Securitatea pe dispozitivele mobile – Interviu exclusiv cu Bogdan Botezatu – Senior E-Threat Analyst BitDefender

bogdan botezatu interviuBogdan Botezatu este Senior E-Threat Analyst la BitDefender si a acceptat sa ne acorde un interviu exclusiv pe tema securitatii dispozitivelor mobile inteligente (smartphone, tableta).

1. Cand a aparut primul virus de Android, sau care a fost primul virus analizat de d-voastra?

Primul virus de Android pe care l-am identificat și analizat în companie e Android.Trojan.FakePlayer.A, un așa-zis media player care trimitea SMS-uri la numere cu suprataxă din Rusia. Cred că se întâmpla undeva la jumătatea lui 2010.

2. Care sistem de operare pt smartphone este mai sigur si de ce?

Ubuntu Touch. De-abia lansat ca developer preview, are câteva sute / posibil o mie de instalări și nici o aplicație disponibilă. Lăsând gluma la o parte, dintre sistemele de operare răspândite, cel mai sigur e probabil Windows Phone 8 însă tot din cauza cotei de piață reduse și a unui ecosistem de aplicații disponibile relative restrâns. Cu cât crește popularitatea unui sistem de operare, indiferent dacă e mobil sau nu, precum și numărul de aplicații disponibile pentru acesta, crește și numărul amenințărilor la adresa utilizatorilor. Apple a combătut acest lucru prin păstrarea unui mediu controlat de distribuție a aplicațiilor.

3. Care sunt principalele actiuni ale unui virus pt telefon si cum iti poti da seama ca esti infectat?

Acțiunile diferă în mare parte în funcție de profilul malware-ului respectiv. Virușii care trimit mesaje sau sună la numere premium cauzează costuri suplimentare. Alte tipuri de viruși, precum cei care raportează locația sau cei care încearcă să instaleze alte aplicații consumă din traficul de date sau reduc considerabil autonomia bateriei. În principiu, dacă factura e încărcată, durata de viață a bateriei scade considerabil fără modificări în felul în care utilizatorul folosește dispozitivul sau dacă traficul inclus în abonament se consumă nejustificat, atunci dispozitivul e cel mai probabil virusat. Alte simptome includ apariția unor aplicații care nu au fost instalate de utilizator sau a iconițelor pe desktop. Nu în cele din urmă, menționez virușii precum ZitMo care exploatează al doilea factor de autentificare în tranzacțiile bancare prin interceptarea și re-trimiterea SMS-urilor de la anumite numere de telefon.

4. Este suficienta dezinstalarea aplicatiei infectate pt a scapa de problemele cauzate de o infectie? Sau un malware creeaza si alte fisiere sau modifica si alte setari ale sistemului de operare?

Un malware poate aduce și alte aplicații pe sistem, de aceea e recomandat ca în momentul identificării unei aplicații periculoase să se re-evalueze starea dispozitivului: un scurt inventar al aplicațiilor de pe sistem, precum și verificarea listei Device Administrators din Settings -> Security -> Device Administrators. Un malware care s-a adăugat ca device administrator (cum e cazul familiei de troieni Oblad) nu poate fi dezinstalat înainte de revocarea privilegiilor de administrator.

După infecție rămâne totuși o problemă, și anume impactul ireversibil cauzat de datele care au fost deja trimise către atacatori: IMEI, adresă de mail, număr de telefon, listă de contacte etc.

5. Daca ai rootat dispozitivul folosit, ai risc crescut sa te infectezi, fata de un dispozitiv nemodificat in acest mod?

Root-area nu prezintă riscuri de infecție propriu-zisă, ci permite unui virus (pe care l-ați instala în mod normal și pe un telefon rootat) să afecteze sistemul de operare în profunzime (de exemplu, permite virusului să modifice alte aplicații sau să modifice setările telefonului). Rootarea permite accesul la funcționalități care sunt protejate de producător pentru că modificarea acestora poate cauza probleme de funcționare.

