Безопасность Андроид

Android

Всем привет! Сегодня мы коротко опишем основные достоинства и проблемы в мобильной операционной системе Андроид. Про безопасность Андроид написаны десятки тысяч статей и сотни книг. Разумеется, мы не будем пытаться объять необъятное; вместо этого попробуем окинуть взглядом экосистему в целом.

Кстати, вас также может заинтересовать статья «Как вытащить данные из Андроид», в которой мы рассказывали как криминалисты извлекают информацию из телефонов и планшетов.

Безопасность Андроид

Скажем сразу: смартфоны на Android самые распространенные, но при этом наименее безопасные. Версии Android 4.4 и ниже можно назвать дырявым ведром, не слишком погрешив против истины. Критические уязвимости и зияющие бреши в безопасности были (и есть) в сборках 5.0–5.1.1.

Минимально приемлемый уровень безопасности в Android был достигнут только с версией 6.0, причем только в тех устройствах, которые выходили с завода уже с Android 6.0 на борту. А вот в Android 7 (относительная доля которого до сих пор не перевалила за 8% устройств) физическая безопасность уже реализована вполне неплохо.

Называя Android дырявым ведром, нельзя не уточнить, что по абсолютному числу найденных уязвимостей iOS далеко впереди. Однако если Apple исправляет уязвимости и выпускает обновление в течение двух-трех недель, то уязвимости, найденные в Android, будут исправлены в «сферическом коне в вакууме», полумифическом AOSP. Обычные же пользователи могут получить их вместе с ежемесячным обновлением безопасности (только для актуальных флагманов у избранных производителей), получить через полгода-год или не получить никогда. Диаграмма распространенности разных версий Android намекает, что актуальные пaтчи безопасности своевременно поступят к от силы 7% пользователей.

В случае с Android значение имеет не только какая версия системы установлена, но и с какой версией устройство вышло с завода. Так, Android 6.0 «из коробки» по умолчанию шифрует раздел с пользовательскими данными, но смартфонов, обновившихся до Android 6 по воздуху, это не коснется.

Несмотря на то что Android, как и iOS, запускает приложения в песочницах, тут гораздо больше свободы. Приложения могут вмешиваться в работу других приложений (в первую очередь это разнообразные службы Accessibility, которые могут даже нажимать кнопки, и сторонние клавиатуры, которые автоматически получают возможность шпионить за пользователем). Приложения могут собирать данные о приблизительном местоположении пользователя, даже если соответствующие права отсутствуют (механизм интересный, часто применяется на практике и заслуживает отдельной статьи). Многочисленные вредоносные программы появляются еженедельно, а в некоторых телефонах (о таких мы писали) они сидят прямо в прошивках и избавиться от них возможно только с помощью перепрошивки.

Да, эта особенность, а точнее степень свободы заложена в систему (то есть это фича, а не баг), и те же сервисы Accessibility и сторонние клавиатуры требуют отдельного подтверждения для активации. Но поверьте, твоему ребенку, теще или бабушке сильно легче от этого не станет, как бы ты ни пытался натаскать их на «сюда не тыкай никогда».

А разблокирование смартфона? Казалось бы, простейшее действие, которое невозможно испортить… Но нет, разработчики Android (именно Android AOSP) — смогли. В Android встречаются любые, самые небезопасные способы аутентификации. Например, Smart Lock — автоматическое разблокирование телефона по местоположению (представьте ситуацию, в которой ФБР не приходится платить миллион долларов за взлом iPhone 5c — вместо этого агент просто дошел до дома подозреваемого). Или разблокирование при соединении с доверенным Bluetooth-устройством (агент включает трекер активности или магнитолу в машине подозреваемого).

Еще можно авторизоваться по лицу пользователя или его фотографии. Некоторые способы можно запретить с помощью корпоративной политики безопасности, но для запрета необходимо перечислить их в явном виде. Системный администратор забыл запретить разблокировку по Bluetooth-устройствам? Этой лазейкой непременно воспользуются. Ну и если появится новый небезопасный способ разблокировки — его придется запрещать дополнительно.

Безопасность Андроид
Безопасность Андроид. Настройки безопасности.

Да, намерения были благими: хоть как-то попробовать заставить пользователей устройств без датчика отпечатков пальцев устанавливать код блокировки. Вот только вред от таких способов просто катастрофический: пользователю внушается ложное чувство безопасности, на самом же деле «защитой» подобные способы можно назвать лишь в кавычках.

