Всем наплевать на безопасность разлоченных Android-телефонов

Не может быть такого, чтобы компания Amazon участвовала в запуске флагманского продукта, имеющего чёрный ход, и тайно отправляющего всю вашу личную информацию на непонятный сервер в Китае. Конечно же, их разработчики или партнёр по производству отловили бы такое поведение во время обычной проверки безопасности. Такого ведь просто не может произойти, верно?

Всем наплевать на безопасность разлоченных Android-телефонов, не привязанных к провайдеру, продающихся в США (и многих других регионах). OEM-компаниям, изготавливающим и поставляющим Android-телефоны, наплевать; Google, поставщику Android-платформы, наплевать; ритейлерам вроде Amazon и Best Buy, продающим миллионы андроид-телефонов ежегодно, наплевать. Что хуже всего, среднему пользователю наплевать на компьютерную безопасность, пока не произойдёт чего-нибудь плохого, из-за чего всё так и идёт.

С Android-устройствами так было всегда, но Google начал более серьёзно относиться к этой ситуации летом 2015 года, когда ошибка Stagefright ^[1]широко освещалась в СМИ. Специалисты по безопасности утверждают, что Google-устройства, Nexus и Pixel, подошли вплотную к iOS по меркам безопасности, но в целом ситуация ухудшается, когда большинство потребителей покупают смартфоны с софтом, не поддерживаемым компанией Google.

Мы вспомнили об этой серьёзной проблеме, когда Amazon пришлось отозвать BLU R1 HD ^[2], их телефон-бестселлер, после того, как специалист по безопасности обнаружил в нём скрытый чёрный ход ^[3]благодаря «сочетанию любопытства и счастливой случайности». Эти устройства, а также некоторые другие модели BLU ^[4]собирали и передавали личную информацию на некий сервер в Китае раз в 24-72 часа. Это поведение не было заметно пользователю. Данные включали точное положение устройства, текстовые сообщения, списки контактов, журнал звонков, установленные приложения и проч.

Директор BLU рассказал NYTimes, что «об этом, очевидно, мы ничего не знали», и признал ошибку. И хотя хорошо, что она так быстро её исправила, но очень настораживает тот момент, что ни BLU, ни Amazon не поймали её самостоятельно с момента запуска телефона в июле 2016 года.

Как же это могло случиться?

Честно, я просто не представляю, как такой косяк мог выйти на рынок и оставаться незамеченным так долго, поэтому я провёл небольшое исследование. Я работал на производителей Android OEM, у меня есть общее понимание того, что все выпуски ПО с мобильными сервисами Google должны пройти проверку Compatibility Test Suite (CTS). Недолгая беседа с экспертами по компьютерной безопасности открыла мне глаза на то, насколько серьёзные проблемы безопасности продолжают возникать

Google поддерживает чёрный список плохого ПО, которое нельзя поставлять с Android-телефонами. Я удивился, что Google и BLU были в курсе одной из уязвимостей ^[5], связанной с приложением ADUPS в чипах Mediatek ещё в 2015 году – за год до выпуска BLU R1 HD. Команда специалистов по безопасности Red Naga ^[6]нашла уязвимость 1 марта 2015 года и сделала несколько попыток для её устранения, но столкнулась с тем, что "у BLU нет отдела по безопасности, в связи с чем она ничем не может помочь".

После молчания Mediatek и отсутствия помощи BLU, Google, в конце концов, принял патч в CTS для проверки системного сокета ADUPS. Это должно было решить проблему, но после этого Mediatek просто поменяла название сокета, чтобы обмануть CTS-проверку.

Проще говоря, CTS от Google не обнаруживает уязвимости, о которых она не знает. А Mediatek – рецидивист, периодически обходящий проверку CTS, и некоторые специалисты из индустрии безопасности называют её худшим производителем чипсетов.

Хотя у Mediatek плохая репутация в области безопасности, она всё ещё выигрывает конкурсы разработки, поскольку выполняет всю тяжёлую работу для OEM-партнёров, выбирающих их платформы. Если вы хотите по-быстрому и недорого запустить устройство на Android, то Mediatek часто оказывается доступным решением.

Можно ли этого снова избежать?

