Разрешить или отклонить? - Необходимость обновлений - Digital Security
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Разрешить или отклонить?
Необходимость обновлений
dsec.ru 1
Содержание
Введение 3
Часто задаваемые вопросы 4
Какие существуют проблемы безопасности смартфонов? 4
Зачем обновлять приложения? 4
Какие сложности могут возникать при выпуске обновления? 5
Почему приложения обновляются так часто? 5
Почему некоторые приложения заставляют нас обновиться, даже если мы этого не хотим? 5
Поддержка обновлений 5
Поддержка обновлений: под капотом смартфона 6
Поддержка обновлений разными производителями 6
Проблемы безопасности смартфонов в цифрах 7
Компрометация необновленных устройств – дело времени 8
Выводы 9
dsec.ruВведение
П о п ул я р н о с т ь с м а ртф о н о в в м и р е Ожидается, что в 2022 году
подтверждается цифрами. Из Google Play потребители загрузят
Store и Apple App Store в первом квартале
2020 года было загружено
258,2 млрд приложений
33,6 млрд приложений
Многие проверяют уведомления на своих
устройствах регулярно – в среднем
В 2020 году у среднего пользователя
смартфона было установлено
58 раз за день
40 приложений
Почти половина пользователей смартфонов
открывают приложения более
88% мобильного времени 10 раз в день
8% – более 50 раз
тратится на приложения
Около .
Мы используем мобильные технологии для решения самых разных задач и доверяем им массу информации.
И, конечно, ожидаем от производителей соблюдения высоких стандартов безопасности. Особенно остро
стоит вопрос защиты конфиденциальных данных об образе жизни, здоровье, местонахождении, финансах
и личности пользователя, которые мобильные устройства собирают, хранят и передают.
Исследователи безопасности неизменно утверждают, что лучший способ защиты пользователь-
ской информации заключается в разработке безопасных продуктов. Но безопасным может стать
лишь тот продукт, чья безопасность поддерживается регулярно. Эта задача решается путем выпуска
обновлений, исправляющих уязвимости в программном обеспечении устройства.
Разработка мобильного приложения не заканчивается на публикации в сторах. Первая версия приложе-
ния будет разработана в течение нескольких месяцев; следующий шаг – обслуживание и поддержка
на регулярной основе. Все самые распространенные приложения получают обновления еженедель-
но или ежемесячно.
Несмотря на предпринимаемые меры, исследователи и специалисты в области информационной
безопасности говорят, что многие мобильные операционные системы не получают исправлений
безопасности, необходимых для защиты от критических уязвимостей.
В результате многие мобильные устройства уязвимы для широкого ряд атак вредоносного ПО,
включая шпионское, фишинговое и программы-вымогатели. Такое ПО подвергает пользователей
риску кражи личных данных, мошеннических платежей и другим опасностям.
dsec.ru 3Часто задаваемые вопросы Какие существуют проблемы безопасности смартфонов? Потребители используют смартфоны для доступа к разнообразному контенту, услугам и сетям. Мобильные приложения, в свою очередь, получают доступ к широкому спектру данных и функций устройства. Каждое новое соединение дает злоумышленнику возможность использовать уязвимо- сти операционной системы для выполнения вредоносного кода, иногда даже без взаимодействия с пользователем. Поскольку все больше потребителей используют мобильные устройства в качестве основного способа доступа в интернет, злоумышленники ориентируются именно на них. Например, мобильные программы-вымогатели блокируют данные и требуют за них выкуп. В заложниках оказываются фотографии, видео, музыка и другие файлы, а также сами устройства или отдельные установлен- ные на них приложения. “Однодневные” и устаревшие приложения (даже самые простые, для мониторинга сна или планиро- вания поездок) могут стать причиной проблем с безопасностью. Если они не были обновлены, злоумышленники могут использовать их устаревший дизайн и недостатки безопасности, чтобы управлять ими без ведома пользователя и совершить атаку на смартфон. Шпионское ПО и фишинговые приложения собирают финансовую информацию и пароли, что приводит к несанкционированному доступу к банковским счетам и картам потребителей. Сравнительно недавно было обнаружено 80 вредоносных программ, скрытых в 200 развлекательных приложениях. Среди них – детские книги и приложения для медитации, каждое из которых было скачано от 500 000 до миллиона раз. Эти программы “открыли” в мобильных устройствах бэкдоры, которые позволяли злоумышлен- никам проникнуть в любую сеть, к которой подключено устройство. Другие вредоносные приложения практически незаметно подключают платные службы, через которые “утекают” деньги пользователей. Любой смартфон может стать частью массивного ботнета. Ботнеты атакуют