Zabezpečení Androidu (NÁVOD)

Z telefonu se o vás dá zjistit spousta informací. Málokdo si nastaví sociální sítě tak, aby se při každém spuštění musel přihlašovat a zadávat heslo. Skoro nikdo si nezamyká osobní dokumenty a fotky, poznámky, kontakty a SMS jsou přístupné komukoli, kdo má telefon v ruce. A příležitost dělá zloděje (dat).

Jednoduchou pomocí je zámek obrazovky. Najdete ho v menu Nastavení / Zabezpečení / Zámek obrazovky. Android má několik způsobů, jak zabránit odemčení nesprávným člověkem:

1. PIN – odemčení zadáním číselného kódu: poměrně bezpečný způsob přihlášení, který lze provádět i na iPhonech. Většinou je nutné zadat minimálně čtyři čísla, některé telefony posilují stupeň zabezpečení promícháním čísel na klávesnici – to ale komplikuje rychlé odemykání.
2. Gesto – odemčení nakreslením vzorce: jednodušší styl zámku spoléhající na spojení teček v přesně daném pořadí. Většinou kreslíte gesto v mřížce 3 × 3 body, některé telefony umožňují až 5 × 5 bodů. Pozor, nakreslené gesto je možné zjistit, pokud je stopa prstu vidět na upatlaném displeji. Odemykání gestem je velmi pohodlné a umožňuje volit mezi rychlým odemčením jednoduchým obrázkem i takřka neprolomitelným zámkem, pokud se budou čáry křížit a nezačnete kreslit v levém horním rohu jako většina uživatelů.
3. Heslo – odemčení zadáním slova: pokud raději píšete než kreslíte, můžete telefon odemykat vložením zvolené sekvence znaků. Pokud preferujete rychlost, zvolte si slovo, které snadno napíšete i poslepu, pro bezpečnost je lepší volit kombinaci čísel a písmen, kterou je těžké odpozorovat. Každopádně se vyhýbejte slovům jako heslo, password, admin, vaše jméno apod. – tato slova útočník vyzkouší jako první.
4. Přejetí prstem: tento zámek brání spíš náhodnému zmáčknutí displeje v kapse, vyžaduje totiž po rozsvícení displeje nakreslení čáry. To však dokáže každý, protože nezáleží na její délce ani směru. Přesto tuto variantu používá většina majitelů Androidu. Ke své škodě…

Považujete zamykání telefonu za ztrátu času? Jde hlavně o zvyk a trénink svalové paměti. Přesto většina moderních smartphonů umožňuje i odemčení na základě biometrických údajů, nejčastěji otisků prstů, zřídka podle žilek na oční sítnici. Málokdo také ví, že Android už dlouho umí poznávat své právoplatné majitele podle tváře.

1. Face unlock – odemčení podle tváře: pokud máte Android 5.0 Lollipop a vyšší verze, můžete telefon odemknout nasnímáním obličeje kamerou. Tuto funkci zpopularizoval iPhone X s funkcí Face ID, na Androidu ale její obdoba existuje dlouhodobě. Zpřístupníte si ji v menu Nastavení/Zabezpečení. Zkontrolujte si, že v Agentech důvěry máte povolený Smart Lock (Google), pak najdete pod Zámkem obrazovky i menu Smart Lock. V něm už lze nastavit odemčení Důvěryhodným obličejem nebo hlasem, ale i nastavit, že se telefon odemkne, pokud bude v blízkosti vašeho fitness náramku, na adrese vašeho domova apod. V takovém případě si však musíte uvědomit, že chytré hodinky můžete mít několik metrů daleko a definice bydliště také není zcela přesná. Bohužel někteří výrobci tuto populární funkci omezují jen na zařízení vyšší třídy.
2. Čtečka otisků – odemčení přiložením prstu: skener na těle telefonu si zapamatuje papilární linie, které máte na bříšku prstů, a jejich přiložením na čtečku se odemkne. V podstatě tak čtečka nahrazuje tlačítka zapnutí displeje. Právě kvůli své rychlosti je čtečka otisků tak populární a neměla by chybět na žádném mobilu.
3. Čtečka duhovky – odemčení podle oční sítnice: každý člověk má unikátní síť vlásečnic na oční sítnici. Jejich jedinečnosti využívá i tento biometrický senzor. Je prakticky nemožné ho ošálit, komfort tohoto způsobu zabezpečení však kazí nutnost koukat zpříma na telefon, často i bez brýlí.

