Производители смартфонов игнорируют проблемы безопасности Android // 17 Ноября 2012

Производители смартфонов игнорируют проблемы безопасности Android

Легкость, с которой лицензиаты Android могут модифицировать программное обеспечение, которое устанавливается в их смартфоны, открыла огромные дыры в безопасности, позволяющие отдельным приложениям записывать телефонные звонки, отслеживать местонахождение пользователей и получать доступ к их конфиденциальным данным без их разрешения. Так считают отраслевые специалисты, отмечая, что Google и Motorola признали существование данной проблемы, а HTC и Samsung проигнорировали претензии.

Исследователи из Государственного университета Северной Каролины считают, что при желании систему безопасности Android можно легко обойти, что показали тесты, проведенные на популярных телефонах HTC, Samsung, Motorola и Googlе. «Android обеспечивает модель безопасности, которая работает на основе разрешений, запрашиваемых перед инсталляцией или запуском приложений», – пишут они в выводах документа под названием «Систематическое выявление возможностей утечки в Android-смартфонах», которые будут представлены в рамках симпозиума, посвященного безопасности сетевых и распределенных систем (Network and Distributed System Security Symposium).

Исследователи протестировали 8 популярных Android-смартфонов (HTC Legend/EVO 4G/Wildfire S, Motorola Droid/Droid X, Samsung Epic 4G, и Google Nexus One/Nexus S) и обнаружили нарушение 11 из 13 правил безопасности. Самой незащищенной оказалась модель смартфона HTC EVO 4G, которая продемонстрировала целых 8 уязвимостей.

Как пишут специалисты, при помощи этих дыр в системе безопасности специальные приложения могут уничтожать пользовательские данные, отправлять SMS-сообщения (на платные номера, к примеру), записывать разговоры и получать доступ к локационным данным владельца – без его ведома и согласия.

Летом этого года компания Symantec опубликовала доклад с описанием проблем в системе безопасности Android, связанных с запросом пользовательских разрешений, но умолчала и не сделала выводов о том, что в целом данная система разрешений является неэффективной.

В новом документе также сравниваются модели безопасности от Apple и Google и отмечается, что Apple тщательно проверяет и тестирует каждое стороннее приложение на предмет вредоносных кодов и уязвимостей, прежде чем разместить продукт в своем цифровом магазине. После установки приложения платформа Apple iOS предложит пользователю одобрить использование некоторых функций во время исполнения.

«С другой стороны, Google использует модель безопасности на основе разрешений, которая запрашивает разрешение на установку каждого Android-приложения перед тем, как открыть ему доступ к пользовательским данным и функциям телефона. Запрос разрешений по существу определяет возможности, которые пользователь предоставит Android-приложению. Другими словами, пользователю предлагается оценить возможности приложения и решить, стоит ли его устанавливать. Из-за того, что модель разрешений играет главную роль в работе Android-приложений, крайне важным становится правильной применение этой модели в существующих смартфонах на этой платформе», - пишут исследователи.

Модель на основе разрешений, применяемая в Android, привела к целой эпидемии вредоносных программ, которые появляются в Google Android Market, свободно попадают в пользовательские девайсы и получают доступ к личным данным, запрашивая излишние и неуместные разрешения в надежде, что пользователь не заметит отсутствия разрешений более сложных уровней.

Сторонники Android утверждают, что пользователям достаточно быть более внимательными и проницательными, чтобы самостоятельно себя обезопасить. По их словам, нужно четко понимать, какое именно приложение вы хотите установить, а платформа Android не позволит приложению выйти за рамки полученных разрешений. Но, как показали результаты исследователей, это не так, и возможность самостоятельно определять границы доступа часто приводит к случаям компьютерного мошенничества.

Исследователи отмечают, что, обнаружив проблемы в безопасности в смартфонах на базе Android, сообщили о них производителям этих устройств. На момент написания доклада компании Motorola и Google подтвердили наличие указанных слабых мест в безопасности, а вот HTC и Samsung отказались реагировать на выводы специалистов, предпочтя проигнорировать проблемы.

Как отмечено в докладе, смартфоны с большим количеством предварительно загруженных приложений, как правило, чаще имеют утечки. Системы разрешений Google (в том числе в устройствах Nexus One и Nexus S) работают достаточно чисто и без утечек, в отличие от многих других, более популярных устройств.

Также отмечено, что смартфоны с системой образов (например, Motorola Droid), близкой к исходному дизайну Android (в том числе Nexus One и Nexus S) более свободны от утечек, опять же в отличие от других смартфонов.

Если Google и Motorola признали наличие указанных уязвимостей, то более успешные лицензиаты Android компании HTC и Samsung не только проигнорировали претензии, но и продолжают выпускать продукты, которые оказались наименее безопасными для пользователей, не предлагая пользователям, уже купившим мобильные устройства, каких-либо способов для решения проблем безопасности.

Источник: AppleInsider.ru.

Читайте еще:

Нелицензионную продукцию можно скачивать бесплатно

Нелицензионную продукцию можно скачивать бесплатно

Каждый третий житель Швейцарии загружает нелицензионную музыку, фильмы и игры из интернета, и с прошлого года швейцарское правительство решало, что с этим делать. На этой неделе их заключение было опубликовано. Общий вывод исследования заключается в том, что действующий закон об...

12 Дек 2012

Apple начала продавать свои патенты

Apple начала продавать свои патенты

Apple занимает традиционно жесткую позицию относительно защиты своей интеллектуальной собственности. И до недавнего времени, мы считали, что Apple никогда не проявляла заинтересованности в лицензировании своих технологий и всячески подчеркивала это. Однако на днях выяснилось, что Nokia и IBM уже давно купили...

03 Дек 2012

Производители жестких дисков преодолеют последствия наводнения к первому кварталу 2012 года

Производители жестких дисков преодолеют последствия наводнения к первому кварталу 2012 года

Компании Seagate и Western Digital медленно, но верно оправляются от последствий недавнего наводнения в Таиланде, уничтожившего ряд производственных площадок и оборудование на них. Несмотря на то, что прогнозы отраслевых аналитиков на следующий год достаточно пессимистичны, некоторые специалисты считают, что пик «винчестерного кризиса» уже миновал....

29 Дек 2012

16.04.2013
Total Commander - лучший среди файловых менеджеров
Если еще недавно все радовались появлению Windows и его «удобнейшему» интерфейсу с окнами, где перемещать...
16.04.2013
Avast - один из лучших бюджетных антивирусов
Не мало количество пользователей, не скрывающих необходимость в защите компьютера при помощи антивирусов пользуются именно...
16.04.2013
NOD32 Smart Security 6, получил обновление!
Компания ESET является одним из самых мощных разработчиков, выпускающих качественное программное обеспечение, направленное на защиту...
30.05.2012
Осторожно спам Сбербанка
В последнее время участилась массовая рассылка фишинговых электронных писем от мошенников, якобы работников Сбербанка России....
29.05.2012
Новый вирус в сети интернет
"Лаборатория Касперского" обнаружила новую вредоносную программу, которая активно используется в качестве кибероружия , распространяемого по...