FAQ – Velká příručka bezpečnosti logo

Počítačová bezpečnost je v dnešní době kritickou – byť bohužel často podceňovanou – záležitostí. Uživatelé nezřídka nechápou, proč by se tímto tématem měli zaobírat. Toto je obzvlášť důležité u chytrých zařízení, která se od běžných počítačů liší v drobném detailu: denně je nosíme v kapse. Obhospodařují velkou část komunikace, obsahují různé senzory a mikrofony,… Infikované zařízení může mimo jiné odposlouchávat rozhovory s okolím, sledovat geografickou polohu uživatele, fotit a natáčet jej, jeho rodinu i domácnost. Možnosti zneužití jsou téměř neomezené.

„We used to say a man’s home is his castle. Today, a man’s phone is his castle.“
– Edward Snowden


OS Android


► Obsah

OS Android

Android se jakožto nejrozšířenější mobilní OS těší velké pozornosti hackerů, jeho dostatečné zabezpečení je proto nezbytné. Android má robustní bezpečnostní model, který předpokládá, že aplikace třetích stran běžící v OS nejsou důvěryhodné. Hlavním bezpečnostním problémem je rozmanitost zařízení, z nichž většina modelů nedostává pravidelné bezpečnostní záplaty a/nebo běží na zastaralých verzích OS.

Podporovanou verzí Android je Q (10) jakožto aktuální verze OS. Starší verze OS by neměly být používány. Přesto je většina obsažených informací platná i pro starší verze OS, pouze se může lišit přesný postup aplikace různých kroků.

Sekce kapitoly:


Bezpečná zařízení:

Jak již bylo zmíněno, diverzita zařízení s OS Android je z pohledu bezpečnosti velký problém. Ne všichni výrobci nabízejí pravidelné bezpečnostní záplaty a aktualizace OS pro své modely, důvody mohou být různé. Na trhu tedy můžeme nalézt zbrusu nová zařízení se starou verzí OS Android, která již od výroby obsahují známé bezpečnostní díry a výrazně zvyšují pravděpodobnost exploitace. Tato praxe se bohužel nevztahuje pouze na levné modely, nýbrž i na dražší telefony. Uživatel by se měl při výběru svého zařízení zajímat o jeho bezpečnostní parametry. Níže naleznete několik parametrů, které by mělo zařízení splňovat, aby se o něm dalo uvažovat.

Bezpečnostní kritéria pro zařízení s OS Android:

  • verze dodávaného OS minimálně Q (10)
  • časté (měsíční, minimálně čtvrtletní) bezpečnostní aktualizace pro firmware a proprietární komponenty
  • garance bezpečnostních aktualizací po dobu morální životnosti modelu
  • full verified boot
  • 64-bit architektura (x86/ARM)
  • jádro >= 4.4

Info
Existují dvě úrovně měsíčních bezpečnostních aktualizací – prvního dne v měsíci a pátého dne v měsíci. Obě úrovně jsou aplikovatelné pro většinu modelů na trhu. Pokud výrobce celkem pravidelně zařízení aktualizuje, ale implementuje pouze první úroveň (např. 1. listopadu 2019), může to značit problém.


Přijatelné modely dle bezpečnostních kritérií:

  • libovolný model řady Pixel
  • libovolný model projektu Android One
  • libovolný model výrobce Nokia
  • vlajkové lodě většiny známých výrobců jako SONY, Samsung, LG, Huawei apod.
  • vyšší modely výrobců Samsung a SONY

Tip
Pro inspiraci se také můžete podívat na seznam doporučených modelů pro firemní sféru od Google.

Info
Výše rozebíraná kritéria jsou především z hlediska SW, které je v praxi nejkritičtější. Z hlediska HW splňují bezpečnostní standardy porovnatelné s iPhone pouze modely řady Pixel 3. generace a výše.





Základní bezpečnostní nastavení:

Android je většinou bezpečně nastaven již v základu, není ovšem od věci konfiguraci zkontrolovat.

► Kontrola nastavení zabezpečení
  • Otevřete si Nastavení.
  • Přesuňte se do podkategorie Zabezpečení.
  • Zkontrolujte bezpečnou konfiguraci Zámku obrazovkyHeslo, nebo alespoň PIN
  • andinf
  • V rozšířených nastavení zkontrolujte Aplikace pro správu zařízení. Jedinou důvěryhodnou povolenou aplikací by měla být Najdi moje zařízení, je-li uživatelem vyžadována.
  • Výjimku tvoří MDM aplikace nezbytné pro umožnění přístupu k firemním datům ve vašem zaměstnání (např. Device Policy pro gSuite).
  • andinf1
  • Zkontrolujte Šifrování vašeho zařízení a absenci jakýchkoli Agentů důvěry.
  • Aplikaci zavřete.
► Kontrola aktuálního OS
  • Otevřete si Nastavení.
  • Přesuňte se do podkategorie Zabezpečení.
  • Klikněte na Aktualizace zabezpečení.
  • Zkontrolujte, zdali máte aktuální verzi systému Android10 či výše.
  • Zkontrolujte, zdali máte nejnovější aktualizaci zabezpečení Androidu.
  • andinf2
  • Máte-li starší verzi systému Android než 9.0 a výrobce nepotvrdil aktualizaci, zařízení je implicitně nebezpečné – můžete se dívat po náhradě. Máte-li starší aktualizaci zabezpečení Androidu než 3 měsíce, zařízení není bezpečné – můžete se dívat po náhradě.
  • Aplikaci zavřete.

Správce oprávnění:

Správce oprávnění umožňuje nastavit, k jakým informacím a komponentům má konkrétní aplikace přístup.

