Безопасность Android. ОС
 
2017/09/14 17:19:07

Безопасность Android

Это статья об уязвимостях и вопросах безопасности в операционной системе Android. Главные факты об ОС в основной статье: Android.

Содержание

2017

Все версии Android, кроме Oreo, позволяют захватить контроль над устройством

В начале сентября 2017 года во всех версиях мобильной ОС Android, кроме Oreo (8.0), обнаружена серьезная уязвимость, позволяющая захватывать полный контроль над устройством с помощью модифицированных всплывающих уведомлений. В случае успешной атаки злоумышленники могут устанавливать на смартфон произвольные программы или выводить его из строя.[1]

Суть атаки

Уязвимость выявлена исследователями Palo Alto Networks. Согласно описанию экспертов, атака представляет собой разновидность атаки «Плащ и кинжал», которую описали весной 2017 года специалисты Калифорнийского университета в Санта-Барбаре и Технологического института Джорджии.

Суть атаки заключается в том, что вредоносное приложение выводит поверх всех окон свое собственное, скрывающее реальные уведомления от операционной системы. Таким образом, в результате атаки пользователь увидит поддельное окно с ни к чему не обязывающей фразой, однако, нажав на кнопку «Ок» в интерфейсе, он неосознанно согласится на установку вредоносной программы, предоставив ей при этом права администратора.

Особенности атаки

В публикации экспертов Калифорнийского университета и Технологического института Джорджии указывалось, что у вредоносных программ, пытающихся произвести подобные атаки, есть два серьезных препятствия: они должны получить однозначное разрешение на использование функции draw on top (как раз и позволяющей приложению выводить свои окна поверх остальных), а это доступно только приложениям из Google Play.

Эксперты Palo Alto Networks в свою очередь обнаружили, что системные всплывающие уведомления Android (так называемые Toast) можно использовать для проведения атак, аналогичных «Плащу и кинжалу»: эти уведомления всплывают поверх всех окон, не требуют специальных разрешений от пользователей, при этом их можно модифицировать так, чтобы они закрывали весь дисплей устройства, превращая их в функциональный эквивалент обычных окон приложений.

Патчи

Как отмечается, патчи, закрывающие уязвимость, уже распространяются. Эксперты Palo Alto настоятельно рекомендуют не устанавливать приложения откуда-либо, кроме Google Play.

Google закрыла 12 критических уязвимостей в Android

Компания Google в начале августа выпустила плановое обновление безопасности Android, устраняющее в общей сложности 51 проблему в компонентах MediaServer, AudioServer, CameraServer, различных библиотеках и пр. Согласно описанию, из общего числа устраненных уязвимостей 12 оказались критическими. [2]

В частности, были закрыты 10 критических уязвимостей в компоненте Media Framework (библиотеки мультимедиа), одна уязвимость в библиотеке (CVE-2017-0713) и еще одна проблема (CVE-2017-0740) в компонентах Broadcom. Уязвимости в Media Framework позволяли удаленно выполнить произвольный код в контексте привилегированного процесса с помощью отправки специально сформированного файла. Проэксплуатировав две последние проблемы, злоумышленник мог удаленно выполнить код в контексте непривилегированного процесса.

В числе прочих исправленных проблем: 16 уязвимостей в компоненте Media Framework, позволявших вызвать отказ в обслуживании, повысить привилегии и раскрыть данные; 5 уязвимостей повышения привилегий в ядре ОС, 2 уязвимости повышения привилегий в компонентах MediaTek, а также 6 уязвимостей, позволявших повысить права и раскрыть данные в компонентах Qualcomm.

Play Protect — защитная функция для Android

В конце июля 2017 года стало известно о том, что компания Google решила повысить общий уровень безопасности мобильной платформы Android, добавив новый экран Play Protect на все Android-устройства, которые используют Google Mobile Services 11 или новее. Найти новый инструмент можно в меню настроек (раздел Google, вкладка «Безопасность», пункт «Проверка приложений»). Согласно планам компании, вскоре сервис появится в Google Play и заменит функцию Google Verify Apps.[3]

Защитная функция потребуется для проверки приложений на проблемы с безопасностью и наличие вредоносного кода. В отдельных списках приложений также будет добавлен значок «Проверено с помощью Google Play Protect». Опция безопасной работы в интернете предупредит пользователя, когда он попытается перейти на подозрительный сайт в браузере Chrome.

