Нравится это системным администраторам или нет, но всевозможные мобильные системы получают все большее распространение, в том числе и в корпоративных сетях. Как в этой связи обстоят дела с обеспечением безопасности трех операционных систем для смартфонов — от компаний Microsoft, Google и Apple — и на что следует обращать особое внимание при их внедрении и эксплуатации?

 

Компания Microsoft уже достаточно давно выпустила операционную систему под названием Windows Mobile, оптимизированную для применения на мобильных устройствах. Хотя она базируется на интерфейсе Microsoft Win32 API и внешне на нее очень похожа, пользователи отмечали их малое сходство в плане архитектуры. В появившейся в феврале 2010 года системе Windows Phone 7 изменились не только управление и внешний вид: речь идет о совершенно новой разработке, базирующейся на Windows CE 6.0 R3 и элементах Windows Embedded Compact 7. Ранее допускавшейся свободы в доступе к файлам и приобретении программного обеспечения теперь не стало.

К тому же из-за жестких требований Microsoft к производителям оборудования, к сожалению, не существует таких мобильных аппаратов, на которых версию 6.5 можно было бы обновить до актуальной седьмой версии. Однако на этом эпоха радикальных изменений для пользователей смартфонов на платформе Windows еще не закончилась: анонс следующего поколения — Windows Phone 8 — означает, что Microsoft снова в корне меняет свой подход. В этой ОС будет использоваться вариант ядра Windows NT, то есть и в этом случае не будет возможности обновления — устройство, оснащенное Windows Phone 7, не сможет перейти на восьмую версию.

Однако основополагающая концепция операционных систем Windows Phone 7 и 8 остается неизменной (см. Рисунок 1). Так, по причинам эксплуатационной безопасности для этих систем недоступен целый ряд программ. Кроме того, Windows Phone запрещает работу приложений в фоновом режиме в традиционном понимании этого процесса. Если приложение закрывается, оно полностью деактивируется, а не переходит в режим ожидания или фоновый режим. Такая практика обладает большими преимуществами в плане обеспечения общей безопасности систем: практически любое вредоносное приложение, стремящееся воздействовать на операционную систему, предполагает наличие программ, функционирующих в фоновом режиме.

Рисунок 1. Эволюция модели безопасности в Windows Phone: на выставке TechEd Europe 2012 компания Microsoft продемонстрировала, как будет развиваться система безопасности в грядущей ОС Windows Phone. Слева представлена модель Windows Phone 7, справа — Windows Phone 8.
Рисунок 1. Эволюция модели безопасности в Windows Phone: на выставке TechEd Europe 2012 компания Microsoft продемонстрировала, как будет развиваться система безопасности в грядущей ОС Windows Phone. Слева представлена модель Windows Phone 7, справа — Windows Phone 8.

 

В Windows Phone 7 принципиально запрещена функция прямой отправки SMS: пользователь должен самостоятельно выбрать пункт «отправить» в меню сообщений. Каждое приложение может сохранять и считывать только собственные данные, оно лишено доступа к файлам других программ. Согласно предписаниям Microsoft, в устройствах на платформе Windows Phone 7 нельзя использовать сменные информационные носители, такие как карты SD. Правда, в Windows Phone 8 это ограничение снимается, и пользователи смогут устанавливать карты SD в свои аппараты. Надо сказать, что некоторые производители уже применяли в системах на основе Windows Phone 7 встроенные карты SD, посредством которых теоретически можно было получить доступ к данным. Но на практике такой доступ невозможен из-за модели файловой системы, предусматривающей наличие одного раздела (Single Partition): встроенные карты SD и встроенная память смартфона на платформе Windows Phone всегда образуют единое целое. Если карту извлекут, операционная система сотрет всю информацию, содержащуюся во внутренней памяти.

