Architektura bezpieczeństwa a wiek urządzenia
W powszechnym przekonaniu sprawny smartfon to taki, którego ekran reaguje na dotyk, a bateria pozwala na cały dzień pracy. Z punktu widzenia cyberbezpieczeństwa definicja ta jest jednak błędna. Fundamentem ochrony urządzenia nie jest jego stan fizyczny, lecz aktualność jądra systemu operacyjnego i tzw. łatek bezpieczeństwa. Każdy system operacyjny, niezależnie od producenta, zawiera błędy w kodzie. Niektóre z nich to luki typu zero-day, o których istnieniu producenci dowiadują się w tym samym momencie, w którym zaczynają je wykorzystywać hakerzy.
W nowym sprzęcie proces naprawczy jest ciągły – po wykryciu podatności programiści publikują poprawkę, którą telefon pobiera w tle. W starszych modelach, które wypadły już z harmonogramu wsparcia, ten proces nie istnieje. Oznacza to, że raz odkryta dziura w zabezpieczeniach pozostaje otwarta na zawsze. Cyberprzestępcy doskonale o tym wiedzą i tworzą złośliwe oprogramowanie celujące w konkretne, niezałatane wersje systemów. Starszy smartfon staje się więc przewidywalnym celem, ponieważ jego „pancerz” jest dziurawy w miejscach, które od lat są publicznie opisane na forach hakerskich.
Warto przeczytać: Czy tryb prywatny zapewnia anonimowość i bezpieczeństwo?
Cykl wsparcia producentów. Android vs iOS
Różnica w podejściu do długowieczności oprogramowania jest jedną z najbardziej jaskrawych cech dzielących rynek mobile. Apple od lat stosuje politykę długiego wsparcia, udostępniając najnowsze wersje systemu iOS oraz krytyczne poprawki bezpieczeństwa dla modeli sprzed 6, a czasem nawet 7 lat. Dzięki temu użytkownik iPhone’a z 2019 czy 2020 roku wciąż może czuć się relatywnie bezpiecznie, o ile regularnie instaluje sugerowane aktualizacje.
W ekosystemie Androida sytuacja jest znacznie bardziej złożona i zależy od segmentu cenowego oraz polityki konkretnej marki. Przez lata standardem były dwa lata wsparcia, co przy obecnym tempie rozwoju zagrożeń jest okresem zbyt krótkim. Dopiero niedawno liderzy tacy jak Samsung czy Google zadeklarowali dla swoich flagowych modeli wsparcie przez 5-7 lat. Problem dotyczy jednak przede wszystkim urządzeń budżetowych i ze średniej półki. Wiele telefonów kupowanych w marketach za kilkaset złotych otrzymuje aktualizacje rzadko lub wcale, co sprawia, że stają się one przestarzałe pod względem bezpieczeństwa już w rok po premierze. Kluczowym wskaźnikiem dla użytkownika jest data ostatniej poprawki zabezpieczeń, którą można znaleźć w informacjach o systemie – jeśli jest ona starsza niż rok, urządzenie należy uznać za podwyższone ryzyko.
Bankowość mobilna na starszym sprzęcie
Kwestia korzystania z pieniędzy na starym telefonie budzi najwięcej kontrowersji. Należy wyraźnie rozróżnić bezpieczeństwo samej aplikacji bankowej od bezpieczeństwa systemu, w którym ona pracuje. Współczesne aplikacje bankowe są bardzo dobrze zabezpieczone, używają silnego szyfrowania i wymagają uwierzytelnienia wieloskładnikowego. Jednak nawet najlepiej napisana aplikacja nie obroni się przed systemem, który jest zainfekowany na poziomie systemowym.
Jeśli korzystamy ze smartfona bez aktualnych łatek, ryzykujemy infekcję złośliwym oprogramowaniem, które potrafi „podglądać” to, co dzieje się na ekranie. Nowoczesne trojany bankowe na Androida potrafią nakładać niewidoczne warstwy na oryginalną aplikację banku, przechwytując dane logowania. Mogą też automatycznie odczytywać kody SMS lub przechwytywać powiadomienia push, co daje napastnikowi pełny dostęp do naszych środków. Uruchamianie bankowości na urządzeniu, którego producent przestał łatać system operacyjny, przypomina montowanie pancernych drzwi do domu ze spróchniałymi ścianami – włamywacz nie musi forsować zamka, skoro może po prostu przejść przez mur.
Datę aktualizacji zabezpieczeń można znaleźć w ustawieniach, najczęściej w dziale „O telefonie”. Fot. HotGear.
