Чому безпека наших смартфонів пов’язана з «тоталітарним підходом» в ІТ

Фото: anthillonline.com

У мене є два страшних сни, пов’язаних із моїм смартфоном. Перший — я його ненароком випускаю з рук і він розбивається на друзки. Другий — невідомий зловмисник зламує мій смартфон і з демонічним сміхом викладає десь у відкритий доступ усі 150 фоток моїх котів і так моя хронічна айлурофілія стає надбанням громадськості.

Люди щодня проводять більше чотирьох годин зі своїми смартфонами. Ця цифра може варіюватися в різних країнах, але в середньому ми приділяємо своїм ґаджетам дуже багато уваги й часом довіряємо їм приватну інформацію. Іноді навіть конфіденційну — деякі користувачі для зручності прив’язують до смартфонів свої платіжні карти або вирішують прості робочі завдання. Така інформація в чужих руках подекуди навіть страшніша за фото з котами.

Коли я готувалася писати цей текст, уявляла собі його як чіткий перелік рекомендацій, яких варто дотримуватися й усе буде тіп-топ. Однак спеціаліст з інформаційної безпеки Володимир Стиран пояснив, що проблема з безпекою смартфонів на порядок глибша, ніж базові правила, на кшталт встановлення коду блокування чи уважного вивчення додатків перед їх інсталюванням на пристрій. Володимир є засновником відділення OWASP Kyiv, а також ініціатором та координатором конференції з практичної кібербезпеки NoNameCon. До цього він працював у напрямку кібербезпеки в компаніях Luxoft, BMS Consulting, Astelit, ECALL та інших.

Про поділ ринку мобільних пристроїв можна сперечатися довго — наприклад, у статистиці пристроїв на Android враховуються всі пристрої Android із відкритим кодом, а в статистику ґаджетів із iOS входять і смартфони, й планшети. Тож складно сказати, кого більше — «андроїдолюбів» чи «яблучників». Одне можна сказати точно — це дві найпопулярніші операційні системи для смартфонів і говорити ми будемо про них.

Що спільного у Windows та Android

Володимире, розкажіть, чи відрізняються якось заходи безпеки для смартфонів на Android та iOS?

Вони радикально різняться. Все впирається в економіку. Компанія Apple у якийсь момент поставила на те, що її продукт має бути захищеним. І через те, що вона була на ринку сучасних смартфонів першою, почала зростати без втрат у безпеці. Але коли компанія Google зрозуміла, що втрачає свої позиції на цьому ринку й потрібно наздоганяти конкурента, вона вирішила зробити свою платформу більш відкритою й вільною. Так і є — почати програмувати під Android набагато простіше й опублікувати свій додаток простіше, але ось ця свобода й відсутність контролю від основного вендора (постачальника. — MS.) призводить до того, що розробнику важче зробити додаток безпечним. І ми отримуємо таку ситуацію, що й шкідливого програмного забезпечення під Android більше, й налаштувань приватності для користувача менше, і йому їх важко контролювати тощо.

Тобто тут сталося те, що сталося з Windows — на ринку персональних комп’ютерів ця ОС дуже швидко розвивалася в 1990-ті й не дуже серйозно поставилася до своєї безпеки. Значно пізніше, під тиском, Microsoft була змушена щось робити з безпекою, оскільки ситуація була вже геть кепською. Така ж позиція — швидше, швидше, якомога більше ринку захопити, — була у Google декілька років тому. Але тепер вони почали більш-менш приміряти на себе модель Apple, модель більшого контролю над тим, що відбувається в них в екосистемі.

А як Apple реалізовує такий контроль?

Apple завжди контролює повний технологічний цикл усіх своїх продуктів. Наприклад, якщо ви купуєте MacBook Pro, то у вас буде й «залізо» від Apple, і «BIOS» від Apple, і операційна система, і ще набір програм. Ви повністю, від «заліза» до прикладних програм, довіряєте одному постачальнику. І це надає йому змогу дуже швидко вирішувати всі проблеми, які виникають. Якщо з’являється вразливість, приходить одне оновлення й воно може стосуватися чого завгодно — хоч драйверів відеокарти, хоч текстового редактора.

