2019/11/29 17:07:21

Безопасность Android

Это статья об уязвимостях и вопросах безопасности в операционной системе Android.
Главные факты об ОС в основной статье: Android.

Содержание

Нужен ли антивирус для Android?

При выборе мобильного устройства необходимо учитывать множество факторов: цена, функциональность, надежность и т.д. – все эти характеристики помогают вам оценить, насколько данное устройство подходит именно вам. Если речь идет про функционал, то необходимо также оценивать и мобильную безопасность. Операционные системы Apple работают в закрытой системе: исходный код не предоставляется разработчикам приложений, а собственники устройств iOS не способны самостоятельно изменить код, что делает такие устройства более безопасными[1].

С другой стороны, устройства с Android рассматриваются как менее безопасные устройства, потому что они работают на системе с открытым кодом. Это означает, что владелец устройства может серьезно «поиграть» с настройками системы, чтобы настроить их как захочется. Этот код также открыт и для разработчиков приложений. К сожалению, такой подход может стать слабой стороной в устройстве и сделать его более открытым для вредоносного ПО.

Вредоносные программы устанавливают на ваше устройство нежелательный программный код (программы, приложения) для вредоносных целей. Такими целями могут быть относительно безобидные (вызвать ваше раздражение), а могут быть и весьма экстремальными (доступ к конфиденциальной информации для ее кражи и использования против вас).

Могут ли телефоны с Android заражаться вирусами?

Традиционные «вирусы» распространены среди ПК и они представляют собой программу, которая распространяется за счет «прикрепления» к другой программе (чаще вполне легитимной). Устройства с Android не получают такие традиционные вирусы, однако могут «подхватить» другие вредоносные программы: например, программы, которые разработаны для скрытого контроля над устройством или даже кражи с него конфиденциальной информации.

Примером такой вредоносной программы для Android является Triout. Triout впервые был обнаружен в августе 2018 года в комплекте с легитимным приложением на Google Play. Эта вредоносная программа могла прятаться в вашем Android и записывать телефонные звонки, сохранять текстовые сообщения, записывать видео, делать фотографии и собирать информацию о вашем местоположении. Хотя эта первая версия программы была активна только в период с мая по декабрь 2018 года, в настоящее время обнаруживаются ее новые вариации.

Встроенные функции безопасности в Android

Хотя Android известен тем, что он менее безопасен, все же разработчики операционной системы встроили в ее состав ряд функций безопасности для предотвращения вирусов и вредоносных программ.

Права для приложений

Также существует функция прав для приложений, расположенная в меню Приложения, которое позволяет вам видеть, какие приложения имеют права доступа к функциям вашего телефона. Здесь вы можете контролировать, какие приложения имеют контроль над вашим микрофоном, камерой, местоположением и конфиденциальной информацией.

Обновления ПО и безопасности

Android предлагает новые обновления безопасности и ПО для устройств с Android как через сайт, так и через встроенную функцию в операционной системе.

Безопасный просмотр сайтов

Устройства с Android имеют режим `безопасного просмотра сайтов`, который встроен в операционную систему и включен по умолчанию. При использовании Google Chrome данная функция будет выдавать вам предупреждения перед тем, как откроет подозрительный сайт. Пока ваши Chrome и Android обновлены до самой последней версии, данная функция будет работать так, чтобы защитить вас от вредоносных сайтов.

Как вы используете ваш Android?

Хотя Android и имеет все эти базовые функции безопасности, но их может быть недостаточно в зависимости от того, как вы используете ваше устройство. В этом случае вам лучше использовать антивирус для Android.

Скачивание приложений

Преимуществом операционной системы с открытым кодом является то, что вы получаете доступ к огромному разнообразию приложений. Но хотя Google Play пытается тщательно проверять все приложения, тем не менее, достаточно часто опасные приложения ускользают от их контроля. В 2017 году Google удалил 700 000 вредоносных приложений из своего магазина Google Play. Установка антивируса для Android предоставит вам дополнительный уровень защиты и позволит ограничить доступ к этим опасным приложениям.

Администрирование своего телефона

Существует много людей, которым нравится иметь возможность глубокого администрирования и управления своим телефоном, т.к. это преимущество дает им определенную свободу. Однако с такой свободой значительно снижается уровень безопасности, при этом появляются другие угрозы. Чтобы противодействовать этому, очень полезно добавить антивирусное приложение, которое будет проверять ваш Android на угрозы.

Использование телефона для работы

Вы используете свой телефон для работы? Если это так, то на нем, возможно, хранится много конфиденциальной информации (пароли, банковские данные), потеря которых может дорого вам стоить. Именно по этой причине, скорее всего, вам потребуется дополнительный уровень безопасности, который способен предоставить вам антивирус для Android.

Потеря или кража устройства

Вы боитесь потерять устройство? Если вы не хотите, чтобы оно попало в чужие руки вместе со всей вашей информацией, вам есть смысл установить антивирус для Android, который сможет обнаруживать ваше устройство и удаленно стирать на нем любую конфиденциальную информацию.

Функции антивируса для Android

Антивирус для Android восполнит недостатки вашей операционной системы Android с точки зрения безопасности. Будь то защита или производительность, которые вас интересуют, или вам требуются функции конфиденциальности и анти-вора, антивирус способен облегчить решение данных проблем.

Вот некоторые функции, включенные в состав антивируса для Android:

  • Антивирусная защита в реальном времени
  • Проверка на вирусы и угрозы по запросу
  • Сканирование SD-карты
  • Оптимизация производительности устройства
  • Оптимизация потребления батареи
  • Проверка прав доступа для установленных приложений
  • Удаленная очистка конфиденциальных данных
  • Обнаружение и удаленная блокировка устройства

2019

Новый Android-вирус затерроризировал российские банки

В конце ноября 2019 год стало известно об атаке нового вируса на российские банки. Этот троян способен автоматически переводить средства через банковские мобильные приложения для операционной системы Android, сообщили эксперты Group-IB.

Прежде многие вирусы для Android выводили поддельные окна, через которых происходили платежи за товар или услугу. Эти же трояны сообщали злоумышленникам цифры кодов, направляемые банками клиентам для подтверждения операции.