В Windows Phone производитель намеревается еще более ужесточить меры по обеспечению безопасности. Технология безопасной загрузки, которую, как заявляет Microsoft, пользователям не удастся обойти (так называемый Trusted Bootloader), и полное шифрование внутренней карты памяти призваны повысить степень защиты. Кроме того, приложения для Windows Phone ожидают изменения в части обеспечения безопасности: теперь, чтобы запустить все исполняемые (бинарные) файлы на Windows Phone 8, они должны быть снабжены цифровой подписью Microsoft. В Windows Phone 7 это ограничение пока распространяется только на приложения Microsoft и на программы, попадающие в систему через магазин Microsoft Marketplace.

ANDROID: ПОПУЛЯРЕН И У ЗЛОУМЫШЛЕННИКОВ

Бесплатная ОС Android от Google с открытым исходным кодом работает на основе ядра Linux 2.6 и занимает первое место среди операционных систем для смартфонов — на ее долю приходится 52,5% мирового рынка.

В базовой конфигурации Android все приложения работают в так называемых песочницах (Sandbox), то есть в замкнутых средах. Поэтому приложения не могут изменять системные файлы и риски для безопасности всей системы в целом незначительны. Основной источник угрозы при использовании данной ОС состоит в том, что во многих аппаратах на платформе Android довольно легко заполучить полный контроль над устройством: с помощью имеющихся брешей пользователь способен приобрести все права суперпользователя (Root), которого Android унаследовала от Linux.

Рисунок 2. На каждом устройстве на платформе Android должно присутствовать программное обеспечение, проверяющее смартфон на наличие возможных брешей и обеспечивающее дополнительную защиту. На рисунке представлено решение компании Lookout, разработанное для системы на базе Android 2.3.6.
Рисунок 2. На каждом устройстве на платформе Android должно присутствовать программное обеспечение, проверяющее смартфон на наличие возможных брешей и обеспечивающее дополнительную защиту. На рисунке представлено решение компании Lookout, разработанное для системы на базе Android 2.3.6.

В таких «рутированных» устройствах суперпользователи могут сделать все что угодно, к примеру, установить программы с функциями, недоступными обычным пользователям. Поскольку суперпользователь Root в системах Linux/ Unix традиционно обладает неограниченными правами, этим обстоятельством могут воспользоваться вредоносные программы. Так что желающим заполучить права Root для своего смартфона следует всё хорошенько обдумать и особенно тщательно относиться к проверке приложений, для которых эти права являются обязательным условием. В корпоративных сетях должно действовать безоговорочное правило: полный запрет на использование устройств на платформе Android, где активированы права Root.

Что касается прочих угроз, то специалисты компаний Lookout и Kaspersky в целом единодушны: за первую половину 2012 года количество угроз для мобильных приложений на платформе Android существенно возросло и этот рост продолжится. Во многих случаях речь идет о специфических для смартфонов атаках, связанных с отправкой SMS. К сожалению, как администраторы, так и сами пользователи часто недооценивают риски, связанные с наличием подобных брешей в средствах безопасности (см. Рисунок 2). Согласно мнению большинства экспертов, пользователям мобильных устройств грозят следующие опасности:

  • Мобильные карманники (мошенничество с помощью SMS или звонков). Такие «карманные кражи» возможны благодаря тому, что во многих мобильных телефонах поддерживаются функции совершения платежей с помощью SMS, а в ОС вроде Android по умолчанию отсутствуют средства контроля за такими данными. Троян Ggtracker реализует одну из первых подобных атак на системы Android;
  • Всевозможные ботнеты. Многочисленные вредоносные приложения способствовали тому, что в ботнеты было вовлечено множество мобильных устройств. Примерами могут служить троян Geinimi и достаточно известный вредоносный код Droiddream, который, к сожалению, был обнаружен и в некоторых приложениях из магазина Android Play Store.

IOS: МОБИЛЬНАЯ СТРАТЕГИЯ ОТ APPLE

Рисунок 3. Основополагающая архитектура безопасности в Apple IOS: в целом она производит надежное впечатление, но, как и во многих других мобильных системах, четырехзначный пароль является легкопреодолимым препятствием.
Рисунок 3. Основополагающая архитектура безопасности в Apple IOS: в целом она производит надежное впечатление, но, как и во многих других мобильных системах, четырехзначный пароль является легкопреодолимым препятствием.

