Bezpečnost | Android | Mobilní aplikace | Avast

Pozor (nejen) na svítilny pro Android. Jsou plné smetí a žadoní i o 70 oprávnění

  • V létě vadil FaceApp, protože je z Ruska
  • Ale co ty každodenní aplikace, které máte na telefonu?
  • Experti je mohou analyzovat v apklab.io od Avastu

Populární mobilní aplikace FaceApp letos zažila dvě špičky. Poprvé hned zkraje prázdnin, když si ji skoro každý nainstaloval a zahltil internet nesčetným množstvím znetvořených fotografií sebe sama.

Podruhé pak o pár týdnů později, když si svět připomněl, že je to ruská aplikace, že fotografie analyzuje na svých serverech, a tak nejspíše slouží potřebám ruské FSB. V lepším případě!

Podobné vysvětlení bude nejspíše přitažené za uši, nicméně poměrně dobře ilustruje současnou bezpečnostní paranoiu, kdy za každým sběrem dat vidíme bubáka. Jenže, je to opravdu jen paranoia, anebo současnou realitou vynucený životní přístup?

Bojíme se FaceAppu, ale co ti další? 

Poměrně netradiční odpovědí na tuto věčnou otázku doby internetové může být zápisek Luise Corronse z Avastu na blogu Decoded. Corrons si položil vlastně docela prostou otázku. Pokud se mnozí zalekli FaceAppu, protože zpracovává naši fotografii na svém serveru (tam jej přelouská umělá inteligence), jsou stejně ostražití u každé aplikace, které si instalují z Play Storu pro Android?

c55cdacd-b6d0-4cbf-a8b4-e161bd9c79f0
Větší než malé množství svítilen na Google Play Store

Jedním z nejpopulárnějších typů aplikací pro Android byly ještě nedávno svítilny – drobné prográmky, které měly za úkol na povel rozsvítit přisvětlovací LED na zádech telefonu. Schválně používám minulý čas, protože tuto funkci už Android sám nabízí poměrně dlouho, nicméně svítilny dodnes okupují Play Store – jsou jich tam stovky a dohromady se těší mnoha milionům stažení.

Laboratoř pro appky

Corrons nakonec vypátral 937 mobilních svítilen a prohnal je interním analytickým nástrojem apklab.io. Avast jej vyvíjí posledních několik let a postupně jej otevírá i zájemcům z řad odborné veřejnosti.

6d37e124-54c4-4bec-a347-2090c1063d84
Úvodní karta aplikace v laboratoři apklab.io. Dozvím se zde základní statistiku a strukturu programu. Na kartách Static a Dynamic pak najdu pokročilou analýzu, co je uvnitř kódu a jak se aplikace chová za běhu, s kým komunikuje, jestli něco nestahuje atp.

Co to umí? Představte si, že vezmete všechny vzorky dat, který kdy Avast sesbíral od svých uživatelů, partnerů a z dalších zdrojů a složíte je dohromady. Výsledkem bude ohromný vyhledávač aplikací pro Android, které Avast v minulosti podrobně analyzoval. A co víc, do služby můžete nahrát vlastní balíčky APK, načež je během několika minut prošmejdí automatičtí roboti.

V každém případě, výsledkem bude report, ze kterého se dozvíte všechny rizikové aspekty aplikace počínaje výčtem všech práv, které má k dispozici nebo třeba webovými adresami, se kterými za běhu hodlá komunikovat, a konče rizikovými operacemi, které provádí.

26de58a4-e7c2-4b10-a8cb-402ef8312d107a780c6d-9add-46cb-b3f4-9d73d20a49f5a177d75c-7144-421d-979d-79508a1bf0b1
A to je už analýza mnohem zákeřnější aplikace, která se nachází v 27 databázích malwaru. Statická analýza odhaluje části kódu, kde aplikace přistupuje k fotoaparátu, telefonu, SMS, zámku obrazovky, právům správce, snaží se stahovat další kód atp.

K dispozici je jak statická analýza (co je v kódu aplikace), tak dynamická (analýza běhu aplikace v emulátoru). Stručně řečeno, člověk se za čtvrt hodiny a s trochou nadsázky dozví to samé, k čemu by jinak potřeboval četu znuděných absolventů matfyzu.

Průměrná svítilna žádá o více než 20 oprávnění

Ale zpět k našim svítilnám a konečně také k pointě tohoto článku. Když je apklab.io všechny prolustroval, Corrons s úžasem zjistil, že si v průměru žádají o více než dvacítku oprávnění. Raději znovu zopakuji, že se zde nebavíme o žádné z principu komplexní aplikaci jako třeba Facebook, který potřebuje přistupovat k internetu, k fotoaparátu, ke kontaktům a tak dále.

