„Az IBM 2006-ban végzett biztonsági felmérése szerint az egyes cégeknél felmerülő informatikai biztonsági problémák 74 százaléka ma már a szervezeten belülről érkezik” – mondta az Informatikai Biztonság Napján tartott előadásában Steve Hall, a Kingston termékfejlesztésért felelős munkatársa. „Az Computing Techonlogy Industry Alliance (COMPTIA) 4. tanulmánya pedig azt mutatja, hogy a 2005-ben észlelt összes biztonsági probléma 60 százalékáért emberi hiba tehető felelőssé.”

A problémához hozzájárul, hogy a technológia fejlődésével a mobiltelefonok egyre fejlettebb informatikai szerkezetekké válnak, amelyeket azonban felhasználóik még mindig egyszerű kommunikációs eszközként kezelnek.

„Rendkívül fontos, hogy mindenki tudatosítsa magában: az okostelefon nem telefon, hanem olyan teljes értékű számítógép, amellyel akár telefonálni is lehet” – mondta a hvg.hu-nak Dani István, a KFKI Rendszerintegrációs Zrt. műszaki igazgatója. „Persze, lehet, hogy kisebb a képernyője és kényelmetlenebb a billentyűzete, de informatikai szempontból nem sok különbség van köztük és az asztali számítógépek között. A probléma ott kezdődik – beszéljünk egy nagyvállalat IT-infrastruktúrájáról – hogy sok esetben egyszerűen nem veszik számításba, hogy ezek az eszközök milyen kockázatot jelentenek.”

A szakember előadásában figyelmeztetett rá: a felhasználó túlságosan szabad kezet kap a készülék felhasználását tekintve. Emellett azonban az okostelefonokon rengeteg személyes adatot, üzleti információt tárolunk, illetve, ha például a céges levelezés elérését is lehetővé teszi a készülék, valamilyen formában a belépési információk is a készüléken vannak.

„Egyelőre csak olyan szempontból érdekes a dolog, hogy ha a felhasználó telepít például egy játékot, a szoftver hozzáférést kér a telefon egyes részeihez” – magyarázta a KFKI szakembere előadása során. „Ha pedig az SMS-küldést is engedélyezi a gyanútlan felhasználó, máris számos emeltdíjas üzenetet küldhet el, akarata ellenére. A vírusírásra szakosodott informatikai ipar azonban az elmúlt 6-7 évben alaposan átalakult. Míg eleinte csak heccből, illetve saját képességeik csillogtatása miatt írtak vírusokat a hackerek, ma már szinte maffiaszerűen működik ez az ipar. Amíg a Windows a legelterjedtebb operációs rendszer, felesleges olyan vírusokat írni, amelyek több platformon is megélnek. Ezért a telefonok egy darabig nem voltak veszélyben. Azonban, ha egy operációs rendszer elterjedtsége elér körülbelül 30 százalékot – erre a Google Androidjának van a legjobb esélye – megjelennek rá a vírusok.”

Dani István szerint az egyik legsúlyosabb probléma, hogy a telefonokra a legtöbb cégnél nem vonatkoznak a számítógépekre vonatkozó biztonsági előírások. Ehhez hasonlóan komoly probléma, hogy a cégeknél sokan kivételezett helyzetet szeretnének maguknak, hogy készülékük funkcionalitását ne korlátozzák. „A vállalati gondolkodásmódba és a felhasználói köztudatba bele kell vésni: a biztonsági politika alól nincs kivétel” – hangsúlyozta a szakember. „Egy cégnél kinek van általában a legmodernebb, legnagyobb tudású telefonja? A menedzsmentnek. Kik azok, akik a legérzékenyebb, bizalmas információkkal napi kapcsolatban vannak? A menedzsment. Mégis sokszor ők azok, akik igyekeznek kibújni az IT-osztály szabályai alól. Persze megfelelően kell mérlegelni, hogy meddig tart a készülékek biztonságossá tétele és honnantól megy a biztosítás a funkcionalitás rovására.”

 „Ma még csak figyelmeztetjük a felhasználókat” – írta az idén februárban végzett kutatásról Liviu Iftoda informatikai professzor. „Megmutattuk, hogy általános felhasználói ismeretekkel bárki készíthet olyan rootkitet, amely az okostelefonokat tudja támadni. Mostantól a védekezésre kell koncentrálnunk.”

