Мобильные системы: насколько они надежны и безопасны?
Наиболее массовое распространение вредоносного программного обеспечения для мобильных устройств произошло в марте 2011 года. Именно тогда эксперты выявили и удалили из каталога Android Market более 50 вирусных утилит. Данные приложения (игры, системные инструменты и т.п.) отсылали идентификаторы устройства, такие как индивидуальный номер абонента (IMSI) и международный идентификатор оборудования (IMEI), на сервера в Китае и России. При этом все чаще злоумышленники уже не останавливаются на получении идентификаторов. Так, вредоносная утилита AndroidOS/Fakeplayer.A предназначена для опустошения баланса телефона путем отправки платных SMS на короткие номера. Червь ikee.B, как и троянское приложение Android/Adrd.A, интегрирует устройство в бот-сеть, связывая его с управляющими и командными серверами. В результате смартфон в скрытом режиме принимает непосредственное участие в распространении вирусов и организации DDoS-атак на ресурсы всемирной паутины. Стоит отметить, что в настоящее время ущерб от вирусов данного типа минимален. Многие из них работают в тестовом режиме и служат только для организации криминальной инфраструктуры. А вот реально опасных программ относительно немного.
В целом, взлом Android или iOS представляет собой довольно непростую задачу, поскольку Google и Apple успешно применяют эффективные инструменты защиты. К ним относятся сертификаты, значительное ограничение прав, а также изоляция программ от других приложений и ядра системы. Обе корпорации применяют аналогичные схемы защиты, но вот реализация у них разная, что сказывается на уровне безопасности.
Мобильная операционная система iOS, нередко критикуемая за свою замкнутость, признана более защищенной от мошенников. Значительную роль в этом играет применение цифровых сертификатов, которыми снабжаются программы. Они подтверждают законность и подлинность утилит, которые могут быть получены только из официального магазина App Store.
В устройствах от компании Apple защита от деструктивных действий вирусов обеспечивается путем технологии Seatbelt. Операционная система iOS разрешает только два уровня для пользователей – mobile и root. Программы можно запустить только посредством «песочницы» (Sandbox) на уровне mobile с сильно ограниченными привилегиями. Они не способны обращаться к другим приложениям и редактировать ядро, а также самостоятельно запускать привилегированные процессы, которые система не способна закрыть в любой момент времени для освобождения памяти. В процессе разработки iOS используется язык Objective-C, поэтому используемые приложения поддаются взлому путем переполнения буфера. Для предотвращения атаки применяется механизм защиты памяти от производителя процессоров ARM. Технология No Execute, хоть и не обеспечивает полную безопасность, заметно снижает вероятность успешной атаки.
После успешного проникновения в систему, производится установка полного контроля над приложением, получая максимальный доступ к интерфейсам утилиты. Как утверждают специалисты Symantec, вирусы на платформе iOS способны без запроса работать с такими функциями и данными, как адресная книга, сетевое подключение, календарь, телефонный номер и IMEI, музыка, видео, фотографии журнал обозревателя.
Интернет-каталог App Store является своего рода преградой для защиты iOS. Джейлбрейк, который снимает ограничение на доступ приложений к файловой системе мобильного устройства, полностью отключает встроенную защиту. Данная процедура отключает защитную систему сертификации файлов, в результате чего появляется возможность загружать файлы из любых источников. Операционная система не способна блокировать вредоносный код, так как программы ничем не контролируются и получают свободный доступ к различным системным областям.
В случае с операционной системы Google Android это практически полностью исключено. В ней, собственно, тоже можно снять все ограничения пользователя, но это менее рискованно, как при работе с iOS. Платформа Android даже после снятия всех ограничений (рутинга) продолжает запрашивать сертификаты. Это происходит благодаря тому, что после повышения привилегий механизм изоляции процессов продолжает частично функционировать. При изменении свойств операционной системы командная оболочка пользователя Superuser, которая аналогично контролю пользователей в ОС Windows, требует подтверждения действий, перемещается в системный каталог. Наиболее уязвимыми в Android считаются цифровые сертификаты, функция которых заключается в предотвращении проникновения вирусов в известные программы и последующее распространение их под аналогичными названиями. Но данного средства защиты явно недостаточно, поскольку любой разработчик приложений, размещающий их в неофициальном интернет магазине, имеет возможность выпускать личные сертификаты. Поэтому во всемирной паутине нередко встречаются вирусы, маскирующиеся под популярные приложения.
