílčí část. Protekce proti hrozbám Ztráta zařízení Při ztrátě zařízení nabízí placená verze AVG AntiVirus PRO všechny možnosti, které nabízí neplacená verze AVG mobilního antiviru. Oproti neplacené verzi nabízí AVG AntiVirus PRO funkci fotopast a funkci SIM Lock. V případě, že aplikace zaznamená 3 neúspěšné pokusy o odemknutí telefonu, vyfotí funkce fotopast narušitele a odešle jej e-mailem spolu s upozorněním o narušení bezpečnosti. Funkce SIM Lock zaručuje, že pokud se neoprávněný uživatel bude pokoušet vyměnit SIM kartu, tak antivirová aplikace uzamkne telefon. (30) Webové phising útoky U ochrany před webovým phising útokem není rozdíl oproti neplacené verzi. Antivir tedy dokáže kontrolovat webové stránky ještě před navštívením a ochraňuje tím uživatele před nebezpečným obsahem. (30) Diallerware, spyware a bankovní malware Pro ochranu před hrozbami skrytými v aplikacích je v antiviru AVG AntiVirus PRO k dispozici skener aplikací, stejně jako u neplacené verze. Mezi placenou a neplacenou verzí není u skeneru aplikací rozdíl. (30) Neúmyslné zveřejňování dat o poloze Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. Telefonní phising útok Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. Emailový phising útok Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. 39
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace 4.1.4. Avast mobilní antivirové aplikace Společnost Avast nabízí mobilní antivir pro platformu Android formou zdarma stažitelné aplikace. Aplikace je zdarma, nicméně nabízí možnost dokoupení tzv. premium verze. Neplacená verze nese název Avast! Free Mobile Security a premium verze nese název Avast! Mobile Security Premium. (32) 4.1.4.1. Avast! Free Mobile Security Reklama v aplikaci V aplikaci Avast! Free Mobile Security se nevyskytuje žádná reklama. Aplikace proto dostává 3 body pro výsledné hodnocení. Ergonomie Aplikace nabízí poměrně přehledné hlavní menu, ovšem uživatel se v něm může trochu ztratit. Ovládání aplikace je intuitivní a jednoduché. Antivirový test na aplikace lze spustit velmi snadno a výsledky jsou jasně strukturované. Aplikace nicméně získává za tuto část 2 body z důvodu horší orientace v hlavním menu. Úspěšnost detekování virů Antivirová aplikace dokáže zachytit 100% testovaných hrozeb (31). Za tuto sekci tedy získává 3 body. Protekce proti hrozbám Ztráta zařízení Proti ztrátě zařízení je v antivirové aplikaci dostupná funkce Anti-Theft. Skrze tuto funkci si může uživatel chytrého mobilního telefonu nastavit seznam SIM karet, které mohou být vloženy do telefonu a v případě vložení jiné SIM karty spustí telefon alarm. Spolu se spuštěním alarmu přijde právoplatnému uživateli upozornění s telefonním číslem i umístěním telefonu. Funkce Anti-Theft může být nainstalováno na rootnuté 11 zařízení a v tomto případě by útočníkovi nepomohl ani restart do továrního nastavení. Nechybí ani možnost dohledání ztraceného zařízení pomocí GPS, WiFi a nebo mobilní sítě. V případě ztráty zařízení lze z jiného zařízení zaslat SMS zprávu, která telefon okamžitě zablokuje. K dalším možnostem patří vzdálené zavolání. Na ztracený telefon si může uživatel zavolat a poslouchat co se děje v okolí. Displej telefonu se nezapne, takže 11 Root pro uživatele chytrého telefonu znamená získání administrátorských práv nad operačním systémem telefonu. 40
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace případný zloděj neuvidí telefonát. Pokud si uživatel není jistý bezpečností svých dat ve ztraceném telefonu, tak může téměř okamžitě smazat celou paměť telefonu. (32) Webové phising útoky Webovým phising útokům antivir předchází webovým štítem. Webový štít funguje tak, že zkontroluje webovou stránku, kterou chce uživatel navštívit a v případě infikované stránky uživatele varuje. (32) Diallerware, spyware a bankovní malware V mobilní antivirové aplikaci Avast! Free Mobile Security je proti aplikačním hrozbám k dispozici antivirus, kontrola práv a v případě rootnutého zařízení lze využít firewall. Antivirus kontroluje manuálně či automaticky veškeré aplikace v zařízení a uživatel je upozorněn v případě nálezu infikované aplikace. Antivirový program dále kontroluje u všech aplikací nastavení přístupových práv a v případě nálezu podezřelého nastavení je uživatel upozorněn. Firewall umožňuje u jednotlivých aplikací zablokovat přístup k internetu skrze WiFi, 3G a nebo roamingové mobilní sítě. (32) Neúmyslné zveřejňování dat o poloze Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. Telefonní phising útok Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. Emailový phising útok Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. 4.1.4.2. Avast! Mobile Security Premium Cena Cena aplikace je 290 Kč za rok. Tento poplatek je nutné každý rok platit znovu. V porovnání s ostatními aplikacemi se jedná o aplikaci, která není tou nejlevnější a ani nejdražší. Za tuto sekci proto získává 2 body. 41
