Americká armáda používá špatně zabezpečené aplikace systému Android, představují bezpečnostní riziko

21.12.2018| Chytré military, Chytrá bezpečnost, Chytré aplikace| Žádné komentáře|

Dvě aplikace určené pro systém Android, které americké vojsko využívá ve skutečných nasazeních, obsahují bezpečnostní zranitelnosti.

Na nepříjemný fakt poukázala inspekce námořnictva USA a výsledná zpráva. Aplikace pro smartphone jsou určeny k instant messagingu mezi jednotlivými frakcemi amerických ozbrojených sil (letectvo, námořnictvo apod.). Zobrazuje také cíle mise, disponuje satelitními snímky okolí a zvýrazňuje blízké pozice nepřátelských a spojeneckých sil. Slouží vlastně jako náhrada papírových map a rádií.

Pomocí několika klepnutí jde dokonce přivolat leteckou podporu.

Vojáci k nim mají přístup skrze speciální „obchod s aplikacemi“, který USA spravuje pro své síly.

Ukázka aplikací z videa od DARPA:

Whistleblower zranitelnosti odhalil, za odměnu mu snížili plat

Podle údajů zveřejněných ve zprávě byly aplikace původně zamýšleny pouze pro cvičení, takže zabezpečení nebylo prioritou číslo 1. Inteligentní rozhraní a chytré prvky se však zalíbily vedení i jejím po zuby ozbrojeným uživatelům, a používají se tak v reálném prostředí.

O zranitelnostech se údajně ví déle, než rok, kdy před nimi otevřeně varoval interní whistleblower, Anthony Kim, civilní programový analytik pro americké námořnictvo. Za upozorňování na znatelné zranitelnosti mu byl nejprve snížen plat, poté byl dočasně postaven mimo službu a následně mu odebrali nutné bezpečnostní ověření.

Vydaná zpráva inspekce jej však očistila a Kim dostal prověrku zpátky, i s doporučením na státní vyznamenání.

Obrázek: Americká armáda používá špatně zabezpečené aplikace systému Android, představují bezpečnostní riziko

Ukázka jedné z aplikací. Zdroj: DARPA

Přestože se samozřejmě zpráva týká především amerického prostředí, má dalekosáhlé následky: ukazuje, že i v tak extrémně citlivé oblasti jako je vojsko existuje tendence nejen zranitelnosti podceňovat, ale dokonce je ignorovat. Kim nevynášel informace o zranitelnostech mimo instituci, upozorňoval pouze své přímé nadřízené; to jej dle veškeré logiky mělo pochválit a okamžitě potenciálně smrtící zranitelnosti opravit.

Druhou záležitostí, kterou se zpráva nezabývá, je ovšem samotné používání systému Android, a chytrých telefonů vůbec, při misích. Není jasné, jak moc je zrovna Android pro tuto roli vhodný: pro své zranitelnosti je totiž notoricky známý. Složky amerických ozbrojených sil však přinejmenším užívají odlišnou, zabezpečenější verzi operačního systému.

Není přesně jasné, o jaké zranitelnosti se jednalo, avšak u vojenských aplikací v každém případě nejde o nic dobrého. Vydaná zpráva je samozřejmě výrazně cenzurována, dostat se tak k podrobnějším informacím není jednoduché.

Zprávu námořní inspekce USA odhalil server ZDnet.

O autorovi

David Slouka

Autor je vystudovaný novinář a překladatel se specializací na informační technologie a hry; píše mimo jiné pro Computerworld či prg.ai. Spolupracuje se společností Wargaming, o firmě a jejích produktech tudíž nepíše.