Стало известно об атаке нового вируса на российские банки
Стало известно об атаке нового вируса на российские банки

С появлением нового вируса для хищения денег владельцу смартфона даже не надо что-то оплачивать через мобильное приложение.

Вредоносный элемент проникает в банковские программы на зараженном устройстве, захватывает мобильное приложение и автоматически переводит средства жертвы на счет, указанный злоумышленником. Такой механизм эксперты называют «автозаливом».

Мошенники маскируют вирусы под приложения (игры, браузеры) или файлы, потом распространяют их в виде ссылки на сайтах для взрослых, сайтах со взломанными приложениями и пиратскими фильмами, торрент-трекерах, по электронной почте и смс. Смартфон заражается, когда пользователь скачивает предложенные ему файл или приложение.

Как пишет РБК, по крайней мере два крупнейших банка — Почта Банка и МКБ — в России столкнулись с таким вирусом.

Появление нового вида троянов подтвердили в «Лаборатории Касперского». Однако случаи, когда он управлял банковским приложением, заставляя его провести платеж, единичны, утверждает антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев.

Согласно расчётам Group-IB, в период с июля 2018 года по июнь 2019-го хакерам удалось украсть порядка 110 млн рублей при помощи Android-трянов, что на 43% меньше, чем годом ранее. Каждый день происходит около 40 успешных атак, а средняя сумма ущерба от них составляет 11 тыс. рублей.[2]

Уязвимость, позволяющая управлять приложением «Камера»

19 ноября 2019 года стало известно, что руководитель отдела исследований безопасности компании Checkmarx Эрез Ялон (Erez Yalon) обнаружил в мобильных устройствах Google и Samsung ряд уязвимостей, объединенных под одним идентификатором CVE-2019-2234.

В ходе исследования безопасности камер в устройствах Google Pixel 2 XL и Pixel 3 команда специалистов Checkmarx обнаружила уязвимости в приложении «Камера» от Google, позволившие им управлять некоторыми функциями, не получив соответствующего разрешения.

В целом, CVE-2019-2234 позволяет любому приложению без соответствующего разрешения управлять приложением «Камера», в том числе снимать фото и видео, даже если устройство заблокировано, экран выключен, а пользователь разговаривает по телефону. По словам специалистов, помимо Google, проблема затрагивает и других производителей Android-устройств, в том числе Samsung.

Google ограничивает доступ приложений к чувствительным функциям, таким как камера, микрофон и геолокационные сервисы. Для получения доступа к ним требуется сначала получить соответствующее разрешение. Тем не менее, обнаруженная исследователями уязвимость позволяет обойти эти ограничения.

Приложение «Камера» в ОС Android обычно сохраняет фотографии на SD-картах, поэтому для доступа к ним другие приложения запрашивают доступ к SD-карте.

«
К сожалению, это разрешение имеет широкий спектр действия и предоставляет доступ к SD-карте в целом. Существует целый ряд легитимных приложений, запрашивающих доступ к хранилищу, хотя для работы им не требуются изображения и видео. По факту, это одно из самых запрашиваемых разрешений, - сообщили исследователи.
»

Именно это разрешение специалисты решили использовать в качестве вектора атаки. Как оказалось, если вредоносному приложению предоставить доступ к SD-карте, то оно не только получит доступ к фотографиям и видео, но благодаря уязвимости также заставит фото-приложение снимать новые фотографии и видео.

«
Мы могли легко записывать голос как пользователя во время разговора, так и голос звонящего. Это нежелательная активность, поскольку приложение Google «Камера» не должно полностью контролироваться внешним приложением, - отметили исследователи.
»

Исследователи уведомили Google о проблеме в июле 2019 года. Сначала компания сочла уязвимость средней опасности, но затем признала ее высоко опасной, зарегистрировала CVE и выпустила исправление[3].

Уязвимость NFC в Android версий 7, 8 и 9

25 октября 2019 года стало известно, что команда исследователей из Checkmarx Security Research обнаружили уязвимость, затрагивающую ОС Android версий 7, 8 и 9. Уязвимость содержится в предустановленном приложении Tags, предназначенном для считывания тегов Near Field Communication (NFC), анализа и отправки результатов соответствующим приложениям.

Уязвимость (CVE-2019-9295) позволяет любому неавторизованному приложению обманывать Tags для имитации тега NFC, что может быть использовано злоумышленниками в рамках атак. Для эксплуатации уязвимости необходимо также взаимодействие с пользователем.

Специалисты описали несколько сценариев атаки. Первый предполагает реализацию всплывающего окна, побуждающего пользователя просканировать NFC тег (сгенерированный вредоносным приложением). Пользователю потребуется взаимодействовать с данным окном для выбора соответствующего приложения. Когда пользователь попытается прочитать тег NFC, вредоносное приложение считает его, изменит содержимое и затем вызовет средство просмотра тегов Android по умолчанию, при этом пользователь ничего не заподозрит.

Во втором сценарии пользователь сканирует настоящее приложение, что позволит вредоносной программе перехватить и изменить содержимое тега до его обработки соответствующим приложением операционной системы. К примеру, в процессе сканирования пользователем ярлыка компании с номером телефона, неавторизованное приложение может изменить данный номер, не вызывая подозрений жертвы.

Оба сценария требуют перехода пользователя по ссылке, переадресовывающей на подконтрольную злоумышленникам страницу с неправильным номером или другими данными, которые могут быть встроены в NFC-теги.

Компания Google исправила данную проблему в Android 10, однако предыдущие версии ОС все еще остаются уязвимыми. Пользователям настоятельно рекомендуется обновиться до последней версии ОС[4].

Уязвимость в Android позволяет "захватывать устройства" Huawei, Xiaomi, Samsung и Oppo

8 октября 2019 года стало известно, что эксперты Google Threat Analysis Group объявили об обнаружении уязвимости нулевого дня в операционной системе Android. Уязвимость CVE-2019-2215 угрожает пользователям устройств Google Pixel, а также смартфонов и планшетов на базе Android, разработанных Huawei, Xiaomi, Samsung, Oppo, Moto и Oreo.

