Безопасность android


7 советов по безопасности Android, как защитить смартфон в публичной сети Wi-Fi

Недавно представленный iPhone 7 подтвердил опасения, что Apple переживает серьезный кризис идей. Главной новинкой модели стал отказ от традиционного разъема для наушников, на замену которым пришли беспроводные «затычки» за 12 990 рублей (двенадцать тысяч девятьсот девяносто рублей). Дадим несколько советов по безопасности для тех, кто наконец-то решил перейти с iOS на Android (а также для давних поклонников платформы от Google):

1. Блокировка приложений

Порой знакомые просят ваш смартфон, чтобы посмотреть фотографии или быстро что-то найти в интернете. Отказывать неудобно, но вы не хотите, чтобы посторонние люди копались в личных файлах. Специально для таких случаев в Android 5.0 Lolipop появилась возможность заблокировать устройство в нужном приложении. Для активации функции идем в раздел Безопасность — Блокировка в приложении — Вкл. После этого в любом нужном приложении можно нажать кнопку «Недавние», а затем на иконку булавки. Приложение откроется, но из него нельзя будет выйти. Для разблокировки одновременно нажмите «Назад» и «Недавние», после чего введите PIN-код или пароль.

2. ESET Mobile Security

Главная защиты вашего Android — надежный антивирус ESET Mobile Security, эффективность которого доказана многочисленными тестами независимых вирусных лабораторий. Комплексную защиту устройства в режиме реального времени обеспечивает облачная технология ESET Live Grid, модули «Антифишинг» и «Антиспам». Функция «Родительский контроль» сделает Android-гаджет безопасным даже для самых маленьких. Модуль «Антивор» поможет определить местоположение смартфона по GPS, если устройство потеряно или украдено. Кроме того, в «Антивор» позволяет удаленно заблокировать гаджет или стереть все данные, чтобы они не попали в чужие руки.

3. Менеджер паролей

Любой интернет-пользователь имеет десятки, а то и сотни учетных записей на различных сайтах и сервисах. Однако мало кто может запомнить уникальный пароль для каждого из них, поэтому почти везде используется один и тот же пароль (вы не исключение, верно?) Хорошо, что разработчики приложений уже позаботились о решении данной проблемы. Менеджеры паролей, такие как LastPass или 1Password, помогают пользователям генерировать и хранить любое количество паролей. Как придумать сложный пароль и запомнить его навсегда, читайте в нашем руководстве.

4. Двухфакторная аутентификция

Постарайтесь максимально сократить риск утечки данных и воспользуйтесь функцией двухфакторной аутентификации везде, где это возможно. Большинство современных сервисов позволяют включить подтверждение авторизации по SMS. Таким образом, мошенники не смогут получить доступ к вашей учетной записи, если у них в руках не будет вашего мобильного телефона. Некоторые приложения позволяют обходиться и без SMS (например, Authy). Программа автоматически генерирует шестизначный код, который исчезает через 12 секунд. Использовать Authy можно со всеми сервисами, поддерживающими двухфакторную аутентификацию.

5. Умная разблокировка Smart Lock

Все пользователи гаджетов знают, что блокировка экрана устройства добавляет дополнительный уровень безопасности от угроз в онлайне и оффлайне. Тем не менее большинство игнорирует эту меру безопасности, потому что вводить PIN-код десятки раз в день может быть очень утомительно. К счастью, разработчики Android 5.0 Lolipop придумали, как обойти надоедливые пароли без ущерба для безопасности. Функция Smart Lock позволяет разблокировать мобильное устройство 3 способами:
  • Надежные устройства — устройство разблокируется, когда поблизости находится знакомый Bluetooth или NFC-метка
  • Безопасные места — разблокировка устройства по геолокации (например, дома или в офисе)
  • Распознавание лиц — устройство разблокируется, если гаджет «узнал» владельца
Как включить Smart Lock:
  1. Настройки — Безопасность — Блокировка экрана
  2. Выберите один из способов блокировки экранов (кроме «Провести по экрану»)
  3. Перейдите в конец списка, найдите пункт Trust Agents и активируйте Smart Lock
  4. Вернитесь в начало раздела «Безопасность» и откройте меню Smart Lock
  5. Выберите один из вариантов умной разблокировки, перечисленных выше

6. Android Device Manager

Приложение Android Device Manager позволит вам быстро найти потерянный гаджет. С его помощью можно установить громкость рингтона на максимум, даже если устройство было в беззвучном режиме. Пригодится, когда смартфон снова завалился за диван.

