Не может быть такого, чтобы компания Amazon участвовала в запуске флагманского продукта, имеющего чёрный ход, и тайно отправляющего всю вашу личную информацию на непонятный сервер в Китае. Конечно же, их разработчики или партнёр по производству отловили бы такое поведение во время обычной проверки безопасности. Такого ведь просто не может произойти, верно?
Всем наплевать на безопасность разлоченных Android-телефонов, не привязанных к провайдеру, продающихся в США (и многих других регионах). OEM-компаниям, изготавливающим и поставляющим Android-телефоны, наплевать; Google, поставщику Android-платформы, наплевать; ритейлерам вроде Amazon и Best Buy, продающим миллионы андроид-телефонов ежегодно, наплевать. Что хуже всего, среднему пользователю наплевать на компьютерную безопасность, пока не произойдёт чего-нибудь плохого, из-за чего всё так и идёт.
С Android-устройствами так было всегда, но Google начал более серьёзно относиться к этой ситуации летом 2015 года, когда ошибка Stagefright широко освещалась в СМИ. Специалисты по безопасности утверждают, что Google-устройства, Nexus и Pixel, подошли вплотную к iOS по меркам безопасности, но в целом ситуация ухудшается, когда большинство потребителей покупают смартфоны с софтом, не поддерживаемым компанией Google.
Мы вспомнили об этой серьёзной проблеме, когда Amazon пришлось отозвать BLU R1 HD, их телефон-бестселлер, после того, как специалист по безопасности обнаружил в нём скрытый чёрный ход благодаря «сочетанию любопытства и счастливой случайности». Эти устройства, а также некоторые другие модели BLU собирали и передавали личную информацию на некий сервер в Китае раз в 24-72 часа. Это поведение не было заметно пользователю. Данные включали точное положение устройства, текстовые сообщения, списки контактов, журнал звонков, установленные приложения и проч.
Директор BLU рассказал NYTimes, что «об этом, очевидно, мы ничего не знали», и признал ошибку. И хотя хорошо, что она так быстро её исправила, но очень настораживает тот момент, что ни BLU, ни Amazon не поймали её самостоятельно с момента запуска телефона в июле 2016 года.
Как же это могло случиться?
Честно, я просто не представляю, как такой косяк мог выйти на рынок и оставаться незамеченным так долго, поэтому я провёл небольшое исследование. Я работал на производителей Android OEM, у меня есть общее понимание того, что все выпуски ПО с мобильными сервисами Google должны пройти проверку Compatibility Test Suite (CTS). Недолгая беседа с экспертами по компьютерной безопасности открыла мне глаза на то, насколько серьёзные проблемы безопасности продолжают возникать
Google поддерживает чёрный список плохого ПО, которое нельзя поставлять с Android-телефонами. Я удивился, что Google и BLU были в курсе одной из уязвимостей, связанной с приложением ADUPS в чипах Mediatek ещё в 2015 году – за год до выпуска BLU R1 HD. Команда специалистов по безопасности Red Naga нашла уязвимость 1 марта 2015 года и сделала несколько попыток для её устранения, но столкнулась с тем, что "у BLU нет отдела по безопасности, в связи с чем она ничем не может помочь".
После молчания Mediatek и отсутствия помощи BLU, Google, в конце концов, принял патч в CTS для проверки системного сокета ADUPS. Это должно было решить проблему, но после этого Mediatek просто поменяла название сокета, чтобы обмануть CTS-проверку.
Проще говоря, CTS от Google не обнаруживает уязвимости, о которых она не знает. А Mediatek – рецидивист, периодически обходящий проверку CTS, и некоторые специалисты из индустрии безопасности называют её худшим производителем чипсетов.
Хотя у Mediatek плохая репутация в области безопасности, она всё ещё выигрывает конкурсы разработки, поскольку выполняет всю тяжёлую работу для OEM-партнёров, выбирающих их платформы. Если вы хотите по-быстрому и недорого запустить устройство на Android, то Mediatek часто оказывается доступным решением.
Можно ли этого снова избежать?
Нам всем стоит беспокоиться о скрытых чёрных ходах, но более серьёзная проблема – это известные уязвимости, которые не исправляют в большинстве андроид-устройств. Google пытается решить эту проблему, обращая на неё внимание пользователей. Компания публикует ежемесячные обзоры безопасности, Android Security Bulletins, и заставляет OEM-производителей показывать уровень Android Security Patch в настройках устройства.
