Вы используете устаревший браузер!

Страница может отображаться некорректно.

Туманность Андроида

Туманность Андроида

Другие выпуски этой рубрики (21)
  • добавить в избранное
    Добавить в закладки

Чем больше «андроидов», тем меньше безопасности

Прочитали: 5629 Комментариев: 122 Рейтинг: 287

#drweb

Это не таблица настройки телевизоров. Это – доли рынка различных устройств под управлением Android.

Экосистема Android фрагментирована – каждый из производителей, выпускающих устройства на основе этой ОС, модифицирует ее под свои задачи. В результате не существует единой операционной системы, и любая программа поддерживает не конкретные версии Android, а версии определенных производителей устройств.

Как, кстати, и экосистема Linux, где каждый может создать операционную систему на свой вкус. Удобно? Для пользователя, ориентирующегося на свой собственный комфорт — скорее всего, да. Для продвижения платформы – наверное, тоже.

А вот если говорить о безопасности и бизнес-удобстве — все не так радужно!

Уязвимости есть везде — и в операционных системах, и в приложениях к ним.

Linux и базирующийся на ней Android – НЕ ИСКЛЮЧЕНИЯ!

Компании-разработчики обязаны закрывать уязвимости – или закрываться сами.

Что есть выпуск патча (иными словами, заплатки) для закрытия уязвимости с точки зрения бизнес-процесса разработки? Это не просто создание некоего кода, устраняющего брешь. Это – еще и тестирование патча до релиза. Ведь его установка не только должна пройти успешно для «пропатченного» приложения. Заплатка не должна нанести вреда уже установленным программам сторонних производителей и работающим сервисам. А сколько их у пользователя и что это за приложения, разработчик патча точно не знает.

При этом любое тестирование – это время, а значит, и деньги. И, как бы цинично это ни звучало, но тестирование должно быть быстрым: ведь атаки через уязвимость, возможно, уже начались, а значит, страдает репутация разработчика, что может привести к отказу от использования его ПО, а следовательно – к падению доходов компании. Даже если эта компания — монополист.

Можно, конечно, обойтись и без тестирования, но для коммерческого продукта это приведет к недопустимому репутационному ущербу и к возможной потере клиентов — если при установке патча пользователями что-то пойдет не так.

#drweb

https://xakep.ru/2015/09/10/android-stats/

CVE-2014-8609 - уязвимость была обнаружена в сентябре 2014 года. О ней было сообщено в Android Security Team. Проблема была признана, а соответствующие исправления внесены в основную ветку разработки. Об уязвимости официально объявили в конце ноября 2014 года. Но... исправления уязвимости попали только в Android 5.0

Формально уязвимость CVE-2014-8609 уже закрыта, но если посмотреть на статистику использования Android (https://developer.android.com/intl/ru/about/dashboards/index.html?utm_source=ausdroid.net), то видно, что уязвимости подвержено без мелочи 100% устройств, и они останутся подвержены уязвимости еще долгое время.

http://samag.ru/archive/article/2865

Существует мнение, что фрагментация – это благо, так как злоумышленники не смогут заразить все устройства: их эксплойт (вредоносная программа, эксплуатирующая уязвимость) не сможет работать на каждом из них. Но, положа руку на сердце: станет ли вам легче от того, что ваш смартфон попал в ботнет, а соседский – нет?

Операционная система Linux фрагментирована не менее, чем Android. Является ли это препятствием для киберкриминала?

Ботнет из Linux-устройств разросся настолько, что может генерировать атаки с потоком более 150 Гбит/с, что многократно превышает запас прочности инфраструктуры среднестатистической компании. О начале подобных DDoS-атак сообщили исследователи из Akamai Technologies.

https://habrahabr.ru/company/ua-hosting/blog/268007/

https://habrahabr.ru/post/213973/

Ботнет, проводящий DDoS-атаки с помощью DNS- и SYN-флуда, формировался через уязвимые версии Apache Struts, Apache Tomcat и Elasticsearch.

https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/iptables-iptablex-linux-bots-botnet-cybersecurity-threat-advisory.pdf

Всего было выявлено около 420 тысяч подобных незащищенных устройств, на основе которых был создан ботнет, выполнявший в течение 10 месяцев задачи по распределенному сканированию сетевых портов. Так как для реализации проекта использовались незаконные методы, исследователи не раскрывают своих имен и действуют анонимно.

http://www.opennet.ru/opennews/art.shtml?num=36454

И еще одна проблема:

Google доставляет обновления только для пользователей собственных устройств Nexus. Патчи для других девайсов – на совести их производителей. Google сообщила, что полная информация об исправлениях была передана компаниям-партнерам (т. е. производителям других устройств – прим. автора выпуска) 7 декабря 2015 года, но когда именно они выпустят свои версии «заплаток», неизвестно.

https://xakep.ru/2016/01/06/android-critical-flaws/

#Android #мобильный #Google #патч #уязвимость

Dr.Web рекомендует

  • Если вы выбираете мобильное устройство с точки зрения безопасности, а не, например, дизайна, то ваш выбор стремится к лидерам рынка. В иных случаях вероятность того, что для вашего устройства будут выпущены патчи и что они действительно будут закрывать уязвимость, а также то, что производитель вашего устройства доставит их к вам, – увы, мала.
  • К сожалению, нельзя рассчитывать, что выбранное вами устройство будет поддерживаться бесконечно, – при создании сервисов разработчикам нужно закладываться либо на постоянное обновление устройств, либо на надежную их изоляцию с целью недопущения использования уязвимостей.
  • В связи с тем, что закрытие известных уязвимостей для Android-устройств не гарантировано, обязательным компонентом их защиты должен быть Аудитор безопасности (имеется в Dr.Web Security Space для Android). Его периодическое использование поможет вам принять необходимые меры для исключения проблем использования уязвимости, даже если она не закрыта.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: