CC BY
177
SCIENCE TIME
УГРОЗЫ БЕЗОПАСНОСТИ МОБИЛЬНЫХ ПЛАТФОРМ И ПРАКТИЧЕСКИЕ ПУТИ ИХ РАЗРЕШЕНИЯ
Сакабаев Айвар Айтуарович, Уалиев Нуржан Сатыбалдиевич, Жетысуский государственный университет им. И. Жансугурова, г. Талдыкорган
E-mail: a.sakabayev@gmail.com
Аннотация. В работе рассмотрены основные пути проникновения вредоносного программного обеспечения в мобильные устройства, уделено внимание уязвимостям, возникающим в следствие действий пользователя, практическим путям устранения последствий и методам предотвращения злонамеренного проникновения угроз на мобильное устройство.
Ключевые слова: мобильное устройство, обеспечение безопасности, 9 вирусы, несанкционированный доступ.
Когда речь заходит о безопасности мобильных платформ, большинство из них являются мишенями, которые с легкостью могут подвергнуться нападению.
В итоговом докладе Government Accountability Office Конгрессу США о состоянии безопасности мобильных устройств говорится, что количество киберпреступлений связанных с внедрением вредоносного ПО в мобильные платформы возросли с 14 000 до 40 000 или около 185% менее чем за год.
Современные мобильные устройства, построенные на полноценных операционных системах с колоссальными возможностями, являются соблазнительными целями для хакерских атак. Мобильные устройства предоставляют злоумышленникам куда больше возможностей, чем обычные компьютеры. Это связано прежде всего с тем, что большинство из девайсов оборудованы камерами (в том числе и фронтальными), микрофоном, всякого рода приемниками(GPS), которые используются пользователями в различных жизненных ситуациях и являются незаменимыми средствами при общении. Все это происходит до тех пор, пока мобильное устройство контролируется его владельцем. В случае если контроль над устройством перехвачен злоумышленником, он получает следующие возможности:
- !оступ к почтовым сервисам и хранящимся на устройстве
конфиденциальным данным, в том числе похищать пароли жертвы (например, к системам «Клиент-Банк» или аккаунтам социальных сетей), номера банковских
19 4
а
счетов и многое другое. Это дает возможность для шантажа, сбора и перепродажи информации о жертве или подмены информации;
- удаленное управление устройством, в том числе блокировать некоторые его функции, например, перехватывать входящие СМС, нежелательные для злоумышленников с целью вредительства;
- отправлять без ведома пользователя сомнительные СМС и совершать звонки на премиумномера — т. е. наносить прямой денежный ущерб;
- совершать хищения — с банковского счета, из систем онлайн-платежей;
- шпионить — записывать разговоры жертвы через включенный микрофон; получать данные от GPS-навигатора о местонахождении (присутствии или отсутствии в определенных местах); включать фото- и видеокамеру устройства с целью выяснить, где находится владелец устройства; следить за тем, какие сайты посещает жертва, кому звонит и кто звонит ей, с кем ведет переписку, кому отправляет СМС.[1]
Мобильные устройства сталкиваются с целым рядом угроз, которые используют многочисленные уязвимости, обычно встречающиеся на таких устройствах. Эти уязвимости могут быть результатом недостаточного _ технического управления, но они также могут быть и следствием несоблюдения правил безопасности пользователями девайсов. Частные компании и
соответствующие органы приняли меры для повышения безопасности мобильных устройств, в том числе делая определенные элементы управления доступными для потребителей, и обнародования информации о рекомендуемой техники безопасности работы с мобильными устройствами. Тем не менее, средства безопасности не всегда последовательно реализуется на мобильных устройствах, и возникает неясность в том, что существует ли осознание потребителями важности создания условий для обеспечения безопасности на своих устройствах.
На сегодняшний день известно множество путей проникновения
вредоносных программ на мобильное устройство, основными являются:
1. Проникновение в девайс через уязвимости. Уязвимостью называют недостаток в системе или прикладном ПО, используя который можно нарушить их целостность (иными словами, проникнуть в них) и вызвать неправильную работу. Теоретически абсолютно любую ошибку в программе можно
использовать для причинения вреда системе в целом. Не существует ПО, в
котором не было бы уязвимостей. Но особенно много уязвимостей в операционных системах Windows и Android — первая наиболее распространена для компьютеров и ноутбуков, вторая — для мобильных устройств. Разработчики программного обеспечения прилагают усилия по закрытию уязвимостей, особенно критических, но вирусописатели часто узнают об уязвимостях раньше, чем разработчики этого ПО (это так называемые
195
уязвимости нулевого дня — 0day exploits, уязвимости, о которых пока известно только вирусописателю или для исправления, которых производитель ПО пока еще не выпустил «заплатки»). [1]
2. Из сети Интернет. Многие сайты, независимо от содержимого, могут содержать вирусы или вредоносные скрипты. Заражение может происходить при посещении сайта, когда злоумышленники различными способами заставляют пользователя скачать и запустить apk-файл.
