BEZPEČNOSŤ MOBILNÝCH ZARIADENÍ

Posted on by PeterVe

SECURITY OF MOBILE DEVICES

Radomír Chovanec

Abstract

    The aim of the article is to assess security threats in the operation of mobile phones. The article describes the most common security threats and suggestions for increasing the level of security of mobile devices.

Keywords: smartphone, security

Abstrakt

   Cieľom článku je posúdiť bezpečnostné hrozby pri prevádzkovaní mobilných telefónov. V článku sú popísané najčastejšie bezpečnostné hrozby a návrhy na zvýšenie úrovne bezpečnosti mobilných zariadení.

Kľúčové slová: smartfón, bezpečnosť

Úvod

   Mobilné zariadenia postupne vnikli do našich životov a stali sa tak našou neodmysliteľnou každodennou súčasťou. Málo ľudí si však uvedomuje, že používaním smartfónu môžu ohrozovať svoju bezpečnosť. Pomocou mobilných aplikácii sa môžeme pripojiť na sociálne siete, internetbankingu ale aj na pracovný email, v ktorom môžeme mať zálohované citlivé údaje. S možnosťami však prichádzajú aj hrozby. Mobilné zariadenia sú zraniteľné a dokážu ich napádať vírusy, ktoré nám môžu znepríjemniť život a ukradnúť aj osobné údaje[5].

Mobilné zariadenia a ich bezpečnosť

   Informačná bezpečnosť sa vo všeobecnosti zaoberá ochranou dát a informácií od ich počiatku, cez spracovanie, ukladanie a prenos až po ich odstránenie na základe presne stanovených organizačných opatrení. Informačná bezpečnosť sa taktiež definuje ako schopnosť siete alebo informačného systému spoľahlivo odolávať náhodným udalostiam, nezákonnému konaniu, ktoré by mohlo ohroziť dostupnosť, pravosť, integritu a dôveryhodnosť uchovávaných alebo prenášaných údajov prístupných prostredníctvom týchto sietí a systémov[7].

   Mobilné zariadenia môžeme popísať ako systémy, pre ktoré sú príznačné viaceré vlastnosti, na ktorých je postavený práve prívlastok „mobilné“. V základe môžeme hovoriť o mobilnom zariadení ako o zariadení, ktoré je prenosné. Používateľ ho môže využívať na rôzne účely a v rôznych situáciách počas dňa bez väčších obmedzení. S možnosťou neobmedzeného prenosu sa však nevyhnutne spája aj použiteľnosť takého zariadenia predovšetkým v situáciách, pre ktoré je charakteristický pohyb, či premenlivosť prostredia.

Bezpečnostné hrozby

   Všetky smartfóny sú už dnes ohrozené podobne ako počítače. Sú na ne skúšane všetky typy útokov, a preto je potrebné chrániť si svoju bezpečnosť. Pre mobily existujú obzvlášť riziká, keďže sú prenosné a ľahko vieme byť podľa nich sledovaný. Preto by mali byť chránené širšou skupinou bezpečnostných techník ako tradičné notebooky.

    Čo ohrozuje naše mobilné zariadenie? Aj obyčajné stiahnutie aplikácie alebo návšteva neoverených stránok. Medzi najznámejšie ohrozenie patrí nesprávne ukladanie dát. Ak nemáme dostatočne zálohované dáta, tak môžeme o nich prísť a to už spôsobom nesprávne zabezpečenej aplikácie alebo stratou telefónu. Najzraniteľnejšími údajmi sú pre nás heslá, osobné údaje ako meno, priezvisko, adresa, poprípade číslo občianskeho preukazu. Taktiež môže ísť o citlivé firemné dáta akými sú ekonomické výkazy, strategické plány alebo osobné údaje zamestnancov firmy.

   Ďalšou hrozbou je slabá kontrola zo strany serveru. Servery, ktoré nemajú dostatočne vyvinuté bezpečnostné opatrenia môžu neoprávneným užívateľom pristúp  k našim údajom[8]. Tvorcovia aplikácii by spravidla mali používať vlastný server alebo server iných firiem, aby ochránili svojich zákazníkov. Ak nie je aplikácia uložená na overenom serveri môže spôsobiť problémy.  Dnes firmy poskytujú služby nielen na zálohovanie údajov ale dokážu zaručiť aj ich bezpečnosť.

   Pri tvorení mobilných aplikácií dochádza k výmene údajov typom klient-server. K tejto výmene údajov prichádza prostredníctvom sieti operátora a internetu[2]. Ak je aplikácia zle naprogramovaná a nie je dostatočne zabezpečená, prostriedky hrozby môžu použiť rôzne techniky na zobrazenie citlivých údajov, kým údaje prechádzajú sieťou. K úniku údajov môže dôjsť v sieti používateľa alebo na sieťovom zariadení, ktoré prepája používateľa s internetom.[3] Únik citlivých údajov môže spôsobiť, že dochádza napríklad k neoprávneným platbám v zahraničí z našej karty. Banky s tým mali niekoľko skúseností a museli tým pádom riešiť reklamácie klientov.