Более того, Smart Lock остается доступным даже в последних сборках Android и даже в устройствах, уже оборудованных датчиком отпечатков пальцев. Нет, использовать Smart Lock вас  никто не заставит, но ведь это же так удобно…

К счастью, с помощью политики безопасности некоторые виды разблокировки можно ограничить административно:

безопасность андроид систем
Безопасность Андроид систем. Виды блокировки.

Впрочем, нет никакой возможности помешать пользователю деактивировать такую политику!

В Android есть возможность установить свой сертификат для снифинга HTTPS-трафика:

безопасность андроид устройств
Безопасность Андроид устройств. Фокусы Adguard

Теперь у приложения Adguard есть возможность вырезать рекламу из HTTPS-трафика. Но вы же понимаете, что на его месте могло оказаться что угодно.

Большой Брат следит за вами

Google собирает большое количество информации о пользователях Андроид-устройств. Ее детальность и проработка просто фантастические: вы можете подробно увидеть, где вы были и что делали в такое-то время такого-то числа за последние несколько лет.

Что характерно, Google знает не только где вы были в терминах географических координат, но и в каком месте вы побывали. Гостиница, ресторан, боулинг, театр, парк — Google видит ваше местоположение и соотносит их с местоположением других пользователей (а их — миллиарды). Результат — компании известно все вплоть до того, сколько времени вы просидели за столиком в ресторане в ожидании первого блюда.

Скажете, я сгущаю краски? Ничуточки. Мы уже писали в статье «Мои действия», о том, что собирает Google и как до этой информации добраться.

Безопасность Андроид устройств
Безопасность Андроид устройств. Хронология Google

Само собой разумеется, в Google есть статистика запуска и использования приложений, история браузера и поисковых запросов, логины и пароли Chrome, слова, которые вводились с клавиатуры Gboard, голосовые запросы, просмотренные на YouTube ролики и многое, многое другое.

Да, слежку и сбор информации Google вы можете ограничить, а уже собранные данные — удалить, но разнообразие этих данных таково, что только их перечисление займет несколько страниц убористого текста.

Безопасность Андроид систем
Безопасность Андроид систем. Сбор информации Гугл

Большинство телефонов с Android поставляется с незакрытыми режимами сервисного доступа к памяти, которые изначально создавались для прошивки устройств в случае неисправности. Эти же режимы можно использовать и для извлечения данных из устройства, даже если оно выключено или заблокировано. В частности, это присуще большинству процессоров Qualcomm (режимы 9006 и 9008), практически всем MediaTek, Rockchip, Allwinner, Spreadtrum, некоторым устройствам на основе Samsung Exynos. Собственный низкоуровневый сервисный протокол есть в телефонах LG, и воспользоваться им для извлечения данных — дело техники.

Использование сервисного режима для кражи данных не оставляет следов. Защититься от кражи информации через сервисный режим довольно просто: достаточно включить шифрование данных (при этом рекомендуется Android 6.0 или выше, но даже в Android 5 шифрование уже вполне надежно).

Гранулярный контроль за разрешениями приложений в Android — больная тема. В «чистом» Android (AOSP) контроль за использованием разрешений появился только с выходом версии 6.0. В сторонних прошивках он был и раньше, но работал чрезвычайно нестабильно. При этом контроль далек от совершенства: запретить приложению работать в фоне штатными средствами невозможно, а ограничение доступа к разрешению доступа к местоположению приводит только к тому, что приложение будет определять местоположение устройства другими способами с помощью использования разрешений, гранулярный контроль которых невозможен даже в свежих версиях Android. Наконец, многие приложения просто не поддерживают гранулярное управление разрешениями, и пользователь по-прежнему соглашается с запросом на предоставление целого пакета разрешений, часть из которых вовсе не безобидна.

С помощью корпоративных политик безопасности можно запретить пользователю некоторые (но, к сожалению, далеко не все) способы обойти встроенные в систему меры безопасности. Например, можно заставить его использовать PIN-код, отключить Smart Lock, заставить использовать встроенное шифрование. Еще можно купить Android-смартфон BlackBerry; на них, по крайней мере, своевременно приходят патчи безопасности и активен режим доверенной загрузки. Впрочем, от действий самого пользователя, слежки и утечки данных в облако фирменный софт BlackBerry не защищает никак.

В Android просто не существует какой-то общей модели безопасности, которая могла бы обезопасить устройство и данные пользователя на всех уровнях. Можно включить KNOX, можно выбрать телефон с доверенной загрузкой… но все это не помешает самому пользователю установить какое-нибудь приложение, которое воспользуется «особенностями» Android (например, Overlay и Accessibility) для автоматической установки опасных зловредов, и те, снова используя уязвимости системы, попытаются получить root-доступ и прописаться в системном разделе.