3. Через мобильные редиректы. Значительная часть интернет-сайтов работает при помощи так называемых систем управления контентом (Content Management Systems, CMS) — это специальный набор программ, позволяющих публиковать веб-страницы, редактировать их содержимое, гибко настраивать оформление и оперативно менять структуру сайта. Большинство современных CMS распространяется согласно условиям открытых лицензий, то есть бесплатно, при этом любой желающий может ознакомиться с их исходным кодом. Благодаря этому злоумышленники, изучив структуру составляющих CMS программ, могут отыскать в них уязвимости и взломать работающий под управлением такой системы сайт. С помощью взломанных сайтов злоумышленники могут распространять различные вредоносные программы, самыми «популярными» из которых являются различные модификации Android.SmsSend. Троянцы этого семейства предназначены для отправки СМСсообщений с повышенной тарификацией и подписки пользователей на различные платные контент-услуги и сервисы, в результате чего с абонентского счета может списываться определенная сумма. [2]
4. Благодаря фишингу и социальной инженерии. Серьезную опасность для пользователей устройств представляют и фишинговые атаки, при помощи которых киберпреступники пытаются обманным путем заставить своих жертв выдать конфиденциальные сведения (логины, пароли, телефонные номера и т. п.), совершить сомнительные действия (например, перевести определенную сумму с банковской карты), либо установить вредоносную программу.
5. Благодаря самим пользователям. Большая часть современных вредоносных программ не является вирусами — т. е. не имеет механизма саморазмножения. Они рассчитаны на распространение самими пользователями. С помощью разнообразных уловок (методов социальной инженерии) преступник добивается, чтобы жертва установила какую-либо вредоносную программу, открыла вредоносный файл, посетила взломанный сайт и т. д.
Касаясь темы проникновения как вирусов, так и злоумышленников посредством халатных действий пользователей мобильных устройств необходимо отразить, учитывая специфику мобильных угроз, полный перечень создаваемых им уязвимостей на мобильных устройствах:
1. В большинстве мобильных устройств нет паролей доступа. Мобильные
19 6
устройства очень часто не снабжаются паролями для аутентификации пользователей и управления доступом к данным, хранящимся на устройствах. Во многих устройствах есть техническая возможность поддерживать пароли, персональные идентификационные номера (PIN) или модели экранных замков для аутентификации. Некоторые мобильные устройства также включают в себя биометрический сканер для сканирования отпечатков пальцев для аутентификации. Однако, на практике данные механизмы используются крайне редко. Кроме того, даже в случае если пользователи используют пароли или PIN-коды, то они часто выбирают такие, которые могут быть легко определены или взломаны, к примеру 1234 или 0000. Без паролей или PIN-кодов для блокировки устройства, растет риск кражи или потери информации на устройствах, а также риск того, что неавторизованные пользователи в том числе и злоумышленники могут получить доступ к конфиденциальной информации и использовать ее на свое усмотрение.
2. Двухфакторная (двухэтапная) аутентификация не всегда используется при проведении конфиденциальных сделок на мобильных устройствах. Согласно исследованиям, потребители обычно используют статические пароли вместо
° двухфакторной аутентификации при проведении конфиденциальных онлайн операций посредством мобильных устройств. Использование статических паролей для аутентификации имеет определенные недостатки безопасности: пароль можно забыть, его могут подслушать, украсть и т.д. Двухфакторная аутентификация обычно обеспечивает более высокий уровень безопасности, чем традиционные пароли и PIN-коды, и этот более высокий уровень может стать ключевым звеном по обеспечению защиты личной информации при проведении онлайн операций. Двухфакторная аутентификация - это метод идентификации пользователя в каком-либо сервисе при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, более эффективную защиту устройств от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя. Мобильные устройства могут быть использованы в качестве второго фактора в некоторых схемах двухфакторной аутентификации. Мобильное устройство может генерировать коды доступа, или коды могут быть отправлены через текстовое сообщение на телефон.
3. Беспроводная передача данных не всегда зашифрована. Такая информация, как сообщения электронной почты, отправленные с помощью мобильного устройства, как правило, не шифруются во время транзита. Кроме того, большинство приложений не шифруют данные, они лишь передают и получают их по сети, открывая возможность перехвата информации сторонним
19 7
пользователям или злоумышленникам. Например, если приложение передает данные в открытом виде по сети Wi-Fi с помощью HTTP (вместо Secure HTTP), данные могут быть легко перехвачены.