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace Ergonomie Aplikace nabízí v placené variantě stejné možnosti, jako u neplacené varianty. V hlavní nabídce je poměrně těžké se ihned zorientovat, a proto za tuto část získává placené řešení 2 body, stejně jako řešení neplacené. Úspěšnost detekování virů Úspěšnost zachytávání virů se oproti neplacené verzi nijak neliší. Úspěšnost zachycení testovaných hrozeb je 100% (31) a proto získává aplikace za tuto část 3 body. Protekce proti hrozbám Ztráta zařízení Proti ztrátě zařízení obsahuje placená verze všechny funkce jako neplacená verze. Oproti neplacené verzi je v Avast! Mobile Security Premium několik funkcí navíc. Jednou z nich je geofencing. Funkce geofencing zajistí, že pokud mobil překročí uživatelem definované GPS hranice, tak se mobil uzamkne a zašle aktuální pozici. Placená aplikace dále nabízí možnost vyfocení neoprávněného uživatele při třech neúspěšných pokusech o odemknutí zařízení. Pokud se neoprávněný uživatel pokusí třikrát dostat do zařízení, tak je vyfocen a zařízení se zablokuje. (32) Webové phising útoky Oproti neplacené verzi neobsahuje placená verze žádné rozšiřující funkce na obranu proti webovým phising útokům. Diallerware, spyware a bankovní malware Stejně jako v případě neplacené verze je součástí placeného antivirového řešení funkce antivirus, kontrola práv a pokud má uživatel rootnuté zařízení, lze využít funkci firewall. Antivirus manuálně či automaticky kontroluje všechny aplikace v zařízení a uživatele upozorní, pokud narazí na podezřelou aplikaci. V takovém případě je nejvhodnějším řešením odstranění aplikace. Antivirová aplikace také kontroluje nastavení práv u všech aplikací, a pokud narazí na podezřelé přidělení práv, tak uživatele opět upozorní. V případě rootnuté ho zařízení lze využít funkci firewall, která umožňuje u aplikací zablokovat přístup k internetu. (32) 42
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace Neúmyslné zveřejňování dat o poloze Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. Telefonní phising útok Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. Emailový phising útok Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. 4.1.5. ESET mobilní antivirové aplikace Společnost ESET nabízí pro platformu Android mobilní antivir ve dvou formách, jako všechny předchozí společnosti. Aplikaci lze stáhnout zadarmo a nabízí možnost dokoupení tzv. premium verze, stejně jako v případě společnosti Avast. Neplacená verze mobilního antiviru je k dispozici pod názvem ESET Mobile Security. Placená verze nese název ESET Mobile Security Premium. (33) 4.1.5.1. ESET Mobile Security Reklama v aplikaci V neplacené verzi ESET mobilního antivirového řešení není zobrazována reklama. Aplikace proto dostává 3 body. Ergonomie Aplikace nabízí jednoduché a intuitivní rozhraní. Antivirový test lze provést snadno a výsledky jsou zřetelně strukturované. Ovšem hlavní nabídka obsahuje 6 možností, z nichž pouze 3 možnosti lze využít v neplacené verzi. Zbytečná tlačítka navíc způsobují horší orientaci a aplikace proto získává za svou neplacenou verzi pouze 2 body. Úspěšnost detekování virů Všechny testované hrozby byly tímto antivirovým řešením odchyceny (31), a proto si aplikace za tuto část zasluhuje 3 body. 43
