Насколько безопасен смартфон

Поведение пользователя мобильного устройства за 10 лет почти не изменилось. Мало кто осознал, что его мобильный телефон – это полноценный компьютер, требующий к себе внимания в том числе по части безопасности.

Дело в том, что на мобильных устройствах теперь установлены операционные системы (ОС), позволяющие запускать сторонние приложения. Возникли армии их разработчиков – от международных корпораций, создающих увесистые платные приложения, до одиночек, по вечерам пишущих программы под свой смартфон. А след в след за разработчиками всегда шествуют злоумышленники-хакеры.

Юридические лица банковскими приложениями в большинстве своем не пользуются – их сотрудники используют их разве что с целью получить одноразовый код подтверждения для операций на незначительные суммы, говорит директор департамента международных проектов, аудита и консалтинга Group-IB Андрей Комаров. Так что атаки злоумышленников направлены в основном на держателей карт и счетов в банках, рискующих управлять ими с помощью мобильного телефона.

Организаторы таких атак часто используют сторонние каналы связи вроде Skype, позволяющие закидывать абонента sms-сообщениями и звонками для блокировки его телефона при совершении хищения, чтобы банк не смог ему дозвониться, рассказывает Комаров. А когда абонент подключается к незнакомой ему беспроводной сети WiFi, посещая кафе, те или иные людные места, аэропорты, злоумышленник пропускает через свой компьютер весь трафик владельца смартфона и может извлечь из эфира конфиденциальную информацию. Эта известная атака носит название «человек посередине». В отдельных случаях используется запись разговоров или удаленная активация встроенной в телефон видеокамеры для слежки за его владельцем, особенно если это состоятельный бизнесмен или топ-менеджер.

«Роботы» и «яблоки»

Наибольшему риску подвергаются обладатели смартфонов на платформах Android и Apple iOS – согласно отчету Gartner, самых популярных мобильных операционных системах 2012 г. (49,2 и 18,9% рынка соответственно).

Android – открытая операционная система; это означает, что разработчики предоставляют неограниченный доступ к ее коду. Злоумышленники, специализирующиеся на Android, внимательно изучают буквально каждую строчку этого кода и, обнаруживая уязвимости, мгновенно ими пользуются.

Apple iOS – закрытая операционная система, искать уязвимости в ней не так легко, но если злоумышленник их все-таки находит, то единственное лекарство – выход официального обновления от разработчика. В случае с Android обновления готовит все сообщество разработчиков этой системы.

Открытость Android и возможность установить на эту платформу ПО из любого источника ведут к тому, что 99,9% всего вредоносного ПО для мобильных устройств сегодня создается именно для Android, утверждает ведущий антивирусный эксперт «Лаборатории Касперского» Денис Масленников: «Если за весь 2011 год мы обнаружили почти 5300 новых вредоносных программ для всех мобильных платформ, то в некоторые месяцы 2012 г. число обнаруженных нами Android-зловредов превышало это годовое значение». Всего же уникальных вредоносных файлов насчитывается, по словам Масленникова, уже более 6 млн.

Картина меняется, когда дело касается уязвимостей – ошибок, допущенных при создании систем самими разработчиками. В 2012 г., согласно отчету Symantec, в iOS было выявлено 387 уязвимостей, а в Android – всего 13.

Приложения для Android и iOS распространяются через онлайн-магазины (репозитории) Google Play и AppStore. Принципы открытости и закрытости операционных систем работают и здесь: приложения проверяются по-разному.

Те приложения, которые поступают в AppStore, изучаются на наличие вредоносного кода сотрудниками Apple, так что вероятность заражения устройства на платформе iOS в момент загрузки ПО низка. C Google Play все иначе: проверка приложений происходит автоматически, и злоумышленники придумывают разные методы обхода систем проверки. Вирусы и трояны для Android появляются каждый день и выявляются в репозиториях постоянно. За пять с лишним лет существования AppStore был зафиксирован всего один случай попадания туда вредоносного ПО, а в Google Play вредоносные программы появляются регулярно и порой вызывают серьезные эпидемии, говорит Масленников.

