Разделы

Безопасность ИТ в госсекторе Техника Мобильность

Армия США при боевых действиях годами использует «дырявые» приложения для Android. Видео

В двух навигационных приложениях, которые используются американскими военными для выполнения миссий, обнаружены серьезные уязвимости. Приложения отображают спутниковые снимки близлежащих объектов и военных частей. Через них можно связаться с другим подразделениям или вызвать удар с воздуха. Все эти данные несколько месяцев были доступны противникам США.

«Дырявые» приложения

Два Android-приложения, которые используются в армии США для отработки сценариев военных операций, содержат серьезные уязвимости. Об этом сообщается в докладе генерального инспектора Военно-морского флота США, пишет ресурс ZDNet.

Речь идет о приложениях KILSWITCH (Kinetic Integrated Low-Cost Software Integrated Tactical Combat Handheld) и APASS (Android Precision Assault Strike Suite). Оба приложения работают как навигаторы, отображая спутниковые снимки близлежащих объектов. В том числе они показывают объекты, которые являются целью той или иной операции, а также расположение вражеских и союзных частей.

Кроме того, в приложениях есть мессенджеры, которые позволяют пользователям общаться в реальном времени, чтобы скоординировать действия различных подразделений. Также через приложения всего несколькими кликами можно вызвать поддержку с воздуха — информация об этом содержится в пресс-релизе Управления перспективных исследовательских проектов Министерства обороны США (DARPA) и сопутствующем видео.

Разработка KILSWITCH и APASS началась в 2012 г., а в 2015 г. они стали доступны всем военным подразделениям США в магазине приложений, которым управляет Национальное агентство геопространственной разведки.

Беззащитная армия

Согласно отчету генерального инспектора ВМС, оба приложения содержат уязвимости, которые дают возможность врагу получить доступ к данным американских военных подразделений. Отчет был подготовлен в марте 2018 г., но обнародован только теперь.

usarmy600.jpg
Американские военные пользуются уязвимыми приложениями для выполнения миссий

Поскольку документ был отредактирован, в нем не осталось подробностей об уязвимостях. Однако профильные СМИ отмечают, что несомненно одно — ВМС не смогли проконтролировать качество KILSWITCH и APASS, а потом просто не сообщил всей американской армии, в какой опасности она находится как минимум с марта месяца.

Одновременно в отчете предпринимается попытка до некоторой степени оправдать разработчиков приложений. Информационная безопасность не была их основным приоритетом, потому что KILSWITCH и APASS изначально должны были использоваться только для тренировочных военных операций.

Оба уязвимых приложения показывают спутниковые снимки близлежащих объектов

Однако, как отмечает генеральный инспектор ВМС, руководство флота не проинструктировало кадровый состав, что эти приложения нельзя использовать в зонах боевых действий, и что вместо них в горячих точках нужно пользоваться тщательно протестированным и одобренным Министерством обороны приложением ATAK (Android Tactical Assault Kit). Такое предупреждение было разослано по армии только в июне 2018 г. К этому следует добавить, что благодаря простому интерфейсу и «быстрым» функциям KILSWITCH и APASS стали очень популярны как в американской армии, так и в дружественных иностранных войсках.

Как были найдены уязвимости

Уязвимости были обнаружены разработчиком Энтони Кимом (Anthony Kim), который ранее принимал участие в создании KILSWITCH, когда работал аналитиком в Научно-исследовательском центре боевого применения морской авиации (NAWCWD). Он нашел уязвимости в марте 2017 г., после чего сразу же обратился к своему непосредственному руководству, но его сообщение было проигнорировано.

Когда аналитик вновь заговорил об уязвимостях, ему прямым текстом посоветовали не бросать тень на частного подрядчика DPSS, который совместно с NAWCWD разрабатывал приложения. Затем, по словам юриста Кима, разработчику уменьшили выплаты, поскольку он продолжил привлекать внимание к проблеме.

Ким не сдался и сообщил об уязвимостях высшему руководству ВМФ по программе информаторов, которая существует в Пентагоне. После этого и была запущена проверка под руководством генерального инспектора. Через месяц после начала проверки руководство Кима отправило аналитика в отпуск, приостановило выплату вознаграждения и закрыло ему доступ к секретной информации. В своем отчете генеральный инспектор ВМФ выражает благодарность осведомителю, своевременные действия которого помогли защитить армию.

Валерия Шмырова