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace Protekce proti hrozbám Ztráta zařízení Proti ztrátě zařízení nabízí mobilní antivirus ESET Mobile Security funkci Anti-Theft. Tato funkce nabízí vyhledávání ztraceného zařízení pomocí GPS lokalizace. Dále funkce Anti-Theft nabízí možnost uzamknutí telefonu zasláním SMS zprávy. V antivirovém řešení nechybí ani možnost zapnutí zvukové sirény. Zvuková siréna se hodí v případě, kdy má uživatel pocit, že by sirénu mohl zaslechnout. (33) Diallerware, spyware a bankovní malware Proti hrozbám uvnitř mobilních aplikací obsahuje ESET Mobile Security funkci antivirus. Funkce antivirus upozorní uživatele na nebezpečné aplikace a uživateli nabídne možnost odstranění nebezpečné aplikace, či její umístění do karantény. Aplikaci do karantény je vhodné umístit, především pokud má uživatel pochybnosti o tom, zda je aplikace doopravdy infikována. Kontrolu lze v neplacené verzi spouštět pouze manuálně. (33) Webové phising útoky Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. Neúmyslné zveřejňování dat o poloze Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. Telefonní phising útok Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. Emailový phising útok Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. 4.1.5.2. ESET Mobile Security Premium Cena Aplikace stojí 373 Kč za rok. Jedná se o nejdražší řešení v rámci této práce a z toho důvodu získává aplikace pouze 1 bod. 44
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace Ergonomie Aplikace má jednoduché a intuitivní rozhraní stejně jako v případě neplacené verze. Oproti neplacené verze lze v placené verzi využít všech šesti položek, které jsou v hlavní nabídce. Výsledky testů jsou přehledně strukturované a za tuto část tedy aplikace získává 3 body. Úspěšnost detekování virů Oproti neplacené verzi nedochází k žádné změně a úspěšnost detekování je tedy 100% (31). Aplikace v této části získává 3 body. Protekce proti hrozbám Ztráta zařízení V případě ztráty zařízení nabízí ESET Mobile Security Premium vše, co nabízí verze zdarma. Placená verze je ovšem rozšířena o kontrolu na SIM karty a je vybavena možností vzdáleného smazání dat. Uživatel může za pomoci placené antivirové aplikace nastavit seznam povolených SIM karet a v případě, že je do telefonu vložena jiná SIM karta, se zařízení uzamkne a odešle uživateli telefonní číslo cizí SIM karty. Zpráva přijde na zařízení, které si uživatel nastaví. Vzdálené smazání smaže veškerá data z telefonu na příkaz uživatele. Vzdálené smazání všech dat má uživatel možnost spustit skrze SMS zprávu zaslanou na své zařízení. (33) Diallerware, spyware a bankovní malware Placená verze obsahuje stejně jako neplacená verze funkci AntiVirus. V placené verzi je ovšem možnost nastavit automatické testování zařízení, tedy pravidelné testování v definovaný čas. Dále nabízí placená verze oproti neplacené tzv. Audit aplikací, který kontroluje práva u aplikací a upozorňuje na nebezpečné nastavení. (33) Webové phising útoky Proti webovým phising útokům nabízí aplikace funkci Anti-Phising. Tato funkce kontroluje webové stránky, které uživatel navštěvuje a pokud je webová stránka vedena v seznamu nebezpečných stránek, který společnost ESET pravidelně aktualizuje, tak uživatele upozorní na nebezpečný obsah. (33) Neúmyslné zveřejňování dat o poloze 45
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. Telefonní phising útok Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. Emailový phising útok Proti této hrozbě nebylo u tohoto produktu detekováno zabezpečení. 4.1.6. Výsledek porovnání neplacených verzí mobilních antivirových produktů AVG Avast ESET AVG AntiVirus FREE Avast! Free Mobile Security ESET Mobile Security Reklama v aplikaci 2 3 3 Ergonomie 3 2 2 Úspěšnost detekování virů 2 3 3 Protekce proti hrozbám Ztráta zařízení 3 3 3 Telefonní phising útok 0 0 0 Emailový phising útok 0 0 0 Webový phising útok 2 2 0 Neúmyslné zveřejňování polohy 0 0 0 Diallerware 2 2 2 Spyware 3 3 3 Bankovní malware 2 2 2 Součet 19 20 18 Tabulka 4.2: Porovnání neplacených verzí antivirových produktů (zdroj: autor) Mezi neplacenými produkty vítězí produkt od společnosti Avast. Všechna antivirová řešení se dokáží poměrně efektivně vypořádat se současnými hrozbami a silně konkurenční prostředí nabízí velmi podobnou nabídku napříč různými dodavateli. Proti mobilním hrozbám nabízí společnost AVG a společnost Avast stejné pokrytí, ovšem společnost Avast nabízí svůj produkt bez reklamy a dle výsledků AV-TEST úspěšněji zachytává hrozby. Společnost ESET se ve své neplacené verzi nedokáže vypořádat s webovým phising útokem a v kombinaci se slabším hodnocením u ergonomie se tento produkt nachází na posledním místě. 46
