Проблематика защиты мобильных устройств (часть 2)

Проблематика защиты мобильных устройств (часть 2)
Итак, я продолжаю писать на тему безопасности использования мобильных устройств . И сегодня я хочу поговорить о рисках, связанных с программным обеспечением.

С подачи компании Apple способом доставки программного обеспечения на мобильные устройства стали разного рода "маркеты". Это удобно, это просто и это хороший способ снизить пиратство и заработать деньги для разработчиков. Все это привело к взрывному росту рынка программного обеспечения и породило те самые риски, о которых сейчас поговорим. Для начала посмотрим на общие тенденции :

во-первых количество выявляемых уязвимостей в мобильном коде растет год от года и связано это со стандартными проблемами, присующими большинству процессов разработки программного кода: разработчики в первую очередь думают о функциональности и в последнюю о безопасности.

во-вторых вирусописатели серьезно взялись за платформу Android. Количество вредоносного когда для этой платформы по отчетам крупнейших антивирусных компаний растет практически с геометрической прогрессией.


Все это конечно же не останавливает пользователей и они продолжают скачивать самое разнообразное программное обеспечение на свои устройства. Более того, применяя 'jailbreak' пользователи могут обходить имеющиеся ограничения и устанавливать программное обеспечение из любых источников. Дать гарантию что вместе с какой-нибудь забавной игрой человек не установит себе на компьютер троянца никто не может.  Старые добрые техники вирусописателей по-прежнему работают.

Еще одной проблемой является то, что установленная программа вполне может вести слежку за пользователем, собирать его личные данные, причем с согласия (неосознанного конечно) пользователя.

Также как в при установке обычных программ на ПК мало кто читает лицензионное соглашение, так и при установке мобильного приложения мало кто читает сообщение, которое содержит перечень информации, которая будет доступна приложению.

Так пользователь с своего молчаливого согласия может предоставить программе доступ к своей почте, смс-сообщениям, телефонной книге и проч., хотя ведь совершенно непонятно порой зачем это нужно какой-нибудь очередной игре. А чтобы не быть голословным привожу пример .

Или другой вариант. Google в настоящий момент предоставляет массу сервисов под одной учетной записью (GMail, Reader, Calendar, Blogger, Picasa и др.).  Т.е. достаточно украсть один логин/пароль чтобы получить доступ ко всему, что вы имеете на серверах Google. А сделать это можно если вы, например, установите программу для просмотра фотографий в Picasa и внесете в эту программу данные своего логина и пароля. Уппсс... уже это сделали ?

Надо конечно признать, что большинство из описанных проблем актуальны в большей степени именно для платформы Android. Для iOS хоть и существует вредоносный код, но масштаб бедствия все же значительно меньше. И тут стоит признать, что закрытый подход Apple и проводимая проверка приложений, загружаемых в iTunes, пока что дает достойный отпор разного рода кибер-преступникам.

Как же минимизировать описанные риски ?  Несколько простых советов по безопасности:
  • по возможности следует ограничить список программного обеспечения, устанавливаемого на мобильные устройства;
  • следует использовать антивирус для мобильных устройств (это уже перестает быть экзотикой, а становится насущной необходимостью);
  • следует ограничить или вообще исключить использование устройств, для которых был сделан 'jailbreak';
  • прежде чем подтвердить установку любой дополнительной программы следует проанализировать перечень прав, запрашиваемых программой, на предмет их возможной избыточности; 
  • рекомендуется устанавливать программное обеспечение только из проверенных источников.
Alt text

Александр Бондаренко

Блог Александра Бондаренко