Проблема вызвана наличием ошибки use-after-free (использование области памяти после освобождения) в драйвере фреймворка межпроцессного взаимодействия Binder. Эта уязвимость может эксплуатироваться удалённо и в теории позволяет злоумышленникам повышать свои привилегии в локальной системе на уровне ядра. В конечном счёте, «баг» позволяет удалённо «рутовать» (получать права суперпользователя) устройство. Уязвимость CVE-2019-2215 может эксплуатироваться двумя способами: либо через специально подготовленное вредоносное приложение, либо через онлайновые атаки. Во втором случае злоумышленникам потребуется спаривать эксплойт к этой уязвимости с ещё одним, направленным на уязвимость в коде браузера Chrome.

Уязвимость в Android позволяет "захватывать устройства" Huawei, Xiaomi, Samsung и Oppo

По утверждению эксперта Threat Analysis Group Мэдди Стоун (Maddie Stone), уязвимость затрагивает «большинство устройств под Android выпущенных до осени 2018 года», и один и тот же эксплойт сработает на всех устройствах с минимальной «адаптацией» под разные модели или вовсе без таковой.

Стоун также отметила, что у неё есть «техническая информация» о том, что уязвимость использовалась NSO Group или кем-то из её клиентов. NSO — это израильская фирма, занимающаяся поиском уязвимостей в мобильных операционных системах и созданием и продажей эксплойтов к ним. NSO, однако, утверждает, что никакого отношения к эксплуатации данной уязвимости не имеет.

В CNews отметили, что тот же самый «баг» был обнаружен и исправлен в декабре 2017 года в ядре 4.14 LTS Linux (без присвоения индекса CVE) и в ядре Android версий 3.18, 4.4 и 4.9. Однако затем уязвимость каким-то образом снова появилась в Android.

«
«Интересно, что несмотря на очевидную угрозу, которую представляет данная уязвимость, ей присвоен статус High Severity («высокая степень серьёзности»), но не Critical, хотя речь идёт о возможности удалённого захвата контроля над устройством без особых усилий. Также обращает на себя внимание факт повторного появления уже исправленной уязвимости»,

отметила Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services
»

На октябрь 2019 года подтверждено наличие уязвимости в следующих устройствах: Google Pixel 1, Pixel 1 XL, Pixel 2, Pixel 2 XL на базе Android 9 и Android 10 Preview; Samsung S7-S9; Huawei P20; Xiaomi A1, Redmi 5A и Redmi Note 5; Oppo A3; Moto Z3; также уязвимы смартфоны серии Oreo LG.

Ввиду того, что уязвимость активно эксплуатируется, эксперты Google опубликовали сведения о «баге» всего через неделю после обнаружения.

Устройства Google Pixel получат патчи в октябрьском кумулятивном обновлении для Android. Когда то же самое случится с другими устройствами, зависит от их производителей.[5]

Банковский ботнет Geost инфицировал 800 тыс. Android-устройств в РФ

3 октября 2019 года стало известно, что исследователи из Чешского технического университета, Национального университета Куйо (Аргентина) и компании Avast обнаружили один из банковских ботнетов, получивший название Geost. Жертвами вредоносной кампании стали по меньшей мере 800 тыс. владельцев Android-устройств в РФ, в частности злоумышленники получили доступ к их банковским счетам, на которых в общей сложности хранилось несколько миллионов евро. Подробнее здесь.

Множественные уязвимости в VoIP-компонентах

2 октября 2019 года стало известно, что команда специалистов компании OPPO ZIWU Cyber Security Lab, Китайского университета Гонконга и Сингапурского университета управления обнаружили множественные уязвимости в компонентах VoIP операционной системы Android. Проблемы с безопасностью были выявлены в ходе исследования (до недавнего времени проводились тестирования только VoIP-оборудования, серверов и мобильных приложений, но не VoIP-компонентов Android).

10 уязвимостей в VoIP-компонентах

В течение нескольких лет команда специалистов разработала три метода анализа VoIP-бэкендов Android и с их помощью искала уязвимости, которые могут эксплуатироваться в кибератаках. Чаще всего исследователи использовала фаззинг – технику тестирования ПО, предполагающую передачу приложению неправильных, неожиданных или случайных входных данных.

В ходе тестирования исследователи проанализировали только последние версии Android, начиная от Android 7.0 (Nougat) и заканчивая Android 9.0 (Pie). В общей сложности они обнаружили девять уязвимостей, о которых сразу же уведомили Google (некоторые уязвимости затем были исправлены). Восемь проблем затрагивали непосредственно VoIP-бэкенд Android, а девятая касалась стороннего приложения.

Уязвимости позволяют осуществлять неавторизованные VoIP-звонки, подделывать идентификатор звонящего пользователя, отклонять входящие звонки и даже выполнять на устройстве пользователя вредоносный код[6].

Уязвимости, позволяющие взламывать Android по беспроводной сети

6 августа 2019 года стало известно, что исследователи безопасности из группы Tencent Blade обнаружили в прошивке WLAN системы на кристале Snapdragon от Qualcomm две опасные уязвимости, эксплуатация которых может позволить злоумышленнику взломать модем и ядро Android по беспроводной сети. Подробнее здесь.

Исправление 33 уязвимостей

2 июля 2019 года стало известно, что в рамках июльских плановых обновлений безопасности для Android компания Google исправила 33 уязвимости. Патчи уровней 2019-07-01 и 2019-07-05 исправляют уязвимости в системе Android, фреймворке, библиотеке, медиа-фреймворке и компонентах Qualcomm, в том числе с закрытым исходным кодом.

«
Бюллетень имеет два уровня патчей, что обеспечивает партнерам Android большую маневренность для быстрого исправления групп уязвимостей, одинаковых на всех Android-устройствах, - говорится в бюллетене безопасности.
»

Четыре исправленные уязвимости являются критическими и позволяют удаленно выполнить код. Наиболее опасная уязвимость была исправлена в медиа-фреймворке. С ее помощью злоумышленник может удаленно выполнить произвольный код в контексте привилегированного процесса, используя особым образом сконфигурированный файл.

Критические уязвимости CVE-2019-2106 и CVE-2019-2107 затрагивают все версии ОС, начиная от Android 7.0. CVE-2019-2109 затрагивает все версии, начиная от Android 7.0, за исключением Android 9. Уязвимости CVE-2019-2111 подвержены только устройства под управлением Android 9.

