Найбільша загроза безпеці Android: фрагментація ОС

Якщо ви недавно купили телефон або планшет, великі шанси на те, що на вашому пристрої Android працює застаріла версія операційної системи, що наражає на вас серйозні ризики для безпеки.

Останні дані Google показують, що 44 відсотки користувачів Android досі перебувають на "Пряникові" або версіях від 2.3.3 до 2.3.7, який був випущений два роки тому. Пряник має ряд вразливих місць безпеки, які були виправлені в пізніших версіях. Дані про розбиття ОС базуються на статистиці, зібраній з пристроїв Android, які підключаються до Google Play з 22 лютого по 4 березня.

За даними Google, лише 16 відсотків пристроїв Android мають версію 4.1 або 4.2 мобільної операційної системи. Також відома як "Jelly Bean", остання версія Android була випущена півроку тому, але більшість користувачів Android не змогли оновитись до нової ОС, оскільки процес жорстко контролюється операторами.

"Проблема Android полягає в тому, що більшість людей мають старі версії на своєму телефоні", - сказав Коллін Маллінер, докторальний дослідник SECLAB в Північно-Східному університеті в Бостоні, під час обговорення на панелі безпеки мобільної мережі на конференції RSA минулого місяця.

На нашому саміті з SecurityWatch минулої осені Дан Гвідо, генеральний директор і співзасновник Trail of Bits, зазначив, що більшість пристроїв iOS оновлюються протягом декількох тижнів, а не днів, Apple випускає нову операційну систему.

Мобільні оператори відстають від оновлень

"Однією з найважливіших речей сьогодні у забезпеченні програмного забезпечення є можливість віддаленого оновлення", - сказав Муллінер на панелі. Хоча користувачі можуть самостійно ініціювати оновлення операційної системи для iPhone та iPad, Android, мобільні оператори контролюють весь процес для пристроїв Android. На даний момент їх колективний запис про витіснення оновлень для користувачів абсолютно похмурий.

Проблема полягає в тому, що відкрита платформа Android дозволяє виробникам пристроїв і операторам пристроїв налаштовувати операційну систему на комплект додаткового програмного забезпечення та встановлення певних параметрів конфігурації. Щоразу, коли Google випускає оновлення операційної системи, і постачальник, і оператори повинні перевірити зміни на своїх домашніх мовах, перш ніж випустити останню версію. Перевізники стверджують, що це повільний процес, але багато експертів з питань безпеки вважають, що перевізники надають пріоритетний прибуток перед безпекою.

Деякі телефони просто не отримують останнього оновлення для Android, оскільки вони припиняються або є більш старими моделями, заявив Кріс Согхоян, дослідник конфіденційності та активіст на іншому заході на початку цього року. Виробники зосереджують свої зусилля на пристроях, які зараз продаються та виходять на ринок, а бездротові оператори "дбають про вас лише раз на два роки", коли користувацький договір готовий до поновлення, сказав Согоян. Наприклад, смартфон LG Android не отримав свого першого оновлення ОС протягом 16 місяців, і багато телефонів навіть не отримують цього першого оновлення, не кажучи вже про другого.

Зважаючи на те, що Google випускає нову версію приблизно кожні півроку, легко зрозуміти, як швидко користувачі можуть застаріти.

Під час атаки, коли користувач піддається злому лише відвідуванням шкідливого сайту, не є найбільшою загрозою, з якою стикаються користувачі Android, Чарлі Міллер, дослідник, відомий своєю роботою над безпекою iOS та Android, заявив під час цієї ж панелі на конференція ОДА.

"Люди вважають, що заїзд є великою загрозою, але в реальному житті їх просто не відбувається", - сказав Міллер. Що стосується Android, то найбільший ризик, з яким стикаються користувачі, полягає в тому, що на їхніх пристроях працюють застарілі та незапатковані версії операційної системи, сказав він. Останні версії Android мають виправлення безпеки та покращені можливості експлуатації.

Кіберзлочинці знають, що користувачі працюють з уразливими операційними системами. Все, що потрібно зробити злочинцям, - це випустити шкідливий додаток, що використовує вразливість у старій версії Android, і вдарив про значну частину бази користувачів.

Як раніше Соґоян зазначав, "вам не потрібен нульовий день для атаки на більшість пристроїв Android, якщо споживачі працюють із програмним забезпеченням для 13 місяців".

На жаль, ця ситуація, ймовірно, не зміниться, якщо оператори не почнуть серйозно ставитись до безпеки, або Google не припиняє контролювати процес оновлення від операторів зв'язку. Найбезпечнішим пристроєм Android навколо є смартфон Nexus 4 від Google, оскільки компанія має повний контроль над оновленнями.