Sprawdź jaki laptop Intel Evo jest najlepszy dla Ciebie Więcej
Android

Niezależny audyt bezpieczeństwa na Androidzie? Zapomnij!

TP
Tomasz Popielarczyk
23

Android to podwórko Google'a. A jak to bywa z czyimiś podwórkami, obowiązują tam pewne zasady, których łamać nie należy. W przeciwnym wypadku właściciel gotów wyciągnąć dwururkę, poszczuć nas Burkiem i przegonić z wielkim hukiem. Taki los spotkał VTS, opensource'owy program analizujący zabezpieczeni...

Android to podwórko Google'a. A jak to bywa z czyimiś podwórkami, obowiązują tam pewne zasady, których łamać nie należy. W przeciwnym wypadku właściciel gotów wyciągnąć dwururkę, poszczuć nas Burkiem i przegonić z wielkim hukiem. Taki los spotkał VTS, opensource'owy program analizujący zabezpieczenia naszego urządzenia. Pytanie, czy aby na pewno słusznie?

Na problem zwraca uwagę na swoim blogu Brian Sovryn, nie szczędząc przy tym słów krytyki wymierzonych w kalifornijską firmę. VTS pojawił się w sklepie Google Play stosunkowo niedawno. To aplikacja opracowana przez firmę NowSecure. Jej zadaniem miało być wykonywanie prostego audytu bezpieczeństwa i informowanie użytkownika o tym, na jakie znane zagrożenia jego urządzenie jest podatne. VTS tym samym nie dokonywał żadnych zmian w systemie, nie doinstalowywał aplikacji, ani nie narażał posiadaczy smartfonów i tabletów na jakiekolwiek nieprzyjemności. Zresztą, jak wspomniałem, to program oparty na licencji open source, a więc wgląd w jego kod ma każdy.

Google'a to nie przekonało. VTS wyleciał ze sklepu. Jako argument podano "przekroczenie granicy bezpieczeństwa w celu wykonania testu". Faktycznie, aby aplikacja mogła uznać, że urządzenie jest niezabezpieczone, musiała najpierw wykorzystać znane luki. Teoretycznie zatem argument Google'a wydaje się trafny - program uzyskuje nieautoryzowany dostęp do systemu. Teoria ma niestety to do siebie, że niezbyt dobrze reaguje na racjonalne argumenty. A te dość wyraźnie wskazują na nieszkodliwość VTS.

I tutaj dochodzimy do podstawowego pytania - czy osoby odpowiedzialne za bezpieczeństwo Google Play są przewrażliwione? A może Google po prostu nie życzy sobie, aby jakiekolwiek programy węszyły na jego podwórku? W końcu istnieje ryzyko, że taki program wykonujący prosty audyt natknie się na elementy w systemie, które niekoniecznie powinny ujrzeć światło dzienne. Nie chcę snuć teorii spiskowych, ale wszyscy chyba zdajemy sobie sprawę, że dziś otwartość Androida to mrzonka. AOSP to zaledwie fundament, na którym postawione są wysokie mury - usługi Google'a. Do kodu tychże już tak łatwego dostępu nie ma.

Nie jest to oczywiście pierwsza taka sytuacja. Już wcześniej ze sklepu Google Play wyleciał program Disconnect.me, który pozwalał na korzystanie z wbudowanej w Androida wyszukiwarki w sposób anonimowy. Siłą rzeczy zatem jej twórcy nie zbierali na nasz temat żadnych danych. Było to oczywiście sprzeczne z modelem biznesowym firmy.

Tutaj można się zastanowić, czy słusznie wymagamy od Google'a liberalności i otwartości. Porównajmy sytuację z iOS - Apple nie ma żadnych skrupułów i wyrzuca z AppStore programy ze znacznie bardziej błahych powodów. Dlaczego zatem Google miałby być pobłażliwy i pozwalać węszyć w kodzie swoich programów lub podważać funkcjonujący model biznesowy? Czy firma kiedykolwiek zobowiązała się do tego? No właśnie. A tymczasem coraz częściej pojawiają się hasła o wyzwoleniu Androida - jedno z nich padło nie tak dawno z ust Kirka McMastera, CEO Cyanogena. Może ja po prostu czegoś nie dostrzegam w tej logice?

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu