Bezpečnost na Androidu: nejslabším článkem je a bude uživatel

Bezpečnost mobilních operačních systémů je žhavým tématem současnosti. Není divu – ve svých telefonech nosíme důležité kontakty, dokumenty, e-maily, fotografie a často i velmi důvěrné a osobní informace. Nemluvě o tom, že s účtem Google je často spojena i platební karta s přístupem k penězům na osobním účtu. Bezpečnost Androidu je mimo dosah většiny uživatelů a její zajištění má na starosti Google respektive výrobci zařízení. Stejně tak nemá příliš smysl zabývat se otázkami, ke kterým informacím a za jakých okolností mají přístup vládní bezpečnostní složky. První věc, kterou byste si měli uvědomit, je holý fakt, že nejslabším článkem pomyslného bezpečnostního řetězce je uživatel. Úkolem výrobce je vydávat bezpečnostní záplaty, starat se o aktualizace, případně implementovat do systému nástroje zvyšující možnost kontroly nad systémem. Bez opatrnosti uživatele a používání zdravého rozumu uživatele se však veškeré snahy o co možná nejvyšší bezpečnost mohou minout účinkem. V tomto článku vám neporadíme, jak ochránit svůj telefon před experty z NSA, ale pokusíme se nastínit několik základních pravidel, kterými byste se měli řídit, chcete-li mít svá data v bezpečí.

Používejte zámek obrazovky

Zabezpečení odemykací obrazovky je nejjednodušším způsobem, jak zkomplikovat komukoli, kdo má fyzický přístup k vašemu zařízení, aby se dostal k uloženým údajům. Pochopitelně se nejedná o neprůstřelný pancíř – v některých případech a při dostatku času je možné zámek obejít. Pokud k zabezpečení zvolíte ochranu PINem, nemělo by se jednat o čísla, která lze snadno odhadnout na základě znalosti vaší osoby. Stejně tak byste měli být opatrní při jeho zadávání. Podobně to platí při ochraně gestem, kde je navíc nutné dávat pozor na otisky, které zanecháváte při jeho zadávání na obrazovce. Jestliže je zařízení vybaveno patřičným snímačem, pak je poměrně spolehlivou metodou odemykání telefonu otiskem prstu. Ani tento způsob ale není nepřekonatelný, jak jste se mohli dočíst ve článku Čtečku otisků prstů lze ošálit otiskem vytištěným na tiskárně. Zásadní je také volba dostatečně silného hesla, které je požadováno po několika neúspěšných pokusech o načtení otisku. Příliš jednoduché heslo degraduje úroveň celého zabezpečení. Jak jsme uvedli výše: zámek obrazovky vás sice nespasí v případě odcizení telefonu, ale může být zcela dostačujícím opatřením například před zvědavou manželkou, kolegy v kanceláři či spolužáky ve škole. Je to takový první štít pro vyšší bezpečnost vašich soukromých informací. Vhodné však je uvést na odemykací obrazovce nějaké kontaktní informace majitele. Když telefon ztratíte, možná budete mít štěstí, že ho najde poctivý nálezce a bude mít dostatek údajů, na základě kterých vám mobil vrátí.

Neinstalujte podezřelé aplikace

Android ve výchozím nastavení nabízí možnost stahování a instalace aplikací z oficiálního repozitáře, kterým je Obchod Play. Ten má „pod palcem“ Google, který v několika krocích kontroluje každý zde publikovaný program. Netvrdíme sice, že když budete instalovat jen z tohoto zdroje, nedostane se do systému žádná podezřelá aplikace, nicméně míra rizika je relativně malá a například malware byste tímto způsobem do mobilu stáhnout neměli. Existují ale i jiné způsoby, jak do telefonu nainstalovat aplikace. V takovém případě je ale nutné v systémovém nastavení povolit instalaci ze zdrojů třetích stran, při čemž je uživatel varován dialogem před nebezpečím, které takový postup může znamenat. Pomineme-li snahu stahovat tímto způsobem jinak placené programy (typicky hry), patrně není mnoho aplikací, které byste měli stahovat odjinud než z Obchodu Play. Když už se k tomuto kroku rozhodnete, měli byste tak činit jen v případě vývojářů a aplikací, kterým máte důvod důvěřovat. Instalace aplikací z jiných zdrojů je jedním z nejčastějších důvodů infiltrace škodlivého kódu do systému Android. Velmi dobře zde funguje sociální inženýrství: chcete placenou hru XY zadarmo? Chtěli byste sledovat exkluzivní porno s celebritou? Pak asi nebudete příliš přemýšlet nad riziky, pročítat seznam požadovaných oprávnění a místo kýžené hry si do systému sami a dobrovolně nainstalujete malware. Podlejší verze této metody přesvědčuje formou reklamy uživatele, že má v systému virus, který vyléčí jedině klepnutím na odkaz, stažením a instalací speciálního antivirového programu. Patrně nemusíme zdůrazňovat, že právě takovým krokem se do systému „něco jako virus“ dostane. Rozhodně tedy doporučujeme nestahovat a neinstalovat aplikace z různých webových stránek. Ještě bezpečnější je ponechat v systémovém nastavení zakázanou možnost instalace aplikací ze zdrojů třetích stran a používat pouze Obchod Play.