Остальные проблемы либо связаны с повышением привилегий и раскрытием информации, либо не были классифицированы. Свидетельств их эксплуатации в реальных атаках не обнаружено. Партнеры Android были уведомлены об уязвимостях по крайней мере за месяц до раскрытия их широкой общественности[7].

Раскрыта мошенническая схема, из-за которой быстро разряжаются миллионы Android-смартфонов

В марте 2019 года была раскрыта гигантская схема мошенничества, при которой в приложениях для Android запускалась скрытая видеореклама. Из-за нее устройства быстро разряжались и происходила передача персональных данных.

Мошенники пользовались сервисами, оплачивающими просмотр рекламы, и делали так, что пользователи якобы запускали видеообъявления, которые на самом деле были не видны владельцам устройств. Для реализации аферы злоумышленники задействовали популярные приложения, которые скачивают миллионы пользователей.

Основная статья: Мошенничество в рекламе

Positive Technologies обнаружила опасную многолетнюю уязвимость в Android 7.0, 8.0, 9.0

21 марта 2019 года Positive Technologies сообщил, что его эксперт - Сергей Тошин выявил критически опасную уязвимость в актуальных версиях операционной системы Google Android (7.0, 8.0, 9.0) и ее более ранних редакциях. Ошибка обнаружена в компоненте WebView. Она позволяет получать доступ к конфиденциальным данным пользователей Android через установленное вредоносное приложение или приложение с мгновенным запуском (Android instant apps).

Специалисты Google оценивают уровень опасности данной уязвимости (CVE-2019-5765) как высокий.

«
Компонент WebView используется в большинстве мобильных приложений Android, поэтому атаки на него крайне опасны. Самый очевидный сценарий атаки связан с малоизвестными сторонними приложениями. Злоумышленник может добавить в них вредоносную функциональность для считывания информации из WebView других приложений, что позволит ему перехватывать историю браузера, аутентификационные токены и заголовки (которые являются довольно распространенным способом аутентификации) и другие данные. Начиная с Android 7.0, компонент WebView реализован через Google Chrome, поэтому для исправления уязвимости надо просто обновить этот браузер. На более старых версиях Android придется актуализировать компонент WebView через систему обновления Google Play. Пользователям оборудования, на котором отсутствуют сервисы Google, нужно дождаться обновления WebView от поставщика устройства.
Сергей Тошин, специалист группы исследований безопасности мобильных приложений Positive Technologies
»

WebView — компонент платформы Android, который дает возможность отображать веб-страницы внутри Android-приложения. Проблема обнаружена в движке Chromium, на котором построен WebView, начиная с Android 4.4. Уязвимость также угрожает пользователям мобильных браузеров на базе Chromium, таких как Google Chrome, Samsung Internet, Яндекс.Браузер.

Технология instant apps позволяет просмотреть приложение на устройстве без установки: на устройство пользователя скачивается только небольшой файл после перехода по ссылке в браузере. При атаке через instant apps перехват данных возможен, если пользователь нажмет на ссылку с вредоносным мгновенным приложением.

Уязвимость позволяла вредоносному PNG-изображению выполнить на устройстве произвольный код

7 февраля 2019 года появилась информация о том, что в Android были исправлены три опасные уязвимости, однако неизвестно, когда патчи дойдут до конечных пользователей — далеко не все производители Android-устройств выпускают обновления каждый месяц.

В связи с этим пользователям Android-устройств следует соблюдать большую осторожность при открытии графических файлов, загруженных из интернета или полученных в сообщении. Открыв безобидную на первый взгляд картинку, пользователь рискует подвергнуть свой смартфон угрозе взлома.

Причиной угрозы являются три обнаруженные недавно уязвимости, затрагивающие версии Android от 7.0 Nougat до 9.0 Pie. Google пока не раскрывает никаких технических подробностей о них, однако в обновлениях упоминается исправление переполнения буфера, ошибок в SkPngCodec и ряда проблем с компонентами для рендеринга PNG-изображений.

Согласно уведомлению безопасности от Google, самая опасная из трех уязвимостей позволяет особым образом сконфигурированному вредоносному PNG-изображению выполнить на устройстве произвольный код.

«
Наиболее опасной является критическая уязвимость в Framework, позволяющая удаленному атакующему с помощью особым образом сконфигурированного файла PNG выполнить произвольный код в контексте привилегированного процесса, — сообщается в уведомлении безопасности.
»

Для эксплуатации уязвимости злоумышленнику достаточно заставить жертву открыть вредоносное PNG-изображение, которое невооруженным взглядом невозможно отличить от безобидного. Изображение может быть отправлено жертве в мессенджере или по электронной почте.

CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988 были исправлены в Android Open Source Project (AOSP) с выходом плановых февральских обновлений безопасности.[8].

2018: Брешь в песочнице Android

14 августа 2018 года стало известно, что исследователи Check Point Software Technologies Ltd. обнаружили брешь в песочнице Android — защищенной области хранения данных на устройствах Android. Ее функция — не позволять вредоносным приложениям воздействовать на другие приложения, а также наносить вред самой ОС.

Некоторые приложения хранят данные не в песочнице Android, а во внешнем хранилище (либо в разделе на устройстве, либо на внешней SD-карте), что создает потенциальную опасность для пользователя. Злоумышленники могут атаковать устройства, автоматически загружая неизвестные вредоносные приложения, проводить атаки типа «отказ в обслуживании» для легитимных приложений и даже вызвать сбои в их работе, а также атаки типа «внедрение кода», которые затем могут запускаться в привилегированном контексте атакуемого приложения.

Уязвимость работает следующим образом:

  1. Внешнее хранилище устройства Android является общедоступной областью, которая может быть обнаружена или изменена сторонним (вредоносным) приложением.
  2. Android не предоставляет встроенных средств защиты для данных, хранящихся во внешнем хранилище. Он предлагает только рекомендации для разработчиков, как должным образом использовать этот ресурс.
  3. Не все разработчики понимают важность средств безопасности и разбираются в потенциальных рисках, а также не всегда следуют рекомендациям.
  4. Многие предустановленные и популярные приложения игнорируют рекомендации Android и хранят конфиденциальные данные в незащищенном внешнем хранилище.
  5. Это может привести к атаке «Man-in-the-Disk», которая может привести к манипулированию и/или злоупотреблению незащищенными конфиденциальными данными.
  6. Изменение данных может привести к нежелательным результатам на устройстве пользователя.

