Nový Android sa bude dať bezpečnejšie použiť na nedôveryhodných sieťach

Značky: Androidbezpečnosť

DSL.sk, 14.4.2018

V novej verzii Androidu s kódovým označením P, ktorá bude zrejme niesť číselné označenie 9.0 a príde tento rok, je podporovaná nová technológia zvyšujúca bezpečnosť používania smartfónov v niektorých scenároch a najmä na potenciálne nedôveryhodných sieťach.

Touto novou technológiou je podpora DNS cez protokol TLS, na jej pridanie aktuálne upozornil Google.

Úlohou systému, protokolu a serverov DNS je prekladať doménové mená na IP adresy, na ktorých následne už softvér môže IP protokolom kontaktovať servery pre jednotlivé služby na daných doménach. Možným bezpečnostným rizikom protokolu DNS, ktoré bolo najmä v minulosti ale naďalej v nejakej miere stále je zneužívané, je podvrhnutie nesprávnych odpovedí DNS.

Prehliadač alebo iný softvér užívateľa tak namiesto originálnych serverov môže kontaktovať podvrhnuté servery útočníkov, ktorí následne môžu realizovať rozličné typy útokov. Toto riziko je eliminované pri používaní šifrovaného bezpečného protokolu TLS, v prípade webov HTTPS, ktorý overuje identitu servera. Riziko je ale stále prítomné v prípade aplikácií a stránok nevyužívajúcich len TLS / HTTPS.

Takémuto riziku môžu byť užívatelia vystavení napríklad pri používaní potenciálne nedôveryhodných verejných WiFi sietí respektíve aj dôveryhodných verejných WiFi sietí, na ktorých môžu ale útočníci realizovať rozličné typy útokov.

Nové nastavenie bezpečného DNS cez TLS v Androide P, kliknite pre zväčšenie (screenshot: Google)

Samotný DNS protokol má ochranu proti podvrhnutie nesprávnych odpovedí v podobe štandardu DNSSEC, napríklad na slovenskej národnej doméne .sk DNSSEC stále nie je nasadený.

Druhou možnosťou je využívať určite spoľahlivý DNS server, komunikácia s ktorým bude zabezpečená. Práve túto úlohu plní protokol DNS cez TLS, pri ktorom sa zariadenie pripája na DNS server cez TLS protokol.

V novom Androide P pribudla v sieťových nastaveniach možnosť Private DNS, ktorej štandardným nastavením aspoň v súčasnej vývojovej verzii je používať DNS cez TLS ak ho pripojením nastavený DNS server podporuje. Napríklad u slovenských poskytovateľov a WiFi sietí sa takáto podpora nedá zatiaľ očakávať, Android ale povoľuje nastavenie konkrétneho DNS servera podporujúceho DNS cez TLS. Aký DNS server bude užívateľ využívať by mal zvážiť, tento štandard ale podporuje napríklad aj nová verejná DNS služba od Cloudflare prevádzkovaná na adrese 1.1.1.1.

DNS cez TLS ochráni pred manipuláciou DNS odpovedí, vo všeobecnosti ale nezabráni aby poskytovateľ, prevádzkovateľ WiFi alebo útočník s prístupom k dátovej prevádzke videli aké stránky a služby užívateľ využíva. Z jeho dátovej prevázky je totiž vidieť jednak IP adresy, ktoré kontaktuje, a jednak aj v prípade prístupu na stránky cez HTTPS dnes prehliadače pre podporu viacerých domén na jednej IP adrese využívajú rozšírenie TLS označované SNI, Server Name Indication, pri ktorom prehliadač posiela navštevovanú doménu pri zostavovaní TLS spojenia nešifrovanú.




Najnovšie články:



Diskusia:

dadasdfg Od: martincc | Pridané: 14.4.2018 14:11 Nedôveryhodný Android sa po novom bude dať použiť.(V dobrom samozrejme) Odpovedať Známka: 6.2 Hodnotiť:

Re: dadasdfg Od: Hmmm | Pridané: 15.4.2018 14:14 Počujte ako je to s tými aktualizáciami. Keď si kúpim mobil s Androidom 8.0., tak už je to tá verzia nezávislá na hardvéri a budem mať stále dostupné nové aktualizácie a nové verzie androidov ? Odpovedať Známka: 2.0 Hodnotiť:

Re: dadasdfg Od: čitateľ | Pridané: 15.4.2018 19:17 Nie Odpovedať Známka: 2.0 Hodnotiť:

Re: dadasdfg Od: Hmmm | Pridané: 15.4.2018 22:31 Ako to, však od 8.0 to už malo byť, aj tu boli o tom články. Odpovedať Známka: -2.0 Hodnotiť:

Re: dadasdfg Od: ehmmmm | Pridané: 16.4.2018 8:40 nejratni nik kkt Odpovedať Známka: -5.0 Hodnotiť:

7.1.2 Od: LineageOS | Pridané: 14.4.2018 20:36 Je ten apdtejtovany cyanogen hodnejsi? Mam ho druhy den a aj ked zere vyse ram, baterka vydrzi dlhsie, koli osekanym pravam v aplikaciach. Mordoval som sa s tym 2 dni :D Odpovedať Známka: -5.4 Hodnotiť:

9.9.9.9 Od: 9.9.9.9 | Pridané: 15.4.2018 11:48 9.9.9.9 208.67.222.123 208.67.220.123 Odpovedať Hodnotiť:

Re: 9.9.9.9 Od: sensei-san | Pridané: 15.4.2018 15:42 127.0.0.1 Odpovedať Známka: 6.0 Hodnotiť:

Fastest DNS Comparison: 8.8.8.8 vs 9.9.9.9 vs 1.1.1.1 Od: Joshinkov bratrancov konov brat | Pridané: 15.4.2018 13:19 http://dopice.sk/lip porovnanie rychlosti tychto DNS serverov: Google 8.8.8.8 CloudFlare 1.1.1.1 Quad9 9.9.9.9 OpenDNS 208.67.222.222 Norton DNS 199.85.126.20 CleanBrowsing 185.228.168.168 Yandex DNS 77.88.8.7 Comodo DNS 8.26.56.26 Odpovedať Známka: 0.0 Hodnotiť:

iphone Od: dnskmsns | Pridané: 15.4.2018 15:31 clanok sa venuje len android telefonom. zaujimalo by ma, ako je to v pripade iphonov od apple. tam nieco taketo uz je alebo nie je? Odpovedať Hodnotiť:

kvantový koprocesor Od: syntaxterrorX XX | Pridané: 15.4.2018 20:01 Presne tak. Az do otvorenia tam je alebo nie je a potom tam uz jednoducho je alebo nie je, takze tam priekazne furt je alebo nie je. Odpovedať Známka: 2.0 Hodnotiť:

hmmmmmm Od: Reikii | Pridané: 15.4.2018 15:54 to je super, skoda vsak, ze ja este nemam aniaktualizaciu na 8.0 Odpovedať Známka: 10.0 Hodnotiť:

sukromne VPN Od: rolh | Pridané: 16.4.2018 16:47 My co pouzivame sukromne VPN taky problem nemame a prevadzkovatel WiFi nevidi okrem VPN servera nic ine co sa tyka mojho data traffic. Takto to robime uz dlho. Odpovedať Hodnotiť:

Pridať komentár