Kihasználva a népszerű Skype csevegőprogram súlyos hibáját, a hackerek az androidos okostelefonokról szinte bármilyen információt begyűjthetnek, beleértve a belépési adatokat, a felhasználó e-mail címét és fiókjának jelszavát, kontaktlistáját vagy akár a beszélgetése logfájljait is. A hibára egy androidos programozói blog szakértője bukkant rá, és gyorsan nyilvánosságra is hozta. „A Skype programozói valamilyen tévedés folytán több fájlban nem állították át a hozzáférési jogokat, így bárki, vagy bármilyen másik alkalmazás kihasználhatja ezeket” – tudatta a Justin Case felhasználói néven publikáló szakértő. A hiba lehetővé teszi, hogy rosszindulatú fejlesztők ugyanezt a programozási hátsó ajtót beépítsék saját alkalmazásukba. Ezzel eláraszthatják a felhasználókat az Android Marketen keresztül, majd pedig egyszerűen begyűjthetik az adataikat.
SLÁGERTÉMA. Adrian Asher, a Skype biztonsági vezetője gyorsan reagált a hírre: egy blogbejegyzésben elismerte a hibát. Ezt ugyan pár nap alatt orvosolták, Asher azonban maga is hangsúlyozta, hogy a felhasználóknak jobban oda kell figyelniük arra, miket töltögetnek le a korábban kontroll nélkül működő Android Marketről. A biztonsági problémákra reagálva a Google egy ideje felvette a harcot a kártékonynak ítélt programokkal szemben. Ezeket azonnal törlik az alkalmazásboltjukból, sőt a felhasználók telefonjaira installáltakat akár távolról is képesek kiiktatni.
A fenti példa jól illusztrálja, hogy az informatikai biztonsági szakértők a 2011-es esztendő egyik slágertémájának miért éppen az okostelefonok biztonságát jelölték meg. A korábbinál jóval fejlettebb készülékek szerte a világon rohamosan terjednek. Az amerikai Gartner cég előrejelzése szerint 2013-ra az okostelefon lesz a felhasználók elsődleges IT platformja, és az efféle készülékek száma addigra meghaladja a PC-két és laptopokét. Mindeközben a mobiltulajdonosok döntő többsége még mindig nincs azzal tisztában, hogy a zsebében már-már egy számítógép összes tulajdonságával felvértezett masina lapul, amely a legkifinomultabb támadásoknak van kitéve.
Az amerikai AVG Bank a közelmúltban a pénzintézeti adatokkal összefüggő mobiltelefonos szokásokról készített felmérést. Mint kiderült, a megkérdezettek 91 százalékának fogalma sincs arról, hogy léteznek banki adatok ellopására szakosodott mobilos vírusok. A legnagyobb veszélynek azok a felhasználók vannak kitéve, akik a telefonjukkal is ugyanazt a hibát követik el, mint amikor határidőnaplójuk hátuljára, vagy a pénztárcájukba egy cetlire szép, kövér betűkkel felírják a bankkártyájuk PIN kódját. A válaszadók 29 százaléka ugyanis úgy nyilatkozott, mobiltelefonjukban elmentették bankkártyájuk adatait, akár a PIN kódokkal együtt. Arra a kérdésre pedig, hogy tárol-e bizalmas munkahelyi adatokat, belépőkódokat vagy dokumentumokat a telefonján, 35 százalék válaszolt igennel. A mobilosok egyharmada mélységesen megdöbbent, amikor a felmérésben rávilágítottak: az üzleti telefon felelőtlen magánjellegű használatával a céges adatbiztonságot is veszélyeztetik.