Вас также может заинтересовать статья «Установка подозрительных приложений».

Стоит отметить, что, хотя автор прав в том, смартфон на какой ОС более уязвим к взлому, следует иметь в виду, что речь именно о смартфонах, но не об Android как операционной системе. Да, Android заслужил славу дырявой операционки и рассадника вирусов, но если вдуматься: а что есть Андроид? Это то, что установлено на смартфонах LG или Samsung, те самые сильно модифицированные операционки, которые кажутся совсем не похожими на «голый» Андроид? Это прошивки менее распространенных брендов, которые устанавливаются на смартфоны, годами не получающие обновлений? Или, может быть, это что-то другое?

Технически ОС Android — это то, что Google в форме исходников выкладывает во всеобщий доступ в рамках проекта AOSP. Это тот самый чистый Android, который компания переустанавливает на смартфоны Nexus и, в слегка измененном виде, на смартфоны Pixel. Все остальные прошивки, сильно и не очень сильно модифицированные, в терминах open source называются форками. По сути это уже нечто другое, но все это тем не менее принято называть общим именем Android.

Безопаснее ли чистый Android прошивок от производителей? Да, множество багов было найдено именно в измененном Android от производителя. К тому же в чистом Android эти баги исправляются намного быстрее и обновления, с небольшой задержкой, получают сразу все юзеры Nexus и Pixel. Общий срок поддержки этих смартфонов составляет два года для крупных обновлений и еще год для обновлений безопасности.

Как правильно отметил Олег, по общему количеству найденных критических уязвимостей Android остается позади iOS, причем больше половины этих багов находят вовсе не в Android, а в закрытых драйверах железа. Перечисленные в статье проблемы смартфонов вроде того же сервисного режима к Android отношения не имеют, это проблема производителя устройства. Однако в том же Nexus сервисный режим доступен — логично, если учесть, что это смартфон для разработчиков.

Серьезная проблема Android — это вовсе не дырявость и не безграмотная архитектура ОС. В конце концов, даже версия Android 1.0 включала в себя такие вещи, как полноценные песочницы для приложений, система обмена данными между приложениями через типизированные каналы с проверкой полномочий, многоуровневая проверка легитимности тех или иных запросов к данным или функциям ОС и memory safe язык Java, нивелирующий 90% возможных уязвимостей. О более поздних версиях с интегрированной системой мандатного контроля доступа SELinux, песочницами на основе seccomp, ASLR, механизмом доверенной загрузки, шифрованием и целым букетом прочих технологий говорить вообще не стоит.

Серьезная проблема Android — это та самая фрагментация, благодаря которой Android’ом называется все, что было основано на AOSP, а по факту уже не являющееся Android’ом. Компания выпускает смартфон на Android, забивает на его обновление, чем ставит под угрозу пользователя, — виновным объявляют Android. Samsung модифицирует Android, допуская ошибку в реализации локскрина, — виноват Android. Китайцы поставляют смартфоны с незалоченным загрузчиком — это Android дырявый.

Также не стоит забывать о гораздо больших, в сравнении с iOS, возможностях системы. Все эти Accessibility, оверлеи и другие функции, которые автор преподносит как уязвимости, — это стандартная часть Android, которая доступна сторонним приложениям. Чем больше функциональности предлагает система, тем больше возможностей использовать ее в грязных целях.

Сравнивать iOS, систему с сильно обрезанной функциональностью, отсутствием возможности ставить приложения из сторонних источников и закрытой экосистемой, с открытым Android, который дает гораздо больше возможностей и доступен для свободного скачивания и модификации кому угодно, некорректно. Это все равно что сравнивать полноценную ОС типа Windows и какую-нибудь Chrome OS.

Можно ли сделать Андроид безопасным?

Если телефоном пользуется ребенок, бабушка или человек, который увлекается чем угодно, только не вопросами безопасности мобильных операционных систем, — нет. В их руках телефон на Android никогда не будет безопасным, даже если это Samsung с активированным KNOX или BlackBerry с последним патчем безопасности.

Причина?

Слишком много зловредов и слишком большая для среднего пользователя степень свободы, позволяющая убрать «мешающие» средства безопасности, отключить шифрование на этапе загрузки, активировать установку приложений из сторонних источников и проделать массу других глупостей, которые тебе даже трудно вообразить.

