Úvahu na toto téma přináší americký Computerworld. Zajímavé je, že text vychází z prognózy Georgia Tech Information Security Center pro rok 2009. Rizika chytrých telefonů měla být přitom podle jiných prognóz již horkým tématem roku letošního. V prognózách pro rok 2008 se na tom shodovali prakticky všichni dodavatelé zabezpečení; pouze CA považovala obavy za přehnané:
Mobilní zařízení zůstanou i nadále bezpečná. Smartphony a další mobilní zařízení nebudou v roce 2008 představovat pro zločince významnou příležitost. Koncepty malware pro mobilní zařízení se ještě nevyvinuly do významných útoků.“ (zdroj: Securityworld.cz)
Georgia Tech Information Security Center jakoby dává za pravdu právě CA, když trend hrozeb pro chytré telefony posunuje do budoucnosti.
Dříve či později to přijde
V této souvislosti samozřejmě stojí za to se zamyslet nad tím, kdo měl tedy pravdu. Na jednu stranu se bezpečnostních chyb se v souvislosti s mobilními přístroji objevila hromada, od známých iPhonů přes Blackberry, ale třeba i komunikátory Nokia. Trocha podrobností: chyba ve zpracování Javy na platformě Nokia 40 měla být kritická, protože zlovolný kód mělo být možné podstrčit tak, že bude poslán jako SMS. Nicméně podrobnosti nebyly nikdy zveřejněny a autor údajné bezpečnostní díry za ně požadoval 20 000 euro. Nokia sice určité problémy potvrdila, ale podle ní nepředstavují reálné riziko zneužití.
U BlackBerry byla chyba ještě vážnější, protože kvůli chybě při zpracování PDF dokumentu poslaného jako příloha e-mailu mohlo dojít k ovládnutí ne komunikátoru, ale přímo firemního serveru. Šlo tedy o chybu v infrastruktuře spíše než o problém mobilních zařízení a opět není známo, že by se jí někdo pokusil úspěšně zneužít.
U iPhonu byly bezpečnostní chyby medializovány zřejmě nejčastěji (viz např. článek Díra i pro váš iPhone?, podrobněji se zabývající také přístupem firmy Apple k opravám chyb). Obavy z bezpečnosti a nutnost plnit všemožné shody s předpisy měly být dokonce příčinou, proč tento telefon nenajde cestu do firemního prostředí. Nezdá se ale, že by došlo k nějakým škodám a iPhone si na nedostatek zájemců také rozhodně nemůže stěžovat. Nicméně již v současnosti by mohly být nástroje pro zneužití chyb Apple iPhone reálně k dispozici. Nakonec pro minulou verzi iPhonu se objevily už loni.
Zdá se ale, že k reálným škodám letos přece jen nedošlo. Největším rizikem se tak zdají být ani ne tak konkrétní softwarové zranitelnosti, jako spíše phishing. Prohlížeče pro mobilní zařízení se musí nějak vypořádat s velikostí, respektive malostí displejů. Z toho pak vyplývá, že do adresního řádku se nevejde celá adresa nebo je vůbec zobrazována ve zkráceném tvaru, uživatel pak pořádně neví, na jaké stránce se nachází. Adresa banka.domena a banka.domena.podvodnadomena se dá snadno zaměnit. Zde mohlo ke škodám snadno dojít, ale a sotva se kdy přijde na to, zda si to uživatelé způsobili na mobilních přístrojích a ne při práci na PC. Tento problém je už de facto „v návrhu“, prohlížeče lze sice upravit, ale podstata zranitelností tohoto druhu nejspíš zůstane.
Trh se záškodnickým kódem
Proč tedy v rozporu s prognózami dosud mobilní telefony nepředstavují pro útočníky lákavější cíl? Zdá se, že i kybernetická kriminalita funguje jako určitý ekosystém, kde se různě vyměňují a prodávají kódy pro zneužití a metody útoků. Nejprve se toho všeho musí objevit nějaké kritické množství, aby se to pak dalo různě modifikovat a skládat. U mobilních zařízení k tomu letos ještě nedošlo.
Pokud k tomu dojde příští rok, co z toho vyplyne? Jak se bude botnet z chytrých telefonů lišit od sítě PC? V první řadě je zde fakt, že na rozdíl od Internetu z PC se mobilní telefony používají k řadě placených služeb, které uživatel nemusí nijak potvrzovat (na rozdíl třeba od internetového bankovnictví; ono je to ale logické, kdo by chtěl před zavoláním autorizovat, že to opravdu chce?). Lze tedy očekávat, že se v pozměněné podobě vrátí čas dialerů se všemi spory, kdo za to může a kdo by to měl zaplatit.
Kdo ponese odpovědnost?
Zde mimochodem vyvstává otázka: pokud je uživatel odpovědný za dialer, neměl by být ale odpovědný i za to, že jeho PC je útočníkem zneužíváno k páchání jiných škod, rozesílání spamu či útokům DDoS? Nikdo ale s podobným návrhem pokud vím nepřišel, ačkoliv by to bylo vlastně logické; pokud je uživatel v případě dialeru odpovědný za škodu, kterou způsobí sám sobě, proč by měl být z obliga u škody způsobené někomu jinému?
U mobilních telefonů vyvstává vůbec otázka, jak bude celý ekosystém zabezpečení fungovat. Budou si nástroje a služby kupovat a instalovat a aktualizovat uživatelé, nebo provozovatelé služby či výrobci zařízení? Uživatelé se v tuto chvíli samozřejmě domnívají, že by to jejich starostí být nemělo, ale jak to nakonec dopadne, lze těžko říct.
Nakonec by tento problém mohl skončit tak, že by se třeba SMS zprávy přestaly platit a byly by účtovány paušálně, podobně jako dnes e-mail je v ceně připojení k Internetu a poskytovatel za každou poslanou zprávu také neúčtuje zvláštní poplatky. Pro operátora by to mohlo být jednodušší než řešit neustálé reklamace „to jsem neposlal já, to botnet“. Třeba k něčemu podobnému nakonec dojde i u hlasových služeb. V opačném případě hrozí vysátí peněženky uživateli ovládnutého telefonu mnohem více než u PC.
Obáváte se, že by váš mobilní telefon mohl být na dálku zneužit a být zapojen do sítě botnetů?