2017

Слежка за пользователями даже при выключении геолокации и отсутствии SIM-карты

Устройства под управлением ОС Android собирают сведения о местонахождении пользователей и отправляют их в компанию Google, даже если на них выключены все геолокационные сервисы, не запущено ни одно приложение или отсутствует SIM-карта. Данные отправляются в Google каждый раз, как аппарат подключается к интернету. К такому выводу в ноябре 2017 г. пришло в ходе собственного расследования издание Quartz[9].

С начала 2017 г. Android-смартфоны стали запоминать адреса расположенных поблизости сотовых вышек, даже если геолокационные сервисы на устройствах отключены пользователем, и отправлять эти данные в Google, выяснило издание. Таким образом, компания стала получать данные, которые по своему составу выходят за рамки представлений пользователей о защите их конфиденциальности. Отключить это пользователь не может. По данным Quartz, изменения были внесены в сервис Firebase Cloud Messaging, который по умолчанию присутствует на всех Android-устройствах.

Проведенный изданием эксперимент показал, что даже сброс настроек до заводских, подразумевающий удаление всех установленных приложений, не помогает — смартфон продолжает отсылать в Google адреса ближайших вышек, по мере того как переходит от одной к другой. Если в телефон не вставлена SIM-карта, он отправляет данные, когда ловит Wi-Fi.

Google подтвердила Quartz, что прибегает к такой практике уже 11 месяцев. Адреса вышек передаются в систему, которая отсылает на смартфоны пуш-уведомления и сообщения. Эта система работает отдельно от обычных геолокационные сервисов. Компания уверяет, что эти данные не хранятся и никак не используются. После контакта с Quartz руководство Google приняло решение свернуть эту практику. Уже к концу ноября Android перестанет собирать адреса вышек и передавать их в компанию — по крайней мере, таким способом, при котором пользователь не может это отключить.

Технически новая практика выражается в том, что Android начал отслеживать Cell ID — идентификатор, который присваивается оператором каждому сектору базовой станции. Однако Google уверяет, что Cell ID так и не был встроен в сетевую систему синхронизации, поэтому собранные данные сразу удалялись. После обновления система перестанет запрашивать идентификатор.

Компания сообщает, что сбор Cell ID проводился для улучшения доставки сообщений. В свою очередь, Quartz пишет, что не совсем понятно, каким образом это могло ее улучшить. Издание отмечает, что используя адреса не одной, а сразу нескольких вышек, местоположение пользователя можно определить с точностью до радиуса в 400 метров, а в городских условиях — еще более точно, поскольку вышки расположены недалеко друг от друга.

Политика конфиденциальности Google предусматривает сбор данных о местонахождении пользователя, однако не уточняет, что сбор данных продолжается даже после отключения геолокационных сервисов.

Все версии Android, кроме Oreo, позволяют захватить контроль над устройством

В начале сентября 2017 года во всех версиях мобильной ОС Android, кроме Oreo (8.0), обнаружена серьезная уязвимость, позволяющая захватывать полный контроль над устройством с помощью модифицированных всплывающих уведомлений. В случае успешной атаки злоумышленники могут устанавливать на смартфон произвольные программы или выводить его из строя.[10]

Суть атаки

Уязвимость выявлена исследователями Palo Alto Networks. Согласно описанию экспертов, атака представляет собой разновидность атаки «Плащ и кинжал», которую описали весной 2017 года специалисты Калифорнийского университета в Санта-Барбаре и Технологического института Джорджии.

Суть атаки заключается в том, что вредоносное приложение выводит поверх всех окон свое собственное, скрывающее реальные уведомления от операционной системы. Таким образом, в результате атаки пользователь увидит поддельное окно с ни к чему не обязывающей фразой, однако, нажав на кнопку «Ок» в интерфейсе, он неосознанно согласится на установку вредоносной программы, предоставив ей при этом права администратора.

Особенности атаки

В публикации экспертов Калифорнийского университета и Технологического института Джорджии указывалось, что у вредоносных программ, пытающихся произвести подобные атаки, есть два серьезных препятствия: они должны получить однозначное разрешение на использование функции draw on top (как раз и позволяющей приложению выводить свои окна поверх остальных), а это доступно только приложениям из Google Play.

Эксперты Palo Alto Networks в свою очередь обнаружили, что системные всплывающие уведомления Android (так называемые Toast) можно использовать для проведения атак, аналогичных «Плащу и кинжалу»: эти уведомления всплывают поверх всех окон, не требуют специальных разрешений от пользователей, при этом их можно модифицировать так, чтобы они закрывали весь дисплей устройства, превращая их в функциональный эквивалент обычных окон приложений.

Патчи

Как отмечается, патчи, закрывающие уязвимость, уже распространяются. Эксперты Palo Alto настоятельно рекомендуют не устанавливать приложения откуда-либо, кроме Google Play.

Google закрыла 12 критических уязвимостей в Android

Компания Google в начале августа выпустила плановое обновление безопасности Android, устраняющее в общей сложности 51 проблему в компонентах MediaServer, AudioServer, CameraServer, различных библиотеках и пр. Согласно описанию, из общего числа устраненных уязвимостей 12 оказались критическими. [11]

В частности, были закрыты 10 критических уязвимостей в компоненте Media Framework (библиотеки мультимедиа), одна уязвимость в библиотеке (CVE-2017-0713) и еще одна проблема (CVE-2017-0740) в компонентах Broadcom. Уязвимости в Media Framework позволяли удаленно выполнить произвольный код в контексте привилегированного процесса с помощью отправки специально сформированного файла. Проэксплуатировав две последние проблемы, злоумышленник мог удаленно выполнить код в контексте непривилегированного процесса.