Hasonló trendek olvashatók ki az informatikai biztonságra szakosodott Ponemon Institute kutatásából is. E szerint a felhasználók 84 százaléka ugyanazt az okostelefont használja munkára és magáncélra. Ez vonzó célponttá teszi az eszközöket a bűnözők számára. Ráadásul az emberek többsége úgy nyilatkozott, hogy egyáltalán nem néz utána, milyen forrásból tölt le például egy új alkalmazást. Gaidosch Tamás, a KPMG partnere azt hangsúlyozta a közelmúltban a Figyelő és a Bitport által informatikai vezetőknek rendezett CIO’11 konferencián, hogy a hagyományos mobilok sem voltak mentesek a sebezhetőségtől (például a Bluetooth, a WAP révén), de az okostelefonoknál sokkal több probléma merülhet fel. A biztonsági kockázatok és támadási lehetőségek rendkívül szerteágazóak: a földrajzi követéstől a pénzügyi adatok megszerzését célzó akciókon és a megtévesztő applikációkon keresztül egészen a telefon elvesztéséig, felügyelet nélkül hagyásáig. Ez utóbbi akkor is veszélyes lehet, ha csak néhány percre nincs a felhasználónál a készülék, ennyi idő bőven elegendő lehet ugyanis a kritikus adatok megszerzéséhez.
NAGY TÁMADÁSI FELÜLET. „A mobileszközök biztonsági kockázatai sokszor nem is elsősorban a technológiából, hanem a felhasználói szokásokból erednek” – hívta fel a figyelmet Márton Miklós, a Kürt Zrt. üzleti vezérigazgató-helyettese is. A vállalati felhasználók, sőt gyakran még az információbiztonságért felelősök is elsiklanak a rizikófaktorok felett. Így nincsenek tisztában azzal, hogy a mobileszközök többnyire nem rendelkeznek megfelelő szintű védelemmel. Emellett a használatuk révén a személyes és vállalati adatok gyakorlatilag összeolvadtak. Ez egyrészt rést üt a cég nehezen kiépített védelmi vonalain, másrészt a felhasználó és az őt foglalkoztató vállalat számára is nagy kockázatokat rejt.
A magáncélú használat esetén már azzal is sokat teszünk a védelemért, ha a lehető legszigorúbb gyári beállításokat és titkosítást alkalmazzuk. Ugyanakkor valamennyi platformra elérhetők például olyan alkalmazások, amelyekkel akár távolról is lementhetjük, majd törölhetjük az illetéktelen kézbe került telefonunkon található adatokat. A vállalati környezetben azonban – figyelmeztet a Kürt szakembere – a heterogén mobilflotta központi menedzsmentjére, az informatikai biztonsági szabályzat kiterjesztésére és a biztonsági tudatosságot erősítő oktatásra is szükség van.
Az új ciklus első Európai Uniós forrásból finanszírozott kockázati tőkebefektetése a debreceni Insimu Patient volt, amely tőkét kapott a Hiventurestől.
Az Európai Unió által támogatott új projekt, a FabLabNet március 28-án indul a partnerek által közösen, 3D-nyomtatott alkatrészekből épült rakéta jelképes kilövésével..
Európában is egyedülálló digitális oktatási platformmal és a diploma mellett akár befektetési lehetőségekkel is várja a Kaposvári Egyetem 2017-ben hallgatóit.
A Bay Zoltán Kft. másfél milliárd forintnyi magas hozzáadott értékű kutatási, fejlesztési és innovációs projektek fejlesztését kezdi meg.
Zsebre vágott életveszély
A mobilok biztonsági kockázatai
Figyelő Online
- Figyelő
2011.04.26 16:44
Az okostelefonok legnagyobb biztonsági rizikója abban rejlik, hogy egy helyen tárolja az összes személyes és céges adatunkat, így azok minden eddiginél könnyebben kerülhetnek rossz kezekbe.
