В конце июле—начале августа появилось сразу несколько сообщений о критических уязвимостях в Android, которые затрагивают сотни миллионов, почти целый миллиард устройств. TechLife объясняет, почему это важно, что происходит и как это касается каждого из нас.

Что случилось?

Исследователи по безопасности обнаружили сразу несколько серьезных уязвимостей в Android, которые могут быть использованы злоумышленниками удаленно. Одна, про которую мы уже подробно писали, позволяет просто отправить MMS-сообщение, другая — воспользоваться т.н. mSRT для получения удаленного доступа, либо заразить смартфон через SMS. В теории через эти дыры хакеры могут получить доступ к контактам в смартфоне, фото и видео, сообщениям. Они также могут использовать эти дыры для установки других программ, которые будут "что-то делать" без ведома пользователя.

Я "обычный человек" и никому не интересен…

Есть масса сценариев, когда эти уязвимости могут быть использованы против обычного человека. Он можете знать "кого-то" или входить в круг общения определенных лиц. За ним может шпионить работодатель или партнеры по бизнесу, муж или жена. Или государство. Наконец-то, кто-то может получить доступ к его интимным фото и начать шантажировать их публикацией. Или может просто заблокировать смартфон и потребовать выкуп за код, который его разблокирует (как это все чаще происходит с персональными компьютерами).

Большая часть из нас хотя бы раз в жизни получала SMS-сообщения (или знает людей, которые их получали) о внезапном выигрыше в лотерею. Как они рассылаются наугад из-за границы, так и вирусы тоже могут рассылаться наугад и тоже хоть из Буркина-Фасо (кстати, кто-нибудь когда-нибудь получал спам-SMS с кодом страны +226?). Тем более, что в данном случае способ доставки зловредного кода — MMS и SMS, которые, для его срабатывания, даже не надо открывать.

Подождите, это происходит уже сейчас?! Я в опасности?

Нет, пока нет. Пока об этом говорят только специалисты по безопасности. Но, поскольку информация о теоретической возможности таких вирусов уже есть, не сомневайтесь — "плохие парни" трудятся вовсю, чтобы найти эти бреши и придумать, как их использовать. Это большие деньги — данные о конкретных уязвимостях подобного уровня продаются за сотни тысяч долларов.

Когда появятся первые вирусы, нацеленные на сотни миллионов смартфонов, каждый узнает об этом — либо станет одной из жертв, либо прочитает на TechLife.

Я не понимаю, почему это такая проблема — Windows ломают десятилетиями, и ничего

Проблема кроется в самой философии Android — быть максимально открытой и доступной ОС. Быть системой, которая есть "в каждой кофеварке". Apple iOS и Microsoft Windows — это закрытые системы, которые контролируются конкретными компаниями. Если в iOS находится критическая уязвимость или найдена очередная дыра в Windows, то Apple и Microsoft очень быстро выпускают дополнения, которые доступны сразу десяткам и сотням миллионов машин. Все, что надо от пользователя — поставить эти патчи, они здесь, только руку протяни. Либо просто включить автообновления и вообще не думать о каких-то там дырах в какой-то там безопасности.

У Android все не так. Google разрабатывает и распространяет только ядро ОС и ряд стандартных сервисов. Этот код потом берут другие производители и мобильные операторы, которые приспосабливают к своим нуждам, ставят свои программы и используют на своих устройствах. В итоге в одну единицу времени могут существовать буквально сотни разных версий Android и нет никакого механизма, который бы позволял обновить их все сразу.

То есть, у Google нет власти над Android?

Практически нет. Она может выпустить обновление ядра ОС и отдельных ее критических компонентов, но как быстро оно достигнет обычных смартфонов и планшетов — зависит от их производителей и только от них (а в США и Западной Европе — еще и от операторов мобильной связи, которые продают "брендированные" телефоны). Поэтому называть Google Android не совсем корректно — это уже давно просто Android, который, как та кошка, живет практически сам по себе.