Така ж ситуація і з iPhone — компанія контролює «залізо», всі модулі, операційну систему тощо. Тому вона дуже швидко по мережі може поставити вам усі апдейти, якщо виникне якась складна вразливість. У Google такої можливості немає, тому що його операційною системою користуються всі: Sony, Samsung, Xiaomi, Huawey і багато інших, і кожен під себе її модифікує. Якщо раптом щось трапляється в Android, Google може це швиденько виправити лише на своїх пристроях, які він виробляє й на які встановлює «оригінальний» Android: на Pixel та Nexus.

Всі інші користувачі мають самі подбати про встановлення оновлень?

Так. Наприклад, якщо у вас смартфон Samsung, вам доведеться чекати, поки компанія візьме оновлену версію Android, «впиляє» в неї всі свої інструменти стеження за вами, які потім монетизує через рекламу, всі свої програми, які вона паралельно додає в Google Play Market, і тільки після цього, якщо вам пощастить і у вас більш-менш новий телефон, ви отримаєте це оновлення.

Але загалом це не їхня бізнес-модель — викочувати вам оновлення. Їхня модель полягає в тому, щоб ви через рік прийшли купувати новий смартфон. Тому з великою ймовірністю, якщо Android-смартфону більше двох років, оновлення він не отримає й доведеться сидіти з усіма вразливостями застарілого Android. Якщо смартфон від Google — скоріш за все, ви отримаєте оновлення. Якщо смартфон Apple — майже гарантовано отримаєте, вони стабільно підтримують оновлення для моделей смартфонів, випущених в останні три роки.

«Якщо у вас старенький смартфон на Android,

краще купити простий iPhone чи пристрій від Google»

Із чого краще почати користувачеві, який давно користується смартфоном, та лише тепер задумався про його захист?

Піти купити iPhone або смартфон від Google. Треба довіряти тому вендору, який може швидко виправити вразливість. Тут ми маємо приклад вразливості ланцюжка поставок: це те, що ми мали зM.E.Doc, це те, що тепер відбувається з Intel та іншими виробниками процесорів. Ці приклади дуже яскраво ілюструють небезпеку слабкого контролю над ланцюжком поставок апаратного та програмного забезпечення.

Фундаментальні принципи безпеки й довіра до найнижчої ланки інфраструктури тепер стоять під питанням. Що може зробити в цьому випадку Microsoft? Майже нічого, тому що вона контролює в цій інфраструктурі лише один рівень — операційну систему, компанія може випустити оновлення лише для неї. Що можуть зробити Intel, AMD, ARM? Теж майже нічого, вони можуть хіба що надіслати оновлення постачальникові материнської плати, а він уже має інтегрувати його у свій продукт і опублікувати пакет оновлень. І ви вже далі під танці з бубном маєте їх встановити. Що може в такому випадку зробити Apple? Надішле вам оновлення, ви натиснете кнопку «оновити» — й на цьому все.

Можливо, колись, у майбутньому, ця проблема вирішиться. Але наразі такий авторитарний підхід, коли все в одних руках (хоча компанія може цим маніпулювати), дає можливість виправити все дуже швидко. Такий тоталітаризм в IT має під собою логіку. А вільний підхід Android та Google поки що себе не виправдовує.

Тобто, треба почати з того, щоби знайти вендора з хорошою репутацією, який буде підтримувати все від початку до кінця, й залишити цей контроль за ним. Якщо у вас у кишені старенький смартфон на Android і ви думаєте, на що його замінити, краще купити простий iPhone чи пристрій від Google. І я не раджу його «рутити», тобто підвищувати свої привілеї через різні хаки, тому що це радше підірве вашу безпеку, ніж покращить її.

Наскільки подібні проблеми актуальні для України? Доходи українців доволі низькі й навряд чи вони часто купують нові смартфони.

Тут я можу не погодитися. Коли я їжджу в громадському транспорті в Києві, часто бачу в інших пасажирів нові iPhone. Це не дуже повний зріз суспільства, але смартфон є майже в усіх людей віком від 18 до 35 років. Комп’ютер не в усіх є, а смартфон став основним комунікаційним пристроєм. Ми з нього читаємо пошту, спілкуємось у месенджерах, проводимо операції з грошима. Дехто навіть інтимні фото відправляє. Це серйозний шматок нашої приватності.

