Как уязвимости в Android поставили под удар российский бизнес
Проблемы с безопасностью и защищенностью смартфонов давно перестали быть головной болью отдельных пользователей. Под угрозой уже давно компании, ведь многочисленные уязвимости в мобильных ОС киберпреступники используют, чтобы взломать периметр корпоративной, а не только личной безопасности. Наиболее опасными считаются угрозы нулевого дня, глядя на число обнаружений которых становится страшно: сколько еще проблем Android не было вычислено?
Угрозы нулевого дня атаковали Android
Новости об обнаружении уязвимостей в западных мобильных операционных системах стали уже обыденными для российского читателя. Очередная появилась совсем недавно — в начале октября. О проблеме отчитался сам Google, нарушив тем самым сложившуюся традицию — как правило, о таких проблемах сначала сообщают пользователи или исследователи в области информационной безопасности.
Что выделяет именно этот случай — выявленная проблема оказалась угрозой нулевого дня и была направлена на самый широкий круг пользователей. Угрозы нулевого дня (0day) считаются самыми опасными, потому что неизвестны ни производителю ПО, ни пользователям, ни компаниям-разработчикам защитных решений и могут использоваться злоумышленниками продолжительное время, вплоть до обнаружения.
Обнаруженная уязвимость находится в коде ядра операционной системы Android и может быть использована, чтобы помочь злоумышленнику получить root-доступ к устройству. Очень ярко характеризует разработчиков то обстоятельство, что о данной уязвимости было известно давно - впервые она была обнаружена в версиях ядра Android 3.18, 4.14, 4.4 и 4.9, где её успешно исправили. Но в более новых версиях об этой уязвимости просто забыли.
Найденная угроза, по мнению исследователей самого Google, затронула пользователей целого перечня смартфонов. В их числе оказались модели под управлением Android 8.x и более поздних версий: Pixel 2, Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Оппо А3, Мото Z3, Oreo LG и Samsung S7, S8, S9. Кроме того исследователи отмечают, что уязвимость может присутствовать и на множестве других устройств, так как у них не было физической возможности проверить все существующие модели.
Исследователи Google также заявили, что «эксплойт требует незначительной настройки или не требует индивидуальной настройки для каждого устройства» вовсе. Это означает, что угроза захвата контроля повисла над максимально возможным числом устройств.
Проблема была обнаружена благодаря сотрудничеству двух команд — Google Project Zero и Threat Analysis Group. В сентябре они вместе отчитались об обнаружении 14 угроз нулевого дня в другой популярной мобильной операционной системе — iOS.
Ущерб исчисляется миллиардами
Ежегодно появляются десятки сообщений об обнаружении и исправлении различных уязвимостей в ОС Android. Многие из них Google обнаруживает раньше киберпреступников, но некоторые становятся критическими угрозами нулевого дня. Методики их использования, как и последствия, могут быть разнообразными. От отправки в WhatsApp GIF-изображений, запускающих удаленный код на смартфонах под управлением Android 8.1-9.0, до видео-угрозы, актуальной для миллиарда устройств по всему миру!
Случаются ситуации, которые свидетельствуют о недостаточной защите мобильных операционных систем. Самый свежий пример — троян FANTA, который был направлен на конкретный сегмент — пользователей российских платформ вторичной перепродажи товаров и каршеринговых сервисов. Вредоносная программа имитировала окно для ввода банковских данных, а также могла читать сообщения от банков. Сумма общего ущерба превысила 35 млн рублей.
Жертвами еще одной атаки на Android-устройства стали российские банки. Ботнет Geost за последние три года атаковал более 800 тыс. смартфонов. Их владельцы были преимущественно клиентами пяти крупнейших российских банков. В общей сложности злоумышленники контролировали, по разным оценкам, от нескольких миллиардов рублей до сотен миллионов евро.
Говоря о банковской угрозе, стоит вспомнить, что, по данным ФинЦЕРТ Центробанка, в 43% банковских приложений для Android присутствуют уязвимости высокого уровня риска (показатель для iOS — 38%). При этом в 76% мобильных приложений данные хранятся небезопасным способом. Эксперты предостерегают, что это может закончиться утечками паролей, финансовой информации и персональных данных пользователей.
Россия — мировой лидер по киберугрозам для Android
На фоне этих примеров становится понятнее статистика, озвученная международной антивирусной компанией ESET, которая сообщила, что Россия лидирует по количеству киберугроз для Android. При этом, несмотря на то, что число мобильных угроз имеет выраженную тенденцию к сокращению (минус 8% за последний год), доля именно критических уязвимостей растет и составляет на данный момент порядка 68% (аналогичный показатель для iOS — 19%, что лучше, но тоже плохо). Одним из самых распространенных видов мобильных угроз в ESET сочли вымогателей.
Добавьте к уязвимостям в Android проблемы, которые скрыты в магазине приложений Google Play и общую неосведомленность пользователей о возможных угрозах — и вы получите целый шторм мобильных проблем, в котором очень сложно спастись самому, а еще сложнее — не подставить свою компанию. Ведь проблемы Android очень часто становятся проблемами бизнеса. Не обязательно в банковском сегменте. Ценная информация есть внутри периметра любой крупной или средней компании, и попасть туда хотят сотни хакеров. Опасность фишинговых рассылок, не связанных напрямую с мобильными ОС, удваивается, когда ссылку с вредоносным кодом можно открыть не только с рабочего компьютера, но и с персонального смартфона.
К сожалению, многие российские компании, уделяя достаточное внимание организации информационной безопасности для классической сетевой инфраструктуры игнорируют необходимость организации безопасного корпоративного мобильного контура. Учитывая всё возрастающую роль мобильности в бизнес-процессах и высокую уязвимость наиболее распространенных мобильных операционных систем Android и iOS не приходится сомневаться, что негативный тренд на рост убытков связанных с киберпреступностью в России продолжится. Эффективным решением данной проблемы могло бы стать внедрение систем, предназначенных для корпоративного использования, более защищенных и не обладающих недостатками продуктов для массового рынка.
А по мере развития технологии 5G и ее проникновения в широкую эксплуатацию, уязвимости мобильных операционных систем станут критическими и для простых людей, и для бизнеса, и, скорее всего, для государства. Особенно опасными будут ИВ-ботнеты, которые в тотально умном мире и умных офисах будут с космической скоростью загружаться, разворачиваться и красть персональные данные со смартфонов, получать контроль над ними и над устройствами вселенной интернета вещей. И, скорее всего, над особенно чувствительными сведениями корпораций.