FAQ – Velká kniha bezpečnosti logo

Počítačová bezpečnost je v dnešní době velmi důležitá, ale bohužel stále často podceňovaná. Což platí dvojnásob pro chytré telefony a IoT zařízení. Tato zařízení se od PC liší v tom, že je denně nosíme v kapse – infikované zařízení může odposlouchávat naše rozhovory s ostatními lidmi, zjišťovat naši aktuální polohu, fotit a natáčet nás, naši rodinu a domácnost. A tak dále.

„We used to say a man's home is his castle. Today, a man's phone is his castle.“


OS Android


► Obsah

FAQ – OS Android

Android je dominantní OS na mobilním trhu (>88% podíl) vyvíjený společností Google, Inc. Díky svému majoritnímu zastoupení se těší velké pozornosti hackerů.

Android má robustní bezpečnostní model, který předpokládá, že aplikace třetích stran běžící v OS nejsou důvěryhodné. Hlavním bezpečnostním problémem je rozmanitost zařízení, z nichž většina modelů nedostává pravidelné bezpečnostní aktualizace a/nebo běží na zastaralých verzích OS.

FAQ se dělí na několik sekcí:

  • bezpečnostní model OS
  • obecné bezpečnostní rady
  • bezpečná zařízení
  • bezpečné nastavení OS
  • doporučené aplikace
  • bezpečné ROM

Bezpečnostní model OS:

Android má robustní vícevrstevný bezpečnostní model. Používá linuxové jádro, implementuje MAC a mitigace proti memory corruption exploitům – Android je jediná linuxová distribuce, která neumožňuje spuštění non-PIE kódu. Každé aplikaci je přiřazen unikátní uživatelský ID, aplikace je uzavřena v sandboxovaném prostředí, nemůže operovat s žádnou jinou aplikací a je jí umožněno operovat pouze se soubory/komponenty OS, ke kterým dostane oprávnění od vlastníka zařízení.

Android Security Model

The Android security model (upraveno). Zdroj: Android Security 2015 Annual Report

► Trocha teorie o bezpečnostním modelu OS Android

Jádro:

Android je postaven na linuxovém jádru. Linuxové jádro není nejbezpečnější jádro na trhu, Androidu ovšem z bezpečnostního hlediska nabízí slušný model oprávnění založený na uživatelích a uživatelských skupinách, izolaci procesů atd. V poslední době se vývojáři linuxového jádra začali více soustředit na zabezpečení samotného jádra, z čehož benefituje i OS Android.

MAC:

Android Kitkat a výše používá silně modifikovanou implementaci linuxového MAC SELinux – tzv. SEAndroid. SEAndroid výrazně snižuje prostor pro exploitaci. Také hraje roli v modelu oprávnění OS Android. Díky implementaci MAC nyní pouze velmi malá část kódu běží s plným root oprávněním. Výrazná zlepšení z pohledu MAC byla představena ve verzích Lollipop a Oreo.

Aplikace:

Android vyžaduje digitální podpis aplikací – nepodepsané aplikace nemohou být nainstalovány. Také implementuje několik bezpečnostních kontrolních bodů pro aplikace, díky kterým aplikaci může vyhodnotit jako škodlivou a její instalaci odepře (tato funkce je závislá na službách Google). Ve výchozím nastavením lze také instalovat aplikace pouze z předinstalovaného obchodu aplikací – obvykle Google Play.

Veškeré aplikace jsou uzavřeny v sandboxu (IsolatedProcess), tudíž každá aplikace je izolovaná od ostatních aplikací a OS. Android implementuje seccomp sandbox, který nabízí pokročilejší možnosti izolace a vyšší míru bezpečnosti. Interně je využíván například aplikací Google Chrome.

Android Marshmallow a výše nabízí rozšířený model oprávnění – uživatel si může zvolit, k jakým komponentům/souborům bude mít daná aplikace přístup. Vestavěný správce oprávnění zatím není perfektní, jelikož neumožňuje nastavení všech důležitých oprávnění, ale funguje spolehlivě, což se nedá říci o správcích oprávnění třetích stran (např. XPrivacy).

Funkce závislé na službách Google (např. VerifyApps, Google Play Protect), zde nebudou rozebírány.