7. An Android VPN client

Вопреки рекомендациям экспертов по инфобезопасности, пользователи часто подключаются к публичному Wi-Fi в кафе, аэропортах, отелях и других местах. Таким образом, у злоумышленников появляется шанс перехватить важные личные данные, в том числе логины и пароли от интернет-банкинга. Дополнительной мерой защиты может стать использование VPN-клиентов, которые шифруют трафик вашего устройства, а также скрывают IP-адрес и местоположение. Если вы вынуждены часто использовать публичные беспроводные сети (например, в путешествиях или командировках), то воспользуйтесь одним из приложений: Hotspot Shield VPN, TunnelBear VPN или SuperVPN.

club.esetnod32.ru

Безопасность Android-приложений. Лекция в Яндексе / Блог компании Яндекс / Хабрахабр

Разработчик Дмитрий Лукьяненко, чью лекцию мы публикуем сегодня, не только является специалистом Яндекса, но и умеет проверять на прочность решения разработчиков других компаний. Это позволяет учиться на чужих ошибках — не исключая порой своих, конечно. В докладе Дмитрий поделится примерами Android-уязвимостей, в том числе найденных им собственноручно. Каждый пример сопровождается рекомендациями — как нужно и как не нужно писать приложения под Android.

Меня зовут Дмитрий, я работаю в компании Яндекс в минском офисе, занимаюсь разработкой аккаунт-менеджера. Это библиотека, которая отвечает за авторизацию пользователей. Поэтому мы поговорим о безопасности Android-приложений. Я бы выделил следующие источники проблем. Первые — сетевые, связанные с коммуникацией с сервером. Это когда ваши данные передаются не совсем защищенным способом. Вторые связаны с проблемой хранения данных: это когда ваши данные хранятся где-то в открытом виде, могут даже где-то на SD-карте храниться, либо они не зашифровываются, в общем, когда к ним есть доступ извне.

Третий вид проблем — воздействие сторонних приложений на ваше. Это когда стороннее приложение может получить несанкционированный доступ к вашему, выполнить какие-то действия от имени пользователя, либо даже украсть что-то и т. п.

В этом докладе мы остановимся именно на третьем виде проблем, связанном с воздействием сторонних приложений. Мы рассмотрим не только теорию, но ещё и конкретные примеры из реально существующих приложений. Причем некоторые эти примеры до сих пор актуальны, видимо, на них просто забили, но мне они кажутся достаточно интересными. Этот доклад будет полезен тем, кто занимается Android-разработкой. Я бы советовал уделить внимание этим аспектам всем, кто делает приложения. Например, тестировщикам. Тестировщики, мне кажется, если посмотрят эти нюансы, смогут какие-то премии выбивать, они начнут более глубоко вникать в разработку, даже программировать можно особо не учиться. Manifest-файл просто смогут анализировать и выявлять потенциально опасные места. И всем остальным, кто интересуется такими вопросами безопасности. Прежде чем начнем, стоит упомянуть софт, который может пригодиться. В первую очередь BytecodeViewer, очень полезная программка, позволяет одним кликом получить из apk-файла все исходники, все ресурсы, в том числе manifest-файл. Стоит отметить удобную утилиту для Android — ManifestViewer. Она позоляет очень быстро просматривать manifest-файлы всех установленных приложений. Я её использую по работе, например, когда ко мне приходят и говорят: аккаунт-менеджер не работает, что такое? В первую очередь всегда смотрю manifest-файл, чтобы убедиться, что аккаунт-менеджер был правильно интегрирован, то есть что все его компоненты объявлены как надо. Эта программка полезна, чтобы вы на скорую руку открыли и посмотрели точки входа, вектор атак из manifest-файла.

