АРМАДА
У вас уже есть встроенный антивирус, другого не нужно
Новая тема Написать ответ

Miss Content
V.I.P.
Зарегистрирован: 05.03.2010
Сообщений: 7881
Обратиться по нику
# Добавлено:Пн Окт 05, 2015 1:28 pmДобавить в избранноеОтветить с цитатой
Многолетнее противостояние Android и iOS убедило миллионы пользователей в том, что у платформе Google существует масштабная проблема засилья вирусов, а мобильная ОС от Apple якобы от этой проблемы избавлена. Однако в сентябре стало известно, что и в App Store могут попасть вирусы, и не существует универсального способа застраховать себя от кражи ценных данных.

Как выяснилось, в Google не только не игнорируют эту проблему, но и активно борются с ней, в том числе в России. TJ поговорил с представителями отдела безопасности Android Себастианом Порстом (Sebastian Porst) и Адрианом Людвигом (Adrian Ludwig) о прошедшей в 2015 году кампании по борьбе с несколькими семействами вирусов, распространённых в России, а также узнал их мнение по необходимости установки антивирусов и спросил совета по обеспечению безопасности на мобильных платформах.

Если все приложения в Google Play сканируются на предмет угроз по умолчанию, то на устройствах пользователей у компании есть три основных метода борьбы против потенциально опасных программ (PHA, potentially harmful application). Первый — показывать уведомление при попытке установки PHA, второй — анализировать уже установленные приложения и предлагать пользователю удалить их, третий — следить за общим состоянием безопасности системы, проверять, не было ли взлома.

PHA для Google — это любой тип компьютерной угрозы, который «соответствует определённому уровню интереса с точки зрения безопасности». Понятие может быть как шире, так и у́же, чем просто «вредоносное приложение».

Согласно собственной статистике Google, в конце 2014 года в России было около 8,5% Android-устройств с установленными приложениями, которые загружали PHA из сторонних источников. К сентябрю 2015 года их количество удалось снизить до 2,5%.



Большой скачок в конце 2014 года Себастиан Порст объясняет усилением мер по обнаружению вредоносных программ.

У нас раньше просто не было такой видимости. […] Я думаю, что в конце 2014 года мы больше узнали о плохом состоянии дел в России в целом — это был всплеск не новых приложений, а лишь не обнаруженных старых.
Себастиан Порст, глава разработки антивирусных решений Android Security

Какие именно вредоносные приложения были обнаружены в ходе этого периоде, в Google не раскрывают: представители компании уточнили, что речь идёт о шести «семействах», которые вели себя практически идентично, и о которых было известно сотрудникам отдела безопасности ещё с 2013 года. По словам Порста, сторонние исследовательские фирмы сообщали обо всех этих угрозах публично.

Особенностью этих PHA было использование хакерами некоторых форм социальной инженерии. На экране пользователя выводились уведомления вроде «Ваш смартфон заражён, скачайте это приложение для проверки на вирусы» или «Доступно обновление. Нажмите ОК, чтобы скачать его». В других случаях вредоносные программы шли в комплекте обычных, и загрузка вируса была незаметна для пользователя.

PHA постоянно отслеживали, какие приложения запускает пользователь, и паразитировали на этом. Например, рассказал Порст, они дожидались, пока будет открыт «Сбербанк Онлайн», затем демонстрировали диалог ввода логина и пароля, а на самом деле это было фишинговой формой. При помощи неё хакеры крали данные кредитных карт, аккаунты Google Play, а также данные клиентов некоторых других банков. В атаке на приложение «Сбербанка» пострадало около десяти тысяч пользователей, однако назвать точную цифру представители Google не смогли.

С 12 марта 2015 года Google стала принимать активные действия по удалению этих программ (на графиках это фаза №1). Ранее сканирования и отображение предупреждений происходило раз в неделю: специально для России это стали делать ежедневно. Пользователям выводилась фраза в духе «Эй, вы собираетесь установить вредоносное приложение. Вы действительно хотите это сделать?», однако 15% аудитории просто игнорировало это предупреждение или даже отключало все уведомления целиком.

Компании пришлось проконсультироваться с носителем русского языка, чтобы уведомления от Google были осмысленными и полезными. Хотя количество уведомлений выросло в шесть раз, пользователи всё равно продолжали устанавливать вирусы.



30 марта компания заблокировала возможность устанавливать определённые приложения с PHA, а уже установленные попыталась удалённо стереть с устройств пользователей (это фаза №2). Однако часть вредоносных программ имела администраторский доступ, который ей выдали сами владельцы смартфонов и планшетов на Android: Google не могла удалить их автоматически. Для ограничения их полномочий компании пришлось использовать Intent Firewall — встроенный в Android брэндмауэр, способный запретить выполнение любого действия в системе. «Он запрещал PHA получать определённые системные сообщения, и этого было достаточно», — пояснил Порст.

