среда, 21 марта 2012 г.

Проблематика защиты мобильных устройств (часть 2)

Итак, я продолжаю писать на тему безопасности использования мобильных устройств. И сегодня я хочу поговорить о рисках, связанных с программным обеспечением.

С подачи компании Apple способом доставки программного обеспечения на мобильные устройства стали разного рода "маркеты". Это удобно, это просто и это хороший способ снизить пиратство и заработать деньги для разработчиков. Все это привело к взрывному росту рынка программного обеспечения и породило те самые риски, о которых сейчас поговорим. Для начала посмотрим на общие тенденции :

во-первых количество выявляемых уязвимостей в мобильном коде растет год от года и связано это со стандартными проблемами, присующими большинству процессов разработки программного кода: разработчики в первую очередь думают о функциональности и в последнюю о безопасности.

во-вторых вирусописатели серьезно взялись за платформу Android. Количество вредоносного когда для этой платформы по отчетам крупнейших антивирусных компаний растет практически с геометрической прогрессией.


Все это конечно же не останавливает пользователей и они продолжают скачивать самое разнообразное программное обеспечение на свои устройства. Более того, применяя 'jailbreak' пользователи могут обходить имеющиеся ограничения и устанавливать программное обеспечение из любых источников. Дать гарантию что вместе с какой-нибудь забавной игрой человек не установит себе на компьютер троянца никто не может.  Старые добрые техники вирусописателей по-прежнему работают.

Еще одной проблемой является то, что установленная программа вполне может вести слежку за пользователем, собирать его личные данные, причем с согласия (неосознанного конечно) пользователя.

Также как в при установке обычных программ на ПК мало кто читает лицензионное соглашение, так и при установке мобильного приложения мало кто читает сообщение, которое содержит перечень информации, которая будет доступна приложению.

Так пользователь с своего молчаливого согласия может предоставить программе доступ к своей почте, смс-сообщениям, телефонной книге и проч., хотя ведь совершенно непонятно порой зачем это нужно какой-нибудь очередной игре. А чтобы не быть голословным привожу пример.

Или другой вариант. Google в настоящий момент предоставляет массу сервисов под одной учетной записью (GMail, Reader, Calendar, Blogger, Picasa и др.).  Т.е. достаточно украсть один логин/пароль чтобы получить доступ ко всему, что вы имеете на серверах Google. А сделать это можно если вы, например, установите программу для просмотра фотографий в Picasa и внесете в эту программу данные своего логина и пароля. Уппсс... уже это сделали ?

Надо конечно признать, что большинство из описанных проблем актуальны в большей степени именно для платформы Android. Для iOS хоть и существует вредоносный код, но масштаб бедствия все же значительно меньше. И тут стоит признать, что закрытый подход Apple и проводимая проверка приложений, загружаемых в iTunes, пока что дает достойный отпор разного рода кибер-преступникам.

Как же минимизировать описанные риски ?  Несколько простых советов по безопасности:
  • по возможности следует ограничить список программного обеспечения, устанавливаемого на мобильные устройства;
  • следует использовать антивирус для мобильных устройств (это уже перестает быть экзотикой, а становится насущной необходимостью);
  • следует ограничить или вообще исключить использование устройств, для которых был сделан 'jailbreak';
  • прежде чем подтвердить установку любой дополнительной программы следует проанализировать перечень прав, запрашиваемых программой, на предмет их возможной избыточности; 
  • рекомендуется устанавливать программное обеспечение только из проверенных источников.

8 комментариев:

  1. 1. вот тут еще неплохо описано про безопасность платформ http://habrahabr.ru/company/symantec/blog/131457/

    2. В советы я бы еще добавил а) "читайте отзывы и описания программы" б)Помимо антивируса поставьте программу следящую за исходящими соединениями

    ОтветитьУдалить
  2. Позволю себе немного покритиковать обзор.
    Во-первых, "простые советы" разные для разных платформ.
    Во-вторых, по самим советам:
    1) нужно не ограничить список программ, а устанавливать программы из доверенных источников;
    2) антивирус для iOS не актуален;
    3) перечень прав, насколько мне известно, актуален только для android.