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace 4.1.7. Výsledek porovnání placených verzí mobilních antivirových produktů AVG Avast ESET AVG AntiVirus PRO Avast! Mobile Security Premium ESET Mobile Security Premium Cena 3 2 1 Ergonomie 3 2 3 Úspešnost detekování virů 2 3 3 Protekce proti hrozbám Ztráta zařízení 3 3 3 Telefonní phising útok 0 0 0 Emailový phising útok 0 0 0 Webový phising útok 2 2 2 Neúmyslné zveřejňování polohy 0 0 0 Diallerware 2 2 2 Spyware 3 3 3 Bankovní malware 2 2 2 Součet 20 19 18 Tabulka 4.3: Porovnání placených verzí antivirových produktů (zdroj: autor) U placených verzí získal nejvíce bodů produkt AVG AntiVirus PRO a to i přes nepatrně horší úspěšnost při detekování virů. Společnost AVG nabízí levný a kvalitní produkt v oblasti mobilních antivirových řešení, který je velice přehledný a snadno se s ním manipuluje. Antivirové produkty se dokáží vypořádat se stejnými hrozbami jako jejich porovnávaní konkurenti a v této části tedy nedošlo k bodové výhodě u žádné aplikace. Společnost ESET je se svým placeným produktem na posledním místě a to zejména kvůli ceně svého řešení, která je v porovnání s ostatními řešení nejvyšší. 4.1.8. Závěr porovnávání mobilních antivirových aplikací Mobilní antivirová řešení se dokáží vypořádat s většinou hrozeb identifikovaných v rámci této práce. S těmito hrozbami se vyrovnávají skrze funkce, které jsou jejich součástí a mnohdy jsou si tyto funkce podobné. Například proti ztrátě zařízení se konkurenční produkty vypořádávají velmi podobně se stejnojmennou funkcí anti-theft. Dodavatelé mobilních antivirových řešení, kteří jsou porovnávány v rámci této práce, nabízí své produkty vždy ve variantě zdarma a poté si uživatelé mohou připlatit za placená řešení, které obsahuje vyšší zabezpečení v podobě rozšíření některých funkcí. Společnost Avast a společnost AVG nabízí ve svých mobilních antivirových produktech 47
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace stejné pokrytí hrozeb identifikovaných v rámci této práce a to v placené i neplacené verzi. Společnost ESET nabízí svou neplacenou verzi oproti placené verzi ochuzenou o protekci proti webovému phising útoku. V rámci práce byly identifikovány některé hrozby, se kterými se zkoumaná antivirová řešení vypořádat nedokáží. Proti neúmyslnému zveřejňování polohy, telefonním phising útoku a emailovém phising útoku nebyla v rámci antivirových řešení nalezena funkce, která by uživatele chytrých mobilních telefonů proti těmto hrozbám chránila. Zkoumaná antivirová řešení dokáží uživatele chytrých mobilních telefonů ochránit proti ostatním hrozbám identifikovaných v rámci této práce. Jako řešení těchto hrozeb je tedy žádoucí mít některý z antivirových produktů nainstalovaný. 48
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace 4.2. Anketa 4.2.1. Cíl ankety Cílem ankety je zjištění uživatelského povědomí o hrozbách pro chytré mobilní telefony. Otázky mají za úkol zjistit, do jaké míry jsou si uživatelé chytrých mobilních telefonů vědomi nebezpečí, které může vyplývat z používání chytrého mobilního telefonu a zda se proti těmto nebezpečím umí uživatelé bránit. Hypotézy pro tuto anketu budou stanoveny dvě: 1) Uživatelé chytrých mobilních telefonů si nejsou vědomi rizik při používání chytrého mobilního telefonu. 2) Uživatelé chytrých mobilních telefonů nepoužívají žádné zabezpečení proti rizikům, která se pojí s užíváním chytrého mobilního telefonu. Vyhodnocení ankety tyto hypotézu vyvrátí anebo potvrdí. 4.2.2. Popis ankety Anketa bude provedena online pomocí dotazníku, který poskytuje služba Survio. Dotazník lze vytvořit zdarma a lze jej efektivně spravovat. Součástí řešení Survio je online analýza dat, která automaticky připraví vyhodnocení výsledků dle zvolených preferencí. Služba Survio umožňuje tvořit dotazníky na webové adrese http://www.survio.com/. Dotazník bude rozšířen především mezi vysokoškolskými studenty ve věku od 19 do 28 let. K rozšíření a sběru respondentů bude využit zejména internetový portál http://www.facebook.com kde se mnoho studentů vyskytuje v rámci skupin určených pro vysokoškolské studenty. K vyplnění dotazníku je pro respondenty určena podmínka, že musí být vlastníky chytrého mobilního telefonu s operačním systémem Android. Podobu dotazníku lze najít v příloze této práce viz obr. 7.1 a obr. 7.2. 4.2.3. Definice a popis otázek Otázek je v rámci dotazníku vytvořeno devět. Všechny otázky jsou povinné a u každé otázky lze zvolit pouze jednu z možných odpovědí. Na drtivou většinou otázek je možné odpovědět pouze ano anebo ne. 49