Obecné bezpečnostní rady:

  • používejte aktuální záplatovanou verzi Androidu, minimálně Nougat
  • nerootujte své zařízení – rootem rozbíjíte bezpečnostní model OS popsaný výše
  • neodemykejte bootloader svého zařízení a neflashujte potenciálně nebezpečné recovery oddíly (např. TWRP)
  • neflashujte nebezpečné ROM se špatnou root implementací (např. LineageOS)
  • instalujte aplikace pouze z důvěryhodných zdrojů – Google Play, Amazon, F-Droid
  • neinstalujte aplikace vyžadující nesmyslná oprávnění (např. Flashlight+++ vyžadující přístup k SMS a kontaktům)
  • zvažte využívání open source aplikací (FOSS – free and open-source software)
  • nepřipojujte se k nedostatečné zabezpečeným sítím (např. v kavárně), zvažte použití VPN
  • všechny rizikové činnosti provádějte pod uživatelem hosta
  • šifrujte a zamykejte své zařízení, nezapomínejte na fyzické zabezpečení

Bezpečnostní rady pro pokročilé:

  • nerootujte a už vůbec root oprávnění neposkytujte aplikacím, rozbíjíte tím velmi solidní bezpečnostní model OS a výrazně tím zvyšujete prostor pro exploitaci – je-li aplikace běžící s root oprávněním exploitována, vaše zařízení je tzv. „pwned
  • používejte aktualizované ROM bez bloatware od výrobce
  • neflashujte nic typu Open GApps – je to řádově méně bezpečné než správná integrace služeb Google výrobcem
  • kompilujte ROM (+ jádro) a aplikaci sami, ošklivá oprávnění aplikací následně můžete případně zakázat přímo v AndroidManifest.xml




Bezpečná zařízení:

Jak již bylo zmíněno, rozmanitost zařízení s OS Android je možná z jistého úhlu výhoda, ovšem z pohledu bezpečnosti velký problém.

V dnešní době není problém pořídit si telefon s OS Android za velmi malou finanční částku. Co již ovšem nikdo neřeší, je podpora a aktualizace. Většina levných zařízení se nikdy nedočkají žádné bezpečnostní aktualizace, natož pak aktualizace na nejnovější verzi OS. Tato zařízení mohou obsahovat stovky známých bezpečnostních děr, které se lehce dají zneužít, pokud zařízení není záplatováno výrobcem. Situace ovšem nemusí být o nic lepší u dražších modelů.

Níže naleznete několik bodů, které by mělo zařízení splňovat, aby se dalo nazvat bezpečným. Také zde naleznete seznam modelů, které zmíněné požadavky splňují.

Bezpečnostní požadavky na zařízení s OS Android:

  • 64-bit architektura (x86/ARM)
  • jádro >= 3.18 (ideálně 4.4)
  • full verified boot (ideálně i pro custom ROM)
  • podpora Treble
  • časté (měsíční, minimálně čtvrtletní) bezpečnostní aktualizace pro firmware a proprietární komponenty
  • garance bezpečnostních aktualizací po dobu morální životnosti modelu (jak dlouho chcete zařízení používat)

Zařízení s OS Android splňující bezpečnostní požadavky:

Informace potřebné k výběru takového zařízení naleznete v odděleném návodě Výběr telefonu – OS Android.





Bezpečné nastavení OS:

Android je (většinou) bezpečně nastaven již v základu, není ovšem od věci podívat se do nastavení a zkontrolovat jej.

► Kontrola nastavení zabezpečení
  • Otevřete si Nastavení.
  • Nalezněte podkategorii Zabezpečení a poloha a otevřete ji.
  • Zkontrolujte bezpečnou konfiguraci Zámku obrazovkyPIN nebo Heslo
  • Zkontrolujte Administrátorské aplikace v zařízení. Neměly by zde být žádné aplikace kromě aplikací Google, pokud je používáte.
  • Zkontrolujte Šifrování vašeho zařízení.
  • Aplikaci zavřete.
► Kontrola aktuálního OS
  • Otevřete si Nastavení.
  • Nalezněte podkategorii Systém a otevřete ji.
  • Klikněte na Informace o telefonu.
  • Zkontrolujte, zdali máte aktuální verzi systému Android8.1.
  • Zkontrolujte, zdali máte nejnovější úroveň opravy zabezpečení Android.
  • andinf
  • Máte-li starší verzi systému Android než 8.0 a výrobce nepotvrdil aktualizaci, zařízení je implicitně nebezpečné – můžete se dívat po náhradě. Máte-li starší úroveň opravy zabezpečení Android než 3 měsíce, zařízení není bezpečné – můžete se dívat po náhradě.
  • Více informací o této problematice naleznete v návodu Výběr telefonu – OS Android.
  • Aplikaci zavřete.