Čtěte všechno, s čím musíte souhlasit!

Sáhněte si do svědomí a zeptejte se sami sebe: kdy jste naposledy četli seznam oprávnění, které požadovala instalovaná aplikace? Čtete smluvní podmínky, podmínky používání služeb a aplikací či zásady ochrany údajů, nebo vždy „odklepnete“ dlouhý a většinou krajně nudný text tlačítkem Souhlasím? Přitom i v těchto okamžicích jde o bezpečnost vás a vašich dat! V minulosti kolovala informace, že jakási nejmenovaná firma schovala do smluvních podmínek ke své aplikaci klauzuli, podle které uživatel, který se jako první přihlásí na uvedené telefonní číslo, dostane finanční odměnu. Prý trvalo poměrně dlouho, než se ozval „výherce,“ který si celé podmínky pročetl a uvedenou částku nárokoval. Požadavky na oprávnění jsou přitom velice klíčové – aplikace v nich totiž sděluje, které hardwarové komponenty a systémové služby hodlá využívat. V mnoha případech je poměrně snadné rozpoznat, že požadovaná oprávnění nejsou v souladu s funkcemi, jež daný program nabízí. Nač by například „baterka,“ která pouze rozsvěcí a zhasíná přisvětlovací LED fotoaparátu, měla potřebovat informace o přesné poloze či kontaktům? Přesto jsou na světě miliony uživatelů, kteří takovou aplikaci dobrovolně nainstalovali. Velmi podrobně jsme se tomuto tématu věnovali ve článcích Nenechte se špehovat svým Androidem! aneb Proč sledovat oprávnění aplikací?, Na co si dát pozor u požadovaných oprávnění při instalaci aplikací? a Proč by vás měla zajímat oprávnění aplikací na Androidu? Ano, řada služeb a programů bude vyžadovat nějaké hardwarové komponenty, případně bude sbírat informace o své činnosti. V každém případě byste ale měli vědět (a ve smluvních podmínkách i najít), jak s těmito daty bude dále nakládáno, k čemu budou používány, zda budou či nebudou předávány třetím stranám. Pak záleží jen na vás, abyste vyhodnotili, zda za to dotyčná aplikace stojí. Obzvláště opatrní byste však měli být v případech, kdy jsou podmínky používání a zásady ochrany osobních údajů obtížně nalezitelné, případně je autoři vůbec neuvádějí.

Volte bezpečná hesla

Volbu hesla mnoho uživatelů podceňuje. Výjimkou tak například není, že se jedním a tím samým heslem přihlašují ke všem službám. Jenže v takovém případě hodně riskují – stačí, aby heslo uniklo (například po hackerském útoku) z jediné služby, a útočníci se pak snadno dostanou například do e-mailové schránky nebo na účet na sociální síti. Přístupem k e-mailu pak v mnoha případech lze získat také přístup ke všem dalším službám – většina z nich totiž nabízí možnost obnovy hesla zasláním na adresu uvedenou při registraci. Další častou chybou je heslo, které má něco společného s osobou uživatele a/nebo ho lze snadno odhadnout. Určitě není dobré volit jako heslo jméno partnera/partnerky, manžela/manželky, dětí, domácího mazlíčka a podobné. Stejně špatným nápadem jsou hesla jako „123456“ či „heslo.“ Bezpečné heslo by mělo mít alespoň deset znaků, přičemž má obsahovat velká a malá písmena, číslice a v ideálním případě pak i speciální znaky. Jak tedy na hesla?