подключенные к интернет- сети серверы или показывают пользователям рекламу, чем приносят доход своим создателям. Зачем обновлять приложения? При разработке мобильных операционных систем разработчики стараются предвидеть уязвимости, которы- ми могут воспользоваться злоумышленники. Однако во многих случаях уязвимости находят только после того, как устройство оказалось в руках десятков тысяч пользователей. Разработчики устраняют обнару- женные уязвимости, создавая патчи – программное обеспечение, которое перезаписывает уязвимый код. После установки патча новая версия операционной системы работает уже с исправленным кодом. Установка исправлений необходима для поддержания безопасности программных продуктов, поэтому важна для потребителей. Ошибки допускают многие разработчики, но своевременное внесение исправлений может улучшить репутацию и показать, что производитель заботится о безопасности продукта и пользователей. dsec.ru 4
Для самих разработчиков выпуск обновлений также играет важную роль. Учитывая количество приложе- ний, которые люди устанавливают сегодня, регулярные обновления помогают приложению увеличить пользовательскую базу и получить больше обратной связи по сравнению с другими приложениями на устройстве. Регулярный выпуск обновлений позволяет поддерживать приложение в центре внимания в App Store или Google Play. В последнее время и App Store, и Google Play убирают неактивные, необновляемые и несовместимые приложения. Это сделано для того, чтобы рынок приложений оставался разумным и регулируемым. Какие сложности могут возникать при выпуске обновления? Стоит понимать, что выпуск обновлений – это весомая статья расходов, которые отчасти ложатся на потребителя, например, с повышением цен на устройства. Установка обновлений требует времени и иногда перезапуска устройства, что может быть неудобно для пользователя. А некоторые исправ- ления могут изменить функциональность устройства. Более того, поддержание существующего программного обеспечения может отвлекать от разработки новых, не менее ценных продуктов. Почему приложения обновляются так часто? К сожалению, исправить недочеты и улучшить приложения невозможно за один раз. Во-первых, невозможно создать приложение с полной функциональностью сразу. При разработке приложений приходят новые идеи, требующие воплощения в жизнь. Во-вторых, неуязвимых систем нет – бывают хорошо защищенные или некачественно исследованные. В-третьих, иногда возникает «порочный круг»: сами обновления приносят новые ошибки, требующие исправлений, а значит и выпуска новых обновлений. Почему некоторые приложения заставляют нас обновиться, даже если мы этого не хотим? Зачастую принудительные обновления связаны с изменениями в системе, в которой работает приложение. Был громкий случай со Skype, когда Microsoft/Skype запустил обновление старых версий. Каждый раз, когда Android и iOS предлагают новую функцию, приложения необходимо обновлять. Обновление поможет приложениям получить доступ к новым программным и аппаратным функциям, представленным производителями. Таким образом технологические гиганты побуждают отказы- ваться от любых устаревших функций или технологий, которые больше не будут поддерживаться в следующих версиях ОС. С 1 августа 2018 г. Google потребовал, чтобы новые приложения поддерживали как минимум Android 8.0 (уровень API 26). С 1 ноября 2018 г. это относится и ко всем обновлениям приложений. Эти меры принимаются для того, чтобы все приложения были построены на современных API, обеспечивающих высочайший уровень безопасности и повышенную производительность. Обновление может быть продиктовано изменениями в политике конфиденциальности, как в случае с Whats App в 2021, или связано с рекламой, когда разработчики обновляют рекламу в приложе- dsec.ru 5
Поддержка обновлений: под капотом
смартфона
Обновления можно поделить на два вида: обновления функциональности и обновления безопасности.
Обновления функциональности приносят новые функции и изменения интерфейса. А обновления безопас-
ности закрывают обнаруженные ранее уязвимости. Раздельный выпуск обновлений способствует более
быстрому устранению ошибок безопасности. Уже известные злоумышленникам уязвимости в продукте
гораздо более опасны, чем отсутствие какой-то функции. Но бывают и совместные обновления, несущие
в себе как новую функциональность, так и исправления уязвимостей.
Поддержка обновлений разными производителями
У разных производителей периоды поддержки обновлений устройств, конечно же, различаются.
Средний период поддержки составляет 1,5 года, но может варьироваться от полного отсутствия
поддержки до регулярного выпуска обновлений на протяжении трех лет. Около четверти устройств
поддерживаются менее одного года, но около трети поддерживаются более двух лет.