Проверка приложений осуществляется в автоматическом режиме. Пользователь будет получать уведомления обо всех обнаруженных рисках. Кроме этого, Google переместила в Play Protect сервис «Найти устройство», с помощью которого можно определить местоположение устройства, заблокировать, позвонить на него или удалить с него все данные.

Рост вредоносов на Android

2016: Рост числа уязвимостей - 158%

2 декабря 2016 года Quick Heal Technologies сообщила о росте количества уязвимостей в платформе Android на 158%. Отчет компании отражает сведения за третий квартал 2016 года по сравнению с показателем предыдущего года.

По мнению экспертов компании, в 2017 году возрастет число кибератак с использованием вымогательского и вредоносного банковского ПО.

Android, (2015)

Согласно данным исследования, за последние три месяца число вымогателей для мобильных платформ выросло на 33% по сравнению с показателем второй четверти 2016 года. Эксперты зафиксировали незначительное снижение активности потенциально нежелательного ПО и рекламного ПО на 3% и 12% соответственно. В третьем квартале 2016 года на 25% возросло число мобильных банковских троянов. По сравнению с 2015 годом количество вредоносного банковского ПО, предназначенного для атак на мобильные платформы, увеличилось на 76%[4].

Исследователи отметили расширение сферы охвата атак киберпреступниками за счет применения вредоносного рекламного ПО. Если ранее злоумышленники ограничивались показом нежелательной рекламы, теперь их основная цель хищение информации.

Согласно прогнозам, в 2017 году возрастет число кибератак с использованием вымогательского и вредоносного банковского ПО.

« Злоумышленники продолжат атаковать владельцев устройств на базе Android и Windows, а также компании (особенно финансовые организации), которые используют данные платформы для ежедневных бизнес-операций.

Санжей Каткар (Sanjay Katkar), управляющий директор Quick Heal Technologies
»

2015

Как сломать систему блокировки Android

В сентябре 2015 года исследователи задались вопросом: если один из самых разыскиваемых кибер-преступников в США использовал имя своего кота в качестве своего пароля, а исследование Google показало, что типичные вопросы безопасности, такие как `Ваше любимое блюдо?` были практически бесполезны, что следует нам ожидать от системы разблокировки, которая защищает наш смартфон от несанкционированного доступа? Конечно, не очень многого…

Подобно очевидным паролям и ответам, картинки, которые мы рисуем на экране для разблокировки нашего смартфона, как правило, легко угадать. Это было продемонстрировано Мартой Логе[5], исследователем из Норвежского Университета науки и технологий, в ее исследовании, которое она представила на конференции PasswordsCon в Лас-Вегасе в сентябре 2015 года.

Проанализировав примерно 4000 реальных пользовательских комбинаций, эксперт обнаружила набор нецелесообразных вариантов, которые повторялись очень часто. Прежде всего, при выборе блокирующего рисунка можно соединить до 9 точек (сетка 3*3), но большинство пользователей предпочитает соединять значительно меньше точек.

Среднее используемое число точек – пять, в результате чего количество возможных комбинаций снижено до 9000. Однако, оказывается, большинство пользователей выбирает всего лишь соединения четырех точек (минимально допустимый вариант), а это означает, что диапазон комбинаций в этом случае ограничен всего лишь 1600, которых явно не хватает.

Это не единственная ошибка, которую мы делаем, т.к. 44% из нас начинают рисовать рисунок из верхнего левого угла экрана. Словно этого недостаточно, 77% рисунков начинаются в любом из четырех углов сетки. Зная, что рисунок соединяет всего четыре точки, и один из них должен быть в одном из углов, то в этом случае существенно снижается безопасность рисунка.

Кроме того, получается, что мы с большей вероятностью делаем рисунок слева направо и сверху вниз, а потому угадать такой рисунок становится еще проще.