В результате Google удалось удалить около 80-85% обнаруженных вредоносных приложений в России. Почему компания не смогла удалить их полностью, неизвестно: это требует дальнейшего изучения проблемы.

Из проведённой борьбы с вирусами на Android в компании вынесли два урока. Во-первых, выяснилось, что отображение предупреждений на экране устройства не даёт желаемого эффекта, а удалённое стирание вирусов гораздо более эффективно. Во-вторых, права администратора, которыми владельцы Android-устройств наделяли вредоносные приложения, оказались слишком могущественным инструментов в руках злоумышленников.

С другой стороны, сами хакеры оказались не приспособлены к такой быстрой зачистке, однако для полноценной борьбы с вирусами требуется постоянное функционирование укомплектованной специалистами команды. Тем не менее всегда останется большой процент пользователей, которые будут игнорировать все требования безопасности.

Некоторые пользователи нормально относятся к некоторому уровню опасности на их устройствах, но неясно, сколько именно таких людей. Вторая проблема в том, что более чем миллиард наших пользователей должны суметь понять суть наших сообщений: даже если мы скажем, что вот это — фишинговое приложение, большой процент пользователей просто не поймёт, что такое фишинговое приложение. Поэтому нам приходится объяснять иначе: «Это приложение может украсть деньги с вашей карты». Приходится разжёвывать.
Себастиан Порст, глава разработки антивирусных решений Android Security

Для предотвращения таких ситуаций в дальнейшем Google внесла некоторые изменения в Android M (Android 6.0 Marshmallow). В SDK для разработчиков запретили использовать метод getRunningTasks для отслеживания активности других программ, а для вывода системных сообщений потребуется явное разрешение от пользователя. Помимо этого, хакерам усложнили удалённое управление своими вредоносными приложениями через команды по SMS: для их активации каждый раз будет требоваться подтверждение от владельца устройства.

По словам специалиста отдела безопасности Android Адриана Людвига (Adrian Ludwig), на других платформах — например, Windows — невозможна быстрая реакция компании по исправлению уязвимостей в безопасности из-за огромного числа различных вендоров, которые не внедряют обновления централизованно и в короткие сроки. По его мнению, система безопасности Safety Net, имеющаяся на большинстве Android-устройств, позволила компании одновременно «накрыть» сразу всех пользователей из России и повлиять на распространение вредоносных программ.

Похожая проблема есть и в Android, признаёт Людвиг, однако в последнее время партнёры Google ускорили работу по выпуску обновлений: многие из них заявили о готовности выпускать обновления ежемесячно. «Апдейты каждый месяц — это по сути чаще, чем на любой другой ныне существующей платформе», — заявил Людвиг. По его словам, в особых ситуациях компании способны реагировать ещё быстрее.

В этой ситуации мы также наблюдали, как атакующие изменяли своё поведение, чтобы заставить пользователей обойти наши предупреждение. Например, они показывали сообщения из разряда: «Сейчас вы установите приложение и увидите вот такое предупреждение — просто проигнорируйте его». Мы видели, что это влияет на поведение пользователей. Мораль в том, что если ваша система не обновляется, то злоумышленник найдёт способ обойти её систему безопасности.
Адриан Людвиг, сотрудник Android Security

Это была не единственная попытка обойти систему безопасности, рассказал Людвиг. Российских хакеров обычно можно было идентифицировать по времени включения их сети дистрибуции вирусов: оно совпадало с началом рабочего дня в России. При этом злоумышленники старались вносить изменения в свои программы вечером пятницы, предполагая, что в Google не смогут отреагировать до начала следующей рабочей недели. Однако в Android Security Team распознали эту особенность поведения и стали в это же время вносить изменения в работу своих антивирусных систем: когда хакеры просыпались утром субботы по московскому времени, их программы не функционировали так, как надо.

Активным розыском хакеров в Google не занимались. «Мы знаем, что в России есть организации, занимающиеся расследованием подобных действий. Мы взаимодействовали с ними и предоставляли им полезную информацию, но мы не вовлекались в активные действия [против хакеров]», — заявил Людвиг.

Исторически сложилось так, что Google ранее не публиковала отчётов о найденных в Android уязвимостях: этим всегда занимались сторонние фирмы, специализирующиеся на кибербезопасности. Однако в конце лета 2015 года ситуация поменялась: вместе с ежемесячными обновлениями устройств Nexus компания стала разглашать обнаруженные баги: в открытом доступе есть отчёты за август и сентябрь.

У Android существует программа выплат за найденные уязвимости, однако компания никогда не вознаграждала отчёты об успешно работающих эксплойтах (вредоносных программах, использующих существующие уязвимости). По словам Людвига, за время существования программы Google выплатила исследователям более 100 тысяч долларов.
Место для Вашей рекламы!
Новая тема Написать ответ    ГЛАВНАЯ ~ НОВОСТИ ИНТЕРНЕТА

Перейти:  





Генеральный спонсор



Партнеры