После того, как в 2013-м FTC заставила HTC исправить известные уязвимости, OEM и операторы беспроводной связи предприняли некоторые меры, и большинство флагманских устройств, продаваемых в магазинах, регулярно получают обновления. Но не все устройства их получают, да и нет никакой гарантии, что устройства будут поддерживаться достаточно долго.
Прогресс идёт только когда что-то ломается, и СМИ начинают долбать Google с его партнёрами. К примеру, уже упомянутый Stagefright заставил FCC и FTC объединить усилия, чтобы «глубже понять и в результате улучшить безопасность мобильных устройств», однако результаты этого исследования пока не опубликованы.
Могу предсказать, к какому выводу они придут в своём отчете. Для OEM-производителей нет никаких стимулов вкладывать ресурсы в поддержку исправлений безопасности устройств после их запуска. Выпуск обновлений отнимает время и деньги, и это направление не влияет на принятие решений о покупках потребителями. Большинство OEM не хотят тратить лишние деньги на улучшение безопасности, покуда потребители не хотят платить за них.
Кто может это исправить?
В этом виновата вся цепочка поставки, но в ближайшем будущем не стоит ожидать улучшения. Некоторые соображения насчёт того, что разные игроки могли бы сделать для улучшения безопасности андроидофонов.
Google: ведёт список хороших и плохих OEM по тому, как те поддерживают безопасность и выпускают обновления, и, по слухам, может публично пристыдить худших производителей – но тем самым она нанесёт урон взаимоотношениям с партнёрами. Если Google серьёзно хочет улучшить безопасность, она может найти способ сообщать потребителям, какие из OEM, производителей компонентов и других партнёров плохо защищают данные пользователей. К примеру, чувствуете ли вы себя в безопасности, покупая продукцию BLU или устройство с чипом от Mediatek? Google может так изменить свою следующую спецификацию Android Compatibility Definition Document, чтобы потребовать поставлять устройства с патчем безопасности соответствующего уровня, и поддерживать эти устройства в течение достаточно долгого времени.
OEM: когда я работал на Huawei, я пытался обращать внимание на проблемы с безопасностью, работая с международной командой Honor над 24-месячной программой Software Update Policy (правил обновления ПО). К моему изумлению, команда маркетологов не хотела упоминать это во время запуска продукта, но я горжусь тем, что в тот момент мы стали единственным OEM, у которого были подобные правила. Они не идеальны, но лучше, чем ничего. Только Google гарантирует выпуск обновлений, связанных с безопасностью, в течение 3 лет после запуска устройств Pixel и Nexus. Я бы хотел, чтобы больше OEM-производителей брали на себя подобную инициативу и разрабатывали свои правила обновления ПО.
Розничные продавцы: Amazon поступил правильно, приостановив BLU R1 HD, но следуя этой логике, им нужно заблокировать и другие продаваемые устройства с известными проблемами в безопасности. В магазине Amazon при выборе устройства потребителю легко узнать, какие сети оно будет поддерживать, но нет никакой информации об обеспечиваемом им уровне безопасности.
Обозреватели техники: продолжайте сообщать о плохом поведении OEM-производителей Android-устройств. Концентрируйте внимание в обзорах на то, как осуществляется поддержка ПО и на истории его обновления. Образовывайте аудиторию, чтобы люди могли принимать информированные решения о покупке.
Потребители: я бы призвал вас голосовать кошельком и покупать устройства тех компаний, что всерьёз воспринимают вашу безопасность – но их выбор слишком ограничен. Кроме предыдущих телефонов Nexus и текущих Pixel есть не так уж много доступных вариантов для людей, ценящих свою приватность и безопасность.
Комментарии (24)
Hidon
18.11.2016 16:52как-то странно статья написанна. сначала про то, что всем наплевать на безопасность разлоченных телефонов — что есть вполне нормально, ведь вся ответственность лежит на том, кто этот телефон разлочил и что он туда при этом напихал. просто об этом надо БОЛЬШИМИ буквами предупреждать пользователя — мол так и так, телефон разлочили, пользуйся на свой страх и риск.