► Nastavení oprávnění aplikací
  • Otevřete si Nastavení.
  • Přesuňte se do podkategorie Aplikace a oznámení.
  • V rozšířených nastavení otevřete Správce oprávnění.
  • Rozklikněte postupně všechny kategorie a zakažte všem aplikacím nepotřebný přístup.
  • andapp
  • andapp1
  • Následně se ze Správce oprávnění přesuňte o úroveň výše a rozklikněte Přístup ke spec. aplikacím.
  • Zde můžete nastavit např. které aplikace mají přístup k prémiovým SMS, mohou měnit nastavení systému nebo instalovat neznámé aplikace. Zakažte všechen nepotřebný přístup.
  • andapp2
  • Aplikaci zavřete.




Doporučené aplikace:

V následující sekci naleznete doporučené bezpečnostní aplikace a aplikace s bezpečností úzce související. Aplikace jsou děleny na FOSS (free and open source) a proprietární.

Obchod s aplikacemi:

Obchod s aplikacemi velmi úzce souvisí s bezpečností, jelikož z něj stahujete a instalujete veškeré aplikace do OS. Je důrazně doporučeno používat pouze předinstalovaný obchod s aplikacemi.

FOSS:

Proprietární:

Obchody typu Amazon či Samsung nemusí vždy mít nejnovější verze aplikací, zvláště těch, které jsou často aktualizovány. Zejména Amazon má extrémně zdlouhavý proces kontroly aplikací (prováděno ručně).


Firewall:

Firewall je velmi důležitá bezpečnostní vrstva OS, která poskytuje ochranu před síťovými útoky. Na veřejných WiFi připojeních je nutností. Android integruje základní firewall.

Aplikační firewall OS neintegruje, funkcionalitu je možné dodat externí aplikací, která pro implementaci zneužije VPN API, což není nejčistší a nejspolehlivější implementace FW, nicméně se jedná o nejschůdnější variantu, která nevyžaduje destrukci bezpečnostního modelu OS.

FOSS:


Blokování reklamy:

Blokování reklamy je bohužel z hlediska bezpečnosti nezbytné kvůli výskytu škodlivých reklam na internetu. Rozumnější je oblíbené stránky podporovat jinou a bezpečnější – např. finanční – formou.

VPN je dobrý způsob blokace reklam, standardním typem připojení je ovšem přes OpenVPN a Android bohužel tento druh připojení neintegruje, uživatel je tedy zpravidla odkázán na aplikaci svého poskytovatele. Použití prohlížeče blokující reklamy (viz sekce níže) je na OS Android nejlepším řešením. Google Chrome nativně blokuje agresivní reklamy. Prohlížeč Brave v základu integruje blokování reklam a trackerů.

FOSS lokální VPN:

Proprietární lokální VPN:

VPN:

Internetový prohlížeč:


Internetový prohlížeč:

Chrome/Chromium je prohlížeč s nejkvalitnějšími mitigacemi proti exploitům. Prohlížeče založené na Mozilla Firefox stále v této oblasti za Chromium zaostávají, na OS Android dvojnásob.

FOSS:

► Bezpečné nastavení a omezení JavaScript Brave
  • Otevřete prohlížeč Brave.
  • Přes menu v pravém rohu otevřete Nastavení.
  • Rozklikněte nabídku Ochrana soukromí. Zatrhněte položky Blokování reklam, Blokování regionálních reklam a Ochrana proti otisku prohlížeče.
  • brvand
  • Vraťte se o úroveň výše a rozklikněte nabídku Nastavení webu.
  • V sekci JavaScript zablokujte spouštění JS.
  • brvand1
  • V sekci Schránka zablokujte webům přístup k datům ve schránce.
  • brvand2

Info
Nyní máte ve výchozím nastavení vypnutý JS pro všechny weby. Jakmile budete chtít spuštění JS pro určitý web povolit, stačí poklepat na ikonu prohlížeče v horním panelu a skripty povolit.

Proprietární:

► Omezení JavaScript v Google Chrome / Chromium
  • Otevřete si Google Chrome / Chromium.
  • Kliknutím na tři tečky v horním pravém rohu otevřete boční panel a klikněte na tlačítko Nastavení.
  • Klikněte na Nastavení webu a otevřete podkategorii JavaScript.
  • Zablokujte spouštění JS.
  • chmandrjs
  • Klikněte na tlačítko Přidat výjimku pro konkrétní web.
  • Zadejte adresu důvěryhodného webu, na kterém se může spouštět JS. Syntax je oproti desktopové verzi značně omezený.
  • chmandrjs1
  • Klikněte na Přidat.




Bezpečné ROM:

Aby ROM mohla být považována za bezpečnou, musí udržovat striktní bezpečnostní standardy. Musí implementovat pravidelné bezpečnostní aktualizace a podporovat verified boot, nesmí jakýmkoli způsobem degradovat integrované bezpečnostní funkce, nesmí zpřístupňovat pravomoci root uživatele atd.

Nejbezpečnější ROM je originální ROM spravovaná společností Google – Pixel, nebo součást projektu Android One.

Originální ROM implementované ostatními výrobci s integrovanými službami Google zpravidla základní bezpečnostní kritéria splňují. Zařízením bez integrovaných služeb Google je důrazně doporučeno se vyhnout.

Custom ROM bezpečnostní kritéria nesplňují. Například bohužel velmi oblíbený LineageOS nesplňuje ani jedno z několika výše vyjmenovaných kritérií. Výjimku potvrzující pravidlo tvoří projekt GrapheneOS, který ovšem cílí na specifickou skupinu uživatelů, neobsahuje služby Google a podporuje pouze bezpečný HW (modely řady Pixel).

Varování
Instalace libovolné neoriginální ROM je důrazně nedoporučena.

To je vše. Stay safe! smile

Top