• Karel – je špatné heslo. Je snadno odhadnutelné a příliš krátké.
• Karel1 – je o něco lepší heslo, nicméně pořád je šance, že někdo „odkouká“ jedničku na konci.
• K@rel1Kilian – je už přeci jen lepší heslo.
• @28da1bc2232c5a860c833c83A43bd2cf – je pro vaši bezpečnost ideální heslo, nicméně špatně se pamatuje.

Celou situaci komplikuje právě korelace mezi délkou a složitostí hesla a schopnosti jeho snadného zapamatování. Přeci jen poslední heslo z našeho seznamu si asi většina lidí nezapamatuje. Dobrým řešením jsou pro tyto účely nejrůznější správci hesel – například KeePass, který má i svou aplikaci pro Android KeePassDroid. Správce hesel nabídne uložení přihlašovacích údajů k desítkám služeb do šifrovaného souboru/databáze, zajištěného jedním hlavním heslem (to by mělo být obzvláště bezpečné, ale současně i snadno zapamatovatelné). Kromě toho většina z nich poskytuje i takzvaný „generátor hesel,“ který vám „namíchá“ bezpečné heslo s danými parametry, jež nebude mít žádnou souvislost s vaší osobou. Správce hesel v kombinaci s generátorem tak může být poměrně spolehlivým nástrojem, jak udržet svá data v bezpečí a mít pro každou službu jiné přihlašovací údaje.

Kde to jde, tam používejte dvoufázové ověření

O něco vyšší stupeň ochrany proti běžnému přihlašovaní uživatelským jménem a heslem nabídne dvoufázové ověření. To proti prvnímu zmíněnému způsobu spoléhá nejen na to, co víte/znáte (jméno a heslo), ale ještě na něco, co máte (zde zpravidla telefon). Bez toho, co máte mít, jsou přihlašovací údaje k ničemu. Stejně tak naopak: pokud někdo získá váš mobil, do služeb se nepřihlásí, protože nezná přihlašovací údaje. Například Google popisuje dvoufázové ověření takto: „Když aktivujete dvoufázové (dvoufaktorové) ověření, váš účet bude chráněn další úrovní zabezpečení. K přihlášení bude potřeba něco, co znáte (heslo), a něco, co máte (kód odeslaný do telefonu).“ Princip tohoto způsobu ověření tedy vypadá zhruba následovně:

1. Otevřete webovou stránku služby a zadáte své uživatelské jméno a heslo.
2. Na telefon vám přijde bezpečnostní kód, který opět zadáte na webu služby.

Většina aplikací, nabízejících dvoustupňovou autentizaci, posílá bezpečnostní kódy v podobě krátkých textových zpráv (SMS). Google na to šel ještě maličko jinou cestou a nabízí pro tyto účely aplikaci Google Authenticator. Podrobný návod, jak zprovoznit dvoufázové ověřování k účtu Google jsme přinesli v září 2014 ve článku Chcete mít bezpečnější účet Google? Nastavte si dvoufázové ověření!. Dvoufázové ověřování byste měli používat u všech služeb, které pracují s nějakými osobními daty – dnes ho podporuje například Google, Dropbox, Facebook, Instagram, Amazon, Tumblr, mnohé banky a další weby a aplikace.

Jak na bezpečnost na Androidu? Poraďte si sami!

Nadpisem poslední kapitoly tohoto článku chceme jen zdůraznit, jak důležitá je v oblasti bezpečnosti na Androidu pozornost a ostražitost uživatele. Je doslova alfou a omegou, a jak jste sami viděli z pěti vyjmenovaných tipů, míra zabezpečení je ve značné míře závislá na chování jednotlivce. Nejslabším článkem pomyslného řetězu prostě byl, je a patrně ještě dlouho bude uživatel. Výše uvedená pravidla jsou naprostým základem, přesto však jistě existují i další tipy a triky, jak zajistit vyšší bezpečnost sebe, svých dat a telefonu. Pokud si myslíte, že jsme zapomněli na něco podstatného, podělte se o své rady v diskuzi pod článkem! Vychází ze článku androidauthority.com.