Во многих смартфонах и планшетных компьютерах скрываются опасные уязвимости, не все из которых производитель может ликвидировать. Чтобы обезопасить себя, владельцам гаджетов приходится брать дело в свои руки.
Более чем в половине всех устройств на базе Android есть огромная прореха в безопасности. Эта уязвимость позволяет хакерам, среди прочего, просматривать электронную почту и даже удаленно управлять мобильными телефонами. Данная проблема касается нескольких сотен миллионов пользователей. Но ужасает другое: все они брошены концерном Google и большинством производителей гаджетов на произвол судьбы.
Причиной возникновения самой опасной уязвимости в Android является компонент WebView, если он используется в версии 4.3 и ниже. Многочисленные приложения, а также браузер, установленный по умолчанию, задействуют его для отображения веб-страниц или рекламных баннеров. Однако интерфейс подвержен атаке — так называемому универсальному межсайтовому скриптингу: измененная с его помощью веб-страница, созданная злоумышленником, может считывать, к примеру, электронные письма пользователя, если он ввел на ней данные доступа к своему ящику.
Эту уязвимость, касающуюся примерно 60% всех активных устройств с Android, можно разрешить или устранить, однако содействия от Google ждать не приходится. Концерн аргументирует это тем, что в версиях 4.4 и 5.0 проблема якобы решена, таким образом считая, что долг выполнен. Однако многие не самые современные аппараты не получают обновление на такие версии. Поэтому их владельцам необходимо взять ситуацию в свои руки. Уязвимости скрываются и в iOS, которая считается защищенной от вирусов. Несмотря на то что положение не столь тяжелое, как в случае с мобильной ОС от Google, и здесь пользователи могут самостоятельно усилить свою безопасность. Мы дадим вам инструменты для самозащиты.
Устраняем уязвимости в ОС Android
Меняем браузер
Риск при просмотре сайтов на смартфоне зависит не только от версии операционной системы, но и от браузера. Во всех версиях Android до 4.3 браузер, установленный по умолчанию, использует для отображения страниц крайне уязвимый компонент WebView, открывая тем самым хакерам двери нараспашку.
1. Проверяем версию Android
Прежде всего необходимо убедиться, что на вашем смартфоне или планшете не установлена какая-либо из опасных версий Android. Риску подвержены все версии от Android 2.2 под названием Froyo до 4.3 под именем Jelly Bean включительно. В них используется уязвимый движок WebView — WebKit, к которому, среди прочего, обращается стандартный браузер Android. Лишь в версиях Android 4.4 и выше встроен безопасный вариант WebView — Blink, движок для браузера Chrome. Таким образом, ни в коем случае не заходите на сайты с помощью веб-обозревателя, установленного в системе по умолчанию, если на вашем смартфоне установлена версия Android ниже 4.3. Если вы не знаете точно, какая версия стоит на аппарате, перейдите в настройки системы и нажмите на «О телефоне» или «О планшетном ПК». Если в строчке «Версия Android» указано «4.4» или «5.0», можете не читать этот раздел статьи: вы в безопасности. Во всех других случаях следуйте нашим указаниям.
2. Проверяем обновления от производителя
Теперь необходимо проверить, предлагает ли производитель аппарата обновление до безопасной версии Android. Для этого в том же разделе меню «О телефоне» или «О планшетном ПК» нажмите на «Обновление системы» и далее «Проверить обновления». Если смартфон или планшет не находит обновления или же последняя доступная версия ниже 4.4, остается две возможности защитить вашу систему: установить альтернативный браузер или же вручную перевести аппарат на альтернативную прошивку. Последнее решение хоть и надежнее, поскольку решает проблему, а не просто ее обходит, но нетривиальное и вряд ли подходит для неопытных пользователей. В любом случае, проще всего использовать браузер, не столь подверженный упомянутой в начале уязвимости.
