Eric Schmidt považuje Android za bezpečnější systém než konkurenční iOS. Tato informace minulý týden proběhla řadou odborných internetových médií. Root.cz nebyl výjimkou. Šéf Googlu to řekl, když ho na symposiu analytické společnosti Gartner zpovídal David Willis, který pro Gartner pracuje jako vedoucí výzkumu v oblasti mobility a komunikace.
Šlo o bezprostřední reakci, které dost možná Eric Schmidt po zbytek rozhovoru litoval. David Willis odvážné tvrzení nenechal bez povšimnutí. Šéfa Googlu zahrnoval dalšími otázkami souvisejícími s bezpečností. Eric Schmidt pak již odpovídal poměrně rozpačitě. Několika odpovědím předcházelo mlčení, kdy si šéf Googlu evidentně dobře rozmýšlel, co vypustí z úst.
Nakonec se nechal slyšet, že Android je velmi bezpečný, pokud se uživatel chová obezřetně. Je třeba uznat, že například Android 4.3 nedávno přinesl nové bezpečnostní funkce, ale toto prohlášení je opravdu hodné zaznamenání. Troufám si tvrdit, že se zařadí mezi nechvalně proslulé výroky osobností IT scény, za které by si dotyční dost možná nyní nafackovali.
Představuje bezpečnost pro Android reálný problém?
Uživatel je samozřejmě pro každý systém bezpečnostní hrozbou číslo jedna. Podmiňovat bezpečnost systému obezřetným chováním uživatele je bruslení po hodně tenkém ledě. Navíc ani obezřetné chování nemusí uživatelům stačit. Jednou ze základních bezpečnostních pouček je stahování aplikací z důvěryhodného zdroje, což je bolavá pata platformy Android.
Google Play má letité problémy s průnikem škodlivých aplikací. Vyřešit jej měl Bouncer, tedy nový automatický antivirový skener. Kolik škodlivých aplikací zavčasu rozpoznal, není oficiálně známo. Určitě ale není stoprocentní. Například falešný Flash Player, který je ve skutečnosti škodlivou aplikací, pronikl do nabídky Google Play opakovaně.
Škodlivé aplikace parazitují na názvech žádaných legitimních aplikací. Google evidentně není schopen zaručit, že Google Play je důvěryhodný zdroj aplikací, přestože se tak tváří. To Apple se může pochlubit, že mu za prvních pět let do jeho AppStore pronikla „škodná“ pouze jednou jedinkrát. Co se velikosti týče, jsou na tom přitom Google Play a Apple AppStore skoro stejně.
Samozřejmě, že důvěryhodnost AppStore je vykoupena řadou restrikcí a obstrukcí, které by „pravověrní“ uživatelé systému Android nechtěli. Stejně tak mnozí vývojáři aplikací pro Android. Google se sice „bije v prsa“, jak je jeho Android neprůstřelný, ale jaksi přehlíží aplikace, které se nechovají zrovna jako učebnicový malware.
Řeč je o uživatelem vědomě nainstalovaných aplikací, které bez zneužití jakékoliv bezpečnostní chyby díky přiděleným oprávněním dělají skrytě ještě „něco navíc“, než co slibuje jejich popisek na Google Play (nebo eventuálně v jiném katalogu). Problém je v tom, jak se na platformě Android přistupuje k oprávněním pro jednotlivé aplikace. Od systému přes aplikace po uživatele.
Drtivá většina škodlivých aplikací z těch, které již v praxi prokazatelně způsobily nějakou škodu, by bez uživatelem přidělených opatření nesvedla vůbec nic. Možná tuto uživatelskou obezřetnost Eric Schmidt měl na mysli. Troufám si tvrdit, že většina uživatelů bezmyšlenkovitě žádosti o oprávnění prostě vyhoví. Android ale do jisté míry uživatele k tomuto jednání navykl.
Mnozí uživatelé vyhoví žádosti, přestože je opravdu záhadou, k čemu by aplikace k proklamované funkcionalitě potřebovala oprávnění, které si žádá. Proč? Protože mnohé regulérní aplikace chtějí oprávnění, která prostě nepotřebují, resp. mohou se bez něj obejít. Google s tím nic moc nedělá.
Nehodnotí třeba kvalitu aplikací právě na základě toho, jestli si o některá oprávnění neříkají zcela zbytečně. Apple je kritizován, že vývojáře i uživatele šikanuje. Souhlasím s tím. Google ale dělá mrtvého brouka, což je také špatně. Android nedává dostatečný prostor k tomu, aby se uživatelé mohli informovaně rozhodnout, jestli aplikaci dají oprávnění, která si žádá.
