Český telekomunikační úřad v pondělí na svém oficiálním profilu na Facebooku vydal pozoruhodnou zprávu, v níž varuje před otevřením textové zprávy z čísla 90409099 - že prý desítky Čechů musely zaplatit bezmála sto korun poté, co tak udělali. Odkazuje přitom na zprávu Televize Nova.
Původní zpráva je pozoruhodná především tím, jak je nekonkrétní. Obsahuje vágní vyjádření několika údajně postižených, aniž by bylo blíže specifikováno, o jakou zprávu konkrétně šlo a co se vlastně stalo. A celé je to samozřejmě nesmysl.
Za samotné otevření textové zprávy nikdy nic nezaplatíte. Neexistuje žádný mechanismus, jakým by odesílatel nebo mobilní operátor nebo kdokoliv mohl zjistit, zda jste zprávu přečetli, nechali nepřečtenou nebo třeba bez čtení smazali. Doporučení Martina Drtiny, mluvčího ČTÚ, podobné zprávy vůbec neotevírat, je tedy zcela neopodstatněné.
ČTÚ následně na Twitteru v odpovědi na kritiku přiznal, že je záležitost složitější, samostatně ale upravené varování nezveřejnil.
Bohužel to nevíme jistě. Nejpravděpodobnější je verze, že majitel smartphonu má v telefonu aplikaci, která objednává prémiové SMS bez jeho vědomí.
— ČTÚ (@ctu_cz) January 21, 2019
S naprostým minimem informací, které byly zveřejněny, lze jenom těžko dovozovat, co se vlastně stalo. Nicméně existuje několik mechanismů, které mohly být k vylákáním peněz použity.
První možností je, že oběti nejenom že otevřely příchozí zprávu, ale také udělaly něco dalšího, co po nich zpráva chce. Například že na ni odpověděly způsobem, jaký požadovala. To je častý způsob útoku, využívá sociálního inženýrství, kdy vhodná formulace zprávy přiměje oběť reagovat způsobem, který ve skutečnosti znamená něco jiného, například že si objedná pravidelné předplatné nějaké služby. Zde ovšem nezáleží na tom, zda oběť zprávu otevře, nebo ne, ale zda udělá to, co je v ní požadováno, nevědoma si následků.
Nedávno jste již předplatné aktivoval
Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.
Tento článek pro vás někdo odemknul
Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!
Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.
Zadejte e-mailovou adresu
Zadejte e-mailovou adresu. Zadaná e-mailová adresa je ve špatném formátu.
Máte již účet? Přihlaste se.
Zpracování osobních údajů a obchodní sdělení
Využitím nabídky beru na vědomí, že mé osobní údaje budou zpracovány dle Zásad ochrany osobních a dalších zpracovávaných údajů, a souhlasím se Všeobecnými obchodními podmínkami vydavatelství Economia, a.s.
Přihlaste se,
nebo si jen přečtěte odemčený článek bez přihlášení.
Zdá se, že už se známe
Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.
Děkujeme, teď už si užijte váš článek zdarma
Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.
V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.
Pokračovat na článekDruhá a nejpravděpodobnější možnost je, že si oběti nainstalovaly do mobilu nějakou aplikaci, která zneužívá Premium SMS. Takových aplikací je spousta, najdou se i v oficiálním Play Store od Googlu. Uživatel jim ovšem musí explicitně udělit právo číst a odesílat textové zprávy. Pokud tak učiní, zaslouží si všechno špatné, co mu toto rozhodnutí přinese, a případné výdaje pak může brát jako školné ve škole života. Je však naprosto irelevantní, zda nějakou textovou zprávu otevře nebo ne, všechno dělá aplikace a té je třeba se zbavit, což nemusí být jednoduché.
Třetí možností je, že útočník využívá určitou zranitelnost v operačním systému mobilu. Například ve starších verzích Androidu existují chyby v knihovně Stagefright, která se stará o zobrazování médií, což umožňuje útočníkovi kompletně převzít kontrolu nad telefonem. Ovšem v takovém případě nemusíte zprávu ani otevřít. Stačí notifikace o tom, že přišla, a váš systém je napadený. Zde již pomůže jen instalace příslušné aktualizace systému, pokud je ovšem dostupná. Není-li, nezbude než si koupit nový telefon.
Jak se tedy chovat, abyste nebyli podobným způsobem napadnutelní?
