Smartfon dla wojska z Androidem na pokładzie. Wyjaśniamy, jak działa tego typu sprzęt i jak jest zabezpieczany

Android ma opinię systemu mniej bezpiecznego od iOS, tymczasem wyspecjalizowane i certyfikowane pod kątem bezpieczeństwa smartfony wykorzystują właśnie Androida. Korzysta z nich wojsko, inne służby wojskowe czy chociażby agencje rządowe i wyczulony na punkcie bezpieczeństwa biznes. Jak to możliwe?

Na początku tego roku Polską wstrząsnęła afera podsłuchowa wokół szpiegowskiego oprogramowania Pegasus. Dziś może nieco zapomniana, ponieważ inwigilację szybko w kąt zepchnęły poważniejsze kryzysy. Jednak nieważne jak mocno będziemy unikać tematu, kwestia bezpieczeństwa mobilnego prędzej czy później wypłynie na wierzch.

W Polsce słynnym Pegasusem inwigilowano ludzi na świeczniku, a konkretnie ich smartfony – głównym celem były iPhone. Najwyraźniej Android nie cieszy się powodzeniem wśród polityków i aktywistów, ale to nie jest też tak, że jest bardziej odporny na Pegasusa. W 2019 roku, kiedy nad Wisłą temat smartfonowej inwigilacji nie był jeszcze publiczną aferą, jedna z fal ataków wykorzystująca lukę w komunikatorze WhatsApp (pisał o tym kanadyjski Citizen Lab) dotknęła również użytkowników Androida.

Wyrafinowane oprogramowanie do inwigilacji potrafi po prostu wykorzystywać luki w obu systemach. O tym, kto akurat jest celem, decydują organizacje wykorzystujące Pegasusa.

Bezpieczeństwo Androida jest… względne

Wracając do kwestii poruszonej w na początku – dlaczego Android jest uważany za system mniej bezpieczny? Głównie dlatego, że jest bardziej otwarty, a do tego cierpi dużą fragmentację. Występuje w wielu wersjach z przeróżnymi nakładkami, a poszczególni producenci urządzeń z różną intensywnością dostarczają na niego aktualizacje. Dodatkowo znaczna część rynku Androida zdominowana jest przez chińskie marki, a relacje szeroko pojętego zachodu z Chinami są dziś na historycznym minimum. Stąd niektóre państwa, takie jak choćby Litwa, bardzo uważnie przyglądają się chińskim produktom i obawiają się, że mogą stać się one furtką dla potencjalnej inwigilacji.

W praktyce sam Android jako system mobilny, o ile jest aktualizowany na bieżąco, oferuje przyzwoity poziom bezpieczeństwa – przynajmniej dla zwykłego użytkownika. Odrębną kwestią są wspomniane nakładki, ale ten wątek zasługuje na odrębny artykuł. Ryzykiem jest natomiast obarczone używanie zwykłych smartfonów przez wszelkiej maści służby, polityków czy nawet wrażliwy gospodarczo biznes. Tam, gdzie pojawiają się tajne dane, potrzebne są specyficzne rozwiązania. Co ciekawe, te często bazują na Androidzie, ale nie na takim o jakim myślimy.

Android do zadań specjalnych

Aby wyjaśnić czym są bezpieczne smartfony i jak działają, posłużymy się przykładem niedawno debiutującego w Polsce i opisywanego przez naszą redakcję Bittium Tough Mobile 2 C. Producent, fiński Bittium Corporation, specjalizuje się m.in. w łączności taktycznej (bezpieczne radiostacje) dla wojska. Jak nie trudno się więc domyślić – militarne „zaplecze” sprawia, że to urządzenie nieco innej klasy niż „zwykłe” telefony.

Obok wersji systemu jaką rozpozna każdy, kto korzystał kiedyś ze smartfonu z czystym Androidem, tj. bez nakładek producenckich – znanym choćby z serii Pixel – występuje w nim specjalny utwardzony system Bittium Secure OS. System również w swoim pochodzeniu jest Androidem, ale został poddany bardzo głębokim modyfikacjom, co wyjaśnimy za chwilę.

Jak to działa i czym różni się „wojskowy smartfon” od zwykłego?

Użytkownik takiego smartfona ma możliwość dynamicznie przełączać się pomiędzy oboma systemami, korzystając z mechanizmu dual-boot. Co istotne na poziomie sprzętowym oba systemy są od siebie całkowicie odseparowane, więc nie można danych współdzielić. Dla zwykłego zjadacza chleba to utrudnienie, ale uzasadnieniem jest zwiększone bezpieczeństwo – zalogowanie się do Bittium Secure OS wymaga specjalnego fizycznego tokena w postaci klucza U2F. Autentykacja użytkownika opiera się na NFC, token należy zbliżyć do urządzenia.