В числе прочих исправленных проблем: 16 уязвимостей в компоненте Media Framework, позволявших вызвать отказ в обслуживании, повысить привилегии и раскрыть данные; 5 уязвимостей повышения привилегий в ядре ОС, 2 уязвимости повышения привилегий в компонентах MediaTek, а также 6 уязвимостей, позволявших повысить права и раскрыть данные в компонентах Qualcomm.

Play Protect — защитная функция для Android

В конце июля 2017 года стало известно о том, что компания Google решила повысить общий уровень безопасности мобильной платформы Android, добавив новый экран Play Protect на все Android-устройства, которые используют Google Mobile Services 11 или новее. Найти новый инструмент можно в меню настроек (раздел Google, вкладка «Безопасность», пункт «Проверка приложений»). Согласно планам компании, вскоре сервис появится в Google Play и заменит функцию Google Verify Apps.[12]

Защитная функция потребуется для проверки приложений на проблемы с безопасностью и наличие вредоносного кода. В отдельных списках приложений также будет добавлен значок «Проверено с помощью Google Play Protect». Опция безопасной работы в интернете предупредит пользователя, когда он попытается перейти на подозрительный сайт в браузере Chrome.

Проверка приложений осуществляется в автоматическом режиме. Пользователь будет получать уведомления обо всех обнаруженных рисках. Кроме этого, Google переместила в Play Protect сервис «Найти устройство», с помощью которого можно определить местоположение устройства, заблокировать, позвонить на него или удалить с него все данные.

Рост вредоносов на Android

2016: Рост числа уязвимостей - 158%

2 декабря 2016 года Quick Heal Technologies сообщила о росте количества уязвимостей в платформе Android на 158%. Отчет компании отражает сведения за третий квартал 2016 года по сравнению с показателем предыдущего года.

По мнению экспертов компании, в 2017 году возрастет число кибератак с использованием вымогательского и вредоносного банковского ПО.

Android, (2015)
Android, (2015)

Согласно данным исследования, за последние три месяца число вымогателей для мобильных платформ выросло на 33% по сравнению с показателем второй четверти 2016 года. Эксперты зафиксировали незначительное снижение активности потенциально нежелательного ПО и рекламного ПО на 3% и 12% соответственно. В третьем квартале 2016 года на 25% возросло число мобильных банковских троянов. По сравнению с 2015 годом количество вредоносного банковского ПО, предназначенного для атак на мобильные платформы, увеличилось на 76%[13].

Исследователи отметили расширение сферы охвата атак киберпреступниками за счет применения вредоносного рекламного ПО. Если ранее злоумышленники ограничивались показом нежелательной рекламы, теперь их основная цель хищение информации.

Согласно прогнозам, в 2017 году возрастет число кибератак с использованием вымогательского и вредоносного банковского ПО.

«
Злоумышленники продолжат атаковать владельцев устройств на базе Android и Windows, а также компании (особенно финансовые организации), которые используют данные платформы для ежедневных бизнес-операций.

Санжей Каткар (Sanjay Katkar), управляющий директор Quick Heal Technologies
»

2015

Как сломать систему блокировки Android

В сентябре 2015 года исследователи задались вопросом: если один из самых разыскиваемых кибер-преступников в США использовал имя своего кота в качестве своего пароля, а исследование Google показало, что типичные вопросы безопасности, такие как `Ваше любимое блюдо?` были практически бесполезны, что следует нам ожидать от системы разблокировки, которая защищает наш смартфон от несанкционированного доступа? Конечно, не очень многого…

Подобно очевидным паролям и ответам, картинки, которые мы рисуем на экране для разблокировки нашего смартфона, как правило, легко угадать. Это было продемонстрировано Мартой Логе[14], исследователем из Норвежского Университета науки и технологий, в ее исследовании, которое она представила на конференции PasswordsCon в Лас-Вегасе в сентябре 2015 года.

Проанализировав примерно 4000 реальных пользовательских комбинаций, эксперт обнаружила набор нецелесообразных вариантов, которые повторялись очень часто. Прежде всего, при выборе блокирующего рисунка можно соединить до 9 точек (сетка 3*3), но большинство пользователей предпочитает соединять значительно меньше точек.

Среднее используемое число точек – пять, в результате чего количество возможных комбинаций снижено до 9000. Однако, оказывается, большинство пользователей выбирает всего лишь соединения четырех точек (минимально допустимый вариант), а это означает, что диапазон комбинаций в этом случае ограничен всего лишь 1600, которых явно не хватает.

Это не единственная ошибка, которую мы делаем, т.к. 44% из нас начинают рисовать рисунок из верхнего левого угла экрана. Словно этого недостаточно, 77% рисунков начинаются в любом из четырех углов сетки. Зная, что рисунок соединяет всего четыре точки, и один из них должен быть в одном из углов, то в этом случае существенно снижается безопасность рисунка.

Кроме того, получается, что мы с большей вероятностью делаем рисунок слева направо и сверху вниз, а потому угадать такой рисунок становится еще проще.

Image:Как сломать систему блокировки Android 01.jpg

Существуют и другие важные факторы, которые нам необходимо учесть помимо количества соединяемых точек. Сложность последовательности точек также важна при выборе рисунка. Если мы используем числа от 1 до 9, то мы видим, что значительно сложнее угадать комбинацию `2, 1, 3, 6` нежели `1, 2, 3, 6`.

Хотя обе комбинации имеют всего 4 значения, но первая комбинация усложняет подбор за счет изменения в направлении (от 2 до 1 и от 1 до 3), в то время как более простой вариант показывает все ошибки, о которым мы говорили ранее: начало в верхнем левом углу экрана, движение слева направо и сверху вниз. Если для защиты своего мобильного устройства Вы используете примерно такие комбинации, то ее необходимо изменить как можно быстрее.

Image:Как сломать систему блокировки Android 02.jpg

Обычно говорят, что пользователь – это самое слабое звено в вопросах кибер-безопасности. Как сказала Логе на PasswordsCon, «человеческая сущность постижима», и, следовательно, он может действовать вполне угадываемо. На самом деле, «мы видим такие же комбинации в рисунках для разблокировки, как и в PIN-кодах или цифровых паролях», сказала Логе.

