Na trhu jsou exploity stejně cenné jako komodity

Další článek

Na začátku září poprvé překonala cena zero day zranitelnosti v systému Android svého největšího konkurenta iOS. Cena se vyšplhala až na 2,5 milionu dolarů. Dosud tomu bylo opačně. Informovala o tom společnost Zerodium, která platí analytikům za ohlášení slabin systémů.

Podle Chaoukiho Bekrara, CEO společnosti Zerodium, může za změnu ceny skutečnost, že jsou zaplaveni hlášením exploitů pro několik verzí iOS, ale jejich ekvivalenty ve verzích Android 8 a 9 se hledají jen těžko.

Ukázka cen exploitů

Ukázka cen exploitů | Zdroj: Zerodium.com

Nedávná změna v monetizaci zranitelností mobilních operačních systémů jen dokazuje, jak nepředvídatelná je kybernetická bezpečnost.

Nezranitelný iOS byl 2 roky vystaven útokům

Cena se dramaticky změnila jen pár dní poté, co analytici z projektu Project Zero ohlásili, že majitelé plně aktualizovaných zařízení s iOS jsou přes dva roky vystaveni zero-day exploitům. Zaznamenali útoky na 14 různých zranitelností použitých v 5 různých řetězcích, které umožnily útočníkům napadnout i aktualizovaná zařízení.

Útoky přicházely z malé skupiny webových stránek bez výjimky na všechna iOS zařízení, která inkriminované stránky navštívila. Pomocí exploitu útočníci instalovali malware, který pro ně z iPhonů a iPadů kradl fotografie, e-maily, přihlašovací údaje, lokalizační informace a další data. Analytikům firmy Volexity se podařilo identifikovat 11 infekčních webových stránek sloužících návštěvníkům z Východního Turkestánu (Ujgurská autonomní oblast Sin-ťiang – východní části Číny). Zjistili také, že jedna ze stránek využívala bezpečnostní chybu v systému Android, která byla opravena s vydáním Chrome 60.

Data jsou nová ropa

Mezi energetickými komoditami je bez pochyby nejcennější ropa. Data, ať už získaná legálně nebo podvody, se stávají neméně cennými. Cena exploitů na černém trhu to jen dokazuje.

Kriminální živly se získaná data pokouší monetizovat – proto je regulace jako GDPR nezbytná. Nastavuje totiž pravidla, jak lze data legálně získávat a ukládat, a některé praktiky staví mimo zákon (podle míry implementace v národním zákonu, nutno podotknout).

Je třeba vzít v úvahu, že soukromí ovlivňují běžné aplikace v našich smartphonech. Stejný nástroj, díky němuž jsou chytré telefony tak šikovné, odráží také jejich klíčovou roli při tvorbě, přístupu a zpeněžování dat. Na trhu sice existují blockchainová zařízení, která chrání soukromí a data, využívána jsou ovšem minimálně.

Uzavřený iOS vs. otevřenější Android z pohledu bezpečnosti

Ještě před rokem se zdálo, že iOS je nepřemožitelný. Ostatně u tohoto operačního jsou vysoké nároky na bezpečnost celé architektury systému. Zařízení s iOS mají navrženy striktní sandboxy, v nichž se každá aplikace spouští samostatně bez přístupu k dalším. Pakliže nějaký malware napadne zařízení s iOS, měl by mít omezené možnosti dostat se k datům.

Na druhé straně otevřenější prostředí Androidu umožňovalo a dokonce povzbuzovalo vývojáře aplikací, aby inovovali a vytvářeli propojení s dalšími funkcemi operačního systému. Tento přístup má v principu vést ke vzniku nových služeb. Otevřená architektura je ale v konečném důsledku méně bezpečná.

Další bezpečnostní nevýhodou pro Android je, že je distribuován v rozdílných verzích, a ještě navíc na smartphonech různých výrobců. Jakmile Google vydá nějakou bezpečnostní opravu, jsou to výrobci zařízení, kdo rozhoduje, kdy update vydají. V případě Applu si plánování spuštění bezpečnostních záplat řídí společnost sama.

Otevřené prostředí se učilo chránit roky

Nicméně neustálé útoky řeší Android od doby, kdy se roku 2011 stal nejprodávanějším systémem. Právě otevřená architektura mu přinesla mnohem širší nabídku aplikací, včetně těch bezpečnostních. Stejně tak se jeho architektuře věnuje více špičkových bezpečnostních analytiků a vývojářů. Letos se Android dostal na vrchol své snahy stát se nejbezpečnějším systémem.

Není možné objektivně říct, že Android je bezpečnější než iOS, nebo že uživatelé jednoho či druhého systému jsou si více vědomi rizik. Rozhodně ale můžeme prohlásit, že zkušenější uživatelé jsou čím dál lépe obeznámeni s faktem, že existují škodlivé aplikace, mobilní malware a další. I my se snažíme obecné povědomí veřejnosti zlepšovat, třeba tím, že mobilní hrozby pravidelně sledujeme a informujeme o nich.