Teemu Laitila
5. helmikuuta, 2011 18:41
Tietoturvayhtiö Sophosin tutkija Vanja Svajcer on huolissaan Android Marketin uudesta mahdollisuudesta etäasentaa sovelluksia Android-laitteisiin. Uuden etäasennuksen ansiosta puhelin aloittaa Marketista selaimelle valitun ohjelman lataamisen ja asentamisen WiFi- tai 3G-verkon läpi ilman käyttäjän erityistä kuittausta.
Android-sovellusten tietoturva perustuu pitkälti käyttäjän asennusvaiheessa sille myöntämiin puhelimen eri toimintojen käyttöoikeuksiin ja myös selainpohjainen Android Market kertoo mitä oikeuksia ohjelma tarvitsee toimiakseen.
Koska asennusprosessi on selaimella annetun hyväksynnän jälkeen automatisoitu, asettaa se Googlen käyttäjätiliin yhdistetyn Android-laitteenkin vaaraan, jos tunnukset joutuvat vääriin käsiin. Käytännössä rikolliset voivat asentaa käyttäjän laitteeseen mitä tahansa sovelluksia ilman että käyttäjä välttämättä huomaa asiaa. Ratkaisuksi Svajcer ehdottaa puhelimen päähän varmistusta, joka käyttäjän pitää hyväksyä ennen sovelluksen asennuksen aloittamista.
Kyseessä on kuitenkin klassinen helppouden ja tietoturvan ristiriita, sillä puhelimesta vaadittava varmistus ainakin osittain vesittäisi koko palvelun toimintaidean. Paras ratkaisu vahvan salasanan ja maalaisjärjen lisäksi olisikin ehkä mahdollisuus estää etäasennus esimerkiksi puhelimen asetuksista.