V ideálním světě by k podobným útokům nemohlo dojít. V reálném světě však internetoví zločinci nejčastěji zneužívají slabin lidské psychiky. Nejčastějším zdrojem útoků jsou aplikace, které obsahují buď škodlivý kód nebo jen manipulují uživatele k tomu, aby udělal sám nějaký krok, který přinese útočníkům zisk. V tomto případě jde o nevědomé objednávání prémiových SMS, u kterých se platí už při jejich odeslání poskytovatelem služby.
Krátkodobým řešením v této situaci je "nechte si operátorem zablokovat komunikaci s prémiovými telefonními čísly". V praxi takové řešení může znamenat, že přijdete i o možnost koupit si jízdenku na MHD pomocí SMS platby, ale na rozdíl od "neotevírání" SMS zpráv to nežádoucím výdajům předejde.
Z dlouhodobého pohledu je spíše nutné zamýšlet se nad tím, jaké aplikace instalujete a co jim dovolíte se systémem dělat. Častou představou je, že nebezpečné jsou pouze instalace aplikací z neoficiálních zdrojů, mimo Google Play Store. Ovšem tato představa je chybná. I Play Store obsahuje škodlivé aplikace, které se sice daří Googlu relativně brzy odstranit, ale i v případě, že potenciální problém zasáhne desetinu promile uživatelů, je to při miliardách telefonů s Androidem problém.
Například Google loni v listopadu odstranil z Play Store 13 aplikací, které instalovaly malware. Ovšem k jejich likvidaci došlo až poté, co si je stáhlo více než půl milionu uživatelů. Podvodné aplikace se nicméně objevují i na iOS, který má podobných bezpečnostních problémů méně. U obou systémů je vhodným vodítkem při hledání nových aplikací hodnocení uživatelů. Například jedna ze zmiňovaných aplikací pro Andorid měla hodnocení pouze 2.3 *.
Zásadní z pohledu bezpečnosti je i v případě mobilních telefonů aktuální operační systém. To je u Androidu stále obtížně řešitelný úkol. I přes stoupající tlak Googlu na výrobce mobilů jsou aktualizace dostupné pozdě, pokud vůbec.
V době psaní tohoto článku je Googlem podporovaný Android verze 7.0 a novější. Starší verze podporovány nejsou a nejsou pro ně vydávány bezpečnostní opravy. Pokud tedy máte nižší verzi, jste v podobné situaci, jako kdybyste používali na svém počítači dnes již nepodporovaná Windows XP.
Podle aktuálních statistik společnosti StatCounter (z prosince 2018) používá 41,34 % uživatelů Androidu mobil s nepodporovanou verzí operačního systému. Dokonce vůbec nejčastější verze (6.0 s 18,65% podílem) už není podporovaná.
Statistiky StatCounteru jsou navíc ještě celkem optimistické, protože jejich čísla vycházejí z používání mobilního webu. Dá se předpokládat, že uživatelé starších verzí Androidu budou ve svém telefonu webový prohlížeč používat méně a že situace je ve skutečnosti ještě mnohem horší.
Nicméně ani v případě, že máte aktuální verzi operačního systému, ještě není vyhráno. I v těch jsou zranitelnosti, a systém tedy musí být aktualizovaný a mít nainstalované nejnovější opravy. Nejsnazší způsob, jak získat pravidelné bezpečnostní aktualizace poskytuje program Android One, ve kterém nabízejí telefony zejména značky Nokia (všechny aktuální modely) a Xiaomi. V rámci Android One podporu zajišťuje přímo Google a garantuje včasnou dostupnost aktualizací.
V konečném důsledku pak všechno závisí na rozumném přístupu uživatele, aby nenaletěl na sociální inženýrství. Je smutné, že se Český telekomunikační úřad místo skutečného vzdělávání uživatelů omezuje na zcela nesmyslné rady typu "zablokujte telefonní číslo" nebo "zprávu vůbec neotevírejte".
Že zmatené, dramatické a nekonkrétní zprávy šířící strach vydávají bulvární média typu TV Nova, je přirozené - je na tom založen jejich byznysmodel. Že se k nim přidá i ČTÚ - a ještě s dryjáčnickým titulkem "Vražda, smrt, zabití", svědčí o jeho naprosté nekompetenci.