4. Мобильные устройства могут содержать вредоносные программы. Потребители могут скачать приложения, содержащие вредоносное программное обеспечение. Потребители могут загрузить вредоносное ПО неосознанно, потому что они могут быть замаскированы под игры, обновления для системы безопасности или другие полезные приложения.
5. Мобильные устройства часто не оснащены защитным программным обеспечением. На многих мобильных устройствах не установлены антивирусы, брандмауэры и другое программное обеспечение защищающее устройство от вредоносных приложений, программ-шпионов и вредоносных атак на их основе. Кроме того, пользователи не всегда устанавливают такое программное обеспечение безопасности, отчасти потому, что такое программное обеспечение может замедлить операции и сократить время работы аккумулятора на некоторых мобильных устройствах. В то время использование мобильных устройств без защитных программ может привести к нежелательным последствиям.
6. Операционная система и программное обеспечение устройства могут быть устаревшими. Обновления системы безопасности или исправления для операционных систем не всегда своевременно установлены на мобильных устройствах. Эта процедура может занимать несколько недель или месяцев, прежде чем обновления безопасности предоставляются потребителям. В зависимости от характера уязвимости, процесс исправления может быть сложным и включать в себя много частей. Кроме того, мобильные устройства, которые старше двух лет не могут получать обновления безопасности, потому что производители больше не поддерживают эти устройства. Многие производители прекращают поддержку смартфонов по истечению 12-18 месяцев после их выпуска. Такие устройства могут сталкиваются с повышенным риском, если производители не развивают патчи для вновь обнаруженных уязвимостей.
Такая же ситуация обстоит и с программным обеспечением устройств. Безопасные патчи для сторонних приложений не всегда разрабатываются и выпускаются своевременно. Кроме того, мобильные приложения сторонних производителей, в том числе веб-браузеров, не всегда уведомляют потребителей о наличии обновлений. В отличие от традиционных веб-браузеров, мобильные браузеры редко получать обновления.
7. Мобильные устройства часто не ограничивают подключение к Интернету. Многие мобильные устройства не имеют брандмауэры, ограничивающие соединения. Когда устройство подключено к глобальной сети он использует коммуникационные порты для подключения с другими
198
устройствами и Интернетом. Хакер может получить доступ к мобильному устройству через незащищенный порт Брандмауэр защищает эти порты и позволяет пользователю выбрать, какие соединения сбудут работать и какие будут отключены в мобильном устройстве. Без брандмауэра, мобильное устройство может быть открыто для вторжения из незащищенного коммуникационного порта, и злоумышленник сможет получить доступ к конфиденциальной информации на устройстве и злоупотреблять ее.
8. Мобильные устройства могут подвергнуться несанкционированной модификации. Процесс модификации мобильного устройства для удаления ограничений может проводиться пользователями для добавления новых функций (известных как "jailbreaking" или "rooting") меняющих, каким образом будет управляться устройство. Это в свою очередь может увеличить риски для безопасности. Джейлбрейк позволяет пользователям получить доступ к операционной системе устройства таким образом, чтобы разрешить установку несанкционированных функций программного обеспечения и приложений и /или не быть привязанными к конкретной беспроводной связи. В то время как одни пользователи могут модифицировать свои мобильные устройства специально _ для установки расширений безопасности, таких как брандмауэры, другие же просто могут искать менее дорогой или более простой способ установки желаемых приложений. В последнем случае, пользователи сталкиваются с повышенным риском безопасности, потому что они действуют в обход процесса аттестации приложений, установленных заводом-изготовителем и, таким образом, имеют меньше защиты от непреднамеренной инсталляции вредоносного ПО. [3] Кроме того, устройства с джейлбрейком могут не получить уведомления о обновлениях безопасности от производителя и могут потребовать дополнительных усилий от пользователя для поддержания современного программного обеспечения.
9. Каналы связи могут быть плохо защищены. Использование таких каналов связи, как Bluetooth-соединение в «открытым" или "поисковом" режиме, позволяющие устройству быть замеченными другими Bluetooth-устройствами с целью подключения, дает злоумышленнику возможность для установки вредоносных программ через это соединение, или тайно активировать микрофон или камеру, чтобы подслушать пользователя. Кроме того, с помощью незащищенных открытых беспроводных Интернет сетей или WiFi злоумышленник может подключиться к устройству и просматривать конфиденциальную информацию. Одним из распространённых типов атаки через WiFi сети является атака под названием «man-in-the-middle» (человек в середине) при котором злоумышленник вставляет себя в середину потока связи и крадет информацию.
