Производители смартфонов игнорируют проблемы безопасности Android
10-04-2012
Исследователи из Государственного университета Северной Каролины считают, что при желании систему безопасности Android можно легко обойти, что показали тесты, проведенные на популярных телефонах HTC, Samsung, Motorola и Googlе. «Android обеспечивает модель безопасности, которая работает на основе разрешений, запрашиваемых перед инсталляцией или запуском приложений», – пишут они в выводах документа под названием «Систематическое выявление возможностей утечки в Android-смартфонах», которые будут представлены в рамках симпозиума, посвященного безопасности сетевых и распределенных систем (Network and Distributed System Security Symposium).
Исследователи протестировали 8 популярных Android-смартфонов (HTC Legend/EVO 4G/Wildfire S, Motorola Droid/Droid X, Samsung Epic 4G, и Google Nexus One/Nexus S) и обнаружили нарушение 11 из 13 правил безопасности. Самой незащищенной оказалась модель смартфона HTC EVO 4G, которая продемонстрировала целых 8 уязвимостей.
Как пишут специалисты, при помощи этих дыр в системе безопасности специальные приложения могут уничтожать пользовательские данные, отправлять SMS-сообщения (на платные номера, к примеру), записывать разговоры и получать доступ к локационным данным владельца – без его ведома и согласия.
Летом этого года компания Symantec опубликовала доклад с описанием проблем в системе безопасности Android, связанных с запросом пользовательских разрешений, но умолчала и не сделала выводов о том, что в целом данная система разрешений является неэффективной.
В новом документе также сравниваются модели безопасности от Apple и Google и отмечается, что Apple тщательно проверяет и тестирует каждое стороннее приложение на предмет вредоносных кодов и уязвимостей, прежде чем разместить продукт в своем цифровом магазине. После установки приложения платформа Apple iOS предложит пользователю одобрить использование некоторых функций во время исполнения.
«С другой стороны, Google использует модель безопасности на основе разрешений, которая запрашивает разрешение на установку каждого Android-приложения перед тем, как открыть ему доступ к пользовательским данным и функциям телефона. Запрос разрешений по существу определяет возможности, которые пользователь предоставит Android-приложению. Другими словами, пользователю предлагается оценить возможности приложения и решить, стоит ли его устанавливать. Из-за того, что модель разрешений играет главную роль в работе Android-приложений, крайне важным становится правильной применение этой модели в существующих смартфонах на этой платформе», - пишут исследователи.
Модель на основе разрешений, применяемая в Android, привела к целой эпидемии вредоносных программ, которые появляются в Google Android Market, свободно попадают в пользовательские девайсы и получают доступ к личным данным, запрашивая излишние и неуместные разрешения в надежде, что пользователь не заметит отсутствия разрешений более сложных уровней.
Сторонники Android утверждают, что пользователям достаточно быть более внимательными и проницательными, чтобы самостоятельно себя обезопасить. По их словам, нужно четко понимать, какое именно приложение вы хотите установить, а платформа Android не позволит приложению выйти за рамки полученных разрешений. Но, как показали результаты исследователей, это не так, и возможность самостоятельно определять границы доступа часто приводит к случаям компьютерного мошенничества.
Исследователи отмечают, что, обнаружив проблемы в безопасности в смартфонах на базе Android, сообщили о них производителям этих устройств. На момент написания доклада компании Motorola и Google подтвердили наличие указанных слабых мест в безопасности, а вот HTC и Samsung отказались реагировать на выводы специалистов, предпочтя проигнорировать проблемы.
Как отмечено в докладе, смартфоны с большим количеством предварительно загруженных приложений, как правило, чаще имеют утечки. Системы разрешений Google (в том числе в устройствах Nexus One и Nexus S) работают достаточно чисто и без утечек, в отличие от многих других, более популярных устройств.
Также отмечено, что смартфоны с системой образов (например, Motorola Droid), близкой к исходному дизайну Android (в том числе Nexus One и Nexus S) более свободны от утечек, опять же в отличие от других смартфонов.
Если Google и Motorola признали наличие указанных уязвимостей, то более успешные лицензиаты Android компании HTC и Samsung не только проигнорировали претензии, но и продолжают выпускать продукты, которые оказались наименее безопасными для пользователей, не предлагая пользователям, уже купившим мобильные устройства, каких-либо способов для решения проблем безопасности.
Источник: AppleInsider.ru.