Tato rada platí pro veškerý pohyb na internetu, ale s bezpečností vašeho smartphonu s Androidem úzce souvisí. Standardem je oddělovat pracovní e-mail od osobního. S rozmachem sociálních sítí a Google služeb se rozšířilo použití adresy končící na @gmail.com, kdekoli je to možné. Proč? Můžete tak využívat jedny registrační údaje pro více účtů, což zvyšuje pohodlí. Ztráta jednoho hesla ale znamená ztrátu soukromí na všech připojených účtech.

Snažte se proto rozdělit svou komunikaci mezí více mailových schránek a vyhradit si jednu pouze na osobní komunikaci, do druhé shrňte sociální sítě a diskuzní fóra a do třetí třeba komunikaci s e-shopy. Taková schránka pak poslouží i jako tzv. spambox neboli schránka, kde očekáváte i nevyžádanou poštu.

Občas se mohou hodit i dočasné schránky, známý je např. Guerilla mail. Tyto služby vám vygenerují e-mailovou schránku s hodinovou životností, což se hodí zvlášť v případech, kdy vás webový formulář žádá o adresu jen kvůli zasílání reklamy.

Téma virů je velmi dobře známé ze světa počítačů. Android ale neumožňuje instalaci programů bez souhlasu uživatele. Ruku na srdce, člověk je líný a nechce číst, jaká oprávnění aplikace pro svůj běh potřebuje – jen hodně pokročilí (nebo poučení) uživatelé budou zkoumat, proč aplikace s funkcí svítilny požaduje přístup ke kontaktům a GPS navigaci.

Nejjednodušší radou je instalovat pouze aplikace z obchodu Google Play. Výběr je obrovský a máte jistotu, že zde publikované programy prochází kontrolou detekující škodlivý software.

Pro jistotu doporučujeme i vypnout možnost instalace aplikací z jiných zdrojů. Učiníte tak v menu Nastavení/Zabezpečení, kde zakážete Neznámé zdroje.

Antivirus je základním vybavením každého počítače s Windows. Proč ne na Androidu? Protože tento operační systém neumožňuje instalaci aplikací bez souhlasu majitele. Přesto antiviry pro Android existují, avšak jsou spíše ochranným štítem proti tzv. malware, tedy škodlivému softwaru.

Ten může mít mnoho podob: v „lepším“ případě vám škodlivá aplikace jen bude nutit reklamy, v horším případě vám bude krást osobní data SMS zprávami počínaje, údaji internetového bankovnictví konče.

Sami si můžete vyzkoušet třeba známý program AVG – už v základním menu zjistíte, že o viry ani tak nejde. V našem případě test odhalil, že máme povolenou instalaci z neznámých zdrojů a nabídl, že zapne štít proti infikovaným odkazům na webu a v SMS zprávách. Pokud neklikáte na každý odkaz, který vám přijde, a zamyslíte se, kam asi povede, základní úroveň antiviru nepotřebujete.

Přesto mají „antiviry“ své uplatnění: umožňují některé aplikace zamknout heslem před spuštěním, vytvoří soukromý prostor pro fotky, vyfotí člověka, kterému se nepodaří opakovaně odemknout obrazovku. Bohužel řada funkcí je zpoplatněná a vývojáři tak částečně těží ze strachu nebo neznalosti uživatelů. Např.:

1. Vyhledání zařízení přes internet – tato služba umožňuje v prohlížeči na počítači ukázat, kde se telefon právě nachází nebo nacházel. Stejnou funkci ale nabízí zdarma i Google na webu google.com/android/find.
2. Optimalizovat RAM – tato služba nabízí uvolnění operační paměti. Uživatel stolních Windows totiž ví, že když RAMka dojde, počítač se zpomalí. Android s touto pamětí ale pracuje jinak: plní ji a čistí průběžně, podle potřeby – roztahuje se, dokud to jde. Podobné čističe RAM, Android Boostery, Memory Cleanery, Task Managery tak sice svým spuštěním část paměti uvolní, ale o chvíli později se ukončené aplikace zase spustí. Hlavním efektem správců paměti je akorát rychle vybitý telefon, protože opětovné ukončování a spouštění zatěžuje procesor.
3. Hlídání datového limitu – AVG vám umožňuje hlídat, kolik dat jste využili v síti operátora. Pokud ale přejdete do Nastavení/Využití dat, zjistíte ty samé údaje.

