Secunia PSI – skvělá bezpečnostní aplikace pro Windows, zbytečná pro Android [kritika]
Program Secunia Personal Software Inspector (Secunia PSI) si ve světě počítačů vydobyl poměrně slušné renomé. S čím přišli jeho autoři ve verzi pro Android? Pravděpodobně s naprosto zbytečnou aplikací, ukazující zásadní odlišnost světů „woken“ a zeleného robota.
Secunia PSI pro Android má být „bezpečnostní skener“, který umožňuje uživateli prověřit mobilní zařízení a detekovat všechny zranitelné programy. Zatím to zní dobře, ale pojďme se podívat do větší hloubky.
Co slibuje?
Hned na začátek je vhodné upozornit na jednu zásadní věc: Secunia PSI je zatím ve fázi „technology preview“. V praxi to znamená, že jde o testovací verzi, která má pouze naznačit, jak aplikace funguje. Kromě jiného se tento fakt projevuje kontrolou pouze omezeného množství programů (na oficiálním blogu autoři uvádějí, že „v současné době je software schopen skenovat pouze „nejpopulárnější aplikace“, s tím, že další průběžně přibývají“).
Jistě není sporu o tom, že aktualizace nezabezpečených programů pomáhá chránit data a zařízení proti počítačovým pirátům, kteří se stále častěji zaměřují na počítače a mobilní telefony. Vstupní branou do systému často bývají neošetřené chyby v populárních programech, skrze které je možné kompromitovat zařízení a získat přístup k důvěrným údajům. Právě včasné zalepení bezpečnostního nedostatku je často jediným řešením, jak se tomuto typu útoků bránit.
V Obchodě Play se u této aplikace dále píše: „Záplaty jsou u většiny softwaru k dispozici zdarma, ale nalezení všech těchto oprav je únavné a časově náročné. Secunia PSI snižuje složitost tohoto úkolu a pomůže vám zůstat v bezpečí, takže budete moci bez obav nakupovat, provádět bankovní transakce či komunikovat na sociálních sítích.“ Možná již začínáte tušit, odkud bude vát vítr (ano, popisek je zjevně převzat z verze pro Windows).
David TrlicaV praxi tedy Secunia PSI pracuje skrze standardní oficiální API, přes které shromáždí údaje o nainstalovaných aplikacích. Po zjištění všech programů jsou data odeslána na servery Secunia, kde jsou porovnána s databází zranitelností. Program tedy není klasickým antivirovým skenerem, ani sám aktivně nezkouší zranitelnosti, ale v podstatě kontroluje, zda k dané aplikaci v určité verzi existují informace o bezpečnostních nedostatcích.
Jak funguje v praxi?
Na redakční Samsung Galaxy S II s CyanogenModem 9.1 (Android 4.0.4) jsme nainstalovali aplikaci ve verzi 1.0.2tp. Po spuštění se zobrazila obrazovka s dolní nástrojovou lištou s přístupem do čtyř sekcí programu, na které se podíváme později. Nás pochopitelně zajímalo tlačítko Scan now, kterým se spouští test. Sběr dat na telefonu s více než dvěma stovkami aplikací trval jen několik málo okamžiků. Poté jsme se dozvěděli výsledné „skóre bezpečnosti systému“, jež bylo v našem případě stoprocentní, nicméně testováno bylo pouze 34 aplikací, s čímž jsme ale s ohledem na vývojovou fázi počítali.
 Tlačítkem Scan now se spouští test |
 Sběr dat trval jen okamžik |
Secunia PSI se poté přepne do sekce Programs, kde abecedně vypíše všechny nalezené a testované aplikace s údajem o tom, kdy byly naposledy aktualizovány. Po tapnutí na program se dozvíte číslo nainstalované verze, hodnocení bezpečnosti a opět termín posledního updatu. Škoda, že v seznamu není možné řadit programy podle data poslední aktualizace – uživatel by tak získal rychlý přehled o tom, na kterých programech již jejich autoři patrně nepracují.
 Výsledky testu |
 Detailní informace o aplikaci |
Testem jsme prošli na 100 %V našem případě jsme prošli testem na 100 %, nicméně pokud by některý program nebyl v aktuální verzi, dostali bychom odkaz k jejímu stažení z Obchodu Play.
