Így tesznek ki minket a hekkelésnek az olcsó okostelefonok és a rossz szabályozások

Mobilbolt a zambiai Lusakában. Fotó: Curious Lee, Flickr (CC BY-NC-SA 2.0)
Mobilbolt a zambiai Lusakában. Fotó: Curious Lee, Flickr (CC BY-NC-SA 2.0)

A cikk szerzője Nathalie Maréchal, a Ranking Digital Rights vezető kutatója.

Nem minden felhasználó egyenrangú, ha okostelefonokról van szó. Az alacsonyabb vagy középszintű jövedelemmel rendelkező emberek főként megfizethető árú Android eszközöket használnak információmegosztásra, de az olcsóbb telefonok sokszor sebezhetőbbek az online fenyegetés és a hekkelés szempontjából.

Az Android operációs rendszerrel működő telefonok teszik ki a globális piac 88 százalékát, a maradék 12 százalék iPhone. De nem minden androidos készülék ugyanolyan: a Google által felügyelt modellek, mint a Nexus vagy a Pixel okostelefon jelentősen erősebb védelemmel rendelkeznek a hekkeléssel szemben, összehasonlítva a Samsung, a Huawei, a Sony vagy a Xiaomi telefonokkal. Sokkal drágábbak is, áruk az iPhone-éval vetekszik.

Ennek eredménye, hogy a tehetősebb felhasználók, akik párévente tudnak új, felsőbb kategóriás eszközöket venni, védettebbek lesznek azokkal a fenyegetésekkel szemben, amelyeknek a felhasználók többsége, akik olcsóbb vagy használt telefonokat használnak, és nem cserélik őket olyan gyakran, sokkal inkább ki van téve.

Ez azt is jelenti, hogy azok, akik nem engedhetnek meg maguknak egy jobb eszközt, ki vannak téve csalásnak, személyazonosság-lopásnak, kizsákmányolásnak, online zaklatásnak, erőszaknak, vagy más károknak, amelyeket a digitális magánszféra megsértése okozhat.

Ez egy komoly, de kevéssé megértett társadalmi egyenlőtlenségi ügy világszerte

A Ranking Digital Rights egy nonprofit kutatási kezdeményezés, ami azt vizsgálja, milyen hatással vannak a legtekintélyesebb mobil és távközlési cégek gyakorlatai a felhasználók jogaira. Kutatásuk rámutatott, hogy ezek a cégek még a legalapvetőbb információt sem közlik a felhasználókkal arról, hogy az okostelefonok és a bennük lévő szoftver hogyan hat a biztonságra.

Minden, amit egy mobileszközön csinálunk olyan digitális nyomokat hagy, amelyek alapján részletes portré rajzolódhat ki arról, kik vagyunk, mit csinálunk, mit veszünk és akár arról is, hogy mit gondolunk. Ezek az adatok nagyon értékesek a szolgáltatók számára, de kormányok, bűnözők és bárki más is használhatja őket, ha ártani akar nekünk.

Az MTN távközlési cég autója Ugandában. A fotó 2005. november 28-án készült, CC 2.0.

A kutatók folyamatosan bukkannak rá olyan technikai hibákra a mobilok szoftverében, amelyeket a támadók – beleértve az állami megbízásból dolgozókat is – ki tudnak használni arra, hogy kémszoftvereket telepítsenek az eszközre, vagy átvegyék az irányítást felette akár egy SMS küldése révén is. A Global Voiceson többször is írtunk ezekről az ügyekről, például az iráni aktivisták vagy tibeti internetezők elleni támadásokról.

Míg vannak felhasználók, akik megkapják a biztonsági frissítéseket a szoftver gyártójától, ami megoldja a problémát, sokan nem ilyen szerencsések. Gyakran a gyártók sem magyarázzák el a felhasználóknak, miért is fontos a frissítéseket telepíteni.

Sok cégnek van olyan programja, ami arra bátorítja az embereket, hogy jelezzék, ha hibát vagy technikai problémát találnak, így sor kerülhet a megoldásra és frissülhet a javítással minden eszköz, ami futtatja a szoftvert.

Ez elég jól működik az Apple és a Google szemszögéből nézve, ez a két cég állítja elő a világ okostelefonjain futó szoftverek 99,6 százalékát. Tavaly nyáron egy Bill Marczak, a Berkeley egyik hallgatója által vezetett biztonságkutató csoport felfedezte, hogy az Egyesült Arab Emírségek egy nagyon szofisztikált, korábban ismeretlen módszert használt arra, hogy emberi jogvédőket támadjon, a céljuk az volt, hogy az aktivisták telefonját lehallgatókészülékké alakítsák át, ami mindent felvesz, ami körülöttük történik. Szerencsére egy Emírségekből származó disszidens, Ahmed Mansoor nem esett bele a csapdába, hanem jelezte Marczakéknak az esetet, akik továbbították azt az Apple-nek. Az Apple mérnökei állítólag túlórázva dolgoztak azért, hogy kevesebb mint egy hónap alatt megkaphassák a felhasználók a frissítést. Az Android biztonsági csapata ugyanilyen gondosan dolgozik a javításokon.

Probléma akkor van, ha más androidos hardvergyártókról van szó, például a Samsungról, a HTC-ről vagy a Xiaomiről.