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace 4.2.3.1. Jakou verzí systému Android disponuje váš telefon? Otázka má tři možné odpovědi. Respondenti jsou vyzváni k tomu, aby definovali svou verzi operačního systému Android. Mohou zvolit buď verzi Android 4.1 a vyšší, nebo mohou zvolit verzi Android 2.3 až Android 4.0.4 anebo mohou zvolit starší verzi než Android 2.3. V rámci ankety je tento údaj zajímavý z orientačního důvodu. Starší verze systému Android mají horší zabezpečení a předpokladem je, že většina respondentů bude vlastnit současné Android verze, tedy verze Android 4.1 a novější. 4.2.3.2. Víte, že mobilní antivirová řešení dokáží vaše zařízení zabezpečit v případě ztráty? U této otázky lze zvolit pouze možnost ano anebo ne. Cílem otázky je zjistit, zda respondenti vědí o této důležité součásti mobilních antivirových produktů. Antivirové produkty, které jsou rozebrány v rámci této práce, se na ztrátu zařízení zaměřují jako na jednu ze svých hlavních funkcí. 4.2.3.3. Víte, co vám hrozí v případě phising útoku? Otázka má možnosti ano anebo ne. U této otázky, v kombinaci s ostatními otázkami tohoto typu, bude vyhodnoceno, zda jsou si respondenti vědomi hrozeb, které je mohou zasáhnout jakožto uživatele chytrých mobilních telefonů. 4.2.3.4. Znáte mobilní hrozbu typu diallerware? Na tuto otázku lze odpovědět ano anebo ne. Stejně jako v případě přechozí otázky i zde je cílem zjistit, zda jsou si respondenti vědomi hrozeb pro chytré mobilní telefony. 4.2.3.5. Znáte mobilní hrozbu typu spyware? Odpovědi pro tuto otázku jsou ano anebo ne. Jedná se o stejný typ, jako předchozí otázky. Na základě odpovědí bude vyhodnoceno, jestli uživatelé chytrých mobilních telefonů znají možné hrozby. 4.2.3.6. Ztratili jste někdy svůj chytrý mobilní telefon? Otázku lze zodpovědět zvolením ano anebo ne. Tato otázka se zaměřuje na významné bezpečnostní riziko, které může uživatele chytrých mobilních telefonů potkat. Cílem u této otázky je zjistit, zda se ztráta zařízení děje často anebo zda se jedná o vzácné případy. 50
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace 4.2.3.7. Myslíte si, že existuje u chytrých mobilních telefonů nebezpečí, které mobilní antivir odchytit nedokáže? Tato otázka je položena s možnostmi ano anebo ne. Cílem je vyhodnocení, zda uživatelé chytrých mobilních telefonů věří současným antivirovým řešením v tom ohledu, že je dokáže uchránit před všemi riziky. 4.2.3.8. Máte přehled o tom, kolikrát na svém telefonu sdílíte se světem svou polohu? Odpovědi pro otázku jsou ano anebo ne. U této otázku bude vyhodnoceno, jak velký mají uživatelé přehled o svém soukromí a zda si dokáží vědomě ohlídat sdílení své polohy. 4.2.3.9. Používáte mobilní antivir? Poslední otázka má možnosti ano anebo ne. Tato otázka má za cíl zjistit, jak velká část respondentů používá mobilní antivir pro svůj chytrý mobilní telefon. 4.2.4. Výsledky otázek V této kapitole dojde k rozboru výsledků jednotlivých otázek dotazníku. Výsledky dílčích zhodnocení budou zahrnuty do celkového závěru ankety. K datu analýze výsledků vyplnilo anketu celkem 85 respondentů. Výsledky otázek budou v rámci práce zobrazeny koláčovým grafem a počet respondentů bude znázorněn procentuálně. 4.2.4.1. Jakou verzí systému Android disponuje váš telefon? Obrázek 4.1: Výsledek první otázky ankety (zdroj: autor) 51
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace Nejvíce volenou možností byla u této otázky možnost Android 4.1 a novější. Tento výsledek byl očekáván a není překvapující, že většina uživatelů vlastní chytré mobilní zařízení s aktuálními verzemi systému Android. Několik uživatelů vlastní starší verze od Android 2.3 až po Android 4.0.4. Jsou i uživatelé, kteří vlastní mobilní zařízení se starší verzí, než je Android 2.3. Uživatelé, kteří vlastní starší verze Android systému jsou vystaveni většímu nebezpečí, ovšem počet takových uživatelů není alarmující. 4.2.4.2. Víte, že mobilní antivirová řešení dokáží vaše zařízení zabezpečit v případě ztráty? Obrázek 4.2: Výsledek druhé otázky ankety (zdroj: autor) Zdá se, že mnoho respondentů zná jednu z hlavních funkcí mobilních antivirových programů. Došlo k téměř vyrovnanému výsledku, kdy sice většina respondentů o této funkci nevěděla, ale poměrně velká část respondentů tuto funkci zná. 52