Kihasználva a népszerű Skype csevegőprogram súlyos hibáját, a hackerek az androidos okostelefonokról szinte bármilyen információt begyűjthetnek, beleértve a belépési adatokat, a felhasználó e-mail címét és fiókjának jelszavát, kontaktlistáját vagy akár a beszélgetése logfájljait is. A hibára egy androidos programozói blog szakértője bukkant rá, és gyorsan nyilvánosságra is hozta. „A Skype programozói valamilyen tévedés folytán több fájlban nem állították át a hozzáférési jogokat, így bárki, vagy bármilyen másik alkalmazás kihasználhatja ezeket” – tudatta a Justin Case felhasználói néven publikáló szakértő. A hiba lehetővé teszi, hogy rosszindulatú fejlesztők ugyanezt a programozási hátsó ajtót beépítsék saját alkalmazásukba. Ezzel eláraszthatják a felhasználókat az Android Marketen keresztül, majd pedig egyszerűen begyűjthetik az adataikat.
SLÁGERTÉMA. Adrian Asher, a Skype biztonsági vezetője gyorsan reagált a hírre: egy blogbejegyzésben elismerte a hibát. Ezt ugyan pár nap alatt orvosolták, Asher azonban maga is hangsúlyozta, hogy a felhasználóknak jobban oda kell figyelniük arra, miket töltögetnek le a korábban kontroll nélkül működő Android Marketről. A biztonsági problémákra reagálva a Google egy ideje felvette a harcot a kártékonynak ítélt programokkal szemben. Ezeket azonnal törlik az alkalmazásboltjukból, sőt a felhasználók telefonjaira installáltakat akár távolról is képesek kiiktatni.
A fenti példa jól illusztrálja, hogy az informatikai biztonsági szakértők a 2011-es esztendő egyik slágertémájának miért éppen az okostelefonok biztonságát jelölték meg. A korábbinál jóval fejlettebb készülékek szerte a világon rohamosan terjednek. Az amerikai Gartner cég előrejelzése szerint 2013-ra az okostelefon lesz a felhasználók elsődleges IT platformja, és az efféle készülékek száma addigra meghaladja a PC-két és laptopokét. Mindeközben a mobiltulajdonosok döntő többsége még mindig nincs azzal tisztában, hogy a zsebében már-már egy számítógép összes tulajdonságával felvértezett masina lapul, amely a legkifinomultabb támadásoknak van kitéve.
Az amerikai AVG Bank a közelmúltban a pénzintézeti adatokkal összefüggő mobiltelefonos szokásokról készített felmérést. Mint kiderült, a megkérdezettek 91 százalékának fogalma sincs arról, hogy léteznek banki adatok ellopására szakosodott mobilos vírusok. A legnagyobb veszélynek azok a felhasználók vannak kitéve, akik a telefonjukkal is ugyanazt a hibát követik el, mint amikor határidőnaplójuk hátuljára, vagy a pénztárcájukba egy cetlire szép, kövér betűkkel felírják a bankkártyájuk PIN kódját. A válaszadók 29 százaléka ugyanis úgy nyilatkozott, mobiltelefonjukban elmentették bankkártyájuk adatait, akár a PIN kódokkal együtt. Arra a kérdésre pedig, hogy tárol-e bizalmas munkahelyi adatokat, belépőkódokat vagy dokumentumokat a telefonján, 35 százalék válaszolt igennel. A mobilosok egyharmada mélységesen megdöbbent, amikor a felmérésben rávilágítottak: az üzleti telefon felelőtlen magánjellegű használatával a céges adatbiztonságot is veszélyeztetik.
Hasonló trendek olvashatók ki az informatikai biztonságra szakosodott Ponemon Institute kutatásából is. E szerint a felhasználók 84 százaléka ugyanazt az okostelefont használja munkára és magáncélra. Ez vonzó célponttá teszi az eszközöket a bűnözők számára. Ráadásul az emberek többsége úgy nyilatkozott, hogy egyáltalán nem néz utána, milyen forrásból tölt le például egy új alkalmazást. Gaidosch Tamás, a KPMG partnere azt hangsúlyozta a közelmúltban a Figyelő és a Bitport által informatikai vezetőknek rendezett CIO’11 konferencián, hogy a hagyományos mobilok sem voltak mentesek a sebezhetőségtől (például a Bluetooth, a WAP révén), de az okostelefonoknál sokkal több probléma merülhet fel. A biztonsági kockázatok és támadási lehetőségek rendkívül szerteágazóak: a földrajzi követéstől a pénzügyi adatok megszerzését célzó akciókon és a megtévesztő applikációkon keresztül egészen a telefon elvesztéséig, felügyelet nélkül hagyásáig. Ez utóbbi akkor is veszélyes lehet, ha csak néhány percre nincs a felhasználónál a készülék, ennyi idő bőven elegendő lehet ugyanis a kritikus adatok megszerzéséhez.
