Jak audytują Androida?

Często jak czytamy o przeróżnych lukach bezpieczeństwa, to często jesteśmy odsyłani do testera, który sprawdzi czy nasz komputer jest podatny na dane niebezpieczeństwo. Powstały również aplikacje, które mają na celu wykonać tzw. audyt bezpieczeństwa w celu określenia podatności naszego systemu operacyjnego na różne niebezpieczeństwa. A co z naszymi telefonami?

Wiele osób nawet nie zdaje sobie sprawy z tego, że ktoś może włamać się na ich telefon tak samo jak na komputer. Jak na ironię, informacja o jednym z exploitów (tj. StageFright) przyczyniła się do poprawy świadomości społeczeństwa w tym zakresie. Czy jednak możemy sprawdzić, na jakie luki podatny jest nasz poczciwy “Antek”?

Jeszcze do niedawna w Google Play była dostępna darmowa aplikacja VTS napisana przez firmę NowSecure. Mało tego, aplikacja ta jest typu OpenSource, czyli każdy może sam przeanalizować jak ta aplikacja tak naprawdę działa. Dlaczego twórcy VTS zdecydowali się na taki krok? Audyty bezpieczeństwa są dość grząskim gruntem, dlatego też firma NowSecure postanowiła być w pełni transparentna w tym co robi i w ten sposób zapewnić użytkowników, że aplikacja VTS jest nieszkodliwa.

Jednak deweloperom Androida (a dokładniej firmie Google) to nie wystarczyło i podjęta została decyzja o usunięciu aplikacji VTS z Sklepu Play. Jaka jest oficjalna argumentacja Kalifornijskiej firmy? Po analizie kodu stwierdzili, że trzy testy “przekraczają dopuszczalne granice bezpieczeństwa“. Co to oznacza? W skrócie, Google podważa nieszkodliwość aplikacji. Jednak większość  Internautów jest zdania, że Google nie chce pozwolić, żeby ktoś węszył po ich podwórku i przypadkiem znalazł jakieś ukryte funkcje. Jakie jest moje zdanie na ten temat?

Prawda jest taka, że jak ktoś będzie chciał “szperać” po Androidzie to i tak to będzie robił. Wydaje mi się, że tutaj chodzi tak naprawdę o utrzymanie jak największej liczby użytkowników w nieświadomości, że systemy operacyjne na ich telefonach są dziurawe jak ser szwajcarski! Jak już nie raz wspominałem, problemem nie jest to, że Google nie naprawia luk. Prawda jest taka, że Google dostarcza poprawki, ale nie docierają one do naszych telefonów. Dlaczego? Przyczyna jest banalna. Producentom telefonów nie opłaca się zapewniać wsparcia technicznego (tj. przygotowywać aktualizacje oprogramowania) dla starszych modeli. Jak myślicie, jaka byłaby reakcja użytkowników gdyby zobaczyli taki raport?