Image:Как сломать систему блокировки Android 01.jpg

Существуют и другие важные факторы, которые нам необходимо учесть помимо количества соединяемых точек. Сложность последовательности точек также важна при выборе рисунка. Если мы используем числа от 1 до 9, то мы видим, что значительно сложнее угадать комбинацию `2, 1, 3, 6` нежели `1, 2, 3, 6`.

Хотя обе комбинации имеют всего 4 значения, но первая комбинация усложняет подбор за счет изменения в направлении (от 2 до 1 и от 1 до 3), в то время как более простой вариант показывает все ошибки, о которым мы говорили ранее: начало в верхнем левом углу экрана, движение слева направо и сверху вниз. Если для защиты своего мобильного устройства Вы используете примерно такие комбинации, то ее необходимо изменить как можно быстрее.

Image:Как сломать систему блокировки Android 02.jpg

Обычно говорят, что пользователь – это самое слабое звено в вопросах кибер-безопасности. Как сказала Логе на PasswordsCon, «человеческая сущность постижима», и, следовательно, он может действовать вполне угадываемо. На самом деле, «мы видим такие же комбинации в рисунках для разблокировки, как и в PIN-кодах или цифровых паролях», сказала Логе.

Возможность кражи данных через MMS-сообщение

28 июля 2015 года стало известно о об уязвимости Android-устройств, обнаруженной исследовательской компанией Zimperium, она назвала ее «...самой опасной за все время существования мобильной ОС Android»[6].

Согласно исследованию компании, каждый смартфон под управлением ОС Android может заразиться, получив MMS-сообщение. Джошуа Дрейк из Zimperium отметил, что смартфон может заразиться еще до того, как завершится проигрывание звука пришедшего сообщения - пользователь может просто не узнать о свершившемся событии[7]. На телефон придет сообщение с вредоносным кодом, который начнет немедленно воровать данные или передавать информацию с камеры и микрофона.

Hangouts, 2014

Ведущий инженер Google по безопасности Android Адриан Людвиг признал наличие уязвимости и высокий уровень ее опасности: хакеры могут задействовать функцию Hangouts для оптимизации просмотра полученного в сообщении видео. Злоумышленник может отправить на телефон пользователя видео со спрятанным вредоносным кодом и Hangouts заставит вредоносный код работать - Hangouts мгновенно обрабатывает все принятые видео и хакеры могут этим воспользоваться.

Однако, согласно сообщениям СМИ, на 28 июля 2015 года не отмечено случаев использования обнаруженной уязвимости, а команда Zimperium передала всю необходимую информацию в Google. Тем не менее, есть плохие новости:

  • во-первых, даже после того, как Google закроет уязвимость обновлением, оно, вероятно, не дойдет до более чем половины устройств;
  • во-вторых, даже если пользователь не использует Hangouts, это означает, что вредоносное ПО не будет запущено автоматически, однако оно все равно запустится, когда пользователь откроет полученное видео.

Как сообщили в СМИ, уязвимость появилась посредством багов в медиапроигрывателе Stagefright, встроенном в Android. Атаке могут подвергаться все телефоны с версией ОС выше 2.2. В зависимости от версии ОС разнится и уровень получаемого доступа - от полного контроля до доступа к фотографиям.

Zimperium передавала Google отчёты об уязвимостях с 9 апреля 2015 года, тогда вендор ответил обязательством включить патчи от в следующие обновления. После этого в Zimperium нашли ещё 6 багов. Google сообщила об информировании всех производителей смартфонов, и их обязанности - исправить уязвимости, но по информации Forbes по состоянию на 27 июля 2015 года, HTC, LG, Lenovo, Motorola, Samsung, Sony и сама Google не выпустили обновлений для своих устройств.

2012

В России инфицировано 18% устройств на платформе Android

В 2012 г. количество атак на мобильные устройства, работающие под ОС Android, увеличилось по сравнению с 2011 г. более чем вдвое. Годовой прирост вредоносного ПО для мобильных устройств составил 163%.