Využití účtu hosta:

Pod uživatelem hosta můžete relativně bezpečně např. prohlížet rizikové internetové stránky. Instalaci pochybných aplikací nedoporučuji ani pod uživatelem hosta, jelikož aplikace může OS exploitovat mnohem snadněji než internetová stránka. Pokud by aplikace úspěšně získala root pravomoce (např. pomocí CVE-2015-1805 aka KingRoot), nepomůže vám ani reset zařízení do továrního nastavení.

► Přepnutí se na účet hosta
  • Stáhněte dolů notifikační lištu dvěma prsty, případně ji rozšiřte kliknutím na šipku v pravém dolním rohu.
  • V pravém dolním sloupci klikněte na obrázek svého uživatelského účtu.
  • Zobrazí se seznam uživatelských účtů. Klikněte na tlačítko Přidat hosta.
  • andg
  • Budete automaticky přepnuti na uživatele hosta.
  • Jakmile z účtu hosta budete chtít odejít, stáhněte notifikační lištu a klikněte na tlačítko Odstranit hosta.
  • andg1
  • Odstranění potvrďte.




Doporučené aplikace:

V následující sekci naleznete doporučené bezpečnostní aplikace a aplikace s bezpečností úzce související. Aplikace jsou děleny na FOSS (free and open source) a proprietární. Důvod je prostý: někteří lidé nevěří proprietárním aplikacím a používání bezpečnostní aplikace s uzavřeným kódem, považují za nepřijatelné.

Obchod s aplikacemi:

Obchod s aplikacemi velmi úzce souvisí s bezpečností, jelikož z něj stahujete a instalujete veškeré aplikace do OS. Z tohoto důvodu musí být důvěryhodný a bezpečný.

FOSS:

Proprietární:

Amazon má zdlouhavý proces kontroly aplikací (jsou kontrolovány manuálně), proto má téměř vždy zastaralé verze aplikací, zvláště těch, které jsou často aktualizovány.


Firewall:

Firewall je velmi důležitá bezpečnostní vrstva OS, která poskytuje ochranu před síťovými útoky. Na veřejných WiFi připojeních je prakticky nutností.

Nejlepší volbou je integrovaný FW, bohužel jej prakticky žádná ROM nenabízí. Zneužití VPN API (NetGuard, NoRoot Data Firewall) není nejlepší a nejspolehlivější implementace FW, ale alespoň nevyžaduje destrukci bezpečnostního modelu OS. Bohužel, vypadá to, že pouze velmi málo lidí má zájem implementovat tyto věci správně – přímo do OS.

FOSS:

Proprietární:


Blokování reklamy:

Blokování reklamy je z hlediska bezpečnosti esenciální kvůli četnému výskytu škodlivých reklam na internetu. Doporučuji oblíbené stránky podporovat jinou bezpečnější – finanční – formou.

FOSS lokální VPN:

Proprietární lokální VPN:

VPN:

Internetový prohlížeč:

DNS:

DNS je jednoduchý způsob blokace reklam, vyžaduje to ovšem důvěru v poskytovatele DNS. VPN je také dobrý způsob, ovšem implementace OpenVPN na Androidu není 100% ideální. Použití prohlížeče blokující reklamy je nejlepším řešením. Chrome(ium) od verze 62 umožní nativně blokovat agresivní reklamy nesplňující podmínky.


Správce oprávnění:

Správce oprávnění umožňuje nastavit, k jakým informacím a komponentům má konkrétní aplikace přístup. Jedná se více o záležitost soukromí než bezpečnosti.

FOSS:

  • integrovaný (Marshmallow a výše)
► Využití vestavěného správce oprávnění
  • Otevřete si Nastavení.
  • Nalezněte podkategorii Aplikace a oznámení a otevřete ji.
  • Klikněte na Oprávnění aplikací.
  • Otevřete postupně všechny kategorie a zakažte všem aplikacím nepotřebný přístup.
  • andapp
  • andapp1
  • Po dokončení nastavení oprávnění se z kategorie Oprávnění aplikací přesuňte o úroveň výše, rozklikněte Rozšířená nastavení.
  • Otevřete Přístup ke spec. aplikacím.
  • Zde můžete nastavit např. které aplikace mají přístup k prémiovým SMS nebo mohou měnit nastavení systému.
  • andapp2
  • Aplikaci zavřete.

Internetový prohlížeč:

Chrome(ium) je prohlížeč s nejkvalitnějšími mitigacemi proti exploitům na Linuxu – tedy i na Androidu. Prohlížeče založené na Mozilla Firefox jsou několik let za Chromium v oblasti mitigací proti exploitům.

