| Новые программы oszone.net |  |
Сегодня корпорация Google подвела итоги 2015 года в области обеспечения безопасности экосистемы Android и сопутствующих ей сетевых служб Google Mobile Services. В изданном компанией отчёте приводятся данные по распространению различного вредоносного ПО, а также эксплуатации известных уязвимостей злоумышленниками. Кроме того, Google пояснила, как же компания защищает пользователей от таких угроз, а также рассказала, как она сканировала устройства российских пользователей.
В своём отчёте Google заявила, что подавляющее число сертифицированных компанией устройств не подвержены каким-либо угрозам. Согласно внутренней статистике корпорации, около 0,5% устройств в мире встречались с потенциально вредоносным кодом. Данная статистика включает в себя пользовательские конфигурации с включенной опцией установки приложений из недоверенных источников. В случае, если пользователь не включал данную опцию, то процент заражений падал до 0,15%. В число “потенциально вредоносного кода” Google включила приложения с несанкционированным сбором данных, шпионское ПО, трояны, бэкдоры, ботнеты, приложения с эксплойтами уязвимостей*, данные, которые могут навредить другим операционным системам и некоторые другие типы вредоносного ПО. Google отмечает, что при загрузке из Google Play пользователи чаще всего встречались с несанкционированным сбором данных — с этим встретились 0,08% владельцев сертифицированных устройств. Остальные угрозы встречаются значительно реже. Google заявила, что за год количество заражений потенциально вредоносным кодом снизилось на 40%, и данный тренд продолжится.
Для защиты пользователей Google использует несколько слоёв защиты — на уровне системы, на уровне служб Google и на уровне создания приложений. Среди системных механизмов используются привычные по настольным системам механизмы, такие как NX-bit, ASLR, SELinux и прочие улучшения, которые, впрочем, пользователь может получить только с обновлением прошивки, что встречается довольно редко за пределами Nexus, Android One и флагманских устройств партнёров Google. Что касается разработки приложений, то Google подготавливает документацию по созданию безопасного кода для разработчиков и регулирует порядок загрузки приложений в каталог Play Store. На уровне своих сетевых служб компаний дела идут значительно лучше — любое сертифицированное Google устройство обладает этими службами, которые работают в фоновом режиме, обновляются независимо от производителя устройств и незаметно от потребителя. К таковым относятся SafetyNet, SafeBrowsing API, VerifyApps, Android Device Manager и SmartLock. Все сетевые службы Google обладают различной функциональностью. Первый компонент — SafetyNet — является облачной службой с максимальными привилегиями в системе, обладая возможностью блокировать эксплуатацию известных Google уязвимостей, проводит поведенческий динамический анализ кода, и фактически является наиболее продвинутым из защитных механизмов Google Mobile Services. Так, например, он способен блокировать эксплуатацию большинства связанных со Stagefright уязвимостей. SafeBrowsing API является гибридным компонетом, тесно связанным с браузером Chrome и Chrome WebView, позволяя блокировать известные фишинговые сайты. VerifyApps — типичный статический анализатор кода, позволяющий по сигнатурам выявлять вредоносные приложения. Android Device Manager является службой для обнаружения утерянных или украденных устройств, а SmartLock позволяет персонализировать методику разблокировки устройства с помощью различных биометрических (голос, лицо) и геолокационных переменных. Все эти службы обладают своими собственными компонентами, обладающими дополнительной функциональностью, в том числе по анализу данных. Работа сетевых служб Google проявилась в частном случае анализа данных из России. Один из компонентов SafetyNet способен помечать некоторые устройства в качестве находящихся в зоне риска. Такое случилось с российскими пользователями, которые в 2014 году в пять раз чаще устанавливали потенциально вредоносные приложения, чем в среднем по миру. SafetyNet, отследив такую аномалию в российской локали, отправила российские устройства с зону риска. Как следствие, различные проверки начинали проводиться чаще вплоть до раза в день, а также более агрессивное воздействие на опасные приложения. Так, например, служба VerifyApps обычно просто предупреждает об опасности устанавливаемого приложения, но российские пользователи такие предупреждения игнорировали и получали заражение. В итоге SafetyNet отправила новую директиву к VerifyApps, после чего блокировка установки происходила без разрешения пользователя, а уже установленные приложения автоматически удалялись. Одним из таких приложений стала некая программа, перехватывающая данные двухфакторной аутентификации одного крупного российского банка. Впервые в своей истории команда разработки сетевых служб безопасности Android получила возможность совместной работы с внешним партнером, благодаря чему спустя 11 недель после начала борьбы с вредоносным приложением число зараженных устройств упало на 80%, несмотря на более агрессивное распространение злоумышленниками своего приложения. Если вернуться к нашумевшим уязвимостям уровня дефектов Stagefright, то Google так и не удалось зафиксировать сколько бы то ни было значимую эксплуатацию этих уязвимостей. До пользовательских устройств они не добрались, и они остались только на уровне PoC-демонстранций на различных конференциях. Google связывает это с тем, что большинстве устройств компоненты Stagefright обладают специфическими патчами от производителями и необычными конфигурациями, из-за чего работоспособный эксплойт невозможно распространить массово. Кроме того, требуется наличие приложений, использующих Stagefright, а это, как оказалось, редкость. Такие приложения как Chrome, Firefox, Hangouts, WhatsApp, VLC и большое число прочих популярных приложений, работающих с медиаданными, либо не работают со Stagefright, либо обладают различными патчами, блокирующими эксплуатацию уязвимостей. В общей сложности в 2015 году в Android было обнаружено 69 критических уязвимостей и 54 уязвимостей с высокой степенью угрозы. Google отмечает, что количество вредоносных приложений, использующих эти уязвимости, было установлено на менее чем 0,01% сертифицированных устройств с включенной опцией загрузки из недоверенных источников. В Google Play такие приложения вообще не попали.
Таким образом, Google указывает, что ситуация с безопасностью в Android находится на высоком уровне, и Google в состоянии противостоять различным угрозам. Это косвенно подтверждают даже антивирусные компании, которые обнаруживают угрозы чаще всего за пределами экосистемы Google в Китае. Впрочем, без сомнения, усложнение жизни злоумышленникам путем различных сетевых служб достойно похвалы, но такие меры могут не помочь против сложных критических уязвимостей в будущем. Поэтому Google следует найти подход к своим партнёрам по Open Handset Alliance, которые мягко говоря не очень рьяно следуют практике ежемесячных выпусков обновлений безопасности, которые пытается прививать Google. В корпорации же отметили Samsung и Blackberry за серьезное отношение к безопасности, и, что любопытно, Google впервые отметила существование такого проекта от сообщества независимых разработчиков сторонних прошивок как Copperhead OS. В Google похвалили улучшения безопасности Android в этой прошивке и поблагодарили разработчиков за патчи в основную ветку Android Open Source Project. * — Google не включает в этот список приложения с форумов энтузиастов, которые прямо уведомляют пользователя о том, что их устройство будет проэксплуатировано для получения прав суперпользователя. Google такие приложения не допускает в свой магазин, но признает, что среди энтузиастов спрос на такие приложения существует.
Теги:
Безопасность, Google, Android, антивирусы.
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.
|
|