Firewall umožňuje nastavit, které aplikace smí přistupovat k internetu. Zatímco zámek obrazovky řeší fyzický přístup k mobilu, firewall brání přístupu zvenčí, bez drátů. Představit si ho můžete jako síto, kterým projdou jen vámi určené aplikace.

Bez rootu (viz dále) v Androidu klasický firewall nezprovozníte, existuje ale náhradní řešení využívající sítě VPN. Zjednodušeně řečeno takový firewall přesměrovává komunikaci mířící na internet zpátky ve smyčce do telefonu. Toto chování ve výsledku aplikace interpretuje jako nedostupné připojení.

K čemu je to dobré? Klávesnicím zabráníte, aby odesílaly údaje o použití (třeba napsané mailové adresy nebo hesla) na vzdálený server. Aplikacím, které nepotřebují internet ke své primární funkci, jako je třeba budík, kalkulačka nebo čtečka e-booků, zabráníte stahovat reklamu. Zásadně tak můžete omezit spotřebu dat i pro „hladové“ aplikace, jako je Facebook – i firewall bez rootu dokáže rozlišovat mezi připojením přes WiFi a mobilními daty.

Když máte zabezpečení telefonu pokryté zámkem obrazovky a vyřešili jste i přístup k internetu, je na čase zaměřit se na přenosové médium, tedy bezdrátovou síť WiFi. Základní a snadno zapamatovatelné pravidlo zní: nepřihlašovat se k nezabezpečeným sítím. To jsou ty, které vám zpřístupní internet i bez vložení hesla. Analogií by bylo posílat dopis v rozlepené obálce – asi byste takto PIN ke kartě neposlali.

Druhým pravidlem je nesdělovat důvěrné informace stránkám, které nepoužívají protokol HTTPS. V případě obyčejného http a zabezpečené sítě byste sice heslo poslali bezpečně, ale dál už by bylo zabezpečení omezené.

Nejvyšší formou zabezpečení síťového provozu je použití VPN (Virtual Private Network), které si můžete představit jako tunel vyhloubený mezi vaším telefonem a cílovým serverem bez jakýchkoli přestupních stanic a zastávek.

Telefony s Androidem mají tzv. recovery. Je to jakási část systému, která naběhne, když se něco v systému pokazí, zároveň však může sloužit i jako servisní menu zjednodušující vyhledání a opravu případných defektů.

Jedním z možných řešení, které recovery nabízí, je obnovení továrního nastavení (neboli factory reset), které lze provést i v menu telefonu. V takovém případě Android vyžaduje potvrzení jako při odemknutí telefonu. V recovery však toto potvrzení nemusí být nutné. Pokud by vám tedy někdo telefon ukradnul, stačí, aby spustil telefon v režimu recovery (většinou se tak děje zapnutím telefonu při současném držení tlačítka změny hlasitosti), provedl obnovení továrního nastavení a všechny aplikace z paměti se vymažou – včetně těch, které jste si nainstalovali pro zvýšení bezpečnosti. Telefon sice bude vyžadovat opětovné vložení přihlašovacích údajů, ale pokud jste narazili na „šikovného“ chmatáka, věřte, že s trochou času takové omezení dokáže obejít.

Zkontrolujte si proto, jestli máte data v telefonu šifrovaná. Patřičná nastavení najdete v sekci Zabezpečení/Šifrování. Samotné šifrování trvá i hodinu a vyžaduje připojení k nabíječce během celého procesu, ale činíte tak pouze jednou.