FOSS:

Proprietární:

► Omezení JavaScriptu v Google Chrome / Chromium
  • Otevřete si Google Chrome / Chromium.
  • Kliknutím na tři tečky v horním pravém rohu otevřete boční panel a klikněte na tlačítko Nastavení.
  • Klikněte na Nastavení webu a Otevřete podkategorii JavaScript.
  • Zablokujte spouštění JS.
  • chmandrjs
  • Klikněte na tlačítko Přidat výjimku pro konkrétní web.
  • Zadejte adresu důvěryhodného webu, na kterém se může spouštět JS. Syntax je oproti desktopové verzi značně omezený.
  • chmandrjs1
  • Klikněte na Přidat.




Bezpečné ROM:

Seznam je řazen od nejbezpečnější po nejméně bezpečnou.

  • CopperheadOS: https://copperhead.co/android/
  • čistý Android – Nexus / Pixel
  • Android předinstalovaný výrobcem bez zbytečného nízkoúrovňového bloatware
  • Android předinstalovaný výrobcem s bloatware od výrobce
  • custom ROM bez root implementace
  • ...



To je vše. Stay safe! smile

Changelog



FAQ 2.2.1 (18.02.2018):

  • OS Windows
    • srovnání úrovně podpory aktuální a starší verze OS
    • nová verze SafeSVC
    • rozšířena sekce Bezpečné nastavení sítě
    • rozšířena sekce Antivirus / Antimalware
  • OS Android – rozšíření sekce Bezpečné nastavení OS
► Starší změny

FAQ 2.2 (04.12.2017):

  • Základní informace – revize bezpečnostních doporučení
  • OS Windows
    • poznámka o podporovaných verzích OS
    • přidáno upozornění k NVT Anti-AutoExec
    • rozšířena sekce Anti-exploit
  • OS Linux
    • přepracováno pro GNOME 3.26 a Fedora 27
    • rozšířena sekce Virtualizace, návod na GNOME Boxes
    • revize sekce Flatpak
  • Internetové prohlížeče
    • přidán prohlížeč Epiphany (GNOME Web)
    • aktualizace pro Firefox 57
  • OS Android
    • přepracováno pro 8.1
    • Blokada v sekci Blokování reklamy

FAQ 2.1 (12.08.2017):

  • WWW – změna URL
  • Základní informace – nová sekce doporučené klíčenky
  • OS Windows
    • přepracováno pro Fall Creators Update
    • nová verze skriptu SafeSVC
    • návod na Heimdal Free a HashTab
    • návod na zakázání AutoPlay
  • OS Windows pro pokročilé
    • přepracováno pro Fall Creators Update
    • restrukturalizace, odebrány zbytečné sekce
  • OS Linux – aktualizace/rozšíření sekce Flatpak, odebrána sekce firejail
  • OS Linux pro pokročilé – odebráno/nahrazeno grsecurity, aktualizace příkazů
  • Internetové prohlížeče
    • návod na používání Chromium na Windows
    • návod na omezení JS ve Chromium / Google Chrome
    • stabilní blokování reklamy pro MS Edge
    • částečná aktualizace nastavení Mozilla Firefox
  • OS Android – přepracováno pro O

FAQ 2.0 a starší:

  • 16.04.2017 – FAQ v2 dokončeno
    • WWW – upraven design
    • OS Windows – revize, nyní primárně soustředěno na nejnovější verzi OS (W10 CU)
    • OS Linux – revize, přidáno openSUSE a Flatpak
    • OS Windows pro pokročilé – revize pro W10 CU, rozšířena sekce FW, přidány sekce AppContainer, FIDES, MemProtect
    • OS Linux pro pokročilé – overhaul
  • 15.04.2017 – FAQ pro pokročilé – OS Windows – dokončeno
  • 14.04.2017 – započat přechod na FAQ v2 (chybí FAQ pro pokročilé)
  • 12.11.2016 – aktualizace FAQ dokončena
  • 15.10.2016
    • OS Windows – započata revize sekce, chybí konfigurace pro pokročilé
    • OS Linux – přidán návod na bezpečné nastavení Chromium
  • 27.07.2016
    • OS Linux – dokončeno
    • OS Windows – zrevidována sekce Anti-exploit
    • OS Windows – odebrán audit ovladačů kvůli nízké účinnosti proti moderním rootkitům
    • návod na uBlock Origin přepsán do češtiny
  • 14.04.2016 – OS Windows – dokončeno
  • 16.11.2015 – započat převod na stable release včetně Linuxu
  • 02.07.2015 – uvedena beta verze – chybí Linux
  • 21.03.2015 – uvedena alfa verze
Top