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace 4.2.4.3. Víte, co vám hrozí v případě phising útoku? Obrázek 4.3: Výsledek třetí otázky ankety (zdroj: autor) Většina dotazujících tento typ útoku nezná. Tento výsledek je alarmující, jelikož stejnojmenná hrozba je oblíbeným útočným nástrojem na uživatele osobních počítačů a proto by jej mohlo znát více respondentů. 53
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace 4.2.4.4. Znáte mobilní hrozbu typu diallerware? Obrázek 4.4: Výsledek čtvrté otázky ankety (zdroj: autor) Diallerware není tak známou hrozbou a proto výsledek u této otázky není až tak překvapující. Drtivá většina respondentů tuto hrozbu nezná. 54
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace 4.2.4.5. Znáte mobilní hrozbu typu spyware? Obrázek 4.5: Výsledek páté otázky ankety (zdroj: autor) Výsledek u této otázky je stejně zarážející jako výsledek u otázky zjišťující povědomí o phising útocích. Většina respondentů tento útok na mobilní zařízení nezná i přesto, že tato hrozba je podobná stejnojmenné hrozbě pro osobní počítače. 55
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace 4.2.4.6. Ztratili jste někdy svůj chytrý mobilní telefon? Obrázek 4.6: Výsledek u šesté otázky ankety (zdroj: autor) Většina respondentů svůj chytrý mobilní telefon nikdy neztratila a jedná se o očekávaný výsledek. Počet uživatelů, kteří chytrý mobilní telefon někdy ztratili, je poměrně vysoký. Ztráta zařízení znamená velké bezpečnostní riziko a tento výsledek potvrzuje, že mobilní antivirová řešení jsou na správné cestě, když se na ztrátu zařízení zaměřují. 56
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace 4.2.4.7. Myslíte si, že existuje u chytrých mobilních telefonů nebezpečí, které mobilní antivir odchytit nedokáže? Obrázek 4.7: Výsledek u sedmé otázky ankety (zdroj: autor) U této otázky většina respondentů věří současným dodavatelům antivirových řešení. Výsledek je zajímavý, jelikož v rámci této bakalářské práce bylo identifikováno několik hrozeb, které antivirové programy nemají podchycené. Nicméně v rámci této práce nejsou analyzována všechna antivirová řešení na světě a mohou existovat produkty, které podchycují i ostatní hrozby. Důvěra v antivirová řešení tedy může být oprávněná, ovšem je nutné podotknout, že ne všechna řešení dokáží ochránit uživatele před všemi hrozbami. 57
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace 4.2.4.8. Máte přehled o tom, kolikrát na svém telefonu sdílíte se světem svou polohu? Obrázek 4.8: Výsledek u osmé otázky ankety (zdroj: autor) Dle odpovědí nemají uživatelé chytrých mobilních telefonů přehled o tom, kdy a jak sdílí svou polohu. Jedná se bezpečnostní riziko, které není podchyceno antiviry zkoumanými v rámci této práce a byť záležitost vypadá malicherně, tak může dosahovat katastrofických scénářů. Případný záškodník může mít o uživatele poměrně snadno přehled o místech, které uživatel navštěvuje a také o čase, kdy uživatel tato místa navštěvuje. Na trhu existuje velké množství aplikací, které umožňují jednoduše a téměř nuceně sdílet polohu, a zdá se, že se uživatelé se v tomto ohledu špatně orientují. 58
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace 4.2.4.9. Používáte mobilní antivir? Obrázek 4.9: Výsledek u deváté otázky ankety (zdroj: autor) Zdá se, že většina respondentů na svém zařízení mobilní antivir nepoužívá a to i přes výsledek u druhé otázky, kdy téměř polovina respondentů ví o funkci umožňující zabezpečit se při ztrátě zařízení. Výsledek u této otázky je poměrně překvapující, jelikož chytrý mobilní telefon v současné době může sloužit jako úložiště cenných dat a lze na něm provádět finanční transakce. Nemluvě o tom, že viry v mobilním zařízení mohou nepozorovaně volat, posílat placené zprávy či provádět skryté převody. Právě strach ze ztráty financí, či dokonce ztráty majetku v podobě ztráty zařízení by mohl u uživatelů vyvolat potřebu zabezpečit svůj chytrý mobilní telefon antivirovým produktem. Na základě výsledku u této otázky se tomu tak prozatím neděje. 4.2.5. Závěr ankety Anketa měla pokládanými otázkami za cíl zjistit, zda mezi uživateli existuje povědomí o hrozbách pro chytré mobilní telefony a zda se proti hrozbám dokáží bránit. K tomuto účelu byly stanoveny dvě hypotézy, které měly být vyvráceny anebo potvrzeny výsledky ankety. První hypotéza: Uživatelé chytrých mobilních telefonů si nejsou vědomi rizik při používání chytrého mobilního telefonu. 59