Исследователи производителя средств защиты NQ Mobile в 2012 г. обнаружили 65227 новых блоков кодов вредоносного ПО, ориентированного на мобильные платформы, тогда как в 2011 г. — всего 24794 блока. Среди этого «моря» хакерских продуктов 94,8% предназначены для атак на платформу Android, и только 4% — на открытую ОС Symbian. По данным NQ Mobile, в 2012 г. было инфицировано более 32,8 млн Android-устройств (для сравнения: в 2011 г. — только 10,8 млн), а рост за год составил 200%.

Первенство среди инфицированных устройств — у Китая, там заражено 25,5% от всего объема проданных в этой стране Android-устройств. На втором месте — Индия (19,4%), на третьем Россия (17,9%). За ними следуют США (9,8%) и Саудовская Аравия (9,6%). Данные NQ Mobile свидетельствуют, что средства защиты установили 53% американских пользователей Android-устройств.

По составу вредоносные коды в 2012 г. оказались не очень разнообразны: 65% представляли собой так называемые потенциально опасные программы (эксплойты, шпионское ПО, проникающая реклама и Трояны), 28% — программы-сборщики, извлекающие персональные данные, а 7% — коды, заставляющие устройство функционировать необычным образом.

Основным способом внедрения вредоносных кодов в 2012 г. стало App Repackaging (добавление строк кодов в легальные приложения и перегрузка приложения с кодом на сторонние сайты продаж), а также Smishing («обманки»), которые представляют собой псевдо-ссылки, вызывающие переключение управления ОС на загрузку приложения с вредоносными кодами или на опасный web-сайт. Еще один метод заражения — использование вредоносного URL-адреса, перенаправляющего браузер с подлинного сайта на его клон, чтобы извлечь персональные данные пользователя.

Причиной столь массового заражения Android-устройств исследователи считают несостоятельную с точки зрения защиты данных политику безопасности для хранилища Google Play, что сделало ее, по сути, открытой для хакеров и позволило им распространять вредоносные коды с помощью Android-приложений. В версии Android 4.2 (Jelly Bean) компания Google существенно уменьшила риски для этой платформы.

Однако картина, которую получила фирма NQ Mobile, выглядит для Android более устрашающе, чем аналогичное исследование, проведенное фирмой F-Secure, согласно которому только 79% вредоносных кодов для мобильных устройств ориентированы на эту ОС.

Android сравнялся с Windows по числу зловредов

Согласно отчетам Trend Micro, посвященным исследованиям тенденций киберугроз и безопасности мобильных устройств (Trend Micro 2012 Annual Roundup и Mobile Security), в 2012 г. круг целей хакеров существенно расширился и теперь включает не только ПК, но и устройства под управлением Android, социальные СМИ и даже платформы Mac OS X. В частности, менее чем за три последних года численность вредоносных программ только для Android сравнялась с количеством вредоносного ПО для Windows, созданного за 14 лет. Согласно прогнозам Trend Micro, число угроз для пользователей Android уже в 2013 году преодолеет отметку – 1 млн.

По оценкам Trend Micro, на конец 2012 года число угроз для платформы Android составило 350 тыс. За три года для ОС Android появилось такое же количество вредоносных программ, как для ПК за четырнадцать лет.

2012 год ознаменовался также тем, что хакеры сместили фокус своих атак с ОС Windows на Java и уязвимости в других системах. В частности, мы стали свидетелями первой широкомасштабной атаки на Mac OS.

Английский и русский занимают лидирующие позиции в списке 10 самых популярных языков спам-сообщений; Индия возглавляет мировой рейтинг «поставщиков спама».

Социальные сети привлекают повышенное внимание киберпреступников. Многие пользователи сами подвергают себя риску, проявляя излишнюю откровенность при общении в Интернете и размещая на своих страницах в социальных сетях информацию, которой могут воспользоваться злоумышленники.

2012 год ознаменовался рядом изощренных APT-атак, таких как Luckycat, Taidoor, IXESHE и др.