Zagrożenia poza systemem operacyjnym
Bezpieczeństwo smartfona to nie tylko kwestia wersji Androida czy iOS, ale także podatności ukrytych w samym sprzęcie oraz oprogramowaniu, które służy do komunikacji ze światem zewnętrznym. Starsze procesory i moduły łączności mają swoje własne oprogramowanie układowe (tzw. firmware). Z biegiem lat badacze odkrywają luki w protokołach takich jak Bluetooth czy Wi-Fi, które pozwalają na przejęcie kontroli nad urządzeniem bez żadnej interakcji ze strony użytkownika – wystarczy, że znajdzie się on w zasięgu nadajnika napastnika. W nowszych telefonach te błędy są eliminowane na poziomie konstrukcyjnym lub poprzez aktualizacje niskopoziomowe, których starsze modele zazwyczaj już nie dostają.
Kolejnym aspektem są standardy certyfikacji. Starsze urządzenia mogą nie wspierać najnowszych metod szyfrowania transmisji danych, co czyni je bardziej podatnymi na ataki typu man-in-the-middle, szczególnie w publicznych sieciach bezprzewodowych.
Warto również zwrócić uwagę na komponenty takie jak moduł aparatu czy mikrofon. W starszych architekturach systemowych izolacja uprawnień była mniej restrykcyjna niż obecnie. Oznacza to, że złośliwe oprogramowanie na starszym systemie ma ułatwioną drogę do podsłuchiwania otoczenia lub śledzenia lokalizacji użytkownika, ponieważ mechanizmy kontroli prywatności w starszych wersjach oprogramowania są po prostu prymitywne w porównaniu do dzisiejszych standardów.
Jak zwiększyć bezpieczeństwo starszego smartfona?
Jeśli z różnych względów wymiana telefonu na nowy nie wchodzi w grę, istnieją metody, które pozwalają zminimalizować ryzyko, choć należy pamiętać, że żadna z nich nie zastąpi oficjalnych łatek systemowych. Kluczową zasadą jest maksymalna higiena cyfrowa. Należy bezwzględnie zrezygnować z instalowania aplikacji z plików APK pochodzących z nieznanych źródeł. W przypadku starszych systemów mechanizmy weryfikacji takich paczek są słabe, co sprawia, że niemal co druga „darmowa” gra z internetu może zawierać zaszyty kod szpiegowski.
Warto również regularnie weryfikować listę zainstalowanych programów i usuwać te, które nie są już używane – każda zbędna aplikacja to potencjalna furtka dla włamywacza. W przypadku bankowości internetowej, bezpieczniejszą alternatywą na starym urządzeniu może być logowanie się przez przeglądarkę (np. Chrome), która jest aktualizowana niezależnie od systemu, zamiast korzystania z dedykowanej aplikacji bankowej, jeśli ta przestała być wspierana. Dla zaawansowanych użytkowników Androida rozwiązaniem może być instalacja Custom ROM-u, czyli alternatywnego systemu (np. LineageOS). Społeczności programistów często przygotowują aktualne wersje systemu dla modeli, które producenci dawno porzucili, co pozwala na zainstalowanie najświeższych poprawek bezpieczeństwa na kilkuletnim sprzęcie. Jest to jednak proces wymagający wiedzy technicznej i niosący ryzyko trwałego uszkodzenia telefonu.
Podsumowanie. Kiedy czas na zmiany?
Granica między oszczędnością a ryzykiem jest w przypadku elektroniki bardzo wyraźna. Starszy smartfon może nam służyć jako odtwarzacz muzyki, nawigacja samochodowa czy czytnik e-booków przez wiele lat po zakończeniu wsparcia. Jednak w momencie, gdy urządzenie służy jako główny portfel i centrum tożsamości cyfrowej, musimy patrzeć na nie przez pryzmat daty wydania ostatniej łatki bezpieczeństwa. Jeśli telefon nie otrzymał żadnej aktualizacji od ponad 12-18 miesięcy, należy po prostu zacząć planować zakup nowego modelu, traktując to nie jako wydatek na gadżet, ale jako niezbędną inwestycję w ochronę swoich oszczędności.
Wybierając kolejny sprzęt, warto kierować się nie tylko liczbą megapikseli w aparacie czy wielkością ekranu, ale przede wszystkim deklaracją długości wsparcia technicznego. Obecnie na rynku dostępne są urządzenia, które gwarantują bezpieczeństwo przez 5, a nawet 7 lat od premiery. Taki wybór jest najbardziej racjonalny – pozwala cieszyć się sprawnym i bezpiecznym telefonem znacznie dłużej, co w ostatecznym rozrachunku okazuje się tańsze niż częsta wymiana tańszych, ale szybko porzucanych przez producentów modeli. Bezpieczeństwo w sieci to proces ciągły, a posiadanie urządzenia, które potrafi odpowiedzieć na nowe zagrożenia, jest w nim absolutną podstawą.
Tomasz Sławiński