Сроки поддержки обновлений могут существенно различаться даже для устройств одного
производителя или одной ценовой категории. На это влияет несколько основных факторов:
• Возраст устройства: невозможно поддерживать какое-либо устройство в течение неопределенного
срока – оборудование устаревает и потребители переходят на новые девайсы;
• Популярность устройства: вероятность получения обновлений популярными устройствами гораздо
выше, поскольку патч для популярной модели смартфона будет полезен бОльшему количеству потреби-
телей, а поддержка флагманских устройств принесет пользу бренду;
• Стоимость поддержки: поскольку для создания патчей требуются ресурсы на разработку и тестирова-
ние, производители заранее подсчитывают, сколько будет стоить продолжение поддержки того или
иного устройства; от этого зависит длительность периода поддержки;
• Серьезность уязвимости: даже если производитель больше не поддерживает устройство на регулярной
основе, он может принять решение о выпуске патчей для закрытия серьезных уязвимостей.
dsec.ru 6Проблемы безопасности смартфонов в цифрах Операционная система – сердце смартфона. Мы изучили, как часто в двух самых известных операци- онных системах происходят обновления безопасности. Так, во фреймворках Android версии 11 в 2020 году было закрыто 28 уязвимостей безопасности, а в Android 10 годом ранее закрыли 25 уязвимостей. Закрытых уязвимостей безопасности системы в Android 11 было 49, а в Android 10 – 102. Самый распространенный тип уязвимостей в Android – раскрытие информации (Information disclosure). Раскрытие информации, или утечка информации, подразумевает раскрытие конфиденциальной информа- ции в результате действий злоумышленников. Это могут быть данные о пользователях (имена или финансовая информация), конфиденциальные коммерческие или бизнес-данные, а также технические подробности о приложении и его инфраструктуре. Опасность утечки таких конфиденциальных данных очевидна, и обычно утечки приводят к серьезным последствиям. Если посмотреть на количество закрытых уязвимостей, касающихся сразу нескольких версий ОС Android, в среднем в месяц закрывают 9 уязвимостей фреймворков и 5 системных. Компания Apple в год суммарно выпускает около 90 обновлений безопасности для всех своих устройств. Если округлить, то каждые 4 дня выходит обновление безопасности для одного или сразу нескольких устройств Apple. Важно отметить, что одно обновление безопасности может закрывать сразу несколько уязвимостей безопасности, касающихся нескольких устройств и их версий. dsec.ru 7
Компрометация необновленных устройств – дело времени Как правило, компрометация устройств происходит из-за уязвимостей, для которых уже доступно исправление, но оно еще не установлено. Поэтому так важно быстрое обновление устройств. Как только уязвимость становится общедоступной, количество эксплойтов возрастает многократно. Установка обновлений безопасности закрывает уязвимости, тем самым мешая атакам. Системы, которые регуляр- но обновляются, имеют меньшую поверхность атаки, т.е. меньшее количество уязвимых мест. Важность обновлений безопасности зачастую неочевидна для конечных пользователей. Некоторым сложно увидеть связь между обновлениями программного обеспечения и безопасностью, других пугают изменения в интерфейсе. В итоге сообщения о доступных обновлениях игнорируются намеренно. Донести до людей важность установки обновлений – одна из задач производителей любых электрон- ных устройств. dsec.ru 8
Выводы У пользователей приложения рано или поздно возникают вопросы о необходимости установки обновлений. В этом заинтересованы и разработчики, и пользователи: для исправления ошибок, устранения уязвимостей, обновления устаревших функций и добавления новых. К сожалению, невозможно сразу получить приложение без ошибок безопасности, равно как и приложе- ние со всей необходимой функциональностью. Регулярно обновляя приложение, вы получаете простой и удобный интерфейс с новыми возможностями. Вы повышаете уровень безопасности своего устрой- ства, ведь уже известные ошибки закрыты разработчиками. Какую бы операционную систему вы ни использовали, обновления безопасности критически важны. Уязвимости приложений несут не меньше рисков, чем недоработки в защите Android или iOS. Утечка информации – наиболее распространенный и опасный тип уязвимости. Критичность ее усугубляется и тем, что вы никогда не сможете сказать наверняка, сливают ли сейчас куда-то ваши данные. Безобидные на первый взгляд приложения могут: • украсть личную информацию с вашего смартфона; • читать личные или рабочие электронные письма, заметки и другие файлы; • отправлять поддельные текстовые сообщения от вашего имени; • загружать вирусы на телефон без вашего ведома; • совершать финансовые транзакции, используя платежные онлайн-счета. Эксперты Digital Security советуют вам настроить автообновления. Установка регулярных обновле- ний – неотъемлемая часть защиты вашей личной информации и обеспечения работоспособности и безопасности вашего устройства. Благодаря обновлению приложений в фоновом режиме любые баги устраняются сами по себе, а вы можете спокойно заниматься своими делами. Также мы рекомендуем удалить все устаревшие приложения: они могут стать серьезной угрозой вашей цифровой безопасности. И не забывайте, что чаще всего от уязвимостей страдают устрой- ства, на которые еще не установили доступные обновления безопасности. Обновляйтесь и оставайтесь в безопасности! dsec.ru 9
dsec.ru 10
Вы также можете почитать