Но производители ведь выпустят обновления, верно?

И да, и нет. Согласно заявлению Google, в августе дыру в Stagefright — ту, что позволяет взломать телефон одним MMS-сообщением — закроют в следующих моделях смартфонах:

  • Samsung Galaxy S6 Galaxy S6 Edge, Galaxy S5, Galaxy S4, Galaxy S3,
  • Note 4, Note 4 Edge;
  • HTC One M7, One M8, One M9;
  • LG Electronics G2, G3, G4;
  • Sony Xperia Z2, Xperia Z3, Xperia Z4, Xperia Z3 Compact;
  • Android One.

Кроме того, Google, Samsung и LG заявили, что они закроют эти дыры и перейдут к практике выпуска ежемесячных обновлений, но это будет касаться только их флагманов (Google выпускает смартфоны Nexus), которые работают на самой свежей версии ОС. Между тем, флагманы, устройства стоимостью от 600-700 евро — это лишь крошечная доля рынка. Например, под Android 5,1 сейчас работает лишь 2,6% всех Android-смартфонов и планшетов.

Мы уверены, что у подавляющего большинства читающих эти строки простые, дешевые смартфоны стоимостью пару сотен евро, максимум. Эти гаджеты, в зависимости от их свежести, тоже могут получить обновления, но мы бы всерьез на это не рассчитывали — практика показывает, что производители не выпускают заплатки для своих старых моделей.

Почему так происходит? Им плевать на своих покупателей?!

Нет, у них просто нет денег, чтобы делать это добровольно. Для того, чтобы выпустить обновление для каждой конкретной модели, надо не просто адаптировать его, но еще и протестировать, а потом и доставить на смартфоны (интернет-траффик в таких объемах стоит существенных денег).

При этом, согласно финансовой отчетности LG, например, компания в последнем квартале с каждого проданного смартфона заработала лишь 1,2 цента ($0,012). Ситуация на рынке Android-устройств всегда была т.н. "гонкой на дно", а сейчас она обострилась до неприличная. И безумная конкуренция заставляет производителей максимально сокращать издержки. Можно сколько угодно иронизировать над высокими ценами на Apple iPhone и сверхприбылями Apple, но результат налицо — "на той стороне" сейчас нет тех проблем, которые стоят перед пользователями Android.

Что надо сделать, чтобы не стать жертвой возможных вирусных атак?

Пока ничего. Точнее, нужно обязательно сохранить все самое ценное, что есть на смартфоне, на компьютер или закачайте на "облако". Чтобы, когда в одну не очень прекрасную полночь телефон превратится в тыкву, не горевать еще и о потерянных бесценных фотографиях и контактах.

Всерьез рекомендовать переходить на iOS мы в данном случае не будем — для людей, которые не могут себе позволить потратить 700 евро на смартфон, это выглядит издевательством. А те, кто могут себе это позволить, скорее всего и так владеют свежим флагманским "дроидом", который получит все обновления. Их это все вообще не волнует.

Если же кто-то станет жертвой вирусной атаки — стоит высказать свое недовольство производителям, а также государственным регуляторам (например, Комиссии по регулированию общественных услуг или Центру по защите прав потребителей). Без мощного запроса со стороны потребителей и не менее мощного пинка со стороны государства производители будут шевелиться медленно и неохотно. Ибо, как мы уже отметили выше — у них просто нет на это лишних денег.

Но все это выглядит ненормально и неправильно!

Именно так, и мы на 99% уверены, что в Google и в компаниях-производителях конечных устройств под Android это понимают. Однако, для изменения ситуации, видимо, должен клюнуть жареный петух в виде проблемы, которая действительно затронет пару сотен миллионов устройств одновременно. Всем, кто стоит за Android, надо сесть за стол переговоров и принять ряд определенных волевых решений, которые, в конечном итоге, сделают Android более похожим на Apple iOS и Microsoft Windows — системой, которую кто-то держит железной рукой.

Читайте нас там, где удобно: Facebook Telegram Instagram !