În mâinile unui utilizator neexperimentat, accesul nelimitat la sistem se poate finaliza dezastruos și poate duce inclusiv la distrugerea telefonului (i.e. setări de overclocking care încălzesc procesorul peste capacitățile lui de disipare). În cazul infectării dispozitivului, virusul capătă acces dincolo de containerul de securitate care i-ar limita aria de acțiune dacă telefonul sau tableta nu ar fi fost root-ate.

Chiar dacă e privită cu o oarecare reticență, rootarea are însă și beneficii pentru securitatea dispozitivului: de exemplu, majoritatea telefoanelor low-end și mid-range vin cu o versiune inferioară de Android (2.1 – 2.3.6), deși dispozitivul în sine poate “duce” o versiune mai nouă a sistemului de operare. Aceste versiuni au vulnerabilități cunoscute, care pot provoca incidente (de exemplu, atacuri USSD sau atacuri WAP-PUSH). Root-area unui astfel de terminal și actualizarea la versiunea 4.1 sau mai sus via CyanogenMod va spori securitatea sistemului. Bineînțeles, după root-are, se recomandă folosirea unei soluții de securitate pentru mobile pentru a preveni o infecție care să abuzeze de privilegii de root.

6. Daca ati putea face o comparatie intre virusii pentru Windows si cei pentru smartphone care ar fi principalele asemanari si deosebiri?

Ca deosebiri, e modul de operare: virușii de Windows sunt în mare parte concentrați pe exploatarea îndelungată a sistemului compromis (de exemplu, botneții care trimit spam, fac DDoS sau devin servere web pentru stocat malware sau pagini de phishing), pe când virușii de mobile pun în principal probleme pe partea de privacy (colectează profile de utilizator și monitorizează activitatea utilizatorului).

Ca și asemănări, peisajul amenințărilor informatice pe mobile seamănă izbitor de mult cu virușii anilor 2000: pe mobile avem SMS sender-i și dialer-i la numere premium care încarcă factura telefonică. Aceeași abordare o aveau și troienii de Windows în perioada în care utilizatorii se conectau la Internet prin dial-up.

Tot la asemănări, merită menționat faptul că animiți viruși de mobile se folosesc de vulnerabilități cunoscute / zero-day în Android sau faptul că unele familii manifestă polimorfism server-side (Android.Trojan.FakeInst). O altă familie cunoscută, și anume DroidKungFu, încearcă să root-eze telefonul pentru ca mai apoi să-l exploateze, o tactică frecvent folosită de virușii de Windows care încearcă să scape de UAC, de exemplu.

7. Am vorbit despre aceste amenintari, dar…sunt ele chiar atat de raspandite? Nu este vorba doar de un marketing agresiv al companiilor de securitate?

Din nefericire, problema virușilor de Android e cât se poate de reală. În 2011, Chris DiBona – directorul programelor open-source al Google – i-a numit pe vendorii de antiviruși pentru mobile “șarlatani”, menționând că telefoanele mobile nu au nici o problemă cu malware-ul. Un an mai târziu, Google introducea Bouncer, un sistem antivirus de analiză dinamică care scana aplicațiile înainte de a fi publicate pe Play Store. În 2013, Google introduce un al doilea scanner antivirus în JellyBean. Atunci când furnizezi un scanner antivirus împreună cu sistemul de operare, recunoști indirect că există o problemă pe care trebie – dacă nu să o rezolvi – măcar să o ameliorezi, nu?

8. Aplicatiile pentru Android solicita tot felul de permisuni la instalare. Care din acestea ar trebui sa ridice semne de intrebare si pentru care utilizatorul ar trebui sa renunte imediat la aplicatie?

Dacă ar fi așa de ușor, cel mai probabil nu ar exista suport pentru permisiunile respective. Problema e mult mai complexă și ține de fiecare implementare în parte. De exemplu, o aplicație de GPS pentru mașină are nevoie legitimă pentru permisiunea de urmărire a locației via GPS. Aceeași permisiune e inacceptabilă pentru o aplicație de file management, de exemplu. La fel e și cu “Services that cost you money (servicii care induc costuri)” – e normală pentru o aplicație de tip dialler sau SMS sender, dar nu e normală pentru un screensaver, de exemplu.

