Začněme příběhem. Pan Běžný byl dokonale spokojený s mobilním bankovnictvím. Dokázal velice snadno sledovat pohyby na svém účtu a také platby pomocí QR kódů byly příjemně jednoduché. Vše vypadalo dokonale až do okamžiku v němž si všiml dost podivných pohybů na svém účtu. Šlo o převody peněz z účtu, které nikdy nerealizoval. Vše vypadalo naprosto v pořádku a ani reklamace v bance k ničemu nevedla. Transakce byly korektně provedeny přímo v mobilu pana Běžného.
Co se stalo? Pan Běžný měl ve svém mobilu novou „úžasnou“ aplikaci pro zaznamenávání hovorů. V ní byl útočný kód, který prováděl platební transakce ve prospěch svých tvůrců. To samo o sobě by nemuselo stačit. Útočná aplikace snadno uspěla také díky tomu, že mobil pana Běžného měl velmi starou neaktualizovanou verzi operačního systému. Celková bilance byla neradostná. Několik převodů peněz na hranici limitu téměř vyčerpalo běžný účet pana Běžného.
Jak se chránit?
- Pořiďte si mobil, jehož operační systém výrobce pravidelně udržuje pod celou dobu jeho očekávané životnosti.
- Neinstalujte neprověřené aplikace z neznámých zdrojů.
- Zabezpečte odemykání displeje buď pomocí PIN nebo pomocí otisků prstů, případně pomocí Face ID.
- Nikomu nesdělujte svá hesla a PIN.
- Nepoužívejte stejná hesla k různým účelům.
Přiznejme si, že není vůbec jednoduché splnit hned první doporučení. Ačkoli fyzická životnost současných mobilů může dosáhnout i více než pěti let, jen málo výrobců je ochotných poskytovat podporu po celou tuto dobu.
Než si pořídíte nový mobil, je dobré položit si následující otázky:
- Jak dlouho bude tento model dostávat nové verze operačního systému?
- Jak dlouho bude tento model dostávat bezpečnostní aktualizace (security updates)?
- Jak často budou bezpečnostní aktualizace přicházet (měsíčně, kvartálně, ročně)?
Proč jsou odpovědi na tyto otázky důležité? Útočníci neustále aktualizují své postupy a programy. Výrobci mobilů musí na tyto nové hrozby reagovat záplatováním operačních systémů. Mobily bez záplat tj. bezpečnostních aktualizací jsou zranitelné a také mobily, které dostávají záplaty např. jednou za rok jsou zranitelnější, než ty, které výrobci pravidelně aktualizují v krátkých intervalech. Nové verze operačního systému přinášejí nejen nový vzhled a funkce, ale většinou také celkové zvýšení bezpečnosti.
Dodejme, že na druhou stranu mohou nové verze operačního systému a bezpečnostní aktualizace způsobovat problémy. K tomu jejich příprava stojí výrobce hodně úsilí a peněz. Proto je pravidlem, že dražší a novější modely obojí dostávají častěji a mívají mnohem méně problémů po jejich instalaci. Například u Samsungu dostávají modely Galaxy S21, S22 aktualizace měsíčně, modely Galaxy A23, A33 kvartálně a modely Galaxy A11 a A21 jednou za půl roku. Jak jsou na tom celkově konkrétní značky?
Začněme mobily od společnost Apple s operačním systémem iOS. U ní se většina modelů dočká až šesti let aktualizací operačního systému a také pravidelných bezpečnostních aktualizací. Mobily vybavené operačním systémem Android jsou na tom většinou hůře. Nižší modely se u některých značek nedočkají žádných nových verzí operačního systému, ani bezpečnostních aktualizací. Takto to funguje navzdory požadavkům Google, které zahrnují dva roky dodávání nových verzí Androidu a dva roky bezpečnostních aktualizací.
Tento neutěšený stav se pomalu začíná měnit Hybatelem změn se stala společnost Samsung, která se zavázala dodávat nové verze operačního systému po dobu 4 let a bezpečnostní aktualizace po dobu 5 let. To platí pro většinu v současné době prodávaných modelů včetně relativně levné řady „A“. Velmi podobnou změnu bezpečnostní politiky už ohlásili další výrobci. Jmenujme např. Xiaomi a OPPO. Na spodním konci žebříčku jsou pak výrobci Huawei, Realme, Poco, Vivo a HMD Global (Nokia) .
Před nákupem mobilu nebo tabletu je tedy nutné dohledat údaje o konci softwarové podpory vždy pro konkrétní model dané značky. Doporučuji začít na webu jeho výrobce a zaměřit se na zkratky EOL, tedy „End Of Life“ nebo EOSL, tedy „End of Service Life“. U některých značek ovšem výrobci o délce podpory svých výrobků „taktně mlčí“. Pokud ji nedokážete sami dohledat ptejte se obchodního zastoupení značky. Přístrojům, u nichž délku podpory nejde spolehlivě zjistit, se pak raději vyhněte. To vše samozřejmě platí i pro nákupy v bazaru.
Pro usnadnění zjišťování jak na tom je mobil, který hodláte koupit, jsem připravil následující odkazy:
Apple
https://support.apple.com/cs-cz/HT201222
Samsung
https://security.samsungmobile.com/workScope.smsb
Google Pixel
https://www.androidpolice.com/google-pixel-os-update-length/
OnePlus
https://security.oneplus.com/en/mend
https://www.knowyourmobile.com/user-guides/how-long-does-oneplus-support-its-phones-a-guide/
Motorola Edge
https://screenrant.com/software-updates-motorola-edge-2022-how-many/
OPPO
https://www.gizmochina.com/2021/10/05/oppo-software-update-policy-3-android-4-years-security-update/
Xiaomi
https://trust.mi.com/misrc/updates/phone?tab=policy
Nokia
https://www.nokia.com/phones/en_int/security-updates
Vivo
https://www.vivo.com/en/security
https://www.fonearena.com/blog/339386/vivo-3-years-android-updates-x-series.html
Na závěr se zmiňme o bezpečnostní technologii Samsung Knox. Ta dorovnává nedostatky v bezpečnosti Androidu na úroveň přinejmenším srovnatelnou s iOS. Připojíme-li k tomu dostatečnou dobu bezpečnostních aktualizací u obou značek, není divu, že v korporátním světě převládají uživatelé mobilů Apple a Samsung.