3. Устанавливаем альтернативный браузер
В принципе, для обхода уязвимости WebView подойдет любой браузер с собственным движком, в том числе Chrome, Firefox, Opera и Dolphin. Для Chrome, однако, существует одно ограничение: Google не предлагает обновления для данного браузера, если он используется в системах Android 4.0.4 и ниже. Не существует даже пакетов для усиления безопасности. Поэтому мы рекомендуем Firefox, так как он регулярно обновляется. Установить этот браузер можно точно так же, как и другие приложения, через магазин Play Market. После установки необходимо выбрать его в качестве браузера по умолчанию, чтобы в будущем веб-контент отображался только с его помощью. Для этого пройдите по какой-нибудь ссылке, например из электронного письма, в окне «Что использовать?» поставьте флажок рядом с вариантом «Всегда» и нажмите на иконку браузера. Если вместо этого диалогового окна сразу открылся браузер, см. пункт 4 этого руководства.
4. Удаляем старый браузер по умолчанию
Если вы не знаете, какой браузер используется по умолчанию, или в качестве последнего назначен уже другой, уязвимый стандартный браузер, необходимо сбросить эту настройку, прежде чем задать выполнение по умолчанию нового, безопасного альтернативного веб-обозревателя, такого как Firefox. Для этого снова зайдите в настройки и в разделе «Приложения» нажмите на «Управление приложениями». Перейдите на вкладку «Все» и выберите в списке стандартный браузер системы. В открывшемся меню пролистайте до записи «Запуск по умолчанию» и нажмите на кнопку «Удалить настройки по умолчанию». Теперь необходимо сделать новый браузер программой по умолчанию, как было описано на этапе 3. Если же соответствующее диалоговое окно все равно не появилось, повторите действия этапа 4 для всех других установленных веб-обозревателей.
5. Сторонний браузер в приложениях
Но не только стандартный браузер обращается к компоненту WebView. Многие сторонние приложения также пользуются им для отображения веб-контета, поэтому их необходимо защитить от уязвимости. Проблема может коснуться, среди прочего, приложения Facebook. Впрочем, его можно сконфигурировать таким образом, чтобы веб-страницы отображались только в стороннем браузере, полностью исключив доступ к компоненту WebView. Для этого в приложении нажмите на значок настроек и пролистайте вниз до раздела «Настройки». Выберите запись «Настройки приложения». В «Общих» настройках активируйте вариант «Открывать ссылки сторонним приложением». Этим приложением будет браузер, который вы заранее установили в качестве стандартного.
Самостоятельно обновляем Android
Использование безопасного браузера позволяет обойти самую серьезную проблему, связанную с уязвимостью в WebView. Однако риск сохраняется, поскольку хакер может отыскать лазейку через рекламные баннеры в приложениях, ведь сама уязвимость не устранена. «Залатать» эту прореху позволяет только обновление операционной системы до версии Android 4.4 и выше. Если производитель устройства не предлагает официального обновления, остается возможность установить на аппарат альтернативную систему, так называемую кастомную прошивку (Custom ROM, CR).
Максимальная осторожность во время рута
Поскольку разработкой кастомных прошивок соответствующее сообщество занимается непрерывно, считается, что их состояние самое актуальное. Однако установку альтернативной версии Android тривиальной не назовешь: пользователю потребуются полные права суперпользователя, то есть рут устройства. Сами производители таких прав своим покупателям не выдают. Конечно же, из добрых побуждений: во взломанное устройство можно внести принципиальные изменения, что при самом плохом раскладе приводит к полному отказу смартфона или планшета. По этим же причинам устройства после рута теряют гарантию. Однако порой, как в случае с уязвимостью WebView, у пользователя просто нет выбора. Самая большая трудность при этом заключается в том, что процесс рута отличается в зависимости от производителя и устройства.
Помощь нужно искать на форумах
За инструкциями по получению рут-прав мы рекомендуем обратиться на специализированные форумы, такие как 4pda.ru/ forum и forum.xda-developers.com. Здесь вы найдете актуальные пошаговые руководства для большинства аппаратов.
После получения полного доступа необходимо установить программу для Custom Recovery, которая понадобится для запуска кастомной прошивки. Будьте внимательны: не каждая прошивка работает с любой версией Custom Recovery. Поскольку устройство при установке прошивки, а зачастую и во время рута, откатывается к заводскому состоянию, не забудьте предварительно сделать резервную копию важных данных.