342364c9-a04c-4264-b072-1ab8d613b452
A kolik práv má vaše svítilna pro Android?

Bavíme se tu o svítilně, která by v ideálním případě potřebovala jedno jediné právo: svítit... A když bychom byli nároční, tak třeba i  tzv. wake lock, tedy právo, které umožní aplikaci být neustále vzhůru a svítit, aniž by ji vypnula energetická politika systému.

No dobrá, už průměr je abnormální, ale téměř tři stovky svítilen žádaly dokonce více než padesát oprávnění a ty nejzvědavější aplikace téměř osmdesát!

Přístupových práv je tolik, že je jejich potvrzování pro leckoho jen rutina

Jistě, můžete namítnout, že právě na přístupových právech k různým sekcím systému Google v minulosti hodně zapracoval, a tak se dnes snaží být Android v novějších verzích co možná nejtransparentnější a upozorňuje vás v podstatě na všechno, co chce aplikace udělat.

fea4611c-7187-4be4-a4a7-b304209369ee
Švýcarský nožík mezi svítilnami

Jenže na stranu druhou, ze stejného důvodu se z podobného potvrzování dalších a dalších práv kdejaké appky stává rutina a mnozí podobné dialogy už automaticky potvrzují, protože stejně dost dobře nevědí, k čemu dané právo vlastně opravdu slouží. Bohužel, na lepší UX zatím Google nepřišel, a tak alespoň všechny aplikace v Play Storu a volitelně i na telefonech svých uživatelů (Play Protect) průběžně audituje.

Bohužel, čas od času mu některá z nich unikne, a tak na scénu nastupují další hráči v čele s analytickými týmy antivirových společnosti, které tvoří vlastní auditní databáze a v minulosti odhalily nejeden malware, který bez povšimnutí prošel publikací v oficiálním katalogu aplikací.

Těžko uchopitelná šedá zóna

Zbytečně rozsáhlý výčet práv aplikace k zapínání LED fotoaparátu na zádech telefonu je sice podezřelý, zdaleka to však neznamená, že se automaticky jedná o malware. Svítilna Ultra Color Flashlight jich má tedy sice 77 (ano, opravdu 77!), nicméně podle apklab.io není ani v jedné z šedesáti malwarových databází, které shrnuje služba VirusTotal.

5845850c-473a-49f0-838b-90b9be922e57
Detailnější pohled na žádaná oprávnění aplikace Ultra Color Flashlight v laboratoři apklab.io

Podivná lampička se tak nachází v jakési šedé zóně a rozumný člověk by si ji neměl instalovat – i kdyby byla čistější než čerstvě zakoupený dětský pudr. Odmítnutím podobného softwaru totiž jako uživatelská základna nastavujeme pravidla hry, slušného chování a obecně dobrého UX.

32fe9399-0c7f-4e5a-b275-ab3d45952752
Svítilna Ultra Color Flashlight je úctyhodná i co do počtu URL adres v jejím kódu. Při poslední analýze komunikovala až se stovkou různých zdrojů. V lepším případě bude jen plná reklam.

Když mobilní vývojáři mlží

V tomto konkrétním případě je ohromný výčet práv daný především tím, že se aplikace chlubí bohatou funkční výbavou. Umí například nastavovat různá grafická témata pro příchozí hovory, a tak logicky potřebuje práva k telefonním hovorům, kontaktům a tak dále. Nutno podotknout, že je v tomto tvůrce alespoň na první pohled docela transparentní a těmito funkcemi se chlubí už ve snímcích obrazovky na kartě katalogu Play Store.

Nabízí se ale tedy otázka, proč se proboha aplikace jmenuje Ultra Color Flashlight, když ve skutečnosti dělá něco úplně jiného. Právě z tohoto důvodu by podobné appky měly zmizet z každého telefonu.

Je to virus, není to virus...

Zatímco zjevný malware dnes odhalí většina analytických systémů antivirových společností, právě tato šedá zóna pro ně dost možná bude napříště tou největší výzvou. Budou se totiž muset naučit odhadnout její pravý záměr, který často není zcela jasný ani zkušenému člověku z masa a kostí.

A právě tady na scénu vedle hloubkové analýzy síťového provozu aplikace, práv a samotné činnosti nastupuje i strojové učení a další techniky z ranku umělé inteligence, které snad s dostatečnou jistotou zjistí, jak moc šedá ta svítilna vlastně je. Apklab.io je jednou z prvních vlaštovek.

Diskuze (24) Další článek: Nový Chrome 77 umí snadno poslat webové stránky na další zařízení

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , , ,