Вы используете устаревший браузер!

Страница может отображаться некорректно.

Туманность Андроида

Туманность Андроида

Другие выпуски этой рубрики (25)
  • добавить в избранное
    Добавить в закладки

Чем больше «андроидов», тем меньше безопасности

Прочитали: 17983 Комментариев: 78 Рейтинг: 301

8 июля 2016

#drweb

Это не таблица настройки телевизоров. Это – доли рынка различных устройств под управлением Android.

Экосистема Android фрагментирована – каждый из производителей, выпускающих устройства на основе этой ОС, модифицирует ее под свои задачи. В результате не существует единой операционной системы, и любая программа поддерживает не конкретные версии Android, а версии определенных производителей устройств.

Как, кстати, и экосистема Linux, где каждый может создать операционную систему на свой вкус. Удобно? Для пользователя, ориентирующегося на свой собственный комфорт — скорее всего, да. Для продвижения платформы – наверное, тоже.

А вот если говорить о безопасности и бизнес-удобстве — все не так радужно!

Уязвимости есть везде — и в операционных системах, и в приложениях к ним.

Linux и базирующийся на ней Android – НЕ ИСКЛЮЧЕНИЯ!

Компании-разработчики обязаны закрывать уязвимости – или закрываться сами.

Что есть выпуск патча (иными словами, заплатки) для закрытия уязвимости с точки зрения бизнес-процесса разработки? Это не просто создание некоего кода, устраняющего брешь. Это – еще и тестирование патча до релиза. Ведь его установка не только должна пройти успешно для «пропатченного» приложения. Заплатка не должна нанести вреда уже установленным программам сторонних производителей и работающим сервисам. А сколько их у пользователя и что это за приложения, разработчик патча точно не знает.

При этом любое тестирование – это время, а значит, и деньги. И, как бы цинично это ни звучало, но тестирование должно быть быстрым: ведь атаки через уязвимость, возможно, уже начались, а значит, страдает репутация разработчика, что может привести к отказу от использования его ПО, а следовательно – к падению доходов компании. Даже если эта компания — монополист.

Можно, конечно, обойтись и без тестирования, но для коммерческого продукта это приведет к недопустимому репутационному ущербу и к возможной потере клиентов — если при установке патча пользователями что-то пойдет не так.

#drweb

https://xakep.ru/2015/09/10/android-stats/

CVE-2014-8609 - уязвимость была обнаружена в сентябре 2014 года. О ней было сообщено в Android Security Team. Проблема была признана, а соответствующие исправления внесены в основную ветку разработки. Об уязвимости официально объявили в конце ноября 2014 года. Но... исправления уязвимости попали только в Android 5.0

Формально уязвимость CVE-2014-8609 уже закрыта, но если посмотреть на статистику использования Android (https://developer.android.com/intl/ru/about/dashboards/index.html?utm_source=ausdroid.net), то видно, что уязвимости подвержено без мелочи 100% устройств, и они останутся подвержены уязвимости еще долгое время.

http://samag.ru/archive/article/2865

Существует мнение, что фрагментация – это благо, так как злоумышленники не смогут заразить все устройства: их эксплойт (вредоносная программа, эксплуатирующая уязвимость) не сможет работать на каждом из них. Но, положа руку на сердце: станет ли вам легче от того, что ваш смартфон попал в ботнет, а соседский – нет?

Операционная система Linux фрагментирована не менее, чем Android. Является ли это препятствием для киберкриминала?

Ботнет из Linux-устройств разросся настолько, что может генерировать атаки с потоком более 150 Гбит/с, что многократно превышает запас прочности инфраструктуры среднестатистической компании. О начале подобных DDoS-атак сообщили исследователи из Akamai Technologies.

https://habrahabr.ru/company/ua-hosting/blog/268007/

https://habrahabr.ru/post/213973/

Ботнет, проводящий DDoS-атаки с помощью DNS- и SYN-флуда, формировался через уязвимые версии Apache Struts, Apache Tomcat и Elasticsearch.

https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/iptables-iptablex-linux-bots-botnet-cybersecurity-threat-advisory.pdf

Всего было выявлено около 420 тысяч подобных незащищенных устройств, на основе которых был создан ботнет, выполнявший в течение 10 месяцев задачи по распределенному сканированию сетевых портов. Так как для реализации проекта использовались незаконные методы, исследователи не раскрывают своих имен и действуют анонимно.

http://www.opennet.ru/opennews/art.shtml?num=36454

И еще одна проблема:

Google доставляет обновления только для пользователей собственных устройств Nexus. Патчи для других девайсов – на совести их производителей. Google сообщила, что полная информация об исправлениях была передана компаниям-партнерам (т. е. производителям других устройств – прим. автора выпуска) 7 декабря 2015 года, но когда именно они выпустят свои версии «заплаток», неизвестно.

https://xakep.ru/2016/01/06/android-critical-flaws/

#Android #мобильный #Google #патч #уязвимость

Антивирусная правДА! рекомендует

  • Если вы выбираете мобильное устройство с точки зрения безопасности, а не, например, дизайна, то ваш выбор стремится к лидерам рынка. В иных случаях вероятность того, что для вашего устройства будут выпущены патчи и что они действительно будут закрывать уязвимость, а также то, что производитель вашего устройства доставит их к вам, – увы, мала.
  • К сожалению, нельзя рассчитывать, что выбранное вами устройство будет поддерживаться бесконечно, – при создании сервисов разработчикам нужно закладываться либо на постоянное обновление устройств, либо на надежную их изоляцию с целью недопущения использования уязвимостей.
  • В связи с тем, что закрытие известных уязвимостей для Android-устройств не гарантировано, обязательным компонентом их защиты должен быть Аудитор безопасности (имеется в Dr.Web Security Space для Android). Его периодическое использование поможет вам принять необходимые меры для исключения проблем использования уязвимости, даже если она не закрыта.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: