.jpg)
Итак, я продолжаю писать на тему безопасности использования мобильных устройств. И сегодня я хочу поговорить о рисках, связанных с программным обеспечением.
С подачи компании Apple способом доставки программного обеспечения на мобильные устройства стали разного рода "маркеты". Это удобно, это просто и это хороший способ снизить пиратство и заработать деньги для разработчиков. Все это привело к взрывному росту рынка программного обеспечения и породило те самые риски, о которых сейчас поговорим. Для начала посмотрим на общие тенденции :
во-первых количество выявляемых уязвимостей в мобильном коде растет год от года и связано это со стандартными проблемами, присующими большинству процессов разработки программного кода: разработчики в первую очередь думают о функциональности и в последнюю о безопасности.
во-вторых вирусописатели серьезно взялись за платформу Android. Количество вредоносного когда для этой платформы по отчетам крупнейших антивирусных компаний растет практически с геометрической прогрессией.
Все это конечно же не останавливает пользователей и они продолжают скачивать самое разнообразное программное обеспечение на свои устройства. Более того, применяя 'jailbreak' пользователи могут обходить имеющиеся ограничения и устанавливать программное обеспечение из любых источников. Дать гарантию что вместе с какой-нибудь забавной игрой человек не установит себе на компьютер троянца никто не может. Старые добрые техники вирусописателей по-прежнему работают.
Еще одной проблемой является то, что установленная программа вполне может вести слежку за пользователем, собирать его личные данные, причем с согласия (неосознанного конечно) пользователя.
Также как в при установке обычных программ на ПК мало кто читает лицензионное соглашение, так и при установке мобильного приложения мало кто читает сообщение, которое содержит перечень информации, которая будет доступна приложению.
Так пользователь с своего молчаливого согласия может предоставить программе доступ к своей почте, смс-сообщениям, телефонной книге и проч., хотя ведь совершенно непонятно порой зачем это нужно какой-нибудь очередной игре. А чтобы не быть голословным привожу пример.
Или другой вариант. Google в настоящий момент предоставляет массу сервисов под одной учетной записью (GMail, Reader, Calendar, Blogger, Picasa и др.). Т.е. достаточно украсть один логин/пароль чтобы получить доступ ко всему, что вы имеете на серверах Google. А сделать это можно если вы, например, установите программу для просмотра фотографий в Picasa и внесете в эту программу данные своего логина и пароля. Уппсс... уже это сделали ?
Надо конечно признать, что большинство из описанных проблем актуальны в большей степени именно для платформы Android. Для iOS хоть и существует вредоносный код, но масштаб бедствия все же значительно меньше. И тут стоит признать, что закрытый подход Apple и проводимая проверка приложений, загружаемых в iTunes, пока что дает достойный отпор разного рода кибер-преступникам.
Как же минимизировать описанные риски ? Несколько простых советов по безопасности:
С подачи компании Apple способом доставки программного обеспечения на мобильные устройства стали разного рода "маркеты". Это удобно, это просто и это хороший способ снизить пиратство и заработать деньги для разработчиков. Все это привело к взрывному росту рынка программного обеспечения и породило те самые риски, о которых сейчас поговорим. Для начала посмотрим на общие тенденции :
во-первых количество выявляемых уязвимостей в мобильном коде растет год от года и связано это со стандартными проблемами, присующими большинству процессов разработки программного кода: разработчики в первую очередь думают о функциональности и в последнюю о безопасности.
Все это конечно же не останавливает пользователей и они продолжают скачивать самое разнообразное программное обеспечение на свои устройства. Более того, применяя 'jailbreak' пользователи могут обходить имеющиеся ограничения и устанавливать программное обеспечение из любых источников. Дать гарантию что вместе с какой-нибудь забавной игрой человек не установит себе на компьютер троянца никто не может. Старые добрые техники вирусописателей по-прежнему работают.
Еще одной проблемой является то, что установленная программа вполне может вести слежку за пользователем, собирать его личные данные, причем с согласия (неосознанного конечно) пользователя.
Также как в при установке обычных программ на ПК мало кто читает лицензионное соглашение, так и при установке мобильного приложения мало кто читает сообщение, которое содержит перечень информации, которая будет доступна приложению.
Или другой вариант. Google в настоящий момент предоставляет массу сервисов под одной учетной записью (GMail, Reader, Calendar, Blogger, Picasa и др.). Т.е. достаточно украсть один логин/пароль чтобы получить доступ ко всему, что вы имеете на серверах Google. А сделать это можно если вы, например, установите программу для просмотра фотографий в Picasa и внесете в эту программу данные своего логина и пароля. Уппсс... уже это сделали ?
Надо конечно признать, что большинство из описанных проблем актуальны в большей степени именно для платформы Android. Для iOS хоть и существует вредоносный код, но масштаб бедствия все же значительно меньше. И тут стоит признать, что закрытый подход Apple и проводимая проверка приложений, загружаемых в iTunes, пока что дает достойный отпор разного рода кибер-преступникам.