Как правило, большинство этапов установки кастомной прошивки выполняются вручную. Процесс этот сложный и занимает много времени. Однако для версии CR CyanogenMod существует установщик, который берет на себя задачу по выполнению всех необходимых действий. Есть и проблема: этот установщик работает только на смартфонах серии Galaxy, аппаратах Nexus и НТС One. Владельцам других моделей необходимо найти соответствующую инструкцию по установке на сайте wiki.cyanogenmod.org. Вариант CyanogenMod благодаря удобству в использовании рекомендуется тем, кто впервые занимается установкой кастомной прошивки.
Самые популярные кастомные прошивки на базе Android
CyanogenMod
В отличие от других альтернативных прошивок, работает на большинстве устройств. Последняя стабильная версия 11 базируется на Android 4.4. Программное обеспечение и инструкции можно найти на сайте cyanogenmod.org.
OmniROM
Ответвление от проекта CyanogenMod, базируется на Android 4.4. Поддерживается некоторыми моделями Samsung, НТС и LG. Информацию по установке и ссылки на загрузки ищите на сайте omnirom.org.
Paranoid Android
Дает много возможностей настройки внешнего вида графического интерфейса пользователя. Официально работает примерно с 20 устройствами, неофициально — примерно с 60. Адрес вебсайта разработчика: aospa.co.
SlimROMs
Альтернативные Android для пользователей, предпочитающих максимальную производительность всякому украшательству. Актуальные версии прошивок вместе с инструкциями по установке ищите на сайте slimroms.net.
Шпионить могут и приложения для iOS
Концерн Apple пытается заставить пользователей поверить, что в его мобильной операционной системе iOS не скрывается никаких рисков безопасности. Именно поэтому в марте 2015 года из фирменного магазина приложений Арр Store были вычищены антивирусные программы. Объяснение: подобные приложения могут ввести пользователя в заблуждение, что для iOS якобы существуют вирусы. Поскольку Apple проверяет программные продукты гораздо строже, чем Google, прежде чем сделать их доступными в сервисе Арр Store, для устройств iPhone и iPad вредоносных программ практически нет. Однако даже iOS не безгрешна: вместе с обновлением на последнюю версию 8.3 компания Apple опубликовала список почти из 60 уязвимостей, которые были устранены в новом варианте операционной системы, среди которых и ошибки в движке браузера WebKit, позволяющие проводить атаки с помощью удаленного выполнения кода (Remote Code Execution).
В Apple iOS достаточно уязвимостей
Недавно Apple устранила в iOS серьезную уязвимость, которая позволяла злоумышленникам выводить гаджеты из строя, вызвав непрерывное аварийное завершение работы всех установленных приложений и самой операционной системы. Правда, для этого хакеру нужно было вынудить жертву атаки изменить настройки прокси-сервера устройства. Это можно проделать, например, с помощью зараженного беспроводного роутера, в память которого помещается специальный конфигурационный файл для изменения настроек iPhone или iPad, и методов социальной инженерии, которые убедят жертву в необходимости применения новых параметров.
Подход Apple к выпуску обновлений иной, нежели у партнеров Google: они разрабатываются практически для всех устройств, даже для морально устаревших. Версия iOS 8.3 работает на всех моделях iPhone вплоть до вышедшего еще три с половиной года назад iPhone 4s. Однако это значит и другое: те, кто больше не получает обновлений, должен смириться с уязвимостями или же приобрести более современную модель. Но все же можно получить права суперпользователя и на смартфонах iPhone — в случае с устройствами от компании Apple этот процесс называется джейлбрейк. Он позволяет, как минимум, устанавливать приложения, недоступные в официальном магазине. Но поскольку такие продукты не были проверены Apple, велик риск заполучить на свой телефон вредоносный код.
Впрочем, легитимные программы, как выяснил разработчик iOS Крейг Хокенбери, также несут в себе опасность. Как и в Android, проблемы iOS создает WebView, системный компонент, отображающий веб-контент через приложения. Однако Apple использует менее опасную версию интегрированного движка WebKit, чем Google. Так или иначе, при показе страниц с помощью WebView приложения iOS получают доступ к данным форм, таким как имя пользователя и пароль, и в теории могут передавать их дальше. Поэтому Хо-кербери рекомендует вводить конфиденциальные данные только в браузере Safari.