Впервые эта система, так же, как и Android, базирующаяся на Unix, появилась под названием iPhone OS вместе с новым устройством iPhone в 2007 году. Главное отличие IOS от других на тот момент успешных ОС, таких как Windows Mobile 6.x или Symbian, заключается в том, что компания Apple является монополистом в области предоставления программного обеспечения для своих смартфонов. Пользователи могут приобрести необходимые приложения (Apps) только в магазине Apple App Store. Скачивание программного обеспечения с сайтов различных сторонних производителей, еще возможное в OS X, для систем на платформе IOS уже недоступно.

Некоторые считают, что такой способ предоставления ПО действительно способствует повышению безопасности. В отличие от слабо контролируемого Play Store для Android от Google, у Apple процесс более упорядочен и организован. Правда, тот факт, что Apple может с помощью соответствующей команды целенаправленно стирать приложения на устройствах пользователей и вместе с тем эффективно препятствует удалению таких предустановленных приложений, как «биржевые курсы» или «прогноз погоды», идет вразрез с попытками создать имидж «открытой и гибкой» системы (см. Рисунок 3).

Если оснащение антивирусным ПО стационарных компьютеров уже давно стало естественным явлением и эта тенденция постепенно распространяется на устройства Android, то в магазине Apple App Store нет и намека на такую возможность: поиск по ключевому слову «антивирус» выдает отнюдь не перечень программ для защиты устройства, а лишь несколько наименований игр. Телефонный опрос различных поставщиков систем безопасности, почти у каждого из которых в продуктовом портфеле имеются решения для платформы Android, дал следующие результаты: производитель Apple не допускает в своем App Store никаких специализированных программ защиты, поскольку он считает, что никакой необходимости в этом нет. Компания Apple, единственный поставщик программ для App Store, отвечает за то, чтобы там были представлены лишь те приложения, где полностью отсутствуют какие-либо вредоносные компоненты. Таким образом, по мнению Apple, гарантируется невозможность распространения вирусов и вредоносного ПО в IOS.

СОБЛЮДЕНИЕ ПРОСТЫХ МЕР БЕЗОПАСНОСТИ

Администраторы и пользователи должны осознать, что операционные системы современных смартфонов представляют собой чрезвычайно сложные программные решения, в которых — что вполне закономерно — встречаются бреши. Владельцам всех мобильных систем рекомендуется — как и в случае с ПК — всегда быть начеку и соблюдать несколько простых мер по обеспечению безопасности (см. врезку).

 

Рекомендации по обеспечению безопасности для пользователей смартфонов

  • Никогда не пытайтесь получить права Root на своем смартфоне на платформе Android или взломать свой iPhone с помощью операции Jailbreak.
  • Относитесь с недоверием ко всем приложениям, для которых получение прав Root является обязательным условием (при этом в случае с Android речь часто идет о приложениях, якобы предназначенных для защиты системы).
  • Никогда не устанавливайте версию операционной системы, взятую из сомнительных источников Интернета.
  • Если, к примеру, производитель вашего смартфона не предлагает обновления до последней версии Android, то более новая версия из неизвестного источника наверняка не добавит устройству надежности.
  • В IOS обязательно включите опции «автоматическая блокировка» и «блокировка с помощью пароля», чтобы в случае утраты устройства затруднить доступ к информации на нем для посторонних.
  • Как и в случае со стационарными ПК, обязательно устанавливайте обновления, предоставляемые производителем/поставщиком.
  • Избегайте установки приложений для систем Android, полученных из неизвестных источников, и отключите эту опцию в меню настроек.
  • Владельцам смартфонов зачастую трудно устоять перед возможностью использования незащищенной сети WLAN для доступа в Интернет. Помните, что в этом случае все данные будут передаваться в незашифрованном виде через воздушный интерфейс — это касается и паролей для почтовых или банковских приложений, если для них при построении соединения не используется отдельный защищенный туннель.
  • Установите на свое мобильное устройство приложение защиты, которое сможет дистанционно удалить данные в случае потери или кражи аппарата.

 

Томас Бер — системный администратор. Франк-Михаэль Шледе – шеф-редактор Windows IT Pro.