Wykradanie informacji z Gmaila to kaszka z mleczkiem. Żaden system mobilny nie jest bezpieczny
Mobilne systemy operacyjne, mimo wzrastającej popularności, ciągle są podatne na ataki hakerów. Informacje napływające zza oceanu tylko potwierdzają tę tezę. Zespół naukowców związanych z Uniwersytetem w Kalifornii udowodnił, że zarówno Android, iOS, jak i Windows Phone są podatne na ataki, które w łatwy sposób mogą udostępnić poufne informacje osobom trzecim. Wśród aplikacji najbardziej podatnych na atak jest znany i ceniony klient pocztowy – Gmail.
Testy były przeprowadzone na siedmiu popularnych aplikacjach w Stanach Zjednoczonych. Skuteczność ataków była wysoka, gdyż naukowcy byli w stanie przechwycić dane od 82 do 92 procent przypadków. Aplikacje, które zostały zhakowane to m.in. Gmail oraz Amazon. Druga z wymienionych aplikacji jest jednak dość dobrze zabezpieczona. Tylko 48% ataków przyniosło pozytywny efekt.
Pomimo że ataki były przeprowadzane na urządzeniach z Androidem, naukowcy uznają, że inne systemy operacyjne również nie są bezpieczne. Kluczowe funkcje tworzone są niezależnie od docelowego systemu, więc zarówno iOS, jak i Windows Phone również mogą być przedmiotem ataków. Sytuacja nie zmieni się dopóki twórcy systemów mobilnych nie zmienią podejścia podczas tworzenia systemu, lub stworzą jasne i klarowne wytyczne dotyczące zabezpieczania aplikacji.
Główna idea, która przyświecała naukowcom testującym podatność na ataki, było przekonanie, że aplikacje zainstalowane na smartfonie działają na tej samej, współdzielonej infrastrukturze. Dotychczasowe założenie, że aplikacje nie mogą sobą interferować, było nieprawdziwe. Naukowcy udowodnili, że aplikacje działające w tle są w stanie przechwytywać informacje i przesyłać je w ręce cyberprzestępców. Jest to możliwe dzięki wykorzystaniu statystyk pamięci współdzielonej procesu. Owe statystyki dostępne są do wglądu bez wykorzystania specjalnych uprawnień.
Naukowcy przetwarzali zmiany zachodzące w pamięci współdzielonej by wydobyć z nich informacje. Co więcej, aplikacja jest w stanie „zorientować się”, jaka czynność jest obecnie wykonywana i w razie konieczności zrobić zdjęcie lub przesłać dane wymagane do logowania.
Małym pocieszeniem jest fakt, że atak musiałby zostać wykonany w momencie logowania się do serwisu lub wykonywania zdjęcia. Hakerzy za pośrednictwem stworzonych przez siebie aplikacji są w stanie wykraść dane bez wiedzy ofiary.
Aby uchronić się przed niebezpieczeństwem zalecane jest kontrolowanie, jakie aplikacje są instalowane na smartfonie. Wyniki badań zespołu naukowców zostaną przedstawione na sympozjum naukowym USENIX Security, które odbędzie się dzisiaj i jutro w amerykańskim San Diego.
