Новые опасности для владельцев смартфонов
Вирусы для смартфонов на платформе Andriod снова в фокусе внимания: Неделю назад, 17 октября, компания TrustGo, занимающаяся информационной безопасностью, подтвердила, что в обновлении программы Lookout Mobile Security for Android прятался зловредный код новой троянской программы, Trojan!FakeLookout. Таким образом, на репутацию фирменного репозитория программ для Android от Google было посажено еще одно черное пятно.
Более того, в совсем свежем исследовании немецких специалистов из университетов Ганновера и Марбурга было показано, что 8% из 13500 исследованных приложений, размещенных в официальном репозитории приложений для Android — Google Play — имеют уязвимости в работе с сертификатами при шифровании данных в протоколах SSL и TLS. Эти уязвимости потенциально позволяют злоумышленнику встроиться в казалось бы защищенный обмен данными и украть персональную информацию владельца телефона, передаваемую по сети — прежде всего, пароли и платежные данные.
Исследователям неизвестно, эксплуатировал ли кто-либо найденные уязвимости ранее, но 41 приложение из общего числа подверженных этим уязвимостям оказалось весьма популярным: их скачали, судя по данным Google Play Market, не менее 39 000 000 раз. Стало быть, потенциальная опасность для владельцев смартфонов велика, так как многие их них используют потенциально уязвимые приложения, причем для перехвата их приватной информации достаточно всего лишь оказаться в одной открытой сети Wi-Fi со злоумышленником, что весьма вероятно на крупных конференциях, в аэропортах и других публичных местах с большим скоплением народа и отсутствием шифрования данных, передаваемых по Wi-Fi.
Несмотря на то, что зараженные приложения в репозитории значительно более редки, чем уязвимые (например, менее 100 пользователей скачали себе приложение, зараженное вирусом Trojan!FakeLookout.A), это показывает, что репозиторий Google Play не застрахован от обоих типов опасностей: и от кода, уязвимого по недосмотру разработчика, и от кода, намеренно зараженного вирусами.
По словам представителя компании McAfee, количество разных обнаруженных вирусов для Android выросло с 2 000 в 2011 году до 13 000 в 2012.
Компания Google в ответ на это недавно заявила, что намерена дополнительно сканировать свой репозиторий, анализируя приложения для поиска в них зловредного кода и его удаления из репозитория и со смартфонов, на которые он уже был установлен ранее.
Две недели назад, по данным веб-сайта Android Police, который провел анализ новой версии 3.9.16 репозитория Google Play, Google уже разработал антивирусный сканер, встроенный в приложение Google Play, которое устанавливается на смартфоны под Android.
Android Police обнаружили строковые команды в этом приложении, которые предназначены для обнаружения зловредного кода, а также сообщения о найденном зловредном коде «To protect you, Google has blocked the installation of this app.» («Чтобы защитить вас, Google блокировал установку этого приложения»).
Этот шаг был сделан через несколько недель после того, как Google купил службу бесплатного сканирования файлов VirusTotal.
Эксперты по безопасности разошлись во мнениях о том, что Google планирует делать с новой функциональностью, и в том, связаны ли возможности сканирования с приобретением VirusTotal, и в том, помогут ли дополнительные меры остановить приток вирусов в репозиторий. «На сегодняшний день у нас нет никаких конкретных деталей о том, как детектор вредоносных программ будет работать, поэтому он трудно сказать, насколько эффективным он будет», — сказал Винченцо Иоццо (Vincenzo Iozzo), директор компании Trail of Bits Inc. из Нью-Йорка, занимающейся информационной безопасностью. «Учитывая печальное состояние безопасности Android и вредоносные программы, появление любой защиты от вредоносных программы, безусловно, — положительная новость. Тем не менее, если вирусы будут определяться на основе сигнатур, как в среднем антивирусе для ПК, то, что мы увидим, это обычная игра в кошки-мышки, когда авторы вредоносных программ создают мутации старых версий или просто все более новые вредоносные программы», — говорит Иоццо.
Грэм Клули (Graham Cluley), старший консультант по технологиям компании Sophos, говорит, что нет никаких признаков того, что эти усовершенствования в Google Play будут интегрированы с VirusTotal. «Хотя есть ссылки на SafeBrowsing API Google», — говорит Клули, который рассматривает недавние шаги Google как шаги в правильном направлении. «Все, что Google может сделать, чтобы помочь лучше защитить пользователей Android от растущей волны вредоносных программ на своей платформе, должно поощряться, особенно из-за того, что многие люди устанавливают приложения откуда попало [не из официального репозитория - прим.пер.]«.
Клули не видит конфликта интересов в том, что Google будет проводить свои собственные проверки репозитория, а между тем за подобное раньше критиковали Microsoft, когда он начал предоставление антивируса для своей платформы. Другие эксперты придерживаются иной точки зрения: «Две основные проблемы с Google, занимающимся обнаружением вредоносных программ, являются мотивация и определение понятия риска. Google зарабатывает на рекламе, а не на безопасности», — говорит Тайлер Шилдс (Tyler Shields), старший научный сотрудник по безопасности из компании Veracode Inc. в Бёрлингтоне, штат Массачусетс. «Google живет бизнесом сбора данных для рекламных целей и мотивирован увеличивать количество приложений и собираемых ими данных. Кроме того, Google может не счесть вредоносным чересчур навязчивое приложение, собирающее данные пользователя для рекламы, а другим компаниям такое приложение может показаться неприемлемым», — говорит Шилдс.
Впрочем, когда дело дошло до трояна Trojan!FakeLookout.A, Google действовал быстро, как только информация о трояне была доведена до его сведения, хоть уже и после того, как троян оказался в репозитории. Этот троян крадет сообщения SMS и MMS, видео-файлы, а также файлы на SD-карте пользователя. Затем он пытается передать их на удаленный сервер FTP, который подконтролен злоумышленнику, как утверждает TrustGo. Специалисты из TrustGo также полагают, что троян скрывается от пользователя, удаляя запись о себе в списке установленных приложений, и выдает себя только поддельным значком в списке загруженных приложений с названием «Обновление» («Update»). Опасное приложение было впервые обнаружено 15 октября, и в течение нескольких часов Google удалил его из репозитория, рассказал Шуань Ли (Xuyang Li), генеральный директор TrustGo.
Выделенное жирным - это просто эпикфейл какой-то! Чтобы в коде АНТИВИРУСА прятался троян!!!
