Český telekomunikační úřad v pondělí na svém oficiálním profilu na Facebooku vydal pozoruhodnou zprávu, v níž varuje před otevřením textové zprávy z čísla 90409099 - že prý desítky Čechů musely zaplatit bezmála sto korun poté, co tak udělali. Odkazuje přitom na zprávu Televize Nova.

Původní zpráva je pozoruhodná především tím, jak je nekonkrétní. Obsahuje vágní vyjádření několika údajně postižených, aniž by bylo blíže specifikováno, o jakou zprávu konkrétně šlo a co se vlastně stalo. A celé je to samozřejmě nesmysl.

Za samotné otevření textové zprávy nikdy nic nezaplatíte. Neexistuje žádný mechanismus, jakým by odesílatel nebo mobilní operátor nebo kdokoliv mohl zjistit, zda jste zprávu přečetli, nechali nepřečtenou nebo třeba bez čtení smazali. Doporučení Martina Drtiny, mluvčího ČTÚ, podobné zprávy vůbec neotevírat, je tedy zcela neopodstatněné. 

ČTÚ následně na Twitteru v odpovědi na kritiku přiznal, že je záležitost složitější, samostatně ale upravené varování nezveřejnil. 

S naprostým minimem informací, které byly zveřejněny, lze jenom těžko dovozovat, co se vlastně stalo. Nicméně existuje několik mechanismů, které mohly být k vylákáním peněz použity. 

První možností je, že oběti nejenom že otevřely příchozí zprávu, ale také udělaly něco dalšího, co po nich zpráva chce. Například že na ni odpověděly způsobem, jaký požadovala. To je častý způsob útoku, využívá sociálního inženýrství, kdy vhodná formulace zprávy přiměje oběť reagovat způsobem, který ve skutečnosti znamená něco jiného, například že si objedná pravidelné předplatné nějaké služby. Zde ovšem nezáleží na tom, zda oběť zprávu otevře, nebo ne, ale zda udělá to, co je v ní požadováno, nevědoma si následků.

Tento článek patří do placené sekce.

Pro vás jej odemknul někdo, kdo má předplatné.


Pokud budete předplatitelem, budete moci stejným způsobem odemykat placené články i pro své přátele.
A získáte i řadu dalších výhod.

Druhá a nejpravděpodobnější možnost je, že si oběti nainstalovaly do mobilu nějakou aplikaci, která zneužívá Premium SMS. Takových aplikací je spousta, najdou se i v oficiálním Play Store od Googlu. Uživatel jim ovšem musí explicitně udělit právo číst a odesílat textové zprávy. Pokud tak učiní, zaslouží si všechno špatné, co mu toto rozhodnutí přinese, a případné výdaje pak může brát jako školné ve škole života. Je však naprosto irelevantní, zda nějakou textovou zprávu otevře nebo ne, všechno dělá aplikace a té je třeba se zbavit, což nemusí být jednoduché.

Třetí možností je, že útočník využívá určitou zranitelnost v operačním systému mobilu. Například ve starších verzích Androidu existují chyby v knihovně Stagefright, která se stará o zobrazování médií, což umožňuje útočníkovi kompletně převzít kontrolu nad telefonem. Ovšem v takovém případě nemusíte zprávu ani otevřít. Stačí notifikace o tom, že přišla, a váš systém je napadený. Zde již pomůže jen instalace příslušné aktualizace systému, pokud je ovšem dostupná. Není-li, nezbude než si koupit nový telefon.

Jak se tedy chovat, abyste nebyli podobným způsobem napadnutelní?

V ideálním světě by k podobným útokům nemohlo dojít. V reálném světě však internetoví zločinci nejčastěji zneužívají slabin lidské psychiky. Nejčastějším zdrojem útoků jsou aplikace, které obsahují buď škodlivý kód nebo jen manipulují uživatele k tomu, aby udělal sám nějaký krok, který přinese útočníkům zisk. V tomto případě jde o nevědomé objednávání prémiových SMS, u kterých se platí už při jejich odeslání poskytovatelem služby. 

Krátkodobým řešením v této situaci je "nechte si operátorem zablokovat komunikaci s prémiovými telefonními čísly". V praxi takové řešení může znamenat, že přijdete i o možnost koupit si jízdenku na MHD pomocí SMS platby, ale na rozdíl od "neotevírání" SMS zpráv to nežádoucím výdajům předejde.