Банк-клиент

Запуск троянца и получение контроля над смартфоном для злоумышленника не самоцель. Чаще всего его конечная задача – добраться до финансовых счетов владельца смартфона.

Комаров из Group-IB выделяет два основных сценария атак. В первом случае злоумышленник действует в пределах мобильной платформы и мобильного банк-клиента. Вредоносный код выполняет за пользователя ряд действий, которые позволяют создать без его ведома платежное поручение и перевести деньги по реквизитам, нужным злоумышленнику. Этот сценарий редкий (20% случаев), так как он требует от злоумышленника исключительного понимания принципов работы мобильного банка.

Гораздо чаще практикуют хищение с использованием вредоносного кода под мобильную платформу, когда компьютер пользователя уже предварительно заражен специальным банковским трояном (Zeus, SpyEye, Citadel, Carberp и др.). Для выполнения и подтверждения платежного поручения требуется ввести одноразовый пароль, который присылает банк в sms. Приложение злоумышленника, установленное на смартфон, позволяет перехватить пароль и скрыть уведомление о его приходе от пользователя. Это наиболее распространенный сценарий, который активно практикуется злоумышленниками как в России, так и за рубежом (70% случаев), говорит Комаров.

Еще 10% случаев приходятся на комбинированные атаки в мобильных окружениях, когда злоумышленник ведет постоянный мониторинг жертвы и собирает конфиденциальную информацию, чтобы затем совершить мошенничество. Как правило, его интересуют местонахождение человека (эту информацию легко снять с GPS-навигатора и доступного интернет-соединения), контакты телефонной книги, история звонков и содержание sms с уведомлениями от банка.

Компания Digital Security провела исследование рынка мобильных банк-клиентов и выяснила, что существует около 40 приложений мобильного банка для iOS и столько же – для Android, причем разрабатывают эти приложения часто не сами банки, а внешние подрядчики. Из всех известных типов уязвимостей нет ни одного, которому не был бы подвержен хотя бы один банк-клиент, свидетельствует отчет Digital Security. В целом же уязвимости обнаружены в 20–75% приложений мобильного банкинга.

Как противостоять

Прежде всего, на смартфоне, как и на любом компьютере, следует установить антивирус. Причем делать скидку на производительность устройства руководитель группы развития продуктов для мобильных платформ «Лаборатории Касперского» Виктор Дронов не советует. Антивирусы традиционно требовательны к ресурсам компьютеров, но у современных смартфонов настолько мощные процессоры, а алгоритмы мобильных антивирусов настолько «легкие», что заметить, как антивирус снижает быстродействие устройства, невооруженным глазом невозможно.

Для Android выпускается множество полноценных и регулярно обновляемых антивирусов, для iOS их меньше. Причиной тому опять-таки закрытость iOS: операционная система не позволяет сторонним программам вмешиваться в свои внутренние процессы, а без этого невозможна нормальная работа антивируса.

Острая потребность в антивирусе чаще всего возникает в случае jailbreak устройства – процедуры, снимающей ограничения Apple на установку и функционирование приложений, говорит эксперт по информационной безопасности Leta IT Андрей Чечёткин. Архитектура iOS выстроена так, что каждая программа выполняется в строго отведенном для нее участке памяти и с ограниченными полномочиями. А jailbreak дает приложению полный административный доступ к файловой системе и ресурсам смартфона. Это позволяет установить в обход AppStore какое угодно приложение – в том числе и такое, за которым скрыт зловредный код.

Основные правила безопасности во многом схожи с обычными компьютерными, говорит Масленников из «Лаборатории Касперского»: не стоит переходить по ссылкам, вставленным в sms-сообщения или e-mail от незнакомых адресатов; загружать программы из неофициальных источников; совершать jailbreak устройства; использовать личные устройства в рабочих целях и наоборот. Он советует своевременно обновлять ОС и софт, установленный на смартфон, а критически важные данные защищать шифрованием. Наконец, нельзя оставлять устройство без присмотра и стоит заранее предусмотреть возможность удаленного блокирования или уничтожения данных – на случай, если смартфон потерялся или его украли (для этого существуют специальные программные средства).