но далее в статье пишется совсем про другое — сами производители(т.е. даже не оем'щики) мутят воду и разлочка тут совсем не при делах, т.к. аппарат изначально не был залочен.Kalobok
18.11.2016 19:20+2Думаю, смысл слегка исказился при переводе термина. Unlocked — это именно изначально разлоченные телефоны, а не «вскрытые» пользователем. Но разлочка, даже такая, все равно не при делах. Провайдерские телефоны страдают от этой проблемы не меньше, а может и больше разлоченных, поскольку софт в них допиливается под пожелания провайдера и не всегда аккуратно. Был, например, у меня ноут 2 от AT&T. Из-за глюка обновлятора он в какой-то момент напрочь отказался видеть обновления. Помогла только ручная перепрошивка.
Hidon
18.11.2016 22:34чтобы что-то стало unlocked, это что-то сначала должно быть locked. а в статье просто подмена понятий. даже Вы пишите «изначально разлоченые» вместо, к примеру, «изначально не залоченые».
на примере телефонов apple — unlocked — это именно разлоченый, взломанный аппарат. а тот, что не залочен изначально — free sim.
Am0ralist
18.11.2016 17:39Естественно наплевать.
Безопасность пользователя же деньги не приносит.
«Прогресс идёт только когда что-то ломается, и СМИ начинают долбать Google с его партнёрами» — ибо это грозит падением доли устройств и потерей доходов, что, опять же, естественно.
И лишь пользователи гиктаймса и хабра грудью защищают свою священную корову от безосновательных наездов, ага.
Гуглу было, есть и будет плевать на пользователя и уж его тем более его безопасность. Они уже давно это продемонстрировали.
peacemakerv
18.11.2016 19:12Предлагаю устроить перекличку владельцев Android-устройств с указанием бренда\модели устройства, даты приобретения — на которые были (до какого года) или продолжаются по сей день периодические обновления прошивок «по воздуху» от производителя устройства.
У меня Xiaomi Redmi Note 2 обновлялся и обновляется (MIUI) с лета 2015 (год с лишним).
Но есть у меня общее какие-то недовольство устройством, что хочется сменить бренд — но штатное обновление прошивок хочется обязательно сохранить!
Делитесь инфой.
Ca5per
18.11.2016 19:16Кто может это исправить?
Исправить это может только Google, путем переписывания операционной системы Android и ядра, сделать это нужно было давно. Вместо этого Google переводит стрелки на производителей, которым выгодно, чтобы устройства не обновлялись. Например, Microsoft может обновлять Windows Phone.Am0ralist
18.11.2016 19:45> Например, Microsoft может обновлять Windows Phone.
Может… Но не хочет, ага.Ca5per
18.11.2016 20:00+1Да, к сожалению это так, у Microsoft есть возможность, но нет желания, возможно из-за партнерства с теми самыми производителями.
Когда Windows Phone только появилась на устройствах она обновлялась, потом перестали, как сейчас обстоит ситуация не знаю, не слежу.
Syzygy
18.11.2016 19:32>> Кто может это исправить?
Да любой надзорный орган, который начнёт заниматься делом и выпишет всей цепочке штрафы на несколько миллиардов. А при не исполнении решения — запретит заниматься бизнесом. Практика показывает, что все после такого становятся настолько дисциплинированными, что аж жуть берёт.ns3230
19.11.2016 01:29+1К сожалению, привлечение надзорных органов для решения какой-то проблемы — одно из последних решений, которые были бы оптимальны. Как показывает практика, надзорные органы не движут прогресс, а замедляют его. В случае с принуждением производителей увеличить на порядок уровень безопасности продукции, повысить устойчивость к взломам, заставить их обновлять девайсы каждый месяц по два раза — это неминуемо замедлит разработки и увеличит себестоимость. Как итог — продукция дорожает, 5 % (тут и далее цифры от балды) людей, которые доверяют технике слишком много ценной инфы, выигрывают, благодаря безопасности еще 45 % — проигрывают из-за удорожания техники и замедления разработок, а еще 50 % — абсолютно пофиг, что там у них с безопасностью. Главное, что работает стабильно. Ну и проблему хакеров, которые всегда будут находить новые и новые методы завладения нужной информацией, это никогда не решит на корню.