Z dlouhodobého pohledu je spíše nutné zamýšlet se nad tím, jaké aplikace instalujete a co jim dovolíte se systémem dělat. Častou představou je, že nebezpečné jsou pouze instalace aplikací z neoficiálních zdrojů, mimo Google Play Store. Ovšem tato představa je chybná. I Play Store obsahuje škodlivé aplikace, které se sice daří Googlu relativně brzy odstranit, ale i v případě, že potenciální problém zasáhne desetinu promile uživatelů, je to při miliardách telefonů s Androidem problém.

Například Google loni v listopadu odstranil z Play Store 13 aplikací, které instalovaly malware. Ovšem k jejich likvidaci došlo až poté, co si je stáhlo více než půl milionu uživatelů. Podvodné aplikace se nicméně objevují i na iOS, který má podobných bezpečnostních problémů méně. U obou systémů je vhodným vodítkem při hledání nových aplikací hodnocení uživatelů. Například jedna ze zmiňovaných aplikací pro Andorid měla hodnocení pouze 2.3 *. 

Zásadní z pohledu bezpečnosti je i v případě mobilních telefonů aktuální operační systém. To je u Androidu stále obtížně řešitelný úkol. I přes stoupající tlak Googlu na výrobce mobilů jsou aktualizace dostupné pozdě, pokud vůbec.

V době psaní tohoto článku je Googlem podporovaný Android verze 7.0 a novější. Starší verze podporovány nejsou a nejsou pro ně vydávány bezpečnostní opravy. Pokud tedy máte nižší verzi, jste v podobné situaci, jako kdybyste používali na svém počítači dnes již nepodporovaná Windows XP.

Podle aktuálních statistik společnosti StatCounter (z prosince 2018) používá 41,34 % uživatelů Androidu mobil s nepodporovanou verzí operačního systému. Dokonce vůbec nejčastější verze (6.0 s 18,65% podílem) už není podporovaná.

statcoounter

Statistiky StatCounteru jsou navíc ještě celkem optimistické, protože jejich čísla vycházejí z používání mobilního webu. Dá se předpokládat, že uživatelé starších verzí Androidu budou ve svém telefonu webový prohlížeč používat méně a že situace je ve skutečnosti ještě mnohem horší.

Nicméně ani v případě, že máte aktuální verzi operačního systému, ještě není vyhráno. I v těch jsou zranitelnosti, a systém tedy musí být aktualizovaný a mít nainstalované nejnovější opravy. Nejsnazší způsob, jak získat pravidelné bezpečnostní aktualizace poskytuje program Android One, ve kterém nabízejí telefony zejména značky Nokia (všechny aktuální modely) a Xiaomi. V rámci Android One podporu zajišťuje přímo Google a garantuje včasnou dostupnost aktualizací.

V konečném důsledku pak všechno závisí na rozumném přístupu uživatele, aby nenaletěl na sociální inženýrství. Je smutné, že se Český telekomunikační úřad místo skutečného vzdělávání uživatelů omezuje na zcela nesmyslné rady typu "zablokujte telefonní číslo" nebo "zprávu vůbec neotevírejte". 

Že zmatené, dramatické a nekonkrétní zprávy šířící strach vydávají bulvární média typu TV Nova, je přirozené - je na tom založen jejich byznysmodel. Že se k nim přidá i ČTÚ - a ještě s dryjáčnickým titulkem "Vražda, smrt, zabití", svědčí o jeho naprosté nekompetenci.

Související

Líbil se vám článek? Chcete víc takových článků?

Kupte si předplatné a můžete si je číst všechny. Navíc bez reklam a s možností sdílet přátelům.

Vyzkoušejte předplatné HN+

Týden s technologiemi Otakara Schöna

Události posledního týdne ve světě technologií podle Otakara Schöna

Editor rubriky Tech Otakar Schön pro Vás vybírá nejzajímavější nebo nejzásadnější události ze světa technologií, které se odehrály v uplynulém týdnu. Každé pondělí ráno najdete ve své mailové schránce.

Přihlášením se k odběru newsletteru souhlasíte se zpracováním osobních údajů a zasíláním obchodních sdělení, více informací ZDE. Z odběru se můžete kdykoli odhlásit.

Přihlásit se k odběru