„Olyan ez, mint a nyolcvanas években, amikor a PC-felhasználók rettegtek a vírusoktól” – mondta Ryan Naraine, a Kaspersky Lab IT-biztonsági cég szakértője. „Van azonban egy fontos különbség: az okostelefonokat mindig magunknál tartjuk, ezzel lehetővé téve, hogy megállapítsák akár a pontos tartózkodási helyünket, de sok esetben akár a banki adatainkhoz is hozzáférhetnek.”

A labda a felhasználóknál

A védekezésre tehát érdemes kellő figyelmet fordítani, különösképpen, hogy a GetSafeOnline brit cég kutatói szerint a modern készülékek tulajdonosainak 67 százaléka még kóddal, vagy jelszóval sem védi készülékét. Ha valakitől ellopnak egy ilyen eszközt, vagy elveszíti azt, óriási értéket juttat a megtaláló kezébe.

„Az okostelefonok egyre fejlettebbek lesznek” – fejtette ki Mark Kanok, a Symantec termékmenedzsere. „Ez pedig annyit jelent, hogy egyre nagyobb mennyiségű személyes adatot tárolunk a készülkéken.”

„Ha egy telefont ellopnak, nem csak a készülék értéke kerül a tolvajok kezébe” – tette hozzá Dani István. „A rajta lévő adatok, dokumentumok, főleg egy üzletember által használt eszköz esetében óriási értéket képviselhetnek. Külön iparággá nőheti ki magát az üzleti információk ilyen formában történő megszerzése.”

Nem lehetnek nyugodtak azok sem, akik a Google Android nevű rendszerének biztonsági megoldására bízzák magukat. Az ilyen készülékek esetében a lezárt eszközhöz egy háromszor három pontból álló rácsra rajzolt egyszerű minta segítségével lehet hozzáférni. Bár a mintát csak a felhasználó ismeri, a University of Pennsylvania kutatói rámutattak egy biztonsági résre: a képernyőn végighúzott ujj által hagyott nyomból nagy biztonsággal kitalálható, hogyan lehet hozzáférni a működő készülékhez. A szakemberek figyelmeztettek rá, hogy a „maszatoló támadásnak” becézett módszerrel akár az Apple iPhone készülékei, illetve az érintőképernyős bankautomaták is támadhatóvá válhatnak.

A szakemberek szerint néhány egyszerű módszerrel a tudatos felhasználók jelentős mértékben javíthatják készülékük biztonságát. Soha nem szabad olyan alkalmazásokat letölteni, amelyek megbízhatatlan, vagy ismeretlen weboldalakról származnak, ezeket mindig a hivatalos helyekről, a gyártótól, vagy a mobilszolgáltatótól szerezzük be. Az üzenetekben megjelenő hivatkozásokra nem szabad rákattintani, csak ha megbízható forrástól érkezett. Emellett érdemes megfontolni olyan szolgáltatás igénybevételét, amely lehetővé teszi a telefon távoli törlését, illetve zárolását, hogy az esetleges tolvajok ne használhassák fel a készülék tartamát. Android rendszert használó telefonok esetében pedig a legújabb frissítés letöltésével már a pontokból álló minta helyett alfanumerikus jelszóval is védhetjük a készüléket. A szakértők véleménye pedig egybehangzó: a biztonsági előírásokat kíméletlenül be kell tartani és tartatni, a felhasználókat pedig a lehető legjobban fel kell világosítani az esetleges veszélyekről.

A szakember aggályai nem alaptalanok. Az amerikai Rutgers egyetem kutatói szerint ugyanis a rootkitnek nevezett rosszindulatú kódsorokat az állandóan az internetre kapcsolt okostelefonok segítségével remekül be lehet juttatni különböző hálózatokba. Ennél is aggasztóbb, hogy a rootkitek alkalmazásával a támadóknak lehetősége nyílik akár távolról bekapcsolni a telefon mikrofonját, ezáltal lehallgatva a felhasználót és környezetét, de hozzáférhetnek személyes adatokhoz, illetve a készülék beépített helymeghatározó (GPS) modulja segítségével akár a pontos tartózkodási helyét is megállapíthatják. Emellett az eszköz akkumulátorát is leszívhatják a távoli támadók, kényelmetlen helyzetbe hozva ezzel a tulajdonost. A helyzetet súlyosbítja, hogy a készülékeket nem csak a hálózaton keresztül, hanem akár a Bluetooth vezeték nélküli technológiával, vagy szöveges üzenetekbe rejtett digitális károkozókkal is lehet támadni.