Безопасность мобильных систем

Введение.

2011 год оказался ярким для рынка мобильных устройств. Очень сильно выросли продажи смартфонов на ОС Android и Apple IOS, если еще пару лет назад человек с коммуникатором в руке попадался на глаза редко, то сейчас в крупных городах чаще встречаются обладатели модных тач устройств, нежели классических сотовых телефонов. Выход Ipad ознаменовал эру широкого распространения планшетных компьютеров, к концу лета за Apple подтянулись производители планшетов на платформе Android. Болезни ранних версий планшетов на Android выпущенных в погоне за корпорацией Джобса вылечились в версиях 3.1 и 3.2. Что благоприятно повлияло на продажи этих устройств. Нельзя забывать о выходе на рынок процессоров NVidia. Надо понимать, что это не просто производитель процессоров и видео карт, но и значительное лобби, рекламные ресурсы в мире компьютерных игр, формирующих собой спрос на новое производительное железо. Microsoft озабоченная потерями на рынки портативной техники активно рекламирует готовящейся к выходу Windows 8 ориентированный, в первую очередь, на работу пальцами. Прогнозы аналитиков говорят о планируемом увеличении продаж на этих рынках в 2-3 раза с каждым годом.

О чем это говорит с точки зрения безопасности? Основное отличие смартфонов и планшетов от стационарных и мобильных компьютеров (ноутбуков, нет буков), с точки зрения использования, это постоянное нахождение в сети. Уходя из дома вы выключите свой домашний компьютер или ноутбук, но практически наверняка ваш планшет останется лежать на столе с выключенным экраном, либо вы потащите его с собой. Вес в 500-700 грамм стал планкой, когда чаша весов «носить» или «не носить» устройство с собой склоняется к первому пункту. Пару лет назад рынок был не настолько велик, то сейчас он уже внушителен. Большое количество устройств и однотипность платформ на которых они функционируют неизбежно приведет к увеличению количества людей паразитирующих на этом рынке. Пряников в огонь подсыпал Google запустивший свой новый сервис Wallet позволяющий использовать смартфон в качестве кредитной карты.

Таким образом, появилась очень плодородная почта развития разного рода программного обеспечения призванного очистить карманы людей или украсть информацию. Если «классические» sms боты имели узконаправленный угол атаки, то тут мы имеем большой спектр возможностей. Планшет это окно в сеть, следовательно, возможно создание ботнетов, причем это зомби который 24 часа 7 дней в неделю готов выполнить команду кукловода. Отправка sms на платные номера, не приятная штука, но не более. Другое дело данные кредитных или дебетовых карт, разного рода аккаунтов к платным сервисам. Сложные пароли «так не удобно вбивать одной рукой на планшете» - думаю такой подход будет у многих пользователей, а все эти данные имеют не малую ценность для злоумышленников. Не забываем о набравших оборотах сервисах синхронизации личных данных, таких вещах как istorage и DropBox, аккаунтах соц. сетей. Вся эта информация может иметь цену. Буквально каждый месяц в сети появляется новость о неправомерном использовании web камер. То педофила поймали в Германии, то фото поп звезды в неглиже, сделанные хакерами из Таганрога по средствам взлома ее домашнего ПК, утекли в сеть. Ведь, домашнею web камеру можно отключить, убрать в стол, но на портативном компьютере все всегда включено и доступно для использования, будь то микрофон, фронтальная или задняя камеры.

Подытожим направление возможных атак и их цели:

1. SMS боты – программы, отправляющие sms сообщения на заранее подготовленные платные номера.
2. Пароли к ресурсам сети, аккаунтам платежных систем, номера кредитных карт, Wallet (если он получит достаточное распространение).
3. Личная информация доступная с разного рода аккаунтов. Не все хранят на DropBox фото первой любви, там могут встречаться чертежи, дизайнерские концепты, просто компрометирующая информация.
4. Возможно, многие назовут этот пункт паранойей, но он имеет право на существование. Это неправомерный доступ к ресурсам вашего устройства с целью слежения.

Перейдем к телу.

Все выше описанное, достаточно логично, стоит посидеть вечерком за чашкой кофе и все это придет само собой. Другой вопрос реализация твких атак, их возможность и способы противодействия. То, что нас интересует в первую очередь.

Вновь обращусь к опыту этого года. Сколько бы не писали о «вирусах» на Android или IOS все сводилось к неграмотной работе самих пользователей. Под IOS были замечены сайты по средствам скриптов блокировавшие работу Ipad, проблема решалась перезагрузкой устройства с последующей чисткой временных файлов браузера. Для Android все сводилось к тому, что человек сам устанавливал вредоносную программу из Android Market. Видно, что на уровне OS достаточно защищены. Устройства на Microsoft Mobile и Windows 7 для планшетов представляют слишком малую долю рынка, возможно, по-этому громких «сенсаций» с ними не было, да и, по сути, это тот же Windows 7 установленный на миллионах компьютеров по всему миру с его слабостями и недостатками.

Рассмотрим возможность атак на устройства с каждой операционной системой отдельно.