KOLANICH
18.11.2016 20:44+1>Потреб?л?ители: я бы призвал вас голосовать кошельком
Они и проголосовали кошельком. ОС надо обновлять, это работа людей и оборудования. Это небесплатно. И люди не готовы платить за это: к этому времени они уже новый телефон купят вместо морально устаревшего, потому что «у кого нет %X%, могут идти %по_адресу%».
swarggg
18.11.2016 23:15+1просто засвидетельствую, что мой Samsung Galaxy S5, которому уже 2,5 года, раз в месяц получает обновления безопасности ( за что самсунгу респект конечно)
Kiborg777
18.11.2016 23:45+1Samsung Galaxy S4 (3 года) — получает обновления безопасности
Nexus 5 (2.5 года) — получает обновления безопасности
Моto E (меньше двух лет) — не получает ничего
Blu R1 HD (тот самый из статьи, меньше года) — получает обновления
Всякое китайское барахло (типа ZTE Maven, чуть больше года), используемое как GPS Navigator — ничего не получает и не получало. Учитывая, что моя адресная книга уже есть у всевозможных Вайберов, Скайпов и Вотсаппов, утечка адресной книги меня не беспокоит. С другой стороны, потенциально возможен доступ к учетной записи Gmail со стороны китайских товарищей, что не есть хорошо.
rPman
19.11.2016 01:29+1только пожалуйста, не нужно под лозунгом защиты обычного пользователя
от террористовзакрывать возможность установки на телефоны сторонних прошивок (очищенных от бреда его разработчиков само собой)bopoh13
20.11.2016 02:10+1Ещё бы в телевизорах прошивки менять: камеры выключать. А тех.данные по железу телеков на рынке РФ вообще не найти. Например, видел в отзывах, что телек должен тянуть видео через DLNA, а через 15 мин картинка начинает фризить.
unxed
20.11.2016 19:51+1Всем наплевать на безопасность андроида в принципе. Прошивки перестают выходить достаточно быстро. Древнее ядро? Дыры? Всем пофиг. Проблему древних прошивок можно решить разве что цианоген-модом, но для многих ли моделей он есть?
DrPass
> Что хуже всего, среднему пользователю наплевать на компьютерную безопасность,
> пока не произойдёт чего-нибудь плохого, из-за чего всё так и идёт.
Так и есть. Но с другой стороны, а почему должно быть иначе? Чем рискует средний пользователь на своём телефоне? Пятью баксами на лицевом счету? Фотографиями котиков? Паролем к учетке Фейсбука? Защита должна соответствовать ценности данных. Самое ценное, что может быть у некоторых, разве что SMSки от банка. Но тут все равно телефона недостаточно, должна быть целевая атака на данного пользователя.
gsaw
Доступ к маилам не требует ввода пароля. А мой маил куда только не привязан. И у меня на счету не пять баксов, и мой доступ к банковскому счету тоже привязан к маилу, и аутентификаци транзакций происходит посредством SMS. И доступ к drive.google.com тоже не требует паролей, на диске у меня лежат сканы документов и много чего.
Попади мой телефон или данные в чужие руки мне пришлось бы туго. У большинства может быть ничего интересного на телефоне нет, но многие попросту не понимают или пренебрегают. Беда часто воспринимается лишь абстактно. Она как динозавр, «50/50, либо встречу либо нет». Может это чисто защитный механизм иначе бы все сидели по домам, а то мало ли, что может произойти.
DrPass
Бизнес-пользователи — это совсем иная категория пользователей, они далеко не «средние». Понятное дело, что и для вас, да и для меня телефон играет иную роль. Но я полагаю, вы и внимания безопасности уделяете поболе, верно ведь?
IgorGIV
Так тут лишь вопрос в том, что Вы ради своего удобства доверили смартфону слишком много «чувствительной» для Вас информации. Я бы так не рисковал. Ведь давно известно, что «удобство» и «безопасность» — есть противоположные плечи одних весов.
niks255
Целевая атака возможна вполне. Я уже вижу — присылает вам коллектор MMS с вредоносным файлам, получает весь ваш список контактов и начинается веселье. Да вообще любой имеющий ваш номер телефона человек (а достать его несложно) может на телефоне творить что хочет.
xcore78
Средний пользователь в стране автора статьи рискует стать жертвой Identity Theft, что очень неприятно и затратно.
noou
Ботнеты, например.