   Ďalším typom útoku je ohrozenie, ktoré si ani nemusíme všimnúť. Ak si z niektorého storu stiahneme aplikáciu je kód aplikácie uložený na zariadenie používateľa. Na tento kód dokážu útočníci vytvoriť textový súbor, do ktorého vsunú kód na vykonanie útoku. Útoky takzvaného vsunutia alebo inak povedané SQL Injection na zariadení používateľa fungujú na princípe toho, že využívaná aplikácia pracuje s viac ako jedným používateľským kontom na jednej aplikácii so zdieľaným zariadením alebo s plateným obsahom. Ďalšie injekčné body sú určené na preťaženie zložiek aplikácie, ktoré nemajú takú veľkú úspešnosť vďaka spravovaným ochranám kódu aplikačných jazykov[5].

   Ďalšou hrozbou je nevhodné správanie relácie, ktoré môže narušiť bezpečnosť chodu aplikácie. Predísť takémuto správaniu dokážu zabezpečené aplikácie takým spôsobom, že majú nastavený čas relácie a po vypršaní času sa jednotlivé okno aplikácie zatvorí. Používateľ tak musí celu  reláciu vykonať odznova. Toto zabezpečenie by malo predísť tomu, aby niekto iný vstúpil do zariadenia používateľa. Tieto postupy by mali byť zavedené pre všetky aplikácie, ktoré pracujú s citlivými údajmi. S týmto zabezpečením sa môžeme stretnúť napríklad pri internebankingu. Pri platení a zadávaní čísla karty, ak necháme okno otvorené a nevložíme všetky potrebné údaje po nejakom čase sa nám platba zruší a proces platby môžeme opakovať od začiatku[6].

   Pri stránkach, ktoré požadujú ako sú cookies, premenné prostredia a skryté časti formulárov nemôže používateľ nemôže urobiť zmenu. Čo je však nevýhodou potencionálny útočník môže vykonať zmenu bez vedomia používateľa. Ak sa nevykonávajú autorizované vstupy na základe hodnôt vstupov hacker môže celú autorizáciu obísť.  Bez dostatočného šifrovania, kontroly integrity alebo iného mechanizmu je každý vstup, ktorý pochádza zvonku, považovaný za nedôveryhodný[1].

   Smartfóny často nepoužívajú žiaden bezpečnostný softvér, ktorý by ich ochránil. Mnohé zariadenia nemajú v sebe zabudované také nástroje, ktoré by mohli slúžiť na ochranu pred škodlivými aplikáciami, spywarom alebo malvérom Jeden z najjednoduchších riešení je fyzické zabezpečenie telefónu. Každý výrobca ponúka možnosť uzamknutia telefónu. Ako sa vyvíjali telefóny, vyvíjali sa aj riešenia uzamkýnania mobilných zariadení. Najprv to bolo klasické uzamknutie, kde sa 20 od používateľa vyžadovalo heslo. Neskôr vyšli na trh zariadenia, ktoré už v sebe obsahovali senzor na odomknutie pomocou odtlačku prsta. Najnovším trendom je však, že telefón zaznamená tvár používateľa a tým odomkne telefón.

Zvýšenie bezpečnosti mobilných zariadení

   Odborníci, zameraní na ochranu osobných údajov v mobilných aplikáciách, ktoré poskytujú peňažné služby (internetbanking) vypracovali niekoľko rád ako by sa mal používateľ chrániť, a tým pádom ochránil svoje údaje a financie[4]:

  • inštalovať si antivírus a ďalšie aplikácie pre zabezpečenie – v dnešnej dobe sa oplatí priplatiť za balík služieb, ktorý nám komplexne ochráni telefón, ďalšou možnosťou je nainštalovať si antivírusový program, napr. Avast, ktorý odhalí prípadné vírusy
  • neprihlasovať so do interbankingu bez ochrany na verejnej wifi – do verejne wifi sa môže prihlásiť hocikto, napríklad aj hacker, ktorý tak ľahko môže získať naše dáta, a preto treba prihlasovať len do zabezpečených serverov a do zariadenia inštalovať softvér, ktorý prinesie bezpečné pripojenie na verejných WIFI
  • používať službu VPN –  vďaka VPN sa dá pripojiť k rôznym serverom cez zašifrované zariadenia, ktoré zvonku nie je čitateľné. Je lepšie vyvarovať sa bezplatným VPN, na ktoré sa môžu pripojiť rôzni ľudia[10].
  • používať silné heslá – silné heslá znížia riziko nabúrania sa k osobným údajom, na úplnú ochranu však nestačia, a preto je potrebné sa zabezpečiť viacerými spôsobmi
  • predchádzať zavíreniu zariadenia – ak je v smartfóne používaný antivírus a softvér je stále aktualizovaný pravdepodobnosť nakazenia je veľmi nízka. Do telefónu by sme si mali sťahovať len overené aplikácie, rozumnejšie si je priplatiť za overenú aplikáciu ako v dôsledku víru prísť o celý telefón
  • nepodceňovať SMS správy a hovory – nebezpečenstvo môžu predstavovať aj hovory z neoverených čísel, ktoré môžu odpočúvať naše zariadenie
  • vlastná ochrana – mali by sme byť ostražití aké informácie zdieľame na sociálnych sieťach, neodporúča sa uvádzať osobné údaje, a údaje, ktoré by mohli ohroziť bezpečnosť bankového účtu.
  • správa systému – nastavenie, ktoré sa týka celkového systému, užívateľských účtov a oprávnení.

