Setki tysięcy szkodliwych aplikacji na Androida: ile z nich przechwytuje twoje hasła?

Microsoft od dawna ostrzega, że korzystanie z pirackich wersjioprogramowania może źle się dla użytkowników skończyć –stanowią częsty wektor rozpowszechniania się złośliwegooprogramowania. Dzięki staraniom producentów „antywirusów”,Windows jest jednak platformą nieźle zabezpieczoną, dzięki czemumało kto bierze słowa Microsoftu na poważnie, nawet jeśli bowiemwraz z „piratem” przyplącze się jakiś szkodnik, to nawetdarmowe wersje oprogramowania ochronnego zwykle sobie z nim radzą.Zupełnie inaczej wygląda sytuacja z Androidem, najpopularniejsządziś platformą mobilną. System ten, w przeciwieństwie do swoichkonkurentów, jest domyślnie otwarty na pirackie oprogramowanie,dostępne zaś na niego narzędzia ochronne są rzadko stosowane, i wpraktyce niezbytefektywne. Nic więc dziwnego, że google'owy system dla twórcówszkodników jest wymarzonym środowiskiem.Goergie Casey, zajmujący się Androidem programista z Irlandii,spróbował zwrócić uwagę Google'a i społeczności na tenproblem, przygotowując bez większego wysiłku pakiet z aplikacją(APK), do której dołączył trojana instalującego w telefonie czytablecie keylogger. Jego wybór padł na popularną klawiaturęekranową SwiftKey,kosztującą w sklepie Google Play 10 złotych, i chętnie pobieranąz chińskich i rosyjskich sklepów z pirackimi aplikacjami naAndroida.[img=androidjellybean]Podstawowym narzędziem do budowy zarażonego pakietu byłdezassembler apktool, pozwalający uzyskać kod źródłowyoryginalnej aplikacji w Javie, dołączyć do niego kod keyloggera ipołączyć to wszystko w jeden pakiet. Cała operacja nie jesttrudna – w zasadzie każdy, kto zna podstawy Javy i potrafi zAndroidem zrobić coś więcej, niż tylko zainstalować aplikację zoficjalnego sklepu, powinien być w stanie powtórzyć pracę Caseya,opisanąw szczegółach na jego blogu. Sam programista deklaruje, że kodbajtowy uruchamiany na maszynie wirtualnej Dalvik nie jest trudnoedytować i wprowadzać zmienionym do pakietów APK.Wystarczy teraz tak przygotowaną klawiaturę udostępnićużytkownikom (a kto ma po temu większe możliwości, niżoperatorzy pirackich sklepów?), by uzyskać narzędzie zdolneprzechwytywać wszystkie treści wpisywane przez nich za jej pomocą– w tym wszelkie loginy i hasła. Na nic wówczas certyfikaty SSLprzy połączeniu z np. bankową witryną, wbudowany w klawiaturękeylogger oddzielnym kanałem udostępnia napastnikowi wrażliwedane. Dlatego Casey zastanawia się, czy w ogóle Android powiniendopuszczać alternatywne klawiatury – stanowią one ogromnezagrożenie bezpieczeństwa całego systemu.Nikt nie wie, ile po świecie krąży zawierających szkodliwy kodaplikacji dla Androida, ale badacze Trend Micro uważają, że liczbata idzie w setki tysięcy. Udało im się zidentyfikować około 2milionów tytułów napisanych na ten system, trzykrotnie więcej,niż dostępnych w sklepie Google'a. Wśród nich niemal 300 tysięcyokazało się zawierać szkodliwy kod, a około 150 tysięcy uznanoza aplikacje wysokiego ryzyka. Co najgorsze, aplikacje te znaleźćmożna nie tylko w sklepach chińskich piratów – Rik Ferguson zTrend Micro pisze, że 68 740 złośliwych aplikacji pochodziłoprostoz Google Play i zaznacza, że Windows potrzebował 14 lat, byzdobyć tak wielką bazę szkodników.Co więc robić, by uniknąć zagrożeń? Oprócz rozwiązańoczywistych i najwyraźniej nie do końca skutecznych (antywirusy,unikanie pirackiego oprogramowania etc.), pozostaje jedno najbardziejradykalne: zmienić sprzęt (i system operacyjny). Ferguson wskazujetu na Blackberry, w którego sklepie zastosowano technologię MobileApp Reputation Service z Trend Micro, by chronić użytkownikówprzed kryjącym się w aplikacjach złośliwym kodem i pisze, żebardzo by się ucieszył, gdyby inne sklepy z aplikacjami równiepoważnie potraktowały kwestię bezpieczeństwa.