Загрози неминучі. Сам факт, що таких пристроїв багато, створює серйозний ринок для інвестицій в кіберкримінальну економіку. Й масові епідемії трапляються. Не так давно була хвиля атак на смартфони зі старим Android до п'ятої версії через MMS-повідомлення. У цивілізованому світі це вже давно в минулому, а в нас смартфони старіші й тому минулого року було кілька неприємних випадків. Люди підхопили вірус й мали якось вирішувати цю проблему. А пересічний користувач що може зробити? Радше за все, викине телефон і піде купувати новий.

За вашими оцінками, на якому рівні обізнаність українців щодо кіберзагроз?

Мені складно об’єктивно це оцінювати, оскільки я постійно працюю над тим, щоб вона покращувалася. Можливо, моя «бульбашка обізнаності» (awareness bubble) приховує від мене об’єктивну картину. Я думаю, що позитивна динаміка є, але цього недостатньо.

Користувачам, які опікуються власною приватністю, я би порадив звертати увагу на структуру доходів компанії, чиїми продуктами вони користуються. Наприклад, собівартість «заліза» у смартфонах приблизно однакова. Пристрої на базі Android дешевші на 50–100 доларів від топових Samsung чи Google, але справа не в тому, що iPhone просто дорожчий від конкурентів. Дані користувачів, які збирають Android-пристрої, додатково монетизуються виробником. Компанії роблять ці продукти набагато дешевшими, щоби потім іще раз як товар перепродати персональні дані своїх користувачів рекламодавцям.

А як щодо обмеження дозволів для додатків, які запровадили на Android?

Це неефективно. Можна дуже довго вчитися, як це блокувати, але компанії постійно будуть знаходити способи збирати персональні дані. Наразі проти Google триває розслідування — виявилося, що навіть коли геолокація на смартфонах була вимкнена, вони все одно триангулювали (відстежували телефон за базовими станціями зв’язку. — MS) по базових станціях розташування смартфонів. А Facebook тестувала використання гироскопів для виявлення, з ким ви зараз ідете або їдете в одному напрямку, навіть не маючи доступу до даних геолокації.

У компаніях, у яких реклама є основним джерелом прибутку — а найбільшими гравцями тут нині є Facebook і Google, — основним клієнтом є не той, хто купує Android-смартфони, а той, хто замовляє рекламу. В цьому контексті приватні дані більш захищені в того вендора, який їх не перепродає. Це дуже просто перевірити — є чарти, які демонструють структуру прибутку різних компаній. Адже в сучасному бізнесі все формулюється виходячи з максимізації прибутку й мінімізації витрат.

Дані 2017 року. Доходи конгломерату Alphabet від реклами склали 88 %, Facebook — 97 %. Джерело: Business Insider.

На тих, хто дочитав до кінця й не впав під крісло від панічної атаки, очікує бонус: пам’ятка найпростіших і дуже очевидних кроків, які все ж варто зробити заради безпеки свого смартфона.

Встановіть код блокування. Підійдіть до завдання серйозно — нехай це буде щось складніше за 1234.

Регулярно завантажуйте і встановлюйте оновлення. Якщо ваш вендор напряму їх вам не надсилає, то подбати про них доведеться самостійно. Про це вже йшлося вище.

Уникайте неперевірених магазинів додатків. Наприклад, у Китаї не працює Google Play Market і користувачі змушені шукати програми в інших магазинах додатків, часто неперевірених. Не дивно, що від вірусу CopyCat, який поширювався в минулому році, найбільше постраждала Азія.

Зважайте на дозволи, які додатки просять перед встановленням. Гра-пазл просить доступ до контактів, камери, даних про дзвінки та до галереї? Є сенс пошукати в магазині додатків іншу аналогічну гру, на щастя, їх є у відкритому доступі сотні. Також не завадить переглянути вже встановлені на смартфоні додатки й подивитися, яку інформацію вони збирають. Застосунок App Ops може заблокувати зайві дозволи в додатків.

Встановіть код на окремі додатки або папки. Якщо ви переймаєтеся з приводу конкретного контенту або чат чи застосунку, поставте на них додатковий захист за допомогою AppLock, Smart App Protector чи Hexlock.

Встановіть Android Device Manager. Якщо ви втратите свій Android-пристрій, через цей додаток можна увімкнути на ньому звуковий сигнал, відстежити його місце розташування або заблокувати його. Через цей менеджер можна зайти на свій втрачений пристрій з іншого й повністю видалити 
comments powered by Disqus