Отсюда возникает острая необходимость обеспечения мобильных устройств
19 9
полноценной защитой. Ниже предлагаются ряд идей, способных решить проблему безопасности информации на устройствах с мобильной платформой:
1. Включить аутентификацию пользователя: устройства могут быть сконфигурированы с требованием паролей доступа, которые должны иметь в своем составе не менее 8 не повторяющихся символов. Кроме того, ввод в поле пароля должен быть замаскирован, для предотвращения его наблюдения, также на устройстве должно быть активирована блокировка экрана в режиме ожидания времени для предотвращения несанкционированного доступа.
2. Проверить подлинность загруженных приложений: данные процедуры могут быть реализованы посредством оценки цифровых подписей загруженных приложений, чтобы они не были подделаны.
3. Включить двухфакторную аутентификацию для чувствительных сделок: двухфакторная аутентификация может использоваться при проведении конфиденциальных сделок на мобильных устройствах, таких как мобильного банкинг или при проведении финансовых операций.
4. Установить антивирусные программы для защиты от вредоносных приложений, вирусов, шпионских программ, инфицированных цифровых карт, и вредоносных атак на их основе. Кроме того, такие возможности могут защитить от нежелательных голосовых сообщений (спама), текстовых сообщений, и вложений электронной почты.
5. Установить брандмауэр: персональный брандмауэр может защитить от несанкционированного подключения, перехватывая входящие и исходящие соединения, блокируя или разрешая их на основе списка правил.
6. Установить обновления безопасности: обновления программного
обеспечения может автоматически передаваться от производителя непосредственно на мобильное устройство.
7. Удаленно отключить потерянные или украденные устройства: функция дистанционного отключения для потерянных или украденных устройств удаленно блокирует устройство или полностью стирает его содержимое.
8. Включить шифрование данных, хранящихся на устройстве или на карте памяти: шифрование данных защищает конфиденциальные данные, хранящиеся на мобильных устройствах и картах памяти. У устройства могут быть встроенные возможности шифрования, в противном случае, можно использовать средства шифрования, имеющиеся в продаже.
9. Включить белые списки (whitelist): Белые списки являются программным управлением, которые позволяют выполнять только заведомо безопасные приложения.
10. Создание мобильной политики безопасности устройства: политика безопасности включает в себя правила, принципы и практику, которые определяют, как организация рассматривает мобильные устройства, являются ли
200
они выпущенными этой организацией или принадлежат частным лицам. Политика должна охватывать такие области, как обязанности, безопасность инфраструктуры, безопасность устройства и оценка безопасности. Устанавливая политику, направленную на данные области, агентство может создать основу для практического применения и теоретического обучения, чтобы помочь поддержать безопасность беспроводных сетей.
11. Обеспечить полноценное обучения по мобильной безопасности
устройств: обучение сотрудников политике мобильной безопасности
организации может способствовать тому, что мобильные устройства будут настраиваться, эксплуатироваться и использоваться безопасным и надлежащим образом.
12. Провести оценку риска: анализ рисков определяет уязвимости и угрозы, перечисляет потенциальные атаки, оценивает их шансы и оценивает потенциальный ущерб от успешных атак на мобильные устройства.
Таким образом, на сегодня можно с уверенностью сказать, что практически все устройства на мобильных платформах стали полноценными носителями конфиденциальной информации, важных персональных или корпоративных данных. В связи с этим обеспечение защиты информации становиться одним из | важнейших компонентов при работе с мобильными устройствами. Все задачи по обеспечению безопасности пользования мобильными устройствами можно разделить на две категории технические и организационные. Технические связаны с обеспечением „физической» безопасности устройств, управлением доступом с помощью паролей и шифрования данных, применением аутентификации и возможности уничтожения всех данных после кражи устройства и т.д. В этом пользователю поможет весь спектр современных программ и устройств — антивирусное ПО, межсетевые экраны, VPN, ключи доступа и так далее. Организационные задачи связаны с разработкой и контролем исполнения политик безопасности мобильных устройств со стороны пользователей, разработкой правил использования публичных беспроводных сетей и т.д. Использование мобильных устройств создает необходимость произвести комплексный анализ и последующее изменение программно -аппаратных, организационных и технических принципов обеспечения информационной безопасности.
Литература:
1. ООО «Доктор Веб», Современные угрозы для мобильных устройств, 2013.
2. Michael Cooney, The 10 most common mobile security problems and how you can fight them, CSO, International Data Group, September, 2012
3. Yong Snider, Kevin Streff, Sonell Raman, Smartphone Security Challenges, IEEE Computer, December 2012, IEEE Computer Society.
20 1
