Egy alkalmazás hirtelen eltűnik az Android Marketről, mert az a gyanú merül fel vele kapcsolatban, hogy kártevő. Majd hirtelen újra megjelenik, ám minősége nem változik, a legfontosabb különbséget az új végfelhasználói szerződés jelenti. Szerintünk ennyi nem elég a biztonsághoz.A kártevő szoftver kifejezés legtöbbünk szerint olyan programot takar, aminek célja például az eszközben való károkozás vagy információk eltulajdonítása, aminek segítségével ellophatják digitális azonosítóinkat, hogy aztán tudtunk nélkül csalás vagy más gazdasági bűncselekmény áldozatává váljunk.
Nem mindig ennyire egyszerű azonban a jót és a rosszat megkülönböztetni egymástól: a felhasználót rossz színben feltüntető vagy csak szimplán átverő alkalmazások száma is rohamosan növekszik a mobiltelefonokhoz kapcsolódó veszélyek között. Az éles határvonal meghúzása a kártevők és az ártatlan programok között különösen akkor nehéz, ha a rosszindulatú funkció a végfelhasználói szerződésben is említésre kerül – ilyenkor a program láthatóan megmaradhat az Android Marketen. Nézzünk erre egy aktuális példát.
Első menet: SndApps.A
A kérdéses kártevőt, az Android.Trojan.SndApps.A-t először július 4-én fedezte fel Xuxian Jiang, az NCSU adjunktusa. A kártevő az androidos eszközöket veszi célba, és szabadon elérhető volt az Android Marketen. Telepítése után pár szolgáltatást ad hozzá a gép bekapcsolásakor induló szolgáltatások listájához, amelyekre aztán a felhasználónak egyáltalán nincs befolyása. A kártevőt hordozó alkalmazások nagyon egyszerűek: a légkürt program egyszerűen megjelenít egy légkürtöt, ami érintésre hangot ad, és a többi alkalmazás (fingópárna, szúnyogriasztó stb.) is hasonlóan működik.
Ha telepítettük a fertőzött programot, akkor egy adott időszak (ez akár több óra is lehet) eltelte után reklámok jelennek meg, amelyek ugyanattól a szerzőtől származó, hasonló programok telepítésére biztatnak. A másik gyanús viselkedés, hogy olyan felhasználói adatokat is megszereznek, mint a névjegyek, telefonszámok és a készülék IMEI száma, ezeket pedig titkosítatlan formában továbbítják a Typ3-Studios szervereire – ez is megerősíthet bennünket abban, hogy kártevőről van szó. Miután Jiang jelentette az esetet, az Android Market biztonsági szolgálata törölte is az alkalmazásokat a boltból.
Második menet: újabb próbálkozás - ezúttal sikerrel
2011. augusztus vége felé a Typ3-Studios újabb alkalmazáscsomaggal jelent meg, amelyek erősen hasonlítanak a korábbiakra. Ami változott, az az ikonok háttérszíne, ám közben ugyanazt a gyanús viselkedést mutatják, mint elődeik, mégis mostanáig fent maradhattak a Marketen.
Miért nem távolítják el őket megint?
Az Android.Riskware.SndApps.B esetében az egyetlen változást a programokhoz csatolt végfelhasználói szerződés (angol rövidítéssel EULA) jelenti. Ennek tényét csak egy apró bejegyzés jelzi az Android Market Újdonságok pontjában, ahol arra kérnek, hogy olvassuk el az alkalmazás menüjében ezt az új irományt. A másik újdonság, hogy az elfogadásra kerülő engedélyek közé bekerült a reklámokat megjelenítő, a telefonnal együtt induló szolgáltatás telepítése is. Ettől máris nehezebb rosszindulatúnak tekinteni az adott programot, hiszen itt maga a felhasználó engedélyezi a korábban említett és eddig titokban tartott funkciókat.
Ugyanakkor a második menetben publikált alkalmazásokhoz tartozó végfelhasználói szerződés csak akkor látható, ha megnyomjuk a telefon Menü gombját. Mivel a programok semmi mást nem tudnak, mint egy adott hangot kiadni, az emberek nagy része sosem fogja ezt megtenni, a szerződést magát pedig konkrétan az alkalmazás használatával fogadják el. Ennek az eleje úgy kezdődik, hogy „A Mobil Alkalmazás (továbbiakban Alkalmazás) használatával magamra nézve kötelezőnek fogadom az Alkalmazáshoz tartozó végfelhasználói szerződésben foglaltakat”. Nagyon kényelmes ez a fejlesztők szempontjából, hiszen felhasználónak még csak találkoznia sem kell a szerződéssel! Ráadásul az EULA megléte elég a Google számára ahhoz, hogy az alkalmazás megjelenését engedélyezzék – legalábbis számunkra úgy tűnik.
Egy másik változtatás, amit az újbóli kitiltás elkerülésére a fejlesztők végrehajtottak, az, hogy a felhasználótól származó adatokat immár titkosítva továbbítja a program. Arról viszont nincs szó, hogy ezt mennyire egyszerű dekódolni a csatorna másik végén. A Typ3-Studios által készített alkalmazások így most háborítatlanul szerepelhetnek a Market kínálatában - a fingópárnát például már több mint 10 ezren töltötték le.
Összefoglalás: Miért nem jelölnek több alkalmazást kártevőnek vagy legalább gyanúsnak?
Ahogy írásunk címe is utal rá, kártevőnek bélyegezni egy alkalmazást egyre nehezebb, különösen akkor, ha a felhasználó maga fogadja el a gyanús feltételeket. Az EULA megléte önmagában nem lenne szabad, hogy legalizáljon egy (már) gyanús tevékenységet. Egy másik, igencsak terjedőben lévő kétséges gyakorlat, hogy az EULA elérhetőségét megnehezítik. Az olyan alkalmazás, aminek felhasználói szerződése és az általa kért engedélyek nem illeszkednek funkcióihoz, már nem állhat minden gyanú felett, így legalábbis kockázatosnak kéne minősíteni, hogy a felhasználók figyelmét felhívjuk a gyanús körülményekre.
Mire figyeljünk egy alkalmazás telepítésekor:
- Csak megbízható forrásokból telepítsünk programokat. Az Android Market esetében olvassuk el a teszteket és megjegyzéseket, legyünk jól informáltak.
- Az Android Marketen láthatjuk az adott program által kért jogosultságokat. Mérlegeljük, hogy valóban szeretnénk-e ezeket megadni. Az olyan biztonsági szoftverek, mint például a G Data MobileSecurity for Android telepítés után is meg tudja mutatni ezeket a jogosultságokat. Ne hagyjuk figyelmen kívül vagy okézzunk le gondolkodás nélkül minden figyelmeztető ablakot, inkább ellenőrizzük őket az interneten vagy kérjünk segítséget a mobilszolgáltatónktól.
A bejegyzés eredetileg a G Data nemzetközi blogjában jelent meg: http://blog.gdatasoftware.com/blog/article/malware-or-not-malware-thats-the-question.html