Možnosti nastavení
Jestliže chcete mít jistotu, že váš Android bude vždy řádně zabezpečen a programy „zalátány“, můžete v možnostech nastavení (sekce Settings) aktivovat pravidelné spouštění kontroly v intervalu jednoho dne (přepínač Schedule daily scan). Kromě toho lze ještě zapnout týdenní hlášení, podle kterého poznáte, že aplikace funguje správně, ačkoli nehlásí bezpečnostní nedostatky. V tuto chvílí není možné nastavit nic jiného.
 Možnosti nastavení |
 Sekce About |
Resumé aneb Rozdíl ve filozofii operačních systémů
Nyní, když jsme si ukázali, jak Secunia PSI funguje na operačním systému Android, si asi každý alespoň základů znalý uživatel klade otázku: „Proč ta aplikace dělá víceméně totéž, co má na starosti Obchod Google Play?“
V případě Windows dává takový program smysl – zatímco o aktualizace systému a některých svých vybraných produktů se stará Microsoft skrze Windows Update (resp. Microsoft Update), prakticky všechny ostatní aplikace mají buď svůj vlastní aktualizační mechanismus, nebo nechávají kontrolu a instalaci updatů na uživateli. Pokud je ale na počítači nainstalováno „větší než malé“ množství programů, přestává být v lidských silách uhlídat u všech, zda jsou nainstalovány v poslední dostupné verzi. Právě proto se ujaly aplikace, které projdou všechny nainstalované programy a vypíšou seznam těch, ke kterým lze stáhnout novější verzi, případně ji rovnou nainstalují. Secunia PSI je na této platformě jednou z mnoha (nesporně zde patří k těm nejlepším) – podobné služby nabízí také UpdateStar, FileHippo.com Update Checker, Update Notifier, SUMo a další.
Android, jak známo, vychází z operačního systému Linux, který ve výchozím nastavení instaluje aplikace z repozitářů. V praxi si „repozitář“ můžete zjednodušeně představit jako server, na kterém jsou uloženy aplikace. Pokud uživatel nainstaluje nějaký program, probíhá vše skrze klientskou aplikaci, která zajistí stažení příslušného balíčku a stará se také o udržování aktuální verze. Systém je pak schopen kontaktovat repozitář, zjistit, zda je k dispozici novější verze aplikace, a v případě pozitivního výsledku nabídnout update. Linux tedy neaktualizuje pouze „sám sebe“, ale také všechny aplikace nainstalované z repozitářů.
Android, jak známo, vychází z operačního systému LinuxDostáváme se k jádru pudla: Obchod Google Play není z hlediska aplikací ničím jiným, než repozitářem. Asi každý, kdo držel v ruce zařízení s Androidem více než den, narazil na situaci, kdy mu byla nabídnuta instalace nové verze nějakého programu. Uživatel na Androidu se tak nemusí starat o to, zda má v telefonu či tabletu poslední dostupnou verzi – systém si to hlídá sám.
Bohužel mnozí laici si ještě nezvykli na tuto filozofii, takže jim kontrola verzí nainstalovaných programů může připadat jako dobrý nápad, který jim usnadní život. Model Secunia PSI sice dával smysl na Windows, kde neexistuje jednotný systém pro aktualizace, ale je zcela irelevantní na Androidu. K čemu je aplikace, která uživatele přesměruje do Obchodu Play, když aktualizace lze zjistit přímo v něm přes volbu Moje aplikace – Aktualizovat vše?
K čemu je aplikace, která uživatele přesměruje do Obchodu Play?Ano, uznáváme, že hodnotit „technologické preview“ může být poněkud unáhlené, nicméně snažili jsme se tímto krokem zamyslet na samotnou ideou. Chtěli jsme odpovědět na otázku, zda může program pro kontrolu aktuálních verzí nainstalovaných aplikací dávat smysl, přičemž jsme dospěli k závěru, že nikoli. Jediné, kdy bychom takový nástroj vnímali jako užitečný, je v případě programů instalovaných z jiných zdrojů než z Obchodu Play (to ale samo o sobě nelze doporučit právě z důvodu vysokého rizika pro bezpečnost), případně kdyby aktivně testoval aplikace na přítomnost bezpečnostních děr. Celkově vzato tedy musíme konstatovat, že Secunia PSI zatím působí pouze jako placebo pro velmi nezkušené uživatele, kteří neumí spustit aktualizaci aplikací.
Inspirováno článkem Erica Ravenscrafta z Android Police: Secunia PSI Is A Tech Preview Of A ‚Security‘ App That Scans A Few Other Apps And Gives You Useless Information.
Petr Mišák
Komentáře (7)
Přidat komentář