В продолжение темы об уязвимостях в ОС Android мы рассмотрим способы их обнаружения при помощи бесплатных программ с официального магазина Google Play. Поскольку ошибки находятся преимущественно в системных компонентах, устранить многие из них самостоятельно не удастся – нужно обновлять прошивку. Если же её новой версии нет, то иногда можно принять альтернативные меры: изменить настройки и подобрать замену потенциально опасным приложениям. Praemonitus praemunitus!
Для тестирования мы использовали три самых распространённых в настоящее время платформы: Android 4.2.1, 4.4.4 и 5.1.1. Во всех приводимых результатах сканирования они соответственно указаны слева направо. Исключение составляет первая иллюстрация, где мы проверили версию Android 5.0 — последнюю из содерживших не полностью закрытую уязвимость Stagefright.
Прицельный огонь
Быстрее всего появляются утилиты для выборочной проверки на какую-то свежую критическую уязвимость. Обычно их пишут не только известные производители антивирусов, но и отдельные специалисты по безопасности.
Stagefright Detector (Zimperium).
Проверяет встроенный мультимедийный движок на наличие критических ошибок. Сейчас их стало известно уже восемь, поэтому программа обновилась.
Heartbleed Detector (Lookout Mobile Security)
Проверяет какие библиотеки OpenSSL используют приложения. Среди них много уязвимых версий.
Старые версии библиотек найдены на всех тестовых платформах, однако везде они не представляют существенной угрозы, так как не затрагивают браузер. В других приложениях их использовать гораздо сложнее.
OpenSSL FREAK Scanner (Trustlook Mobile Security)
Может обнаружить ещё одну опасную уязвимость в OpenSSL – CVE-2015-0204.
Тотальная зачистка
Многие уязвимости остаются актуальны годами, но не ставить ради каждой из них своё приложение – явно не лучший подход. К счастью, есть приложения для поиска сразу нескольких дыр в безопасности. Обычно – самых опасных и распространённых.
Mobile Security & Compliance (iScan Online)
В Android 5.1.1 программа уязвимостей не нашла, поэтому мы приводим скриншоты с результатами для версий 4.2.1 и 4.4.4.
VTS for Android (NowSecure OSS)
Определяет риск использования Stagefright, ZipBug и специфических для производителя угроз, к примеру – Samsung WiFi Cred, приводящую к удалённому запуску произвольного кода.
Kaspersky Threat Scan (ЗАО «Лаборатория Касперского»)
Бесплатное приложение для детектирования четырёх ключевых угроз.
Когда одни утилиты рапортуют о наличии массы уязвимых компонентов, Kaspersky Threat Scan обычно пишет в своём отчёте, что всё в порядке. Почему так бывает, мы спросили руководителя управления мобильных решений «Лаборатории Касперского» Виктора Яблокова.
«Приложение Kaspersky Threat Scan осуществляет проверку на наличие наиболее опасных уязвимостей, которые могут привести к потере пользователем ценных данных, личной информации или денег. К ним относятся Fake ID, Heartbleed, MasterKey и FREAK. Вместе с тем, реально эксплуатировать последнюю уязвимость злоумышленнику будет крайне проблематично. Мы сознательно не хотели лишний раз пугать пользователя. Наиболее реальный и часто применимый метод её эксплуатации – через уязвимые браузеры. Поэтому Kaspersky Threat Scan осуществляет сканирование популярных браузеров на предмет FREAK», – ответил Виктор.
Действительно, иногда избыточные уведомления об угрозах дезориентируют пользователя, однако недосказанность также может ввести в заблуждение. Поэтому в будущих версия Kaspersky Threat Scan всё же хотелось бы видеть более подробные результаты – например, в отдельной вкладке. Тогда основная часть пользователей будет удовлетворена общим вердиктом, а продвинутые смогли бы посмотреть детали проверки.
Bluebox Security Scanner (Bluebox)
Приложение для проверки на уязвимости MasterKey и FakeID, которые позволяют обходить встроенный в Android механизм контроля приложений.
Recap (Palindrome Technologies)
В базе MITRE содержится 140 записей об ошибках в системных компонентах Android. Если же к ним добавить известные уязвимости ядра Linux и мобильных приложений, то получится внушительный список почти из трёх тысяч. Единственная утилита в нашем обзоре, способная проверить их все – Recap. Кроме того, только у неё есть сканер уязвимостей устанавливаемых приложений, работающий в резидентном режиме.
Если посмотреть, сколько ошибок было исправлено в Lollipop, то результат очень впечатляет. В Android 5.1.1 не осталось известных программе уязвимостей (хотя её база регулярно обновляется). Единственная обнаруживаемая связана с приложением Skype, которое хранит всю переписку в открытом виде.
Прокомментировать результаты нашего исследования мы попросили руководителя подразделения безопасности мобильных приложений Positive Technologies Артёма Чайкина.
«Хотя написанное и кажется немного страшным (или даже печальным), Google проделала и продолжает делать очень много работы для защиты пользователя от всех типов атак. В последних версиях Android приложениям запретили читать системный журнал других программ. Были добавлены механизмы запрета незащищенного соединения по HTTP и внедрены другие средства повышения безопасности. Компанией были сделаны шаги к более простому механизму обновления отдельных компонентов системы. Например, одна из основных целей хакеров – модуль WebView, с недавнего времени обновляется через Google Play. Нет больше нужды ждать новую прошивку, чтобы закрыть в нём очередную уязвимость.
В ходе оказания консалтинговых услуг мы уже проверили множество приложений, в том числе для мобильного банкинга. В них встречалось огромное количество уязвимостей. К счастью, на данный момент большая часть злоумышленников не умеют или не хотят их использовать. Больше 90% троянов под Android просто полагаются на невнимательность пользователя. Мы анализировали различные приложения начиная с появления Android 2.2. Если сравнивать с тем, сколько проблем мы находили тогда, то прогресс налицо».