04/11/2013

Darmowe aplikacje na Androida – czy rzeczywiście są darmowe?

Porady

W większości przypadków „darmowe” aplikacje na Androida, które pobierasz ze sklepu Google Play, tak naprawdę nie są darmowe. Ich dostawcy nie tworzą ich ani po to, aby zrobić ci przyjemność, ani z dobrego serca. Podobnie jak większość usług internetowych, które nie wymagają płatności z góry, tego typu mobilne aplikacje przynoszą zyski z reklam i zakupów realizowanych za ich pośrednictwem.

android adware

Podczas tworzenia dostawca aplikacji często wybiera jakąś bibliotekę reklamową firm trzecich i umieszcza ją w swoim produkcie. Gdy aplikacja znajduje się już w sklepie Google Play i jest pobierana przez użytkowników Androida, wspomniane firmy trzecie są odpowiedzialne za dostarczanie reklam i płacenie twórcom aplikacji. Ani dostawca, ani użytkownik nie mają kontroli nad tym, co robi biblioteka reklam, jakie informacje gromadzi, jakie reklamy wyświetla lub na jakim poziomie wchodzi w interakcję z urządzeniem użytkownika. Niektóre biblioteki są proste i godne zaufania. Niektóre jednak mogą być potencjalnie niebezpieczne.

Jedna z takich popularnych bibliotek reklam powszechnie stosowana w systemie operacyjnym Android firmy Google chwali się zestawem przesadnych i natrętnych funkcji, zawiera wiele dynamicznych i potencjalnie możliwych do wykorzystania luk, a przy tym była pobrana ponad 200 milionów razy. Zachowanie tej biblioteki jest tak beztroskie, że analizujący ją badacze z FireEye, zamiast wymienić ją po nazwie, nadali jej określenie „Vulna” jako połączenie dwóch słów, które opisują ją najlepiej: dziurawa (vulnerable) i agresywna (aggressive).

Tak jak wiele bibliotek reklamowych, Vulna posiada możliwość zbierania danych wrażliwych, takich jak zawartość wiadomości tekstowych, historia połączeń czy lista kontaktów. Ponadto – co jest bardziej niepokojące  – reklamy Vulna mogą także wykonać pobrany kod (znany także jako instalator) na urządzeniach z Androidem, w których zainstalowane są dołączone aplikacje.

A co jest najgorsze, długa lista luk usługi reklamowej Vulna świadczy o tym, że hakerzy mogą zdalnie wykorzystać dowolny błąd do przejęcia kontroli nad każdą z funkcji sieci reklamowej. Następnie mogą ich użyć przeciwko osobom, na urządzeniach których znajduje się Vulna. Innymi słowy miliony urządzeń, na których Vulna wyświetla reklamy, stanowią duży potencjalny obszar ataków – i z tego właśnie powodu FireEye nie chce publicznie wymieniać nazwy tej sieci reklamowej.

Lukom najczęściej towarzyszy brak szyfrowania, mimo że dane wędrują w obu kierunkach między serwerami Vulna a urządzeniem użytkownika. Znający się na rzeczy haker teoretycznie może: ukraśćkody do dwuetapowej weryfikacji wysyłane za pośrednictwem SMS-ów, wyświetlać zdjęcia i przechowywane pliki, instalować szkodliwe aplikacje i ikony na ekranie głównym, usuwać pliki i dane, podszywać się pod właściciela telefonu w różnych celach (np. phishing), usuwać wiadomości przychodzące, wykonywać połączenia telefoniczne, potajemnie używać aparatu, podmieniać zakładki na prowadzące do szkodliwych stron. Do innych szkodliwych działań należą: podsłuchiwanie zainfekowanego urządzenia przy użyciu publicznej sieci Wi-Fi czy instalowanie oprogramowania, które zamienia smartfony w urządzenia zombie i przyłącza je do botnetów. Ponadto istnieje możliwość porwania serwerów DNS Vulny, dzięki czemu atakujący mógłby przekierować ruch sieciowy na kontrolowane przez siebie strony, co ostatnio przydarzyło się Twitterowi i New York Timesowi (cała sytuacja była szeroko nagłośniona przez media).

Oliwy do ognia dodaje fakt, że użytkownik może nawet nie wiedzieć, że na swoim telefonie ma zainstalowaną aplikację powiązaną z siecią Vulna z powodu sposobu, w jaki odbiera ona polecenia HTTP z serwera kontrolera. Kod ten jest zastrzeżony prawnie i pozostaje niejawny (w przeciwieństwie do kodu typu open-source). Oznacza to, że jedynie jego twórcy mogą go testować i ogólnie trudno jest dowiedzieć się, po co sieć reklamowa znajduje się tam w danym momencie.

Na szczęście firma FireEye była znacznie bardziej stanowcza co do rzeczywistej tożsamości Vulny, gdy skontaktowała się z Google i firmą odpowiedzialną za biblioteki reklamowe. Ostatnio FireEye ogłosiła, że obie firmy wprowadziły wiele pozytywnych zmian. Google usunął wiele aplikacji, które w sposób najbardziej rażący nadużywały takiego postępowania, i unieważnił konta ich dostawców. Wielu z nich zaktualizowało swoje aplikacje, część dopuściło inwazyjną wersję Vulny, podczas gdy inni zdecydowali się całkowicie z niej zrezygnować.

Niestety, wielu użytkowników Androida nie instaluje aktualizacji aplikacji i z tego powodu mogą być podatni m.in na to zagrożenie. FireEye szacuje, że część z wciąż dostępnych 166 milionów wciąż zawiera wadliwą wersję Vulna.

My oczywiście zalecamy, aby każdy instalował aktualizacje, w przeciwnym razie nikt i nic może nie pomóc. Musisz być także świadomy programów typu adware. Może ci się wydawać, że płatne wersje aplikacji są stratą pieniędzy, jeśli istnieją ich darmowe odpowiedniki. Lecz brutalna prawda jest taka, że nic nie jest za darmo. Większość tzw. „darmowych” aplikacji jest wspierana przez reklamy i – jak dokładnie pokazał przypadek Vulny – często nie da się dowiedzieć, w jakim celu są tam biblioteki reklamowe i jaka jest polityka zarządzania nimi.

Wyobraź sobie przez chwilę, że atakujący chcieli przejąć serwery DNS sieci Vulna i przekierować wszystkie kliknięcia na stronę zawierającą trojana bankowego kradnącego dane uwierzytelniania. Wówczas przejęte mogły zostać konta bankowe milionów użytkowników. Czas, pieniądze oraz wszystkie niedogodności towarzyszące przywracaniu konta bankowego z pewnością przewyższyłyby kwotę kilku euro, a tyle przecież zazwyczaj kosztują aplikacje bez reklam. Oczywiście, płatne aplikacje nie zawsze są dostępne lub niedrogie. Ostatecznie możesz czytać i stale monitorować uprawnienia pobieranych aplikacji oraz wyłączyć możliwość instalowania aplikacji firm trzecich, jeśli to możliwe.