Ce vreau să spun e că toate permisiunile sunt sigure în contextul corespunzător, și atunci când aplicațiile sunt făcute să lucreze pentru user, în mod transparent, nu în defavoarea lui. De aceea răspundererea de a decide ce e și ce nu e acceptabil revine în totalitate utilizatorului. Acest lucru încercăm să-l remediem cu produsul Clueful: să explicăm în mod transparent utilizatorului cum îl poate afecta o permisiune acordată necorespunzător.

9. Sunt virusii singura, sau cea mai mare amenintare pentru dispozitivele inteligente?

Nu. Sunt cel puțin două riscuri uriașe care sunt prea puțin luate în calcul de utilizatori. Prima ar fi adware-ul, în contextul în care adware-ul de mobile nu e identic cu adware-ul de pe desktops. Adware-ul agresiv nu se rezumă numai la afișarea de bannere și interceptarea rezultatelor din motoare de căutare pentru scopuri ce țin de affiliate marketing. Adware-ul agresiv colectează profile de utilizator – numere de telefon, liste de contacte, locația dispozitivului, informații despre telefon (marcă, model, IMEI, aplicații instalate etc), care sunt trimise pe servere terțe. Nimeni nu-mi garantează mie, ca utilizator, că informațiile respective sunt folosite legal și în conformitate cu drepturile mele. Nimeni nu garantează faptul că aceste date sunt ținute în siguranță, pe servere care respectă politici acceptabile de securitate. Pare banal, dar întrebați-vă, cum ar fi să vă găsiți istoricul site-urilor vizitate atunci când vă căutați numărul de telefon pe Internet?

Secundo, chiar și securitatea fizică a dispozitivului e uneori problematică. În contextul în care – cel mai probabil – sunteți permanent autentificat pe Facebook, Twitter, e-mail și în ce alte servicii folosiți, persoana care găsește sau fură telefonul are acces instant la aceste conturi, precum și la celelalte date stocate pe telefon: fotografii, filme, posibil notițe salvate în Evernote sau Catch etc. Întrebarea care trebuie pusă e: aveți o soluție pentru a șterge sau/și bloca dispozitivul de la distanță, atunci când e deconectat de la Internet? Există un mecanism de blocare a accesului neautorizat setat pe device (PIN, pattern, parolă, Face Unlock)?

10. In final, drept concluzie, credeti ca ar trebui ca utilizatorii sa mai stie ceva in plus legat de amenintarile pentru smartphone? Ce masuri de preventie trebuie luate pentru o buna protectie?

Cred că cea mai importantă chestiune pentru un utilizator e să înțeleagă că telefonul smart e, de fapt, un computer în miniatura, și, ca orice computer, este supus la riscuri. Malware-ul pentru Android a înregistrat una dintre cele mai spectaculoase creșteri din istorie. În mai puțin de 5 ani de la lansarea Android, amenințările malware au evoluat și s-au diversificat extraordinar de mult.

De asemenea, nu uitați că telefonul mobil e probabil, cel mai des utilizat dispozitiv. Știe când, ce, și cu cine ați vorbit, are o multitudine de senzori (microfon, GPS, camera) care pot fi transformate în dispozitive de supraveghere, salvează un istoric al activității pe Internet și – mai ales – servește frecvent ca factor de autentificare secundar pentru o multitudine de conturi.

Pe măsură ce serviciile online introduc factori secundari de autentificare secundari (Twitter, BattleNet, bănci), telefoanele vor devein o țintă specială: oricine va încerca să fure contul respectiv, va trebui să controleze al doilea factor – telefonul.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

3 responses to “Securitatea pe dispozitivele mobile – Interviu exclusiv cu Bogdan Botezatu – Senior E-Threat Analyst BitDefender”

  1. alin

    Despre blackberry, nimic?

  2. Alexandru Ionut

    Stau pe Symbian OS v9.4 :))

  3. ramons

    bravo am aflat exact ce ma interesa..felicitari

Leave a Reply