Különböző okok miatt ezek a gyártók módosítják az Android nyílt forrású operációs rendszerét, ami megnehezíti a szoftverfrissítések közreadását. A kódot, amit a Google közzétesz olyan módon kell módosítani, hogy illeszkedjen az operációs rendszerben lévő változtatásokhoz. Az eszköz gyártója mellett maguk a mobilszolgáltatók is közzétehetnek módosításokat, így viszont még egy lépcsőt iktatnak be a folyamatba, ami még jobban lelassítja a szoftver frissülését. Az Apple nem engedélyezi az ilyen változtatásokat az iOS operációs rendszerben, a Google maga felügyeli a Google áruházban vásárolt Nexus és Pixel telefonok frissítési folyamatát.

Ennek az eredménye, hogy minden pillanatban Android felhasználók millióinak eszközei támadhatók ismert sebezhetőségeken keresztül, azaz olyan támadásokkal, amelyeket a nemzetközi online biztonsági szakma már ismer. Olyan ez, mintha egy olyan kulccsal zárnánk be a házunk ajtaját, aminek a másolata több száz embernek megvan. Mivel ezek az eszközök jóval olcsóbbak, mint a Nexus vagy a Pixel modellek vagy az iPhone-ok, ezért a szegények, a társadalom marginalizált csoportjainak tagjai, azok akik kevésbé értenek a technológiához, tehát éppen azok, akiknek valószínűleg az egyetlen internetelérési lehetősége az okostelefonja lesznek azok, akik a legnagyobb kockázatnak vannak kitéve, ha támadásokról van szó.

Ranking Digital Rights: 2017-es vállalati elszámoltathatósági rangsor

A 2017-es rangsor 22 céget listáz 35 indikátor alapján 3 kategóriában. Az indikátorok azt jelzik, hogy a cég közzétette-e és milyen formában azokat a vállalati alapelveket, amelyek a felhasználók szólásszabadságát és magánszféráját érintik.

A módszertanról, a kutatási folyamatról és arról, hogyan értékeli a cégeket a Ranking Digital Rights a honlapjukon olvashat. A Ranking Digital Rights szervezetet a Global Voices társalapítója, Rebecca MacKinnon indította el.

A Google adatai szerint az androidos eszközök mindössze fele kapott biztonsági frissítést 2016-ban, és világszerte az eszközök mindössze 3 százalékán fut a legfrissebb operációs rendszer. Felismerve azt, hogy ez milyen súlyos probléma, az amerikai Szövetségi Kereskedelmi Bizottság és a Szövetségi Kommunikációs Bizottság közös vizsgálatot indított a mobilos biztonsági frissítések ügyében, de több mint egy évvel később sem tettek közzé semmilyen fejleményt a szervezetek.

A Ranking Digital Rights 2017-es vállalati elszámoltathatósági rangsora 22 nemzetközi internetes és távközlési cég nyilvánosan elérhető információit és vállalásait hasonlítja össze abból a szempontból, hogy milyen hatással vannak a felhasználók emberi jogaira, köztük a szólásszabadságra és a magánszférára. A vizsgált cégek közt van a Samsung, amelynek a legnagyobb a részesedése az Android eszközökből világszerte, valamint 10 távközlési szolgáltató is. A Google mellett még Android szoftverfrissítések közreadásával foglalkozó 11 cég közül egyik sem tett közzé információt arról, milyen változtatásokat eszközöltek az Android alapverzióján, vagy akár arról, hogy ezek a változtatások hogyan hatnak a biztonsági frissítések közreadására.

Ezenfelül a 3 vizsgált okostelefon-gyártóból csak a Google adott meg pontos dátumot arra, meddig garántálják, hogy az egyes modellek frissítéseket kapnak. A Nexus és Pixel eszközökre legalább két évig érkeznek frissítések azután, hogy kaphatók a Google áruházban, és 3 évig kapnak biztonsági frissítéseket onnantól, hogy az első eszköz elérhető volt, vagy legalább 18 hónapig onnantól számítva, hogy az áruház mikor árulta utoljára az eszközt – amelyik periódus hosszabb.

Jó lenne, ha a Google meghosszabbítaná ezt az időszakot, de ők legalább világosan közlik a vállalásukat a felhasználókkal. Sem az Apple, sem a Samsung nem ad meg ilyen „szavatossági időt”. Óriási mértékben függünk az okostelefonjainktól, és azok függnek tőlük a legjobban, akiknek alacsonyabb a jövedelme, nincsen szélessávú internethozzáférése vagy asztali gépe otthon. Mindegy, hogy gazdagok vagyunk vagy szegények, mindannyiunknak joga van tudni, meddig biztonságos használni az eszközeinket, vagy mit tesznek a cégek azért, hogy megőrizzék a biztonságunkat.

Nathalie Maréchal a Ranking Digital Rights vezető kutatója és PhD-jelölt a Dél-kaliforniai Egyetem Annenberg Kommunikáció és Újságírás Iskolájában. Twitteren a @marechalUSC címen lehet őt követni.


Ezt a bejegyzést a Global Voices Online magyar oldaláról vettük át. Szerző: Natalie Maréchal. Fordító: Le Marietta. A bejegyzésre a Creative Commons 3.0 licenc vonatkozik.