Android: Являясь виртуальной машиной на ядре linux, Android выглядит достаточно защищенной. Ахиллесова пята уже нащупана - market. Среда брендов еще не сформирована, рейтинговая система слишком линейна. Имеет место быть недостаток простых, но функциональных приложений в виде «читалок» или файл менеджеров. В купе с достаточно не большим временем, по меркам разработок для ПК, затрачиваемым на разработку приложений, позволяет создавать функциональные подложные программы. Отсуцтвие контроля при публикации приложения открывает широкий простор для мошенничества. Мне кажется, что первым шагом к уменьшению данной угрозы стоит в частичном перенимании опыта у Apple. Google или сторонней организации стоит ввести, что то на подобие сертификатов. Приложение проверенное и получившее сертификат будет отражаться в Market с специальной пометкой, говорящей о его благонадежности. Все это потребует определенных затрат человеческих ресурсов, по этому, было бы целесообразно ввести либо платный сервис работающий по принципу разовых платежей, либо аккаунтов с годовой подпиской. Вирусы и Linux штука не совместимая, но никто не отменял уязвимости уровня приложений и самой системы, запуск легальных скриптов. Допустим, человек загружает документ из сети и в самом документе при открытии запускается скрипт на простейший ping до ресурса N. Сейчас текстовые редакторы не имеют возможности выполнения скриптов, но это ограничение обусловленное требованиями к производительности приложения.

Скажите это глупо? Отчего, выход бестселлеров сопровождается большим всплеском скачиваний в сети. Например, обычный .doc файл с vbs скриптом запускаемым при нажатии на заголовок. Не говоря о том, что существующие форматы на подобии .pdf или тяжелых .doc обрабатываются достаточно медленно и не совсем удобно в тач интерфейсах. Это может привести к появлению нового формата с расширенным функционалом, направленным на мобильные устройства. Естественно нельзя отбрасывать всеми любимый flash. По последним заявлениям adobe они исправили в свежей версии 18 критических ошибок, но утекшая в сеть переписка говорит о более чем 400 таких исправлениях.

IOS: Закрытость и ограниченность системы дает ей очень большой запас прочности от перехвата информации. Но не смотря на это не превращает систему в неприступный бастион. Ореол защищенности системы делает людей беспечными в плане безопасности своей мобильной системы. Цена публикации программы не является критичной, не говоря о том, что изначальный дистрибутив может не содержать вредоносного кода, система может иметь в себе модуль обновления, который откажется запускать приложения без обновления спустя 2-3 месяца после установки (когда человек уже привыкнет к использованию программы). Это обновление будет идти с определенных серверов и добавлять необходимый функционал необходимый злоумышленникам.

Не оставлю забытым недавний случай с сайтом вводившим систему в ступор, это некий аналог WinLock для Windows. Это направление может получить очень интересное распространение. Планшет не имеющий возможности подключения внешних загрузочных устройств попав под действие блокировщика превращается в пол кило пластика и микросхем. Все же вариант с полной блокировкой Ipad мало вероятен. А вот выпуск подготовка почвы для запуска «пустого» приложения мне кажется вполне реальной моделью нечестного заработка. Суть махинации проста – группа хакеров производит несколько взломов популярных сайтов развлекательно-информационного характера. Скандалы с lulzSec, Anonimus, и др. показали, что выдержать толковую атаку не могут титаны на подобие Sony, чего тут говорить о сайтах с посещаемостью в несколько тысяч человек. Так владелец Ipad натыкается на такой вредоносный скрипт на сайте, он блокирует браузер, человек чистит временные файлы, за пол года он сталкивается с этим несколько раз и тут выходит приложение стоимостью в пару долларов способное блокировать эту неприятность и мало кто знает, что авторы того и этого одни и те же люди. По сути продаем одним меч, другим щит. По правде сказать, этот метод может применятся к атаке на любые операционные системы. Ну и все же вспоминая о OSX.iServices*¹ не будем забывать, что уязвимость есть уязвимость, она просто ждет своего GeoHot, вот на чьей он стороне будет в этот раз другой вопрос.

*1 - OSX.iServices Вирус для MacOsX поразивший компьютеры mac в 2009 году, организуя ботнет iBotnet.

Windows 8: Система на которую Microsoft хочет возложить задачу возвращения на рынок коммуникаторов и планшетов. Не говоря о том, что хоть рынок нетбуков и не теряет потребителя, но он теряет процент роста в пользу планшетных компьютеров. Так аналитики Gartner прогнозируют прирост в 10% на рынке мобильных компьютеров и очень хороший кусок этого пирога съедят устройства с операционными системами от Google и Apple. Что же стоит ожидать от Windows 8. Ничего кардинально нового. Разработчики акцентируют внимание на дополненном под управление руками интерфейсе, говорят о том, что взяли все лучшее от Windows7 и лишь между прочим замечают, что, вроде как, система станет безопаснее. Это все говорит о том, что все проблемы пользовательских Windows платформ перекочуют и в 8ю версию ОС. В защиту Windows стоит сказать, что свои планшеты они снабжают usb хостами, да и архитектура там та же самая, а следовательно поймав очередной вирус блокировщик или еще какую сетевую хворь, всегда можно подключить usb клавиатуру и загрузится с флешки или usb cd-rom/dvd-rom. Решив проблему старым добрым методом. По правде сказать, тоже самое можно сделать и с android устройствами, но это требует от пользователя более высокого уровня знаний и зачастую может потребовать «танцев с бубном».

Выводы: Мне кажется, что надо ждать некоторого всплеска подложных программ на всех видах систем, рождения вредоносных скриптов распространяемых как в оффлайне, так и через сетевые ресурсы. Ну и никто не отменял получение доступа через отдельные уязвимости устройств. Рынок вырос достаточно, дабы заинтересовать злоумышленника, да и приобрести устройство для тестов свежей малвари уже не настолько дорого.