Как же минимизировать описанные риски ? Несколько простых советов по безопасности:
- по возможности следует ограничить список программного обеспечения, устанавливаемого на мобильные устройства;
- следует использовать антивирус для мобильных устройств (это уже перестает быть экзотикой, а становится насущной необходимостью);
- следует ограничить или вообще исключить использование устройств, для которых был сделан 'jailbreak';
- прежде чем подтвердить установку любой дополнительной программы следует проанализировать перечень прав, запрашиваемых программой, на предмет их возможной избыточности;
- рекомендуется устанавливать программное обеспечение только из проверенных источников.
Facebook
1. вот тут еще неплохо описано про безопасность платформ http://habrahabr.ru/company/symantec/blog/131457/
ОтветитьУдалить2. В советы я бы еще добавил а) "читайте отзывы и описания программы" б)Помимо антивируса поставьте программу следящую за исходящими соединениями
Позволю себе немного покритиковать обзор.
ОтветитьУдалитьВо-первых, "простые советы" разные для разных платформ.
Во-вторых, по самим советам:
1) нужно не ограничить список программ, а устанавливать программы из доверенных источников;
2) антивирус для iOS не актуален;
3) перечень прав, насколько мне известно, актуален только для android.
В-третьих, перед тем как устанавливать на андроид приложение из стороннего источника, пользователь должен сам нажать галочку http://ua-cdma.info/uploads/posts/2011-08/1314352668_device-2011-08-26-3.png и ему будет показана "пугалка" с указанием что телефон станет уязвимым для атак. При этом делать jail пользователю нет необходимости и система безопасности остаётся функционировать как и прежде. Пользователю всего лишь нужно следить за приложениями и их правами.
Если эту галочку не ставить, то android будет во многом безопаснее iphone. iPhone же достигает целей безопасности и увеличения прибыли путём ограничения функционала устройства. Если пользователю на iphone хочется чуть больше свободы - то ему придётся делать jail, а с ним защита устройства падает значительно:
1) устройство просто так не обновить (пользователь будет сидеть на устаревшей прошивке);
2) о правах приложений ничего не известно, и при jail они могут делать что угодно;
3) было время многие с jail`ом ставили демон OpenSSH не зная зачем он нужен, а там стоял root:alpine по умолчанию у всех со всеми вытекающими.
На андроиде root во-первых не так уж и нужен, а если и сделать его, то он, насколько мне известно, более безопасен.
Можно сказать что на айфоне джейл мало кто делает, это верно - но его иногда можно сделать без ведома пользователя через уязвимости устройства - было время iphone джейлился просто через вход на сайт jailbreakme.com прямо в магазинах компании.
В четвёртых, хотелось бы упомянуть способ блокировки устройства - на iphone это только код - приемлемо, но не самый удобный вариант, и пользователь скорее всего выберет простой 4-цифровой код. На android можно поставить графический узор, который сложнее взломать http://androidmarket.ru/?p=17873, и при этом гораздо удобнее вводить. Кроме того, возможны другие варианты блокировки.
В пятых, маркеты не снижают пиратство, чтобы его снизить нужно развивать законодательство и международное сотрудничество в сфере судоходства.
Капец такой длинный коммент написал и всё исчезло...
ОтветитьУдалитьАлександр, спасибо!
ОтветитьУдалитьА что насчет криптографии, как обстоит дело с шифрованием данных на устройствах Symbian, MinMobile и Android? iOS замечательно справляется с этими задачами: они и шифровать умеют хранящиеся данные, и встроенный VPN-клиента имеют.
to Анонимный:
ОтветитьУдалитьВаш комментарий не пропал, а просто попал в спам :) Только сейчас его нашел. Спасибо за критику и дополнения, очень информативно.
to другой Анонимный: (коллеги, что вы себя никак не идентифицируете ?)
ОтветитьУдалить>А что насчет криптографии, как обстоит дело с шифрованием данных на устройствах Symbian, MinMobile и Android? iOS замечательно справляется с этими задачами: они и шифровать умеют хранящиеся данные, и встроенный VPN-клиента имеют.
Про криптографию поговорим отдельно в последующих публикациях
(коллеги, что вы себя никак не идентифицируете ?)
ОтветитьУдалитьУважаемый Александр - что меняет эта ваша аутентификация (моя мысль станет персонифицированной и от того более ценной?)
Вы не находите что это сегрегация?
Впрочем на своей площадке вы вправе прививать свои предпочтения (даже когда они ущемляют требования конституции РФ о запрете в РФ ЦЕНЗУРЫ!!!)
Уважаемый аноним, все значительно проще. Просто хочется понимать как к Вам обращаться и как Ваше мнение отделить от чужих если все анонимы. А цензура тут совсем ни при чем.
ОтветитьУдалить