Увеличение числа смартфонов с неисправленными проблемами безопасности

Организация Electronic Frontier Foundation (EFF) выразила беспокойство в связи с ростом числа смартфонов, программное обеспечение которых содержит неисправленные уязвимости. Например, компания Google при разработке платформы Android придерживается практики молчаливого исправления уязвимостей, которые устраняются наряду с другими ошибками без акцентирования на них внимания. Подобная практика приводит к тому, что производители телефонов на базе платформы Android не торопятся выпускать обновления для своих модифицированных прошивок и как правило продают телефоны, прошивки которых содержат неисправленные уязвимости.

В результате в экосистеме платформы Android накапливается большой пласт устройств - устаревших, фрагментированных и возможно уязвимых для известных видов атак. Подобная ситуация не несет ничего хорошего для всех: пользователей, операторов связи, OEM-производителей, разработчиков программ и компании Google. Остающиеся в системе уязвимости, делают смартфоны привлекательной мишенью для злоумышленников, интерес в получении контроля над современным телефоном для которых не меньше, чем получение контроля за стационарным ПК.

Подобная тенденция не свойственна одной платформе Android - компания Apple выпускает обновление с исправлением уязвимостей с большим опозданием. Например, обновление iOS 4.2 содержало исправление удаленно эксплуатируемых уязвимостей, таких как ошибка в пакете FreeType, о существовании которых было известно на протяжении нескольких месяцев (релиз iOS 4.2 вышел в декабре, а уязвимость во FreeType была исправлена в Linux-дистрибутивах еще в августе).

Кроме того, политика некоторых компаний по блокированию полного доступа к программному обеспечению телефона приводит к тому, что пользователи, для того чтобы оставить возможность расширенного доступа к устройству, намеренно блокируют обновление прошивки, используя некоторые уязвимости для обхода введенных производителем ограничений (обеспечение возможности установки сторонних программ в iOS и получение root-доступа в Android).

Уменьшить риски можно используя классические рыночные механизмы давления на производителя. В июле организация EFF добилась внесения в закон DMCA существенных поправок, которые делают легальным разблокирование прошивки (jailbreaking) мобильных телефонов. Поправки позволяют пользователю не нарушая DMCA производить любые манипуляции с прошивкой и установкой дополнительных программ или патчей. Например, пользователи могут установить на своем телефоне независимую прошивку CyanogenMod, обновления для которой выпускаются регулярно.

Для оценки степени фрагментированности экосистемы Android, можно сослаться на исследование частоты выпуска обновлений разными производителями. Некоторые выводы:

  • Обновление до Android 2.2 было выпущено только для 50% телефонов компании HTC. Среднее время ожидания обновления составило 56 дней;
  • Motorola предоставила обновление Android 2.2 только для 15.4% телефонов. Время ожидания обновления составило 54.5 дня;
  • Samsung выпустил обновление с Android 2.2 для 11.1% выпущенных телефонов. Обновление выпущено для одного телефона из 8, при этом обновление вышло спустя 159 дней.
  • Dell и LG пока не подготовили обновление с Android 2.2 для уже выпущенных на рынок аппаратов, но собираются подготовить обновление как минимум для одной модели телефона - LG Ally и Dell Streak;
  • Компания Sony Ericsson заявила, что устройство Xperia X10 останется на старой версии Android.

©  OpenNet