Lassú reagálás, hatalmas lyukak: ez jellemzi a mobilok mai biztonságát.

A készülékgyártók és a mobilszolgáltatók is felelősek az okos-telefonok mai biztonsági szintjéért. Az EFF szerint az utóbbi években produkált óriási növekedést nem követte a biztonság növekedése: az ósdi titkosítás és a mobil kommunikációért felelős chipekben jelen lévő sebezhetőségek is maradtak.

Az elektromos szabadságjogokért küzdő szervezet egyik technológusa, Dan Auerbach szerint az okostelefonok jelenlegi biztonsági helyzete nagyban hasonlít a PC-k kilencvenes évek végén bekövetkező robbanásakor tapasztaltra. Az akkori gépek úgy lettek konfigurálva, hogy szabadon cseréljenek egymással üzeneteket, a mostani okostelefonok pedig bármely közeli bázisállomásra feljelentkeznek.

A hordozható bázisállomások ára pedig mára már elég sokat esett az évek alatt ahhoz, hogy rendőri szervek is hamis állomásokkal figyelhessék a mobilhívásokat. A „bázisállomás apokalipszis” pont erről szól: ma már elérhetőek a hamis bázisállomások üzemeltetéséhez szükséges nyílt forráskódú eszközök, valamint a tudás is azok működtetéséhez. A gyártók és a szolgáltatók azonban ahelyett, hogy egy 16 hónapja ismert alapvető biztonsági hiányosságot foltoznának be, inkább a képernyők felbontásával és a kezelőfelülettel törődnek. Az új vásárlókat hoz, ez pedig nincs elég nagy dobra verve.

Jól jellemzi a helyzetet, hogy a GSM standard a 3G mobilkommunikációhoz még mindig az 1987-ben alkotott A5/1-es, mára gyakorlatilag semmit sem érő titkosítást írja elő. A mobilipar 2009 óta ismer olyan támadási technikákról, amelyek a kódolás gyengeségét kihasználva lehallgatják az SMS üzeneteket, és a titkosítást ma egy átlagos PC-vel, erősebb videokártyával, két terabájt ssd-vel az esetek 90 százalékában néhány másodperc alatt meg lehet törni.

Ahogyan a századforduló környéki PC piacokon, most sem szorítja a gyártókat semmi arra, hogy javítsák a hibát: ehelyett minél gyorsabban kerül piacra egy mobil, annál többet kaszál a gyártó és a beszállító. A növekedés pedig nem csökken.

Persze azt Auerbach is elismeri, hogy a titkosítás átdolgozása jókora költségekkel járna. Amíg a gyártókat valami nem szorítja rá a biztonságra, nem fognak érte fizetni. Az akkori PC és a mostani mobilipar közt az a nagy különbség, hogy annak idején Bill Gates egy vállalati emlékeztetőjében arra szólította fel a céget, hogy tegyék a felhasználók számára megbízhatóvá, az adataik tárolására biztonságossá a rendszereket. Most, tíz évvel később azt kell mondanunk, hogy ugyan örökre soha nem szabadulunk a támadóktól, időközben sokat – és jó irányban – fejlődött az ipar.

A mobiliparban azonban hiányzik ez a központi akarat, a politikusok pedig egyszerűen nem ismerik eléggé behatóan a problémát, (sokszor még a biztonság területét sem) ezért a releváns problémákra való fókuszálás helyett átfogó, de semmit sem érő kiberbiztonsági törvényeket hoznak. A problémáról szóló politikusoknak szánt oktatás pedig általában a megértetés helyett teljesen más célokkal folyik, már ha folyik egyáltalán.

Forrás: mobilport.hu