Возможность кражи данных через MMS-сообщение

28 июля 2015 года стало известно о об уязвимости Android-устройств, обнаруженной исследовательской компанией Zimperium, она назвала ее «...самой опасной за все время существования мобильной ОС Android»[15].

Согласно исследованию компании, каждый смартфон под управлением ОС Android может заразиться, получив MMS-сообщение. Джошуа Дрейк из Zimperium отметил, что смартфон может заразиться еще до того, как завершится проигрывание звука пришедшего сообщения - пользователь может просто не узнать о свершившемся событии[16]. На телефон придет сообщение с вредоносным кодом, который начнет немедленно воровать данные или передавать информацию с камеры и микрофона.

Hangouts, 2014

Ведущий инженер Google по безопасности Android Адриан Людвиг признал наличие уязвимости и высокий уровень ее опасности: хакеры могут задействовать функцию Hangouts для оптимизации просмотра полученного в сообщении видео. Злоумышленник может отправить на телефон пользователя видео со спрятанным вредоносным кодом и Hangouts заставит вредоносный код работать - Hangouts мгновенно обрабатывает все принятые видео и хакеры могут этим воспользоваться.

Однако, согласно сообщениям СМИ, на 28 июля 2015 года не отмечено случаев использования обнаруженной уязвимости, а команда Zimperium передала всю необходимую информацию в Google. Тем не менее, есть плохие новости:

  • во-первых, даже после того, как Google закроет уязвимость обновлением, оно, вероятно, не дойдет до более чем половины устройств;
  • во-вторых, даже если пользователь не использует Hangouts, это означает, что вредоносное ПО не будет запущено автоматически, однако оно все равно запустится, когда пользователь откроет полученное видео.

Как сообщили в СМИ, уязвимость появилась посредством багов в медиапроигрывателе Stagefright, встроенном в Android. Атаке могут подвергаться все телефоны с версией ОС выше 2.2. В зависимости от версии ОС разнится и уровень получаемого доступа - от полного контроля до доступа к фотографиям.

Zimperium передавала Google отчёты об уязвимостях с 9 апреля 2015 года, тогда вендор ответил обязательством включить патчи от в следующие обновления. После этого в Zimperium нашли ещё 6 багов. Google сообщила об информировании всех производителей смартфонов, и их обязанности - исправить уязвимости, но по информации Forbes по состоянию на 27 июля 2015 года, HTC, LG, Lenovo, Motorola, Samsung, Sony и сама Google не выпустили обновлений для своих устройств.

2012

В России инфицировано 18% устройств на платформе Android

В 2012 г. количество атак на мобильные устройства, работающие под ОС Android, увеличилось по сравнению с 2011 г. более чем вдвое. Годовой прирост вредоносного ПО для мобильных устройств составил 163%.

Исследователи производителя средств защиты NQ Mobile в 2012 г. обнаружили 65227 новых блоков кодов вредоносного ПО, ориентированного на мобильные платформы, тогда как в 2011 г. — всего 24794 блока. Среди этого «моря» хакерских продуктов 94,8% предназначены для атак на платформу Android, и только 4% — на открытую ОС Symbian. По данным NQ Mobile, в 2012 г. было инфицировано более 32,8 млн Android-устройств (для сравнения: в 2011 г. — только 10,8 млн), а рост за год составил 200%.

Первенство среди инфицированных устройств — у Китая, там заражено 25,5% от всего объема проданных в этой стране Android-устройств. На втором месте — Индия (19,4%), на третьем Россия (17,9%). За ними следуют США (9,8%) и Саудовская Аравия (9,6%). Данные NQ Mobile свидетельствуют, что средства защиты установили 53% американских пользователей Android-устройств.

По составу вредоносные коды в 2012 г. оказались не очень разнообразны: 65% представляли собой так называемые потенциально опасные программы (эксплойты, шпионское ПО, проникающая реклама и Трояны), 28% — программы-сборщики, извлекающие персональные данные, а 7% — коды, заставляющие устройство функционировать необычным образом.

Основным способом внедрения вредоносных кодов в 2012 г. стало App Repackaging (добавление строк кодов в легальные приложения и перегрузка приложения с кодом на сторонние сайты продаж), а также Smishing («обманки»), которые представляют собой псевдо-ссылки, вызывающие переключение управления ОС на загрузку приложения с вредоносными кодами или на опасный web-сайт. Еще один метод заражения — использование вредоносного URL-адреса, перенаправляющего браузер с подлинного сайта на его клон, чтобы извлечь персональные данные пользователя.

Причиной столь массового заражения Android-устройств исследователи считают несостоятельную с точки зрения защиты данных политику безопасности для хранилища Google Play, что сделало ее, по сути, открытой для хакеров и позволило им распространять вредоносные коды с помощью Android-приложений. В версии Android 4.2 (Jelly Bean) компания Google существенно уменьшила риски для этой платформы.

Однако картина, которую получила фирма NQ Mobile, выглядит для Android более устрашающе, чем аналогичное исследование, проведенное фирмой F-Secure, согласно которому только 79% вредоносных кодов для мобильных устройств ориентированы на эту ОС.

Android сравнялся с Windows по числу зловредов

Согласно отчетам Trend Micro, посвященным исследованиям тенденций киберугроз и безопасности мобильных устройств (Trend Micro 2012 Annual Roundup и Mobile Security), в 2012 г. круг целей хакеров существенно расширился и теперь включает не только ПК, но и устройства под управлением Android, социальные СМИ и даже платформы Mac OS X. В частности, менее чем за три последних года численность вредоносных программ только для Android сравнялась с количеством вредоносного ПО для Windows, созданного за 14 лет. Согласно прогнозам Trend Micro, число угроз для пользователей Android уже в 2013 году преодолеет отметку – 1 млн.

По оценкам Trend Micro, на конец 2012 года число угроз для платформы Android составило 350 тыс. За три года для ОС Android появилось такое же количество вредоносных программ, как для ПК за четырнадцать лет.

2012 год ознаменовался также тем, что хакеры сместили фокус своих атак с ОС Windows на Java и уязвимости в других системах. В частности, мы стали свидетелями первой широкомасштабной атаки на Mac OS.

Английский и русский занимают лидирующие позиции в списке 10 самых популярных языков спам-сообщений; Индия возглавляет мировой рейтинг «поставщиков спама».