Если же устройство дать в руки специалисту и устройство это — актуальный флагман одного из избранных производителей, не пренебрегающих ежемесячными патчами безопасности, то при должной настройке (запрет Smart Lock, шифрование с обязательным запросом пароля для дальнейшей загрузки устройства, — не путать с PIN-кодом разблокировки! — использование административной политики, жестко запрещающей установку из сторонних источников, запрет оверлеев и сервисов Accessibility, постоянный контроль за тем, какую информацию мы разрешаем о себе собирать и кому именно) для обычного пользователя вполне сойдет. Защита телефона с помощью Фаервола. Впрочем, чиновники, президенты, террористы и преступники все равно не будут так рисковать; их выбор до сих пор — BlackBerry 10 или iOS.

Традиционно последний параграф — про обновления и патчи безопасности. Специфика Android такова, что производители могут обновлять, а могут и не обновлять свои устройства до актуальных версий Android и патчей безопасности. Найденные уязвимости могут исправляться, а могут не исправляться (в большинстве случаев — не исправляются). Более-менее регулярные обновления бывают у флагманов известных производителей, но даже в этом случае сроки поддержки заметно короче, чем у устройств производства Apple или Microsoft. Телефоны с Android по уровню безопасности нельзя ставить на одну ступень с iOS или даже Windows 10 Mobile. Чем дешевле устройство, тем хуже у него будут обстоять дела с безопасностью уже через несколько месяцев после выпуска. Совсем дешевые устройства нeсут дополнительные риски, связанные с отсутствием обновлений (в том числе исправлений критических уязвимостей), физическими уязвимостями на уровне устройств и встроенными в прошивки зловредными «бонусами».

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий

  1. Александр

    Андроид на сегодняшний день является самой безопасной конструкцией, поскольку имеет возможность установки и изменения (настройки) приложений, ограничивающих шпионскую деятельность ПО. Я лишь увидел, что данная статья — это не что иное, как реклама «Яблока» в итоге…

    Ответить
  2. Роман

    Перейдите по этой ссылке http://catcut.net/l9bw
    Вас проверят на вируса и перекинется на программу которая определяет вирусное приложение которое выдоет рекламу и вы сможете удолить ее самостоятельно! Или заблокировать всплывать реклам! А после того как вы найдете приложение и не захотите удолить по каким либо причинам то вы сможете удолить в нем рекламу при помощи этого приложения вот ссылка http://catcut.net/uabw опять же она через антивирусный сайт

    Ответить
  3. Ярослав

    В общем-то автор как бы говорит правду, он не врёт. Вопрос лишь в том, как нам трактовать все эти факты.

    Все эти рассуждения про жуткую опасность Андроида сильно преувеличены. Точнее даже можно сказать скорее «миф», чем правда.

    По сути единственное отличие АйОс от Андроид в плане «безопасности» — жесткий запрет ставить что-либо не из магазина. Всё остальное рассуждения на тему.

    «Подхватить» зловредную программу на Андроид, реально можно только установив её самому из арк файла, скаченного где-то на сайте с порнографией.
    Всё… Все остальные факторы либо полностью отсутствуют в «нормальных» телефонах на андроиде, либо вообще не имеют смысла.

    Вы же не будете всерьёз предлагать полностью запретить пользователям Андроид устанавливать программы не из магазина? Это первое.

    Второе: сбор информации о пользователе — основа бизнеса гугл. Она это делает в рекламных целях и для этого весь этот Андроид гуглом и был придуман. Эпл не зарабатывает деньги на рекламе, собирать данные о пользователях ей особо не надо, разве что продать их гуглу…

    Но!!! Вопрос в другом. А именно…
    Кому интересна ваша статистика посещения кафе? В чем конфиденциальность информации? Хакерам? Государству? Ни тем, ни другим это не интересно вообще.

    Хакерам это точно не нужно. А у правоохранительных органов достаточно гораздо более надёжных методов собрать о Вас информацию. В чём трагедия, что гугл может подсовывать вам целевую рекламу на основе этой статистики? Где тут зло?

    Но самое главное в том: что именно и как Гугл собирает о пользователях Андроида — не секрет. Пусть гугл об этом не пишет на рекламных банерах, но скрыть это он (гугл) возможности не имеет — Андроид система открытая и мы всё про неё знаем досконально. В Андроид сбор информации и иные уязвимости в силу открытости и прозрачности системы видны и при желании устранимы.

    А вот о том, какую информацию о Вас собирает Эпл — известно одному Джобсу. Автор так уверенно пишет о том, что эпл ничего не собирает, однако ОТ КУДА ОН ЭТО ЗНАЕТ!!!!???? В закрытой проприетарной ОС могут быть встроены такие механизмы слежки, о которых мы с Вами и не подозреваем. И можно ли отключить это совсем мы тоже понятия не имеем.
    В Андроид же я не только могу «выключить» сбор статистики, но и быть уверенным, что он (сбор) действительно выключился. В Андроид при определённом умении можно вообще выпилить все гуглапс.
    Например почему-то автор не говорит, что Эпл всё что только можно тащит в АйКлауд и как (и можно ли вообще) это запретить, мы не знаем.