   Pri strate telefónu nehrá takú dôležitú rolu cena telefónu ale jeho obsah. V Londýne sa napríklad denne odcudzí až 314 smartfónov. Moderné mobilné zariadenia obsahujú možnosť strateného módu. Ide o funkciu, ktorá sa aktivuje v prípade straty a odcudzenia telefónu. Zariadenia obsahujú nastavenie vzdialeného ovládania. Toto ovládanie sa uskutočňuje prostredníctvom webového prehliadača, pomocou mobilnej siete alebo GPS signálu. Používateľ si môže zadefinovať, čo sa udeje s telefónom v prípade straty alebo odcudzenia. Existujú voľby ako vymazať všetky údaje, restovať telefón do továrenského nastavenia, vypísať kontaktné údaje v prípade vrátenia telefónu[9].

Záver

   Bezpečnosť mobilných zariadení, ktoré dennodenne používame, je diskutabilná. Existuje množstvo hrozieb, ktoré sú špecializované práve na mobilné zariadenia. Podnikové riešenia používania mobilných zariadení sú na tom výrazne lepšie, ale aj tam je potrebné narábať s mobilným zariadením obozretne a nenechať sa uspokojiť informáciou, že zariadenie je bezpečné.

Použitá literatúra

  • [1]   ADLI, M.K. – NIYA, J. Security bootstrapping of mobile ad hoc networks using identity-based cryptography. In Security and Communication networks . WILEYBLACKWELL. vyd. [cit. 2020-12-01]. . .
  • [2]   FALCONI, A. ECG Authentication for Mobile Devices. In IEEE Transactions on Instrumentation and Measurement. . IEEE-INST ELECTRICAL ELECTRONICS ENGINEERS INC. vyd.2016. [cit. 2020-12-01]. . .
  • [3]   KIM, S. Certificate sharing system for secure certificate distribution in mobile environment. In Expert Systems with Applications . PERGAMONELSEVIER SCIENCE LTD. vyd.2015. [cit. 2020-12-01]. . .
  • [4]   MARIANTONIETTA, L.P. A Survey on Security for Mobile Devices. In IEEE Communications Susrveys and Tutorials . IEEE-INST ELECTRICAL ELECTRONICS ENGINEERS INC. vyd.2013. [cit. 2020-12-01]. . .
  • [5]   MATUŠOVIČ, M. et al. Protection of Competition – the Global Economic Crisis VI. . Mukařov – Srbín: Ľuboš Janica, 2018. 190 s. ISBN 978-80-270-1037-0.
  • [6]   PERÁČEK, T. et al. Legislative aspects of custody of securities in the conditions of the Slovak Republic. In Finance and sustainability [elektronický dokument] : Proceedings from the 2nd Finance and sSustainability Conference, Wroclaw 2018 . Cham: Springer Verlag, 2020. s. 237–247. ISBN 978-3-030-34400-9.
  • [7]   PORADA, V. et al. Kybernetická bezpečnost. 6. In Bezpečnostní vědy : úvod do teorie, metodologie a bezpečnostní terminologie . Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2019. s. 160–182. ISBN 978-80-7380-758-0.
  • [8]   TAGO, P. Mobile payment: Understanding the determinants of customer adoption and intention to recommend the technology. In Computers in Human Behavior . PERGAMON-ELSEVIER SCIENCE LTD. vyd.2016. [cit. 2020-12-01]. . .
  • [9]   VESELÝ, P. Manažment ochrany informácií. . Praha: TopSmart Business, 2020. ISBN 978-80-270-9014-3.
  • [10]   VESELÝ, P. et al. Tools for modeling exemplary network infrastructures. In The 7th International Conference on Emerging Ubiquitous Systems and Pervasive Networks (EUSPN 2016)/The 6th International Conference on Current and Future Trends of Information and Communication Technologies in Healthcare (ICTH-2016)/Affiliated Workshops [elektronický zdroj] . s. 174–181. .

Celé vydanie časopisu Manažérska Informatika ročník 1, 2020, číslo 2

Indexed : GOOGLE SCHOLAR