Эксперт по компьютерной безопасности Джон Оберхайде (Jon Oberheide) решил продемонстрировать уязвимость сервиса Android Market. Его приложение было замаскировано под новый уровень Angry Birds и могло самостоятельно загружать другие программы из онлайн-магазина Google без ведома владельца устройства.
Самое занятное, что «новый уровень игры» был одобрен и попал в Android Market. Подвох удалось распознать только через шесть часов — «вредоносная» программа была удалена из каталога. К счастью, ее автор не ставил перед собой цели причинить реальный ущерб — он только хотел продемонстрировать слабые стороны системы безопасности сервиса Google и платформы Android.
В Google признали наличие проблемы и пообещали ее исправить уже сегодня. О потенциальных уязвимостях сетевых каталогов приложений говорят уже давно — распространение программного обеспечения для современных мобильных платформ базируется на высоком уровне доверия к подобным сервисам. Джону Оберхайде удалось показать, что доверие это неоправданно высоко — используемых в Google средств обеспечения безопасности оказалось недостаточно, чтобы предотвратить распространение вредоносного ПО.
Какой из сервисов злоумышленники атакуют следующим? Может быть OVI Store компании Nokia или Apple AppStore? Как показывает пример Android Market — совершенной защиты не существует.
Разработчикам антивирусных программ акция г-на Оберхайде наверняка понравится — под этим соусом они смогут продвигать свои продукты для мобильных платформ. Однако такой способ решения проблемы видится мне непродуктивным — в противостоянии «снаряда» и «брони» разработчики средств нападения всегда будут на шаг впереди. Пока вредоносное ПО попадет в базу данных вирусных сигнатур и начнет детектироваться антивирусами — пройдет время и масса устройств будет заражена. С другой стороны ужесточать до предела правила приема программ в каталог тоже не имеет смысла.
Выходом может стать присвоение разных статусов разработчикам приложений. Для известных и давно работающих на рынке компаний правила приема программ в каталоги могут остаться прежними. Для всех прочих процедура проверки кода должна быть ужесточена. Кроме того, владельцы онлайн-магазинов приложений могут привлечь разработчиков антивирусов и сторонних экспертов в области компьютерной безопасности для предварительного аудита продуктов. Правда, последнее может сказаться на условиях работы магазина и стоимости программ для конечных пользователей.
Еще один способ решение проблемы — запуск загруженных приложений в изолированных «песочницах» и наличие в мобильных ОС собственных средств мониторинга подозрительной активности приложений и обеспечения безопасности.