Představení antivirů pro chytré mobilní telefony a zhodnocení nutnosti jejich implementace Tato hypotéza byla potvrzena. Na základě rozboru odpovědí u jednotlivých otázek může tato práce dojít k závěru, že uživatelé si nejsou vědomi rizik při používání chytrého mobilního telefonu. Někteří uživatelé jsou si hrozeb vědomi, ovšem u většiny respondentů tomu tak není. Druhá hypotéza: Uživatelé chytrých mobilních telefonů nepoužívají žádné zabezpečení proti rizikům, která se pojí s užíváním chytrého mobilního telefonu. Většina respondentů v odpovědích uvedla, že nepoužívají na svém zařízení mobilní antivirovou ochranu. Hypotéza se tedy potvrdila. Někteří uživatelé mobilní antivirové řešení využívají, ovšem většina žádný antivirový produkt na svém zařízení nevyužívá. 60
Závěr 5. Závěr 5.1. Shrnutí práce První část této práce se věnuje historii verzí mobilních platforem, aby u čtenáře došlo k osvojení problematiky jednotlivých platforem a verzí. Tyto informace čtenář potřebuje, aby se zorientoval v následující části práce, která se věnuje analýze obecných bezpečnostních rizik pro chytré telefony. Na kapitolu rozebírající bezpečnostní rizika chytrých telefonů navazuje kapitola zabývající se zabezpečením nejrozšířenější platformy proti výraznému bezpečnostnímu riziku plynoucího z infikovaných aplikací. Dále v této kapitole práce obsahuje zabezpečení konkrétní bankovní aplikace ze strany vývojářů této aplikace, jelikož zabezpečení ze strany dodavatelů aplikace je nedílnou součástí bezpečnosti aplikací pro chytré telefony. V poslední kapitole se práce věnuje produktům od antivirových společností a analýzou, zda instalace antivirových programů dokáže ochránit majitele chytrého telefonu od hrozeb, které jsou rozebírány v této práci. Poslední částí této práce je průzkum mezi uživateli chytrých mobilních telefonů, který měl za cíl zjistit uživatelské povědomí o hrozbách pro chytré mobilní telefony. Z práce je patrné, že bezpečnost je klíčovou záležitostí jak ze strany vývojářů mobilních operačních systémů, tak ze strany výrobců antivirových programů. I přes zjevný fakt, že vývojáři mobilních operačních systémů dělají, co mohou, aby odstranili všechny bezpečnostní hrozby, poskytují tato řešení často pouze v rámci nových verzí a to pro některé zastaralé chytré telefony může být velký problém. Práce došla k závěru, že současná antivirová řešení dokáží ochránit uživatele chytrých mobilních telefonů před většinou hrozeb identifikovaných v rámci této práce a proto je žádoucí mít mobilní antivirové řešení na chytrém zařízení nainstalované. Toto doporučení zvýrazňuje výsledek ankety, který poukazuje na slabé povědomí o mobilních hrozbách mezi uživateli chytrých mobilních telefonů. 5.2. Přínos práce a dosažení cílů Cílem práce byla identifikace hrozeb pro chytré mobilní telefony a na tyto hrozby vyhledat řešení. Práce hrozby pro chytré mobilní telefony sumarizovala a navrhla jejich řešení v rámci antivirových aplikací pro chytré mobilní telefony. Tuto část tedy práce splnila. Dalším cílem bylo zjištění povědomí o mobilních hrozbách mezi uživateli. Tento cíl práce splnila na základě vyhodnocení hypotéz v rámci průzkumu provedeného mezi uživateli. Cíle, které byly v rámci této práce zamýšleny, jsou splněny. 61
Závěr 5.3. Prostor pro další práci Práce se v určité fázi dostala k podrobnějšímu rozboru bezpečnosti nejrozšířenější platformy, ale už zde nebyl prostor pro analýzu bezpečnosti u ostatních platforem, které jsou v této práci zmíněny. Analýza zabezpečení proti bezpečnostním rizikům u platformy Windows Phone a ios může být zajímavým tématem v rámci další práce. Vyhledané řešení pro současný stav dané problematiky nedokáže pokrýt veškeré identifikované hrozby. V rámci další práce by tedy mohlo být zajímavým tématem pokusit se navrhnout technologické řešení pro tyto hrozby. 62