    В Андроид я могу модифицировать систему вплоть до самых её потрохов.
    Вы можете избавиться от ПО эпл в своём смартфоне ЭПЛ? А?

    Именно по этой причине утверждение : «Впрочем, чиновники, президенты, террористы и преступники все равно не будут так рисковать; их выбор до сих пор — BlackBerry 10 или iOS.», мягко говоря, неверно, а, грубо говоря, бредово, а именно — чистой воды художественный вымысел автора. Чиновники, президенты, террористы и преступники в первую очередь опасаются не «хакеров» с их вирусами, выложенными на порносайте, а «большого брата», которой обладает государственным, административным, экономическим и т.д. ресурсом и не нуждается в методах, которые используют хулиганы в интернете.

    По факту же ситуация обстоит таким образом.
    Если отбросить все воздыхания про «это эпл… аааа…», а посмотреть на ситуацию с позиции здравого смысла, то оправдать выбор в пользу АйФон очень сложно.
    Если мы сейчас начнём перечислять аргументы в пользу Эпл, то 9 из 10 будут сугубо субъективно-эмоциональными.
    Имиджевый момент? Удобство интерфейса? Безопасность?

    Имиджевый момент — смотря на кого вы собираетесь производить впечатление. Если на студентов и «тёлочек», то Вам конечно в банк за кредитом на новый айфон. Если перед серьёзными людьми, то там другие критерии имиджа.
    Удобство интерфейса — очень спорный и субъективный момент. Во-первых, это определяется чисто привычкой, во-вторых, миф об удобстве интерфейса АйОс разбивается в пух и прах, если попытаться разложить по полочкам и посчитать кол-во нажатий на экран для того и иного действия.

    Только безопасность с очень сильной натяжкой можно считать «объективным» критерием выбора. При этом «натяжка» настолько сильная, что «опасность» Андроида скорее миф, чем объективная реальность.

    В пользу андроид будут исключительно рациональные аргументы. Андроид смартфоны просто лучше по объективным параметрам, дают возможность разнообразного выбора и в разы дешевле.

    Эпл — бренд, который эксплуатирует эмоциональный, подход. Можно выразится резко и сказать — секта. Чего стоят безумные люди, живущие в палатках у магазина в очереди за новым АйФоном… Разве это не есть секта?

    Сравните недавнюю рекламу Самсунга S8 и АйФона Х… Если у Самсунга идёт перечисление возможностей телефона — возможностей, которые он предоставляет пользователю, то у Эпл … цветочки падают с неба в лунном свете… А? Чётко можно понять на какую публику ориентирован Эпл…

    Объясните мне как можно купить АйФон ХR за 90000 рублей, если за 40 000 я могу купить, например, Самсунг Ноут8? Боязнь вирусов?

    За деньги, за которые Эпл продаёт свои «современные» модели можно купить сразу несколько топовых Андроид смартфонов, которые будут на голову выше любого Айфона ХС и самое плохое, что случиться с пользователем этого самого Андроид смартфона, что он прочитает вот такую вот статью и испортит себе настроение, так как, не будучи специалистом, может посчитать, что всё это действительно так и есть.

    Если же пользователь Анродида не будет читать такие статьи, то никогда в жизни не узнает, что есть какие-то вирусы под Анроид.

    То есть, если Вы купили «приличный» Андроид смартфон от именитого производителя и не скачиваете арк файлы с сомнительных ресурсов, отключили СмартЛок (это легко делается прямо в настройках), запретили администратора устройства «найти устройство», запретили сбор статистики, то вероятность кражи Ваших данных равна 0,000000000000000000000001%….

    Так что, автор статьи, действительно уж как-то скатился в явную предвзятость, если не сказать большего.

    Ответить
  4. Александр

    В Андроиде безопасности нет. Самый первый вирус там сам Google (cоздатель Андроида), второй, например, Viber, которому Google разрешил прописываться в Андроиде администратором, причем так, что его иногда и рутом оттуда не удалишь. Если Google разрешает некоторым приложениям быть администраторами (изменять настройки) телефона, то о какой безопасности пользователя или телефона можно говорить? За ним шпионят Google, Viber и вообше кто попало, кто может и знает, как это делать. Причем даже в обход Google, которого (а вернее его сервисы) можно и выбросить из Андроид. Андроид небезопасен потому, что бесплатен. Безопасность не была в числе основных целей его создания.

    Ответить