Нам всем стоит беспокоиться о скрытых чёрных ходах, но более серьёзная проблема – это известные уязвимости, которые не исправляют в большинстве андроид-устройств. Google пытается решить эту проблему, обращая на неё внимание пользователей. Компания публикует ежемесячные обзоры безопасности, Android Security Bulletins ^[7], и заставляет OEM-производителей показывать уровень Android Security Patch в настройках устройства.

После того, как в 2013-м FTC заставила HTC ^[8]исправить известные уязвимости, OEM и операторы беспроводной связи предприняли некоторые меры, и большинство флагманских устройств, продаваемых в магазинах, регулярно получают обновления. Но не все устройства их получают, да и нет никакой гарантии, что устройства будут поддерживаться достаточно долго.

Прогресс идёт только когда что-то ломается, и СМИ начинают долбать Google с его партнёрами. К примеру, уже упомянутый Stagefright заставил FCC и FTC объединить усилия ^[9], чтобы «глубже понять и в результате улучшить безопасность мобильных устройств», однако результаты этого исследования пока не опубликованы.

Могу предсказать, к какому выводу они придут в своём отчете. Для OEM-производителей нет никаких стимулов вкладывать ресурсы в поддержку исправлений безопасности устройств после их запуска. Выпуск обновлений отнимает время и деньги, и это направление не влияет на принятие решений о покупках потребителями. Большинство OEM не хотят тратить лишние деньги на улучшение безопасности, покуда потребители не хотят платить за них.

Кто может это исправить?

В этом виновата вся цепочка поставки, но в ближайшем будущем не стоит ожидать улучшения. Некоторые соображения насчёт того, что разные игроки могли бы сделать для улучшения безопасности андроидофонов.

Google: ведёт список хороших и плохих OEM по тому, как те поддерживают безопасность и выпускают обновления, и, по слухам, может публично пристыдить худших производителей ^[10]– но тем самым она нанесёт урон взаимоотношениям с партнёрами. Если Google серьёзно хочет улучшить безопасность, она может найти способ сообщать потребителям, какие из OEM, производителей компонентов и других партнёров плохо защищают данные пользователей. К примеру, чувствуете ли вы себя в безопасности, покупая продукцию BLU или устройство с чипом от Mediatek? Google может так изменить свою следующую спецификацию Android Compatibility Definition Document ^[11], чтобы потребовать поставлять устройства с патчем безопасности соответствующего уровня, и поддерживать эти устройства в течение достаточно долгого времени.

OEM: когда я работал на Huawei, я пытался обращать внимание на проблемы с безопасностью, работая с международной командой Honor над 24-месячной программой Software Update Policy ^[12](правил обновления ПО). К моему изумлению, команда маркетологов не хотела упоминать это во время запуска продукта, но я горжусь тем, что в тот момент мы стали единственным OEM, у которого были подобные правила. Они не идеальны, но лучше, чем ничего. Только Google гарантирует ^[13]выпуск обновлений, связанных с безопасностью, в течение 3 лет после запуска устройств Pixel и Nexus. Я бы хотел, чтобы больше OEM-производителей брали на себя подобную инициативу и разрабатывали свои правила обновления ПО.

Розничные продавцы: Amazon поступил правильно, приостановив BLU R1 HD, но следуя этой логике, им нужно заблокировать и другие продаваемые устройства с известными проблемами в безопасности. В магазине Amazon при выборе устройства потребителю легко узнать, какие сети оно будет поддерживать, но нет никакой информации об обеспечиваемом им уровне безопасности.

Обозреватели техники: продолжайте сообщать о плохом поведении OEM-производителей Android-устройств. Концентрируйте внимание в обзорах на то, как осуществляется поддержка ПО и на истории его обновления. Образовывайте аудиторию, чтобы люди могли принимать информированные решения о покупке.

Потребители: я бы призвал вас голосовать кошельком и покупать устройства тех компаний, что всерьёз воспринимают вашу безопасность – но их выбор слишком ограничен. Кроме предыдущих телефонов Nexus и текущих Pixel есть не так уж много доступных вариантов для людей, ценящих свою приватность и безопасность.

Автор: SLY_G

Источник ^[14]