Более надежным средством защиты в Android является функция разграничения прав доступа. Разработчики указывают все требуемые разрешения в отдельном файле AndroidManifest.xml. Перед стартом установки пользователю демонстрируется данные перечень и выдается запрос на подтверждения инсталляции. Особую опасность представляет разрешение на самостоятельную отправку тестовых сообщений. Перед подтверждением настоятельно рекомендуется изучить перечень запросов и только после этого продолжать установку.
При попадании в операционную систему вредоносного кода, вирус, чаще всего, обладаем минимальными привилегиями. Каждая программа запускается в виртуальной Java-среде Dalvik с персональным идентификатором пользователя и в изолированной среде. Это приводит к тому, что вредоносные утилиты не могут получить доступа к другим приложениям и непосредственно к ядру системы. Однако программы в Android имеют возможность считывать данные о запущенных процессах и перечню установленных приложений. Таким образом, вредитель способен выявить начало работы с мобильными платежами и направить пользователя на ложный (фишинговый) сайт, пытаясь узнать регистрационные данные. Платформа iOS лишена данного недостатка – разные файлы не могут получать информацию друг о друге.
Для удаления вредоносного кода из операционной системы Android в большинстве случаев достаточно просто удалить подозрительную программу. Мобильные вирусы просто не способны самостоятельно распространятся (благодаря механизму изоляции). К тому же Google может в удаленном режиме удалять файлы, загруженные из каталога Android Market. Некоторые троянские приложения загружают в устройство код из сторонних источников, закрепляясь тем самым в системе. Еще более опасным является ПО, которое эксплуатирует уязвимости в системе безопасности. Например, троянская утилита DroidDream выявленная в более чем 50 файлах, загруженных в Android Market, инсталлировала на смартфон одновременно два разных эксплойта, позволяющих повысить привилегии в системе до администратора, - rageagainstthecage и exploid. Данная уязвимость была закрыта в версии Android 2.3, предыдущие же модификации так и остались незащищенными.
После получения вирусом доступа к ядру антивирусные пакеты оказываются бессильны, поскольку они также работают в изолированной среде и с ограниченными правами. Комплексные инструменты защиты зачастую способны запретить установку популярных вирусов или оповестить об этом позднее, если вредоносный код не смог отключить антивирус. Наибольший эффект в данном случае может принести проверка файлов на наличие сигнатур известных вирусов.
При работе с Android довольно сложно применять проактивные методы, поскольку границы между опасными и подозрительными файлами не всегда удается четко обозначить. И все-таки некоторые компании, такие, например, как Symantec и F-Secure, предпринимают попытки создать превентивные методы защиты.
Антивирусного программного обеспечения для iOS пока не создано, так как платформа считается достаточно надежной, в то время как специалисты Apple тщательно проверяют загружаемые приложения. Стоит отметить, что в интернет-каталоге Apple есть специализированные браузеры (Tool Smart Surfing, например), которые позволяют обеспечить защиту от фишинговых ресурсов. Пользователям ОС Android также можно не волноваться – по крайней мере, при проверке списка разрешений перед инсталляцией программ. Но если специалисты Google и не будут препятствовать загрузке в Android Market зараженных файлов, картина может кардинально измениться.
Комплексные инструменты защиты для Android принято различать по количеству предоставляемых функций. Например, Kaspersky Mobile Security 9 и AVG Anti-Virus Pro способны помочь в случае кражи или потере устройства, в то время как пакет G Data осуществляет только защиту от вирусов.
