27 Января, 2014

Не убежать, не спрятаться...

Роман Идов
Если еще недавно эталоном дырявого и небезопасного браузера был Internet Explorer, то сегодня, похоже, "пальма первенства" уходит "Хрому". Хотя, конечно, все они хороши - в Firefox тоже немало "дыр". Но продукт "корпорации добра" заслуживает особого внимания, как, впрочем, и другое её детище - это, конечно же, ОС Android. Похоже, компания просто наступает на те же самые грабли, по которым долго и небезуспешно топталась Microsoft .

Вот две недавние новости о гугловских продуктах, после которых я тихо порадовался тому, что я - фанат Apple, и, соответственно, не использую ни Chrome, ни Android.


Chrome для компьютеров позволяет сайтам тайно подслушивать и записывать разговоры пользователей без их ведома. Это обнаружил израильский разработчик Тал Атер, который опубликовал информацию на своем сайте.

«Гугловский» браузер изначально предусматривает возможность записи голоса. Когда пользователь открывает его, Chrome запрашивает разрешение на доступ к микрофону. При утвердительном ответе на вкладке сайта появляется индикатор, который обозначает, что идет запись. Если закрыть сайт, «значек» тут же исчезнет.

Загвоздка в том, что даже когда страница сайта уже закрыта, он все равно может записывать все разговоры, которые ведутся возле компьютера. Но только если сайт создал всплывающее окно, где индикатор записи отсутствует, уточняет Атер.

Ну и вдогонку:

Аналитики компании Cisco опубликовали отчет «Annual Security Report for 2014», в котором говорится, что порядка 99% активных сегодня мобильных вредоносных приложений ориентированы на устройства с ОС Android. Более того, по их данным, не менее 71% всех вредоносных web-сайтов были впринципе созданы, чтобы заманивать пользователей платформы от Google .

Ну скажите, не прелесть ли? Если вы пользуетесь продуктами Google, то вероятность того, что за вами будут следить, что вы потеряете свои секретные данные или произойдет еще какая-нибудь связанная с ИБ неприятность, в разы выше, чем если вы пользуетесь продуктами Apple или даже теперь уже Microsoft. А так как популярность "Андроида" и "Хрома" в России зашкаливает, можно не удивляться тому, что по зараженности мы едва ли не впереди планеты всей.

Но мне интересно другое: ну почему так, почему Apple может, а Google - нет? Ответ, на мой взгляд, в той самой знаменитой "неадекватной" цене "яблочных" устройств. Расходы на разработку хорошей, правильной, безопасной архитектуры выше, хотя бы просто из-за затрачиваемого на это времени. А Android - продукт дешевый и даже бесплатный. Как, впрочем, и Chrome. Их безопасность не влияет на лояльность пользователей, которые выбирают их не столько за качество, сколько за дешевизну (Android) и скорость (Chrome). У Apple же удовлетворенность пользователя более комплексная, поэтому и в безопасность имеет смысл вложиться.

То же самое с DLP: дешевое, конечно, не всегда плохо, но стоит иногда задуматься - это вам дают скидку или продают, пардон, что-то с гнильцой?
или введите имя

CAPTCHA
leo
27 Января, 2014
Ой, ладно уж. В сафари тоже уязвимостей хватает - чего стоит только уязвимость в сафари 6.0.5, которая при определенных условиях позволяет украсть учетные данные пользователя. Или известная уязвимость Javascript.open(). Просто для авторов зловредов нерентабельно ориентироваться на браузер, который использует меньше 10% пользователей. А беда хрома просто в его сильно возросшей популярности, которая и делает его приоритетной мишенью для злоумышленников.
0 |
  • Поделиться
  • Ссылка
пуп
28 Января, 2014
согласен, как-то однобоко освещается вопрос
0 |
Leo
28 Января, 2014
Ответ, на мой взгляд, в той самой знаменитой "неадекватной" цене "яблочных" устройств. Расходы на разработку хорошей, правильной, безопасной архитектуры выше Вы заблуждаетесь. Причина в популярности и следовательно распространённости, что делает рентабельным поиск и эксплуатацию уязвимостей. А затраты на разработку архитектуры никак не связаны с её "правильностью".
0 |
  • Поделиться
  • Ссылка
Нео
28 Января, 2014
Думаю, даже проще: потому, что в iOS всё, что надо, уже встроено в систему.
0 |
Евгений
28 Января, 2014
И почему бы это последний пассаж про "дешевую DLP" сразу мне напомнил про "интересный" опыт внедрения DLP from SearchInfrom пару лет назад...
0 |
  • Поделиться
  • Ссылка
YST
28 Января, 2014
А я вот далеко не фанат. Не фанат продуктов от apple, google, microsoft. Поэтому постараюсь быть объективным. Безопасность любой ОС складывается из трёх факторов: - внутренняя архитектура, - популярность/распространённость, - действия пользователя (политика безопасности). Семейство ОС Windows были и будут уязвимы всегда, потому что система повсеместно распространена, имеет непродуманную архитектуру (чего стоит один только интернет-браузер, который является частью ядра ) и весьма фривольную политику безопасности ( что не запрещено-то разрешено, а запрещено очень мало). Android также широко распространён, но имеет более продуманную архитектуру и политику прав. Поэтому, большинство вирусов маскируется под другие известные и не очень программы. В любом случае при установке перед пользователем появляется окно, которое предупреждает, что данная программа может нанести вред устройству и пользователь САМ решает, установить или отказаться. То есть вирусы в данном случае не устанавливаются "сами по себе", как в Windows, конечное решение принимает пользователь. Отсюда безопасной работы с Android - устанавливать только те приложения, в которых уверен, причем из надёжных источников. Продукцией компании Apple пользовался редко и впечатления скорее негативные в виду неудобства и ограниченности использования. Я имею ввиду нерутированное устройство с базовым набором программ. Таким устройством IMHO пользоваться нельзя, потому как оно не удовлетворяет и десятой доли моих потребностей, плюс ограниченность настройки "под себя". Функционал расширяется при помощи доп программ, которые можно установить только из одного источника (ITunes). Это плюс и это минус. Плюс за то что, при таких условиях зловред не сможет установится сам и функционировать (если только не купить iviris на itunes за 12,49 $ ). А минус в том, что ITunes это почти всегда деньги. В итоге совокупная стоимость владения IDevice`ом складывается в солидную сумму. Это приводит к ограниченности распространения продуктов от Apple, что в свою очередь делает нерентабельным поиск уязвимостей для этой ОС. Поэтому безопасность IOS это скорее заслуга маркетологов, нежели программистов.
0 |
  • Поделиться
  • Ссылка
таня
29 Января, 2014
да бред, количество найденных уязвимостей не отражает "дырявость" браузера. Кто знает сколько и чего еще не нашли в других.
0 |
  • Поделиться
  • Ссылка