Вместо «выдумывания» новых атак злоумышленники начали осваивать профессиональные методы разработки программного обеспечения. Эксплойты Blackhole (BHEK), системы автоматического перевода денежных средств (ATS) и программы-вымогатели были усовершенствованы и снабжены новым функционалом с помощью технологий разработки, которыми гордился бы любой производитель коммерческого ПО . Рост числа угроз для мобильных систем и устройств — это ключевая тенденция эпохи пост-PC. За последние три года для платформы Android появилось столько же вредоносных программ, сколько было создано для ПК за 14 лет. Кроме того, лишь 20% пользователей устройств на базе Android используют приложения для обеспечения безопасности. По состоянию на конец 2012 г. число угроз для этой относительно новой мобильной платформы достигло 350 тысяч; согласно прогнозам Trend Micro, в 2013 г. число вредоносных приложений для Android может увеличиться до 1 млн.

2011

Смартфоны на Android отправляют координаты в Google каждый час

После публикации статьи о том, что IPhone и IPad записывают координаты мест, в которых побывали их владельцы, эксперты проявили повышенный интерес к подобного рода скрытым функциям смартфонов. По данным исследования, проведенного экспертом в сфере информационной безопасности Сэми Камаром (Samy Kamkar), подобного рода информацию также собирают смартфоны на базе Android и, более того, отправляют в Google. Устройства записывают MAC-адреса всех точек доступа Wi-Fi, которые попадают в радиус действия, уровень их сигнала и, что более важно, GPS-координаты устройств.

Как Google использует эти данные, Камар не поясняет, но сообщает, что запись данных осуществляется каждые несколько секунд, а отправка в Google - каждый час, с любого смартфона, работающего под управлением Android. На специальной странице эксперт предлагает ввести MAC-адрес любого роутера и узнать, где в мире он находится. Как пишет Reuters, данная информация, по всей видимости, необходима Google для работы LBS-приложений, таких как Google Maps и Latitude. В компании пока никак не прокомментировали данное сообщение. Между тем, автор блога Daring Fireball, известный журналист Джон Грубер (John Gruber), полагает, что сохранение информации, в каких местах находились пользователи устройств Apple, скорее всего, является программной ошибкой, так как Apple достаточно знать, где пользователь находится сейчас. Он полагает, что этот «баг» будет устранен в очередном обновлении IOS.

Ответ Google: To protect your privacy we would like you to know that Google Latitude is running on your mobile device and reporting your location. If you didn't enable this or want to stop reporting your location, please open Latitude privacy settings or sign out of Latitude. To learn more, visit the Latitude Help Center.

Количество вредоносного ПО для Android увеличилось на 400%

Аналитики Juniper Networks в мае 2011 года опубликовали результаты своего исследования, посвященного изучению потенциальных угроз для мобильных устройств. Согласно полученным данным, с лета 2010 года количество вредоносного ПО для Android увеличилось на 400%. Кроме того, сообщается, что за этот период мобильные устройства, принадлежащие как компаниям, так и частным лицам, подверглись рекордному числу угроз, в том числе и целевым атакам по сетям Wi-Fi.

Крайнее беспокойство вызывает обнаруженный в ходе исследования факт, что более всего распространению вредоносного ПО способствуют загружаемые на мобильные устройства приложения. Однако, несмотря на растущее число угроз для Android, большинство пользователей по-прежнему пренебрегают защитой и не считают нужным устанавливать на свой гаджет какой-либо антивирус.

Немецкие ученые из Ульмского университета провели исследование, в котором доказали уязвимость подавляющего большинства мобильных устройств на базе Android. Она связана с применением идентификационного протокола ClientLogin. При введении пользователем данных для идентификации на защищенных паролем сервисах, создается цифровой ключ (authToken), передаваемый в виде простого текстового файла, который может быть перехвачен. Благодаря этом злоумышленник может, например получить полный доступ к календарю, контактным данным, или частным веб-альбомам пользователей Google и просматривать, изменять или удалять любые контакты, события календаря, или частные фотографии, пояснили ученые. Кроме того, можно незаметно изменить адреса электронной почты начальника своей жертвы или деловых партнеров с целью перехватывания писем, содержащих важную или конфиденциальную бизнес-информацию. Поскольку период действия authToken длится до двух недель, в докладе отмечается, что злоумышленник может собирать их в больших масштабах, используя для этого небезопасные беспроводные точки доступа, расположенные в общественных местах. Исследователи призывают Google ограничить срок действия authToken, а также отказаться от использования небезопасных соединений для протокола ClientLogin. ***

Смотрите также

Примечания