NAGY TÁMADÁSI FELÜLET. „A mobileszközök biztonsági kockázatai sokszor nem is elsősorban a technológiából, hanem a felhasználói szokásokból erednek” – hívta fel a figyelmet Márton Miklós, a Kürt Zrt. üzleti vezérigazgató-helyettese is. A vállalati felhasználók, sőt gyakran még az információbiztonságért felelősök is elsiklanak a rizikófaktorok felett. Így nincsenek tisztában azzal, hogy a mobileszközök többnyire nem rendelkeznek megfelelő szintű védelemmel. Emellett a használatuk révén a személyes és vállalati adatok gyakorlatilag összeolvadtak. Ez egyrészt rést üt a cég nehezen kiépített védelmi vonalain, másrészt a felhasználó és az őt foglalkoztató vállalat számára is nagy kockázatokat rejt.
A magáncélú használat esetén már azzal is sokat teszünk a védelemért, ha a lehető legszigorúbb gyári beállításokat és titkosítást alkalmazzuk. Ugyanakkor valamennyi platformra elérhetők például olyan alkalmazások, amelyekkel akár távolról is lementhetjük, majd törölhetjük az illetéktelen kézbe került telefonunkon található adatokat. A vállalati környezetben azonban – figyelmeztet a Kürt szakembere – a heterogén mobilflotta központi menedzsmentjére, az informatikai biztonsági szabályzat kiterjesztésére és a biztonsági tudatosságot erősítő oktatásra is szükség van.
címkék:
Hozzászólások
Le Pen az EU-s népszavazásról
Marine Le Pen államfővé választása esetén megvárja a német és az olasz parlamenti választások eredményét, mielőtt népszavazást ír ki.
Megszavazták a "CEU-törvényt"
A jövőben akkor működhet oklevelet adó külföldi felsőoktatási intézmény Magyarországon, ha működésének elvi támogatásáról államközi szerződés rendelkezik.
Újabb vizsgálat tárgya a Hungast
Mégsem jön létre a menza cégek tervezett fúziója. Egyelőre nem vásárolja meg a Hungast Zrt. a Sodexot, mert nem teheti. A Gazdasági Versenyhivatal közbelépett.
Szíriai fegyveresekkel állt kapcsolatban a szentpétervári merénylő
A felrobbantott pokolgép hasonló volt ahhoz a másikhoz, amelyet később a Ploscsagy Voszsztanyija metróállomáson hatástalanítottak.
Ötvenmilliárd feletti tőke a startupoknak
Az új ciklus első Európai Uniós forrásból finanszírozott kockázati tőkebefektetése a debreceni Insimu Patient volt, amely tőkét kapott a Hiventurestől.
Budapesti konferenciával indul a FabLaBNet
Az Európai Unió által támogatott új projekt, a FabLabNet március 28-án indul a partnerek által közösen, 3D-nyomtatott alkatrészekből épült rakéta jelképes kilövésével..
Kaposváron oktatják a jövő startup vállalkozóit
Európában is egyedülálló digitális oktatási platformmal és a diploma mellett akár befektetési lehetőségekkel is várja a Kaposvári Egyetem 2017-ben hallgatóit.
Másfél milliárd 6 erős nagyprojektre
A Bay Zoltán Kft. másfél milliárd forintnyi magas hozzáadott értékű kutatási, fejlesztési és innovációs projektek fejlesztését kezdi meg.