Jednotlivá oprávnění, se kterými škodlivá aplikace může nadělat pořádnou neplechu, jsou popsána příliš vágně. Autoři aplikací nemusí vysvětlovat, proč zrovna jejich aplikace potřebuje oprávnění, které si žádá. Systém oprávnění je nastaven stylem „ber nebo nech být“. Pardon, ale to je poněkud divoké prostředí, kde se prostě obezřetností uživatele nelze ohánět, i kdyby všichni uživatelé byli alespoň přiměřeně obezřetní.
Myslím, že by stálo za zvážení, jestli je současný systém oprávnění koncepčně řešen optimálně. Aplikace získávají všechna požadovaná oprávnění již při své instalaci. Dodatečné získání dočasného oprávnění až při konkrétní akci se nenosí. Jednou nainstalovaná aplikace si může dělat ledasco, aniž by o tom uživatel věděl.
Jedním z klíčů úspěchu platformy Android je pestrá nabídka aplikací. Jenže pokud se uživatel vydá do „neprozkoumaných vod“ mimo známé aplikace od důvěryhodných autorů, tak poměrně dost riskuje. A to je tu ještě otázka, jak mainstreamový uživatel má důvěryhodného autora vlastně poznat. Nemluvě o možnosti naletět podvodníkům s falešnými aplikacemi.
Zdá se, že dříve či později budeme muset antivir pro Android brát za stejnou samozřejmost jako antivir pro Windows. Nejde jen o současný stav (pokračující pronikání škodlivých aplikací na Google Play, nešťastná situace s oprávněními pro aplikace), ale i o způsob uvažování, které Eric Schmidt předvedl.
AV-Test.org: mobilní antiviry neškodí výkonu ani výdrži
Mobilní antivir je stále převážnou části uživatelské veřejnosti považován za zbytečnost, která jenom snižuje výkon mobilu a výdrž baterie. Server AV-Test.org tento týden shodou okolností publikoval výsledky svého výzkumu, který se týkal antivirových aplikací pro Android. Z 28 testovaných mobilních antivirů 26 nemělo žádný negativní vliv na výkon zařízení, výdrž baterie ani objem přenášených dat.
Průměrná úspěšnost identifikace škodlivých aplikací z referenčního vzorku (1460 kousků) v průběhu čtyřtýdenního testování činila 90,5 %. Jedenáct bezpečnostních aplikací dosáhlo úspěšnosti 99 % nebo více. Kdyby primárním důvodem instalace bezpečnostní aplikace neměly být škodlivé aplikace, tak naprostá většina těch testovaných nabízí i ochranu pro případ ztráty či odcizení zařízení.
Z 28 testovaných bezpečnostních aplikací hned 22 aplikací podporuje všechny tři základní anti-theft funkce, tedy dálkové uzamčení zařízení, dálkové vymazání dat a lokalizaci postrádaného zařízení. Více než dvě třetiny testovaných aplikací (přesně 19 aplikací) nabízí pokročilejší blokování příchozích hovorů, což se při prakticky neregulovaném telemarketingu více než hodí.
Zde je seznam bezpečnostních aplikací, které v testu získaly nejvíce bodů (12,5 až 13):
- AhnLab V3 Mobile
- Armor for Android
- Avast Mobile Security
- Avira Free Android Security
- BitDefender Mobile Security
- ESET Mobile Security
- Ikarus Mobile Security
- Kaspersky Mobile SecurityKingsoft Mobile Securit
- Lookout Security & Antivirus
- Qihoo 360 Mobile Security
- Trend Micro Mobile Security
Většina těchto aplikací nabízí také různé další bezpečnostní funkce typu filtru podvodných stránek pro webový prohlížeč, blokování obtěžujících textových zpráv, prvků rodičovské kontroly, zálohování dat na paměťovou kartu nebo do internetového úložiště, sledování a řízení internetového provozu či všemožných nástrojů pro pokročilejší správu zařízení a systému.
Spíše než o antivirové aplikace jde o komplexnější bezpečnostní nástroje. Uživatel si obvykle může vybrat, které funkce použije. Lze třeba deaktivovat antivir a používat jen anti-theft funkce či naopak. Tvrdit, že antivir pro Android je již nutnost, by ještě bylo sice přehnané, ale vzhledem k pestré paletě dalších funkcí by se vám nějaká ta bezpečnostní aplikace hodit mohla.