Последняя версия iOS 8.3 единственная отличается безопасностью. Однако 22% активных устройств Apple не получат это обновление.
Мобильная Windows безопасна
О безопасности Windows Phone сказать в принципе нечего. Известные на данный момент уязвимости практически не используются. Причиной тому — слабая распространенность этой операционной системы: Windows Phone занимает едва ли 2,5% рынка мобильных ОС, что делает данную платформу малоинтересной для хакеров.
Другая причина — это высокие требования безопасности, которым должны соответствовать приложения и устройства. «Microsoft контролирует приложения даже строже компании Apple», — поясняет эксперт в сфере компьютерной безопасности компании AV-Test Майк Моргенштерн. Не забудьте, что в отличие от процессов настольных компьютеров, работа Windows Phone крайне ограничена. «Даже если кто-то получит доступ к приложению, он еще долго не сможет взломать систему», — утверждает Моргенштерн. Поскольку Microsoft регулярно снабжает свои мобильные устройства обновлениями, Windows Phone — отличный выбор для пользователей смартфонов, обеспокоенных своей безопасностью.
Жесткие требования к ПО и железу
Microsoft предъявляет повышенные требования к аппаратному и программному обеспечению смартфонов на базе Windows Phone. Кроме того, данная мобильная ОС обладает встроенными продвинутыми механизмами безопасности. Все это делает устройства с Windows Phone 8 одними из самых взломостойких в мире, что подтверждено наличием у них различных сертификатов. Например, гаджеты с данной мобильной ОС полностью соответствуют американскому стандарту безопасности FIPS 140-2, который описывает требования к системе шифрования и связанные с ней меры безопасности в устройствах, на которых осуществляется работа с конфиденциальными данными без грифа секретно.
Четыре уровня безопасности FIPS 140-2
В рамках стандарта правительства США FIPS 140-2 определены четыре уровня безопасности, предъявляемые к криптографическим модулям, каждому из которых в полной мере соответствуют устройства на базе мобильной операционной системы Windows Phone 8.
- Уровень 1. К криптографическому оборудованию предъявляются общие требования. Например, аппаратное обеспечение должно быть профессионального уровня, в ПО не должно быть серьезных ошибок, для шифрования должен использоваться одобренный алгоритм.
- Уровень 2. Устройство должно иметь средства для обнаружения физического проникновения, например, пломбы, без снятия которых разобрать устройство не представляется возможным, а также систему проверки подлинности на основе ролей.
- Уровень 3. На данном уровне предусматривается защита от физического проникновения, которая может быть реализована в виде усиленных корпусов и специальных схем для обнуления хранящейся в чипах шифрования информации при вскрытии защитных пломб.
- Уровень 4. Наивысший уровень предполагает наличие системы защиты от физического проникновения с очень высокой степенью обнаружения несанкционированного доступа к аппаратному обеспечению и принятия соответствующих мер реагирования.
Например, во всех устройствах на базе Windows Phone 8 установлен аппаратный модуль шифрования стандарта Trusted Platform Module 2.0 (TPM), в котором хранятся криптографические ключи для защиты данных. Еще одна интересная особенность мобильной ОС Microsoft заключается в том, что все запускаемые в ней приложения, включая системные, работают в своей изолированной среде и получают доступ только к тем ресурсам, которые им необходимы для полноценного функционирования. Каждому приложению выделяется свое изолированное хранилище для операций ввода-вывода, и получить доступ к нему другие приложения не могут. Поэтому кража вводимых пользователем данных предельно затруднена. Отдельно стоит упомянуть о том, что встроенный браузер Internet Explorer запускается в отдельной изолированной среде и оснащен встроенными механизмами борьбы с фишинговыми сайтами.
Благодаря данным особенностям смартфоны с Windows Phone 8 широко применяются там, где требуется предотвратить возможную утечку представляющих огромную ценность конфиденциальных данных, — в государственных учреждениях различных стран мира, крупных корпорациях и т. д.