Недавно Павел Дуров заявил, что в отсутствие российской операционной системы смартфоны остаются уязвимыми для слежки через иностранные магазины приложений. Дмитрий Овчинников, архитектор информационной безопасности UserGate uFactor, рассказывает, насколько велики эти риски и как повысить защищенность мобильного устройства.
Смартфон следит за тобой
О скрытом сборе данных через смартфон говорят много и давно, и это суровая реальность ХХI века. Ни для кого не секрет, что это делают производители устройств с собственной ОС на базе Android. Периодически возникают громкие скандалы, когда независимые исследователи находят скрытые модули неофициального слежения. Аналогично поступают и разработчики мобильного ПО.
Для качественной работы с контентом и рекламой им зачастую приходится подглядывать за пользователями. Для этого они иногда собирают избыточные данные с мобильного телефона, не предупреждая владельцев.
Чисто технически производителю мобильной ОС могут быть доступны все данные, которые есть на телефоне, но такой подход будет слишком сомнительным, тем более что это быстро заметят специалисты по информационной безопасности. Поэтому обычно собираются данные о местоположении, посещении магазинов, сведения об используемых приложениях, вычисляется активность пользователей.
Обычно эти данные обезличиваются, но при желании можно сопоставить, к какому конкретному человеку они относятся. Владельцы магазина имеют полную статистику об используемых пользователем приложениях, а также частоте их использования, и понимают, какой новый мобильный продукт лучше предложить.
Тем не менее современные магазины приложений в основном достаточно безопасны для пользователей. Обычно вредоносные программы выявляются еще до момента официальной публикации. Однако если оплошность все же происходит, то подобное приложение быстро убирают из публичного доступа.В среднем от такого вида атаки обычно страдает менее тысячи пользователей.
Учитывая, что число скачиваний измеряется миллиардами, это можно назвать каплей в море. То же самое касается и вредоносных программ, предустановленных в смартфоне. Чтобы свести риски к значениям на уровне статистической погрешности, для рядового пользователя лучшим решением будет покупка телефона от крупного производителя. Обычно такие компании дорожат своей репутацией и не стремятся попадать в имиджевые скандалы. Наиболее опасно покупать смартфон у молодой и никому не известной компании с китайского рынка.
Свое vs. чужое
Основной риск международных магазинов приложений, а также фирменных магазинов производителей смартфонов связан не столько с вредоносным ПО, сколько с тем, что они расположены вне юрисдикции РФ и их могут заблокировать для российских пользователей. Последствия такой блокировки обычно довольно ощутимы — к примеру, часть полезных функций смартфона может оказаться полностью недоступной.
Наличие отечественной ОС, о которой говорил Павел Дуров, а также российских магазинов приложений снижает возможность такой блокировки. Кроме того, через российскую ОС данные пользователей не будут утекать на иностранные сервера — к компаниям, которые расположены вне юрисдикции РФ. И создание такой ОС более чем реалистично — этот сценарий чисто теоретически может быть реализован в самом ближайшем будущем.
Многие крупные производители смартфонов уже создали свои собственные ОС на базе Android. Соответственно, если задаться такой целью, то ее вполне реально достичь силами отечественных разработчиков.
Таким образом, если рассматривать смартфон и его наполнение с точки зрения рисков информационной безопасности, то идеал безопасного устройства будет выглядеть так:
- Отечественная схемотехническая разработка с проверенными прошивками микрочипов. Тем самым исключается возможность аппаратной закладки со стороны производителя.
- Отечественная мобильная ОС, в которой нет программных закладок от производителя и нет незакрытых уязвимостей.
- Отечественный магазин приложений, в которые попадают только проверенные приложения без уязвимостей и скрытых возможностей.
Естественно, реализовать полный цикл защиты смартфона очень дорого, и полностью защищенная связь сейчас предоставляется ограниченному кругу лиц, которые работают с государственной тайной. Для рядового пользователя стоимость такого защищенного смартфона будет просто запредельной. Но он и не нуждается в подобной защите, и даже для корпоративных пользователей, которые работают с коммерческой тайной, такие меры защиты будут избыточны.
К тому же риски утечки данных со смартфона или взлома информационных систем через доступ к смартфону можно серьезно снизить за счет принятия мер информационной безопасности: двухфакторной аутентификации, системы управления смартфонами и установленными приложениями и т. п.
Если же выходить за рамки личного пользования и мыслить более масштабно, то другими мерами по повышению защищенности могут стать создание особых экономических зон, льготы для разработчиков ПО, повышение доступности образовательных программ.
Мобильная инфраструктура в XXI веке — это очень сложный комплекс из разнородных составных частей, поэтому здесь нужен только комплексный подход. Всегда нужно помнить, что основы повышения защищенности подобных экосистем закладываются с развития культуры безопасной разработки и инвестиций в человеческий капитал.