Социальные сети привлекают повышенное внимание киберпреступников. Многие пользователи сами подвергают себя риску, проявляя излишнюю откровенность при общении в Интернете и размещая на своих страницах в социальных сетях информацию, которой могут воспользоваться злоумышленники.

2012 год ознаменовался рядом изощренных APT-атак, таких как Luckycat, Taidoor, IXESHE и др.

Вместо «выдумывания» новых атак злоумышленники начали осваивать профессиональные методы разработки программного обеспечения. Эксплойты Blackhole (BHEK), системы автоматического перевода денежных средств (ATS) и программы-вымогатели были усовершенствованы и снабжены новым функционалом с помощью технологий разработки, которыми гордился бы любой производитель коммерческого ПО . Рост числа угроз для мобильных систем и устройств — это ключевая тенденция эпохи пост-PC. За последние три года для платформы Android появилось столько же вредоносных программ, сколько было создано для ПК за 14 лет. Кроме того, лишь 20% пользователей устройств на базе Android используют приложения для обеспечения безопасности. По состоянию на конец 2012 г. число угроз для этой относительно новой мобильной платформы достигло 350 тысяч; согласно прогнозам Trend Micro, в 2013 г. число вредоносных приложений для Android может увеличиться до 1 млн.

2011

Смартфоны на Android отправляют координаты в Google каждый час

После публикации статьи о том, что IPhone и IPad записывают координаты мест, в которых побывали их владельцы, эксперты проявили повышенный интерес к подобного рода скрытым функциям смартфонов. По данным исследования, проведенного экспертом в сфере информационной безопасности Сэми Камаром (Samy Kamkar), подобного рода информацию также собирают смартфоны на базе Android и, более того, отправляют в Google. Устройства записывают MAC-адреса всех точек доступа Wi-Fi, которые попадают в радиус действия, уровень их сигнала и, что более важно, GPS-координаты устройств.

Как Google использует эти данные, Камар не поясняет, но сообщает, что запись данных осуществляется каждые несколько секунд, а отправка в Google - каждый час, с любого смартфона, работающего под управлением Android. На специальной странице эксперт предлагает ввести MAC-адрес любого роутера и узнать, где в мире он находится. Как пишет Reuters, данная информация, по всей видимости, необходима Google для работы LBS-приложений, таких как Google Maps и Latitude. В компании пока никак не прокомментировали данное сообщение. Между тем, автор блога Daring Fireball, известный журналист Джон Грубер (John Gruber), полагает, что сохранение информации, в каких местах находились пользователи устройств Apple, скорее всего, является программной ошибкой, так как Apple достаточно знать, где пользователь находится сейчас. Он полагает, что этот «баг» будет устранен в очередном обновлении IOS.

Ответ Google: To protect your privacy we would like you to know that Google Latitude is running on your mobile device and reporting your location. If you didn't enable this or want to stop reporting your location, please open Latitude privacy settings or sign out of Latitude. To learn more, visit the Latitude Help Center.

Количество вредоносного ПО для Android увеличилось на 400%

Аналитики Juniper Networks в мае 2011 года опубликовали результаты своего исследования, посвященного изучению потенциальных угроз для мобильных устройств. Согласно полученным данным, с лета 2010 года количество вредоносного ПО для Android увеличилось на 400%. Кроме того, сообщается, что за этот период мобильные устройства, принадлежащие как компаниям, так и частным лицам, подверглись рекордному числу угроз, в том числе и целевым атакам по сетям Wi-Fi.

Крайнее беспокойство вызывает обнаруженный в ходе исследования факт, что более всего распространению вредоносного ПО способствуют загружаемые на мобильные устройства приложения. Однако, несмотря на растущее число угроз для Android, большинство пользователей по-прежнему пренебрегают защитой и не считают нужным устанавливать на свой гаджет какой-либо антивирус.

Немецкие ученые из Ульмского университета провели исследование, в котором доказали уязвимость подавляющего большинства мобильных устройств на базе Android. Она связана с применением идентификационного протокола ClientLogin. При введении пользователем данных для идентификации на защищенных паролем сервисах, создается цифровой ключ (authToken), передаваемый в виде простого текстового файла, который может быть перехвачен. Благодаря этом злоумышленник может, например получить полный доступ к календарю, контактным данным, или частным веб-альбомам пользователей Google и просматривать, изменять или удалять любые контакты, события календаря, или частные фотографии, пояснили ученые. Кроме того, можно незаметно изменить адреса электронной почты начальника своей жертвы или деловых партнеров с целью перехватывания писем, содержащих важную или конфиденциальную бизнес-информацию. Поскольку период действия authToken длится до двух недель, в докладе отмечается, что злоумышленник может собирать их в больших масштабах, используя для этого небезопасные беспроводные точки доступа, расположенные в общественных местах. Исследователи призывают Google ограничить срок действия authToken, а также отказаться от использования небезопасных соединений для протокола ClientLogin. ***

Смотрите также

Примечания

  1. Нужен ли антивирус для Android?
  2. Российские банки обнаружили новый вирус для хищения денег
  3. Уязвимость в Android позволяет вредоносному ПО записывать видео
  4. Google не планирует исправлять уязвимость NFC в Android 7, 8 и 9
  5. В Android появилась «дыра», позволяющая удалённо «рутовать» смартфоны Huawei, Xiaomi, Samsung и Oppo
  6. В VoIP-компонентах Android обнаружены опасные уязвимости
  7. Google исправила в Android четыре критические уязвимости
  8. Android-смартфон можно взломать, заставив жертву открыть картинку
  9. Google ведет слежку за пользователями даже когда в смартфоне нет SIM-карты
  10. Все версии Android кроме последней позволяют полностью перехватить управление над смартфоном
  11. Google исправила 10 критических уязвимостей в Android
  12. Google выпустила встроенную защиту для Android
  13. В 2016 году число уязвимостей в платформе Android выросло на 158%
  14. Why the unblocking system of your Android isn’t secure and how you should change it
  15. Была обнаружена самая страшная уязвимость Android за все время существования ОС
  16. Experts Found a Unicorn in the Heart of Android