Použité zdroje 6. Použité zdroje 1. Google Inc. [Online] 2013. http://developer.android.com/index.html. 2. Amadeo, Ron. Androidpolice. Android 4.2 Alpha Teardown, Part 2: SELinux, VPN Lockdown, And Premium SMS Confirmation. [Online] 17. 10 2012. http://www.androidpolice.com/2012/10/17/exclusive-android-4-2-alpha-teardown-part-2- selinux-vpn-lockdown-and-premium-sms-confirmation/. 3. Microsoft Inc. Knihovna. [Online] 2003. http://msdn.microsoft.com/en-us/library. 4. Warren, Tom. Windows Phone update rolling out, fixes disappearing keyboard and location privacy bugs. The Verge. [Online] 4. 1 2012. http://www.theverge.com/microsoft/2012/1/4/2682592/windows-phone-update-build-8107. 5. Rubino, Daniel. Windows Phone Central. Some new undocumented features of Windows Phone Tango. [Online] 1. 7 2012. http://www.wpcentral.com/some-new-undocumentedfeatures-windows-phone-tango. 6. Václavík, Lukáš. Cnews. Windows Phone 7.8 je venku. Co přináší a jak updatovat? [Online] 1. 2 2013. http://extramobilne.cnews.cz/clanky/windows-phone-78-je-venku-co-prinasi-jakupdatovat. 7. Apple Inc. [Online] 2007. http://developer.apple.com/library/ios/navigation/. 8. Bohn, Dieter. The Verge. ios: A visual history. [Online] 13. 12 2011. http://www.theverge.com/2011/12/13/2612736/ios-history-iphone-ipad. 9. Apple Inc. [Online] 2007. http://www.apple.com/support/. 10. Policie ČR. Databáze. [Online] 1. 8 2007. http://www.policie.cz/clanek/databaze-odcizenimobilniho-telefonu-blokovani-mobilniho-telefonu-policii-cr.aspx. 11. Přibyl, Tomáš. ICT Security. Citlivá data: hlídáme utajení, integritu i dostupnost. [Online] 2010. http://www.ictsecurity.cz/11101-mngmnt-citlivych-dat-dlpecmdmsaaa/citliva-datahlidame-utajeni-integritu-i-dostupnost.html. 12. Pinkava, Jaroslav. Interval. Phishing aneb rhybaření 1. [Online] 26. 7 2006. http://interval.cz/clanky/phishing-aneb-rhybareni-1/. 13. Sloupenská, Jana. Inflow. Chytrý telefon, který ví, kde je aneb Smartphone a jeho úskalí v oblasti soukromí. [Online] 6. 3 2013. http://www.inflow.cz/chytry-telefon-ktery-vi-kde-je-anebsmartphone-jeho-uskali-v-oblasti-soukromi. 14. Ponemon Institute. Smartphone Security. [Online] 3 2011. http://aadownload.avg.com/filedir/other/smartphone.pdf. 15. Fish, LP. Datarama. Smartphone je nebezpečím pro váš bankovní účet. [Online] 2011 йил 27-7. http://datarama.aktualne.centrum.cz/clanek.phtml?id=708552. 63
Použité zdroje 16. AVG Technologies. AVG. ČESKÝ MALWARE VYDÍRÁ UŽIVATELE ZAMKNE JIM POČÍTAČ A POŽADUJE PENÍZE. [Online] 29. 10 2012. http://www.avg.com/cz-cs/tiskove-zpravy.ndi-9826. 17. Columbus, Louis. Forbes. 2013 Roundup of Smartphone and Tablet Forecasts & Market Estimates. [Online] 2013 йил 17-1. http://www.forbes.com/sites/louiscolumbus/2013/01/17/2013-roundup-of-mobility-forecastsand-market-estimates/. 18. Android open source project. [Online] 2008. http://source.android.com/tech/security/. 19. Google Inc. [Online] 1. 3 2013. https://support.google.com/googleplay/androiddeveloper/answer/113468. 20. Lauschmann, Jindřich. Ty Internety. Android Market hlásí desítky aplikací s malwarem. [Online] 3. 3 2011. http://www.tyinternety.cz/2011/03/03/clanek/android-market-hlasi-desitkyaplikaci-s-malwarem/. 21. Bednář, Vojta. Ty Internety. Google proti aplikacím nasadil Kill Switch. [Online] 7. 3 2011. http://www.tyinternety.cz/2011/03/07/clanek/google-proti-aplikacim-nasadil-kill-switch/. 22. Česká spořitelna. O nás. [Online] 2013. http://www.csas.cz/banka/nav/o-nas. 23. Google Inc. Google Play. [Online] 22. 1 2013. https://play.google.com/store/apps/details?id=com.cleverlance.csas.servis24&hl=cs. 24. Česká spořitelna. Servis 24. [Online] 2012. http://www.csas.cz/banka/nav/o-nas/servis-24- mobilni-banka. 25. Česká spořitelna. Přehled a změna nastavení SERVIS 24 Mobilní banky. [Online] https://www.servis24.cz/stat/ebanking/s24/help/cs/ib_hlp_trn_base_mba_overview.html. 26. ESET. Podpora. [Online] http://www.eset.cz/cz/podpora/domacnost/. 27. AVG Technologies. Podpora. [Online] http://www.avg.com/cz-cs/support. 28. Avast. Podpora. [Online] 2013. http://www.avast.com/cs-cz/support. 29. Managementmania. Bezpečnostní rizika. [Online] 29. Květen 2013. https://managementmania.com/cs/bezpecnostni-rizika. 30. AVG. Aplikace pro systém Android. [Online] http://www.avg.com/cz-cs/for-mobile#tabactandroid-tab. 31. AV-Test. Android tests november 2013. [Online] http://www.av-test.org/en/tests/mobiledevices/android/nov-2013. 32. Avast. avast! Free Mobile Security. [Online] http://www.avast.com/cs-cz/free-mobilesecurity. 33. ESET. ESET Mobile Security pro Android. [Online] http://www.eset.com/cz/domacnosti/produkty/mobile-security-android/. 64
Použité zdroje 34. Managementmania. Řízení rizik. [Online] 08. Prosinec 2013. https://managementmania.com/cs/rizeni-rizik. 65
Přílohy 7. Přílohy 7.1. Dotazník Obrázek 7.1: Úvod dotazníku (zdroj: autor) 66