W krajobrazie bezpieczeństwa mobilnego nastąpiła ogromna zmiana: wydanie przez Apple systemu iOS 17.04 w marcu 2024 roku umożliwiło użytkownikom instalowanie aplikacji spoza App Store i korzystanie z zewnętrznych sklepów z aplikacjami. Zmiana ta została wprowadzona w celu dostosowania się do unijnego Aktu o Rynkach Cyfrowych (DMA). DMA zostało wprowadzone przez Komisję Europejską w celu ograniczenia dominacji gigantów z Doliny Krzemowej, których DMA nazywa „strażnikami” (gatekeepers), nad rynkami cyfrowymi.
Konkretnie, DMA stwierdza, że strażnicy „powinni umożliwić i technicznie umożliwić instalację i efektywne korzystanie z aplikacji programowych stron trzecich lub sklepów z aplikacjami, które korzystają z ich systemu operacyjnego lub z nim współpracują, oraz umożliwić dostęp do tych aplikacji programowych lub sklepów z aplikacjami innymi niż podstawowe usługi platformy tego strażnika.”
Z jednej strony, daje to użytkownikom Apple pewien poziom elastyczności, który prawdopodobnie zostanie przyjęty z zadowoleniem. Z drugiej strony, wprowadza nowe ryzyka dla tych użytkowników, ich urządzeń oraz organizacji i osób, z którymi są związani.
Apple wielokrotnie wyrażało swoje sprzeciwy wobec tej możliwości w przeszłości. Posunęło się nawet do złożenia pozwu sądowego w europejskich sądach. W 2021 roku Tim Cook, obecny CEO Apple, stwierdził, że taki ruch „zniszczyłby bezpieczeństwo iPhone’a i wiele inicjatyw dotyczących prywatności, które wprowadziliśmy w App Store.” Niezależnie od ich obaw, ta funkcja została uwzględniona w iOS 17.04 w wyniku unijnego Aktu o Rynkach Cyfrowych. Jednak nie oznacza to, że ich argumenty są bezpodstawne.
Omijanie App Store
Bezpieczeństwo aplikacji mobilnych zależy od całego ekosystemu środków bezpieczeństwa, od rozwoju przez produkcję, wydanie do sklepów z aplikacjami, aż po telefony klientów. Sideloading zakłóca kluczowy element tego łańcucha: sklepy z aplikacjami.
Legalne sklepy z aplikacjami, takie jak Google Play Store czy App Store Apple, prowadzą poważny proces przeglądu, aby upewnić się, że aplikacje w ich sklepach są bezpieczne w użyciu. To nie zawsze było doskonałe i zdarzały się przypadki, że złośliwe aplikacje przedostały się do sklepów, ale mimo to zapewniało to ważny znak zaufania dla aplikacji.
Sideloading zapewnia sposób na ominięcie tych środków bezpieczeństwa. Jest to coś, co mogłoby być oferowane przez sklepy z aplikacjami stron trzecich, które oferują użytkownikom nowe funkcjonalności. Jednak robiąc to, użytkownicy urządzeń mobilnych muszą praktycznie złamać zabezpieczenia własnych telefonów, omijając wspomniane wyżej zabezpieczenia. Stamtąd – zapraszają cały szereg zagrożeń.
Po pierwsze, narażają się na zagrożenia związane z malware. Sklepy z aplikacjami stron trzecich są notorycznie wypełnione złośliwymi aplikacjami zawierającymi malware. Bez korzyści wynikających z kontroli bezpieczeństwa i procesów przeglądowych App Store, te aplikacje mogą łatwo trafić na telefony nieświadomych użytkowników.
Zagrożenia nie są tylko złośliwe, ale również całkowicie przypadkowe. Sklepy z aplikacjami zapewniają automatyczne oficjalne aktualizacje, w tym poprawki bezpieczeństwa, aplikacje sideloadingowe nie – co oznacza, że te aplikacje mogą stać się wektorem ataku, jeśli użytkownicy ich nie zastosują. Biorąc pod uwagę fakt, że ludzie często nie aktualizują samodzielnie, powinniśmy uznać to za wysoce prawdopodobne.
Dla firm brak ochrony oznacza powiększoną powierzchnię ataku, którą mogą wykorzystać złośliwe strony. Ponadto, niesprawdzone aplikacje mogą wprowadzać szereg zagrożeń dla prywatności, jeśli żądają nadmiernych uprawnień na urządzeniu mobilnym, co z kolei może ujawnić wrażliwe i osobiste dane. Te aplikacje mogą również nie być zoptymalizowane pod kątem urządzenia, co prowadzi do awarii i problemów z wydajnością.
Siła sklepów z aplikacjami nie polega tylko na ich procesie przeglądu, ale także na możliwości crowdsourcingu kontroli jakości przez recenzje i rankingi. Aplikacje sideloadingowe często pomijają ten kluczowy komponent siły sklepów z aplikacjami.
Omijanie sięga dalej niż tylko sklepy z aplikacjami. W wielu przypadkach instalacja aplikacji sideloadingowej wymaga od użytkownika złamania zabezpieczeń telefonu, zmieniając ustawienia bezpieczeństwa, aby aplikacja mogła uzyskać uprawnienia na telefonie. Obejmuje to zezwolenie na instalacje i modyfikacje z nieznanych – potencjalnie złośliwych źródeł. Jak widać, wszystko to tworzy bardzo ryzykowny obraz dla użytkownika urządzenia mobilnego, nie wspominając o organizacjach i osobach, z którymi są związani.
Celem Aktu o Rynkach Cyfrowych jest poprawa wyboru konsumentów w kwestii urządzeń mobilnych. Dążą do wprowadzenia konkurencji na europejskie rynki cyfrowe, zmuszając gigantów technologicznych do otwarcia swoich platform dla mniejszych konkurentów. W tym sensie, jest to podobne do PSD2 i innych przepisów dotyczących Open Banking, które mają na celu poluzowanie uścisku, jaki duże instytucje miały nad bankowością, umożliwiając tym samym większą konkurencję i innowacje w sektorze. Open Banking dostarczyło nam mnóstwa nowych produktów i usług, a Akt o Rynkach Cyfrowych może spowodować podobny rozkwit innowacji. Ten ruch – wprowadzony wraz z wydaniem 17.04 – prawdopodobnie wprowadzi poważne zagrożenie dla urządzeń Apple, jeśli nie będzie zarządzany poprawnie.
Jednym z najważniejszych aspektów urządzeń mobilnych jest to, że zapewniają one większe połączenie – ale nie tylko z legalnymi i bezpiecznymi podmiotami. Są to często otwarte środowiska i chociaż same urządzenia mogą być bezpieczne, użytkownicy mogą podejmować działania i pobierać oprogramowanie, które zagraża temu bezpieczeństwu. To już jest trudny problem do rozwiązania w firmach, a wprowadzenie ryzyka sklepów z aplikacjami stron trzecich doda nową warstwę złożoności dla personelu ds. bezpieczeństwa. Musimy zastosować takie samo podejście do urządzeń mobilnych, jak do tradycyjnych punktów końcowych, monitorując urządzenia bezpośrednio i ciągle oceniając ryzyka, które się pojawiają.
Artykuł autorstwa Monique Becenti, dyrektor marketingu produktów zabezpieczeń końcowych w Zimperium.
Artykuł autorstwa Monique Becenti, dyrektorki ds. marketingu produktów zabezpieczeń końcowych w Zimperium
Skomentuj ten artykuł za pośrednictwem X: @IoTNow i odwiedź nasza strone IoT Now Polska