Ситуация с безопасностью самой востребованной мобильной платформы, Android, вызывала обоснованные опасения ещё год назад, когда детище Google числилось всего лишь одним из догоняющих iOS. Отсутствие тщательной проверки новых приложений в главном апп-сторе (по примеру Apple и Research In Motion), возможность установки программ из «левых» источников и сама легально предусмотренная возможность существования таких источников (независимых магазинов приложений) — вот главные факторы, которые, по мнению security-специалистов, должны были сделать Андроид наиболее привлекательной мобильной платформой для авторов вредоносного программного обеспечения (вирусы, трояны и прочее, именуемое английским словечком malware).
С тех пор многое изменилось. Характеризуя состояние с безопасностью Android сейчас, западная пресса сходится на определении «анархия». Сбылись худшие прогнозы. DroidDream, GingerMaster, Opfake, Counterclank, Fakeplayer, GingerBreak — вот лишь самые известные цифровые паразиты, жертвами которых стали в совокупности сотни тысяч владельцев Android-смартфонов. Заразу как правило выкладывают в апп-сторы замаскированной под новые программы (скринсейверы с девочками, мелкие утилиты и т.п.), но бывает что маскируют и под взломанные версии или продолжения популярных приложений, и даже интегрируют в них.
Каждый из крупных антивирусных вендоров — Касперский, McAfee, Symantec, F-Secure и др. — к настоящему моменту выпустил те или иные средства защиты Android-устройств. Но исследователи — Juniper, Lookout Mobile Security и прочие — тем не менее рисуют удручающую картину стабильного ухудшения эпидемической ситуации (подробнее см. ноябрьскую «Не надо ля-ля!»).
Таким образом если год назад ещё можно было заподозрить security-сообщество в умышленной культивации панических настроений, сегодня давление фактов слишком сильно, чтобы считать проблему надуманной. На этом фоне дикой кажется позиция Google, по-прежнему называющей разработчиков мобильного антивирусного софта «шарлатанами и мошенниками, играющими на страхах публики» (см. там же).
Ведь вирусов в привычном понимании (саморазмножающихся) для Android ещё не существует; приложения работают в так называемой песочнице, надёжно изолированные друг от друга, чтобы не тягать друг у друга секретные данные; права каждого приложения чётко определяются набором разрешений, которые пользователь подтверждает при установке; наконец есть функция дистанционного удаления софта, на случай если Google признает какое-то приложение опасным.
Всё это действительно так, однако потенциал троянов, пусть и не способных к саморепликации, невнимательность пользователей (кому охота читать список разрешений для каждого инсталлируемого приложения?) и парадоксальное отношение к проблеме безопасности создателей мобильной платформы (как известно, безопасность — не свойство, а процесс; о ней необходимо заботиться!) создают благоприятные условия для эволюции Android-заразы.
Из перечисленных пунктов теперь можно вычеркнуть один: Google изменила свою позицию по вирусной проблеме и (пусть не прямо) признала её наличие. Ровно неделю назад поисковый гигант приоткрыл завесу тайны над проектом Bouncer, цель которого — обнаружение потенциально опасных приложений незаметно для рядовых пользователей Android-устройств.
Сервис Bouncer, что в переводе на русский значит «вышибала», работает на серверах Google. Он автоматически сканирует все новые (и периодически — старые) приложения, используя несколько хитроумных способов обнаружения подозрительного кода. Кроме проверки «в лоб» (поиск уже известных троянов, спрятанных внутри программ), каждое приложение запускается и проверяется на предмет опасного поведения (не станет ли рассылать SMS, тащить персональную информацию и т.п.).
Спорные случаи разбирают специалисты Google, и они же принимают окончательное решение, считать ли приложение вредным. Таким образом в теории Bouncer должен незаметно для пользователей (от которых ничего нового не требуется) улучшить ситуацию.
Но главный сюрприз в том, что Bouncer работает уже минимум полгода — и за этот период Google отметила в Android Market уменьшение числа скачанных потенциально опасных приложений на 40%. Цифру эту Хироши Локхаймер, один из руководителей Android-направления компании, преподносит с гордостью, хоть, сказать по правде, непонятно даже что именно она означает и как получена. Речь явно не о количестве malware-приложений в Android Market. И почему раз уж Google знает о всех 100% опасных скачек, нельзя было «зарезать» и оставшиеся 60?
Впрочем, даже если предположить, что названные Google 40% действительно что-то означают, Bouncer не тянет на роль абсолютного оружия. Security-специалисты (Лаборатория Касперского, Sophos и мн.др.) критикуют гугловцев за «реактивный» (в пику активному — англ. proactive) подход к обеспечению безопасности. Попросту, Google реагирует на уже известные инциденты, вместо того, чтобы пытаться предвосхитить следующий шаг киберкриминала, проявить инициативу. Теперь логично ждать появления в Android-троянах функций замедленного действия, географической локализации и полиморфизма: троян должен срабатывать не сразу, а по прошествии некоторого времени, желательно только в некоторых странах, и уметь изменять свой код, чтобы каждая копия выглядела непохоже на остальные.
Больше того, о действующем примере такой программы, обнаруженной в китайских апп-сторах, стало известно немедленно после сообщения Google. Это троян RootSmart — вообще не содержащий никакого подозрительного кода. Он попадает на устройство в составе какого-нибудь легитимного приложения, ждёт некоторое время, после чего скачивает из Сети вредоносную добавку, получает с её помощью администраторские полномочия и распоряжается ресурсами жертвы как ему заблагорассудится.
Сможет ли Bouncer обнаружить такую заразу? Маловероятно. Зацепки есть, но чтобы ими воспользоваться, Google опять-таки придётся реагировать (изучать, дорабатывать).
Так что же делать рядовым пользователям и бизнесу? Закупаться мобильными антивирусами? Ответ может показаться парадоксальным, но лучшее и самое правильное в сложившейся ситуации — не тратить деньги на (пока ещё примитивные) защитные инструменты, а вспомнить правила цифровой гигиены.
Не пользоваться недостоверными источниками: не ставить взломанные игры, ограничиться одним или двумя самыми крупными апп-сторами. Быть внимательным при выдаче разрешений устанавливаемым программам: играм, к примеру, ни к чему функция отправки SMS. Разумно ограничить любопытство и обострить недоверие: инсталлировать только приложения, которые действительно нужны, и которые уже используются достаточно большой аудиторией.
Но для платформы Android в целом борьба с вредоносным софтом только начинается. Проистекает этот печальный прогноз из простого факта: на разработчиков malware распространяются те же экономические принципы, что действуют в легальной софтверной индустрии. Представьте себя кибермошенником и подумайте о трояне как об инвестиции.
Затраты минимальны: завести аккаунт в Android Market стоит 25 долларов, разрешена регистрация под псевдонимом, сваять трояна можно по-быстрому с помощью App Inventor (до Нового года работал под крылом Google, к весне будет работать на сайте MIT).
Прибыль же несопоставимо высока: захватив управление мобильным устройством без ведома и санкции владельца, можно получить выгоду множеством способов, от банальной кражи персональных данных и паролей к важным веб-сервисам до реализации хитрых схем вроде рассылки платных SMS, звонков на премиальные номера (в России, увы, регистрировать такие позволено анонимно), организации шпионажа (смартфон замечательно работает в качестве прослушивающего устройства) и т.п.
Всё это — соображения на текущий момент, последствия их мы уже наблюдаем. Что будет через год, два, три, когда смартфон станет и кошельком, и ключом зажигания, и паспортом?