Pametni telefoni obično dolaze sa unapred instaliranim aplikacijama,od kojih su neke korisne, a neke nikada ne budu upotrebljen. Međutim, ono što korisnik ne očekuje jeste da preinstalirana aplikacija predstavlja stvarnu pretnju njegovoj privatnosti i bezbednosti.
Check Point Research je nedavno otkrio ranjivost u jednoj od unapred instaliranih aplikacija kod jednog od najvećih svetskih proizvođača mobilnih telefona – Xiaomia koji, sa skoro 8% tržišnog udela 2018. godine, zauzima treće mesto na tržištu mobilnih telefona. Ironija je u tome što je to bila preinstalirana bezbednosna aplikacija ‘Guard Provider’, koja bi trebalo da zaštiti telefon od zlonamernog softvera koji izlaže korisnika napadu.
Ukratko, zbog nesigurne prirode mrežnog saobraćaja ka i od Guard Providera i korišćenja višestrukih SDK-ova (software development kit) u okviru iste aplikacije, akter pretnje se može povezati na istu Wi-Fi mrežu kao žrtva i izvršiti Man-in-the-Middle (MiTM) napad. Zbog gepova u komunikaciji između višestrukih SDK-ova, napadač bi mogao da ubaci bilo koji skriveni kôd koji izabere, kao što je malver za krađu lozinke, ransomver, za praćenje ili bilo koji drugi zlonamerni softver. (Za potpune tehničke detalje o tome posetite Check Point Research).
Kao i sve prethodno instalirane aplikacije poput Guard Providera, ove vrste aplikacija su prisutne na svim mobilnim uređajima i ne mogu se izbrisati. Check Point je odgovorno otkrio ovu ranjivost za Xiaomi, a kompanija je objavila “zakrpu” ubrzo nakon toga.
Za i protiv SDK-ova
Komplet za razvoj softvera (SDK) je set alata za programiranje koji pomažu programerima da kreiraju aplikacije za određenu platformu. U slučaju mobilnih uređaja, mobilni SDK-ovi su definitivno pomagali programerima uklanjanjem potrebe da troše vreme pišući kôd i razvijajući pozadinsku stabilnost za funkcionalnosti koje nisu povezane sa sržju njihove aplikacije.
Zaista, pošto se razvija sve više i više SDK-ova, nove sposobnosti i mogućnosti se predstavljaju programerima aplikacija i na kraju dodaju bolju funkcionalnost njihovim krajnjim korisnicima.
Ali kako se u aplikaciju dodaje sve više i više kodova treće strane, napor oko održavanja njenog proizvodnog okruženja stabilnim, zaštite korisničkih podataka i kontrole performansi postaje mnogo komplikovaniji.
Poznata kao “SDK zamor” ova povećana upotreba više SDK-ova u istoj aplikaciji čini aplikaciju podložnijom problemima kao što su padovi, virusi, malver, povrede privatnosti, pražnjenje baterije, usporavanje i mnogim drugim problemima.
Skriveni nedostaci u upotrebi nekoliko SDK-ova u istoj aplikaciji leže u činjenici da svi oni dele kontekst aplikacije i dozvole, a ti glavni nedostaci su što bi problem u jednom SDK-u ugrozio zaštitu svih ostalihi što se podaci u privatnom storidžu jednog SDK-a ne mogu izolovati i zbog toga im može pristupiti drugi SDK.
Međutim, prema nedavnom izveštaju, korišćenje više SDK-ova u jednoj aplikaciji je mnogo češće nego što se misli. U proseku, jedna aplikacija sada ima preko 18 implementiranih SDK-ova.
Dva i dva nisu uvek četiri
Mada se od osoblja za IT bezbednost neke organizacije ne očekuje da zna precizne informacije o SDK-ovima koji se koriste za izgradnju aplikacija koje zaposleni mogu staviti na svoje uređaje, oni bi trebalo da budu svesni da način na koji se aplikacije grade može nositi skrivene bezbednosne rizike. Jer, iako bi se moglo pretpostaviti da su elementi koji se koriste u okviru bezbednosne aplikacije sigurni, kao što se vidi u navedenoj ranjivosti u Xiaomijevim unapred instaliranim aplikacijama, to nije slučaj.
Programeri i korporacije podjednako treba da budu svesni da posedovanje sigurnog elementa u kombinaciji sa drugim sigurnim elementom u okviru aplikacije na njihovom telefonu ne znači nužno da će ceo uređaj ostati bezbedan kada se ova dva elementa implementiraju zajedno.
Jedina odbrana od ovih vrsta skrivenih i neprimetnih pretnji je da se obezbedi da flota mobilnih uređaja vaše organizacije bude zaštićena od potencijalnih Man-in-the-Middle napada.
Check Point SandBlast Mobile može da otkrije i spreči takve napade, time eliminišući potencijalne pretnje uzrokovane korišćenjem višestruke SDK upotrebe u istoj aplikaciji.
(Izvor: Check Point blog)