    В-третьих, перед тем как устанавливать на андроид приложение из стороннего источника, пользователь должен сам нажать галочку http://ua-cdma.info/uploads/posts/2011-08/1314352668_device-2011-08-26-3.png и ему будет показана "пугалка" с указанием что телефон станет уязвимым для атак. При этом делать jail пользователю нет необходимости и система безопасности остаётся функционировать как и прежде. Пользователю всего лишь нужно следить за приложениями и их правами.

    Если эту галочку не ставить, то android будет во многом безопаснее iphone. iPhone же достигает целей безопасности и увеличения прибыли путём ограничения функционала устройства. Если пользователю на iphone хочется чуть больше свободы - то ему придётся делать jail, а с ним защита устройства падает значительно:
    1) устройство просто так не обновить (пользователь будет сидеть на устаревшей прошивке);
    2) о правах приложений ничего не известно, и при jail они могут делать что угодно;
    3) было время многие с jail`ом ставили демон OpenSSH не зная зачем он нужен, а там стоял root:alpine по умолчанию у всех со всеми вытекающими.

    На андроиде root во-первых не так уж и нужен, а если и сделать его, то он, насколько мне известно, более безопасен.

    Можно сказать что на айфоне джейл мало кто делает, это верно - но его иногда можно сделать без ведома пользователя через уязвимости устройства - было время iphone джейлился просто через вход на сайт jailbreakme.com прямо в магазинах компании.

    В четвёртых, хотелось бы упомянуть способ блокировки устройства - на iphone это только код - приемлемо, но не самый удобный вариант, и пользователь скорее всего выберет простой 4-цифровой код. На android можно поставить графический узор, который сложнее взломать http://androidmarket.ru/?p=17873, и при этом гораздо удобнее вводить. Кроме того, возможны другие варианты блокировки.

    В пятых, маркеты не снижают пиратство, чтобы его снизить нужно развивать законодательство и международное сотрудничество в сфере судоходства.

    ОтветитьУдалить
  3. Капец такой длинный коммент написал и всё исчезло...

    ОтветитьУдалить
  4. Александр, спасибо!
    А что насчет криптографии, как обстоит дело с шифрованием данных на устройствах Symbian, MinMobile и Android? iOS замечательно справляется с этими задачами: они и шифровать умеют хранящиеся данные, и встроенный VPN-клиента имеют.

    ОтветитьУдалить
  5. to Анонимный:

    Ваш комментарий не пропал, а просто попал в спам :) Только сейчас его нашел. Спасибо за критику и дополнения, очень информативно.

    ОтветитьУдалить
  6. to другой Анонимный: (коллеги, что вы себя никак не идентифицируете ?)

    >А что насчет криптографии, как обстоит дело с шифрованием данных на устройствах Symbian, MinMobile и Android? iOS замечательно справляется с этими задачами: они и шифровать умеют хранящиеся данные, и встроенный VPN-клиента имеют.

    Про криптографию поговорим отдельно в последующих публикациях

    ОтветитьУдалить
  7. (коллеги, что вы себя никак не идентифицируете ?)
    Уважаемый Александр - что меняет эта ваша аутентификация (моя мысль станет персонифицированной и от того более ценной?)
    Вы не находите что это сегрегация?
    Впрочем на своей площадке вы вправе прививать свои предпочтения (даже когда они ущемляют требования конституции РФ о запрете в РФ ЦЕНЗУРЫ!!!)

    ОтветитьУдалить
  8. Уважаемый аноним, все значительно проще. Просто хочется понимать как к Вам обращаться и как Ваше мнение отделить от чужих если все анонимы. А цензура тут совсем ни при чем.

    ОтветитьУдалить