BIZIT 11 - prvi dan

Komentar: Telefon, nesigurna platforma

Stiže nova generacija pametnih telefona, predvođena modelom Samsung Galaxy S22 Ultra koji predstavljamo u novom broju. Kakve novosti, posle dve decenije intenzivnog razvoja, mogu da ponude proizvođači smartfona? Malo brži procesor, više memorije, malo bolju kameru sa još boljim softverom za obradu slike, nešto umanjenu potrošnju, brže punjenje… Možda bi za promenu bilo lepo da ponude veću bezbednost. Ali to je izgleda najteže

PCPress.rs Image

I na telefonima se sve vrti oko – bezbednosti

Na puno mesta ćete pročitati da su Android telefoni nesigurni dok je iPhone siguran, zahvaljujući aplikacijama izolovanim u sandbox i nemogućnosti da se instalira išta što nije na AppStore‑u. Ali da li je zaista tako? Ovih dana je Citizen Lab, laboratorija koja radi u okviru Univerziteta u Torontu, demonstrirala ozbiljan sigurnosni propust iOS‑a koji je korišćen za hakovanje uređaja nekih aktivista u Saudijskoj Arabiji. „Najlepša“ osobina ovog sigurnosnog proboja je to što se može objasniti u nekoliko rečenica, tako da ga svako razume. Napadač pošalje GIF, koji je zapravo PDF fajl sa sličicom u JBIG2 formatu. JBIG2? Da, to je neki prastari format faksova iz devedesetih godina, koji niko ne koristi ali je ipak podržan u softveru. Na Apple platformama JBIG2 se renderuje korišćenjem CoreGraphics biblioteke, koja je ostala još iz vremena NeXT‑a, dakle pisana je u C‑u. A čim pomenemo C, odmah pomislimo na nepostojanje provera granica nizova. Hakeri su našli neki zgodan način da podaci „prelete“ u sistemski deo memorije i tamo ubace šta im je potrebno. Da bi stvar bila još gora, iMessage ima automatski preview slika, tako da će probati da renderuje „GIF“ bez ikakve akcije korisnika. Dakle, čim vam stigne poruka, ne morate čak ni da kliknete, virus je već ubačen u sistem.

Pročitajte i:  Uvodnik: Šta smo zaboravili?

Teško je ne zapitati se kako uopšte hakeri otkrivaju ovakve stvari? Ima tu raznih mogućnosti. Polazeći od toga da sve što je na Internetu negde u temeljima ima biblioteke pisane u C‑u, koje su onda po prirodi stvari nebezbedne, treba samo pronaći put do njih. Dakle, jailbreak‑uju iPhone, disasembliraju, tragaju… ali je pitanje kako uopšte jailbreak‑uju uređaj ako prethodno nemaju uvid u njegov operativni sistem. Možda neke interne informacije koje „procure“, ili se koriste stare verzije operativnog sistema da bi se otkrile manjkavosti novih. Postoji i tehnologija koja se danas smatra sastavnim delom procedure testiranja, fuzzing: ulaz u program se zasipa ogromnim količinama nasumičnih podataka i čeka se da negde nešto „pukne“, pa se onda istražuje šta se desilo.

PCPress.rs Image
Dejan Ristanović, glavni i odgovorni urednik, PC Press

I tako je naš dragi pametni telefon nesigurna platforma; šta da radimo? Do pre nekoliko godina se ne bih posebno zabrinjavao, jer na telefonu ne držim ništa bitno. Dobro, tu je tekući email, ali elektronska pošta je nesigurna na toliko nivoa da smartfon tu samo dodaje tačku na već postojeće i. A onda su se stvari promenile: na telefonu danas svi držimo ebanking aplikaciju i koristimo telefon za plaćanje, što je već ozbiljna pretnja. Koliko smemo da verujemo u sigurnost te aplikacije, koja i onako svaki drugi dan puca, ne može da dobaci do servera ili prikazuje samo deo potrebnih podataka? Dobro, neke ebanking aplikacije su malo bolje od ostalih, ali ni jedna nije savršena. I zato ne verujem u njihovu bezbednost. Jedino rešenje koje mi deluje koliko‑toliko sigurnim je imati na telefonu aplikaciju neke banke gde držite malo para, tek na nivou dnevnih troškova. A za sve ozbiljnije iznose držati aplikaciju na starom telefonu ili tabletu koji će stajati na sigurnom mestu, isključen, i koji će „ugledati Internet“ samo kad treba da prebacujete neki novac. A novi, blistavi smartfon neka služi za fotkanje i igrice…

Facebook komentari:
Računari i Galaksija
Tagovi: ,

Dejan Ristanović

www.dejanristanovic.com