Utwardzony system nakłada na użytkownika szereg ograniczeń, których celem jest ograniczenie kierunków, z których może nadejść potencjalny atak. W zwykłych smartfonach popularnymi wśród hakerów kanałami dostępu do urządzenia są m.in. aplikacje mobilne (szczególnie luki bezpieczeństwa w komunikatorach) oraz komunikacja SMS. Obie drogi dostępu są zamknięte w utwardzonym systemie operacyjnym. Użytkownik nie ma bowiem możliwości zainstalowania aplikacji, która nie została ściśle zweryfikowana i certyfikowana w ramach MDM (Mobile Device Management) – nie ma tu otwartego odpowiednika Google Play.

Tradycyjna komunikacja mobilna jest blokowana, więc nie da się wykonywać i odbierać połączeń telefonicznych oraz otrzymywać wiadomości SMS. Jedynym kanałem dostępu na zewnątrz jest transfer danych, który odbywa się wyłącznie za pomocą VPN, a więc odpowiednio zabezpieczonych serwerów. Wykonanie połączenie z poziomu takiego utwardzonego systemu operacyjnego jest więc możliwe, ale tylko poprzez dedykowaną aplikację – musi ją mieć zainstalowaną również nasz rozmówca, a bezpieczeństwo gwarantuje mechanizm szyfrowania E2EE (end-to-end). Wreszcie niektóre dostępne w smartfonie moduły, takie jak choćby popularny Bluetooth, maja ograniczoną funkcjonalność, kiedy korzystamy z utwardzonego systemu operacyjnego. Przykładowo możemy skorzystać ze słuchawek bezprzewodowych, ale nie będziemy w stanie przesłać plików przez Bluetooth na inne urządzenie.

Gdyby się wreszcie okazało, że użytkownik bezpiecznego smartfonu jest fizycznie zagrożony – przykładowo jest funkcjonariuszem służb, któremu grozi przechwycenie samego urządzenia i tokena służącego do autoryzacji – może on skorzystać z ostatniej linii oporu. Utwardzony system operacyjny oferuje tryb błyskawicznego wymazania danych w takim stopniu, że ich odzyskanie nie będzie już możliwe. O ile w normalnym Androidzie taki proces musimy potwierdzić kilkoma krokami, a samo czyszczenie systemu chwilę trwa, tak w przypadku bezpiecznego smartfonu jest to niemalże natychmiastowe. Specjalny odpowiednik „czerwonego przycisku” jest zawsze łatwo dostępny z poziomu menu systemowego.

Ciekawostką jest też dodatkowa funkcja, ściśle zintegrowana z hardware. W przypadku Bittium Tough Mobile 2 C dane mogą zostać wymazane automatycznie, jeśli ktoś chciałby dostać się do smartfonu. Urządzenie ma zainstalowane specjalne czujniki, które wykrywają próby siłowego otwarcia obudowy. To ostatnia linia obrony.

Specjalny, czyli dla kogo?

Skoro znamy już podstawowe założenia bezpiecznego smartfonu z utwardzonym systemem operacyjnym, można sobie zadać pytanie – komu takie urządzenie jest potrzebne? Raczej nie jest sprzęt dla zwykłego zjadacza chleba, chyba że ten pasjonuje się kryptowalutami i wykorzystuje swój smartfon w roli portfela. Jednak tego typu rozwiązania potrzebne są tam, gdzie ochrona przed inwigilacją jest kluczowa.

Mogą z nich korzystać służby mundurowe i specjalne, organizacje rządowe, które mają dostęp do danych wrażliwych. Wreszcie może je użytkować biznes. Firmy operujące we wrażliwych sektorach gospodarki (obronność, infrastruktura energetyczna etc.) mogą być dla hakerów tak samo łakomym kąskiem jak politycy. Użytkownikiem takich urządzeń może być również wojsko – współczesna łączność taktyczna wcale nie opiera się na zgrzebnych, noszonych przez żołnierzy na plecach radiostacjach. Jeśli obserwujecie konflikt toczący się tuż za naszą wschodnią granicą, to zapewne widzicie, jak ogromne znaczenie ma w nim nowoczesna i co ważne, bezpieczna, komunikacja.