Telefon se vám za to odvděčí zámkem, jehož odemčení bude třeba pro nastartování systému po restartu. Opětovně zadané špatné heslo pak vymaže veškerá data v telefonu.

Část zkušených uživatelů se rozhodne svůj Android tzv. rootnout. Root znamená zpřístupnění všech přístupových práv uživateli, respektive jeho povýšení na superuživatele (superuser). Má to spoustu výhod, ale vyvažují je některé nevýhody. V souvislosti s rootem a ochranou proti zlodějům je často zmiňovaná aplikace Cerberus.

Ta umožňuje ovládat telefon vzdáleně nejen přes internet, ale i přes SMS zprávy. Právoplatný majitel mobilu jejím prostřednictvím dokáže pořídit fotku „nového majitele“, aktivovat GPS nebo smazat interní paměť. Po přidělení práv superuživatele lze Cerberus nainstalovat i jako systémovou aplikaci – po tomto kroku ji nesmaže ani obnovení továrních nastavení.

Nevýhoda tkví v tom, že root vyžaduje odemčený bootloader (zavaděč systému, jakýsi subsystém, který spouští recovery), a tudíž není příliš komplikované přehrát celý operační systém telefonu, což už Cerberus nepřežije.

Řada uživatelů bere aktualizace jako nutné zlo. Většinou je jen bezmyšlenkovitě odkliknete a čekáte, až si telefon dokončí, co potřebuje. Je však užitečné znát reputaci výrobce a způsob, jakým své výrobky podporuje. Jinak se taky může stát, že koupíte nový smartphone za skvělé peníze, ale kvůli neodstraněné softwarové chybě ho budete proklínat, i kdyby se jinak jednalo o špičkové zařízení.

Opakem tohoto případu mohou být aktualizace každý týden, které sice opravují některé chyby a optimalizují výkon, zároveň však nové funkce přidávají bez patřičného otestování.

1. Google – „otec Androidu“ se o své telefony stará příkladně. Telefony Pixel mají jistou podporu po dobu až 5 let (v případě telefonů Pixel 6 a Pixel 6 Pro) od vydání. Google zveřejňuje dokonce i tzv. developer preview, tedy testovací verze budoucích generací Androidu. I měsíční bezpečnostní aktualizace jsou jisté.
2. Samsung – tento výrobce na aktualizace zpravidla nespěchá, výjimkou není ani půlroční zpoždění u vlajkových lodí, ale určitě se dočkáte. Čím víc však klesá cena zařízení, tím se pravděpodobnost aktualizace snižuje.
3. Xiaomi – výrobce telefonů Mi a Redmi aktualizuje své telefony často, výjimkou není ani interval dvou týdnů. Ve většině případů se však jedná jen o vývoj uživatelské nástavby MIUI. Můžete narazit i na drobné chyby, vlivem častých updatů je však jejich odstranění záležitostí několika týdnů.
4. OnePlus – stále větší čínský výrobce, který v roce 2021 oznámil spojení s dalším gigantem Oppo, nově u svých vlajkových lodí nabídne 3 roky aktualizací Androidu, bezpečnostní update pak bude chodit majitelům těchto telefonů 4 roky.
5. Nokia – chytré telefony Nokia mají z hlediska aktualizací dobrou reputaci. Tento výrobce se stará i o levnější modely, byť výkonnější zařízení dostávají nový Android dříve.
6. Motorola – v případě telefonů původně americké značky dostávají aktualizace zpravidla dvě nejvyšší řady, s klesající cenou se podpora zkracuje.
7. Huawei – asijský výrobce se u nás i v roce 2021 potýká s problémy s odbytem svých zařízení, a to v důsledku sankcí a s tím spojeným zákazem používání Google služeb. O své vlajkové lodi se ale stará, byť půl roku čekání není výjimkou.
8. Sony – japonské Sony má, díky použití prakticky čistého Androidu, dobrou reputaci. Portfolio tohoto výrobce je relativně úzké, proto je šance na aktualizace vysoká.
9. LG – vzhledem k tomu, že korejský výrobce ukončil prodej telefonů pod svou značkou, dá se očekávat už jen omezená podpora a aktualizace.