Если вы любите всё делать из консоли, вот вам все эти программы отдельно. apktool позволяет выдернуть все ресурсы и manifest-файл. Dex2jar и enjarify позволяют конвертировать apk-файл в jar. Dex2jar может какие-то apk не конвертнуть, выдать с каким-то исключением. Не отчаивайтесь: часто такие файлы скушает enjarify, и вы получите jar. Это две хороших утилиты.

После того, как у вас есть jar-файлы, вы можете взять Java Decompiler и сконвертировать их в более удобный вид — в вид классов. Понятно, что их нельзя будет запустить, но анализировать их гораздо проще, чем код, который там получается, и т. п. Давайте рассмотрим самые базовые проблемы. Во-первых, сначала нам нужно проанализировать manifest-файл, потому что в нем обязательно должны быть описаны все компоненты Android-приложения. Это Activity, Service, Broadcast Receiver, ContentProvider. Все они, за исключением Broadcast Reciever, обязательно должны там находиться.

Поэтому когда мы начинаем поиск каких-то проблем, мы смотрим эти компоненты. Вот конкретный пример. Это сервис, который был объявлен в manifest-файле одного приложения, он явно экспортируется. В нем даже явно указано, что он экспортирован. Это означает, что он доступен любому другому стороннему приложению. Любое другое приложение, в свою очередь, может послать в этот сервис интент, и сервис может выполнить какие-то действия, если они там предусмотрены.

В данном случае мы видим потенциальный вектор для атаки. Если копнем глубже и посмотрим исходники, по ним станут понятно, что этот сервис позволяет, допустим, удалить авторизованного пользователя в этой программе. Я сомневаюсь, что разработчики предусматривали такую фичу для каких-то сторонних приложений. Это конкретный пример, которому следует уделить внимание.

Ещё один момент: когда у нас какая-то компонента использует интент-фильтры, то по умолчанию она тоже становится экспортируемой. Тут, возможно, начинающие разработчики могут споткнуться. Если интент-фильтр есть, то всё, эта компонента уже публичная. Тут стоит быть внимательным.

Я сталкивался с такими видами проблем, когда над уведомлением, которое показывается в соответствующей панели, можно произвести ряд действий. Например, такое бывало в Яндекс.Почте и других приложениях. Что делало это событие? Оно обрабатывалось при помощи публичного BroadcastReciever. То есть злоумышленник тоже мог послать любой бродкаст — подобрать ID письма и, допустим, удалить его. Причем необязательно, чтобы это было сообщение в панели.

Когда-то давно в Яндекс.Почте была такая уязвимость. Уже всё поправили, так что можно пользоваться, всё отлично. Спасибо Ильдару, они оперативно всё это делают. Как это решилось? Компоненту просто сделали недоступной извне, поставили ещё permission дополнительно. Его можно было и не ставить, главное — если она не экспортируется, значит, уже никто не сможет к ней подключиться и что-то выполнить. Следующий вид проблем — использование неявных интентов, когда в интенте не задается конкретное место, в которое он должен прийти. Это означает, что у вас нет гарантии, что этот интент придет туда, куда вы хотите. Он может прийти куда-то ещё. Поэтому тут надо быть внимательным.

Ещё нюанс, который я отнес бы к неявным интентам, — это Browsable Activity, когда у нас из браузера можно открыть Activity стороннего приложения. Это происходит, когда задана какая-то схема, хост, там кликают и у вас открывается окно. Хорошо, когда просто открылось окно и например, передалась позиция на карте. Это не страшно. А страшно — следующее. Допустим, у нас некоторые ребята предлагают использовать Slack в компании. В Slack очень интересная авторизация. Если вы авторизовались в браузере на Android, то вы можете авторизоваться и в установленном приложении Slack. Это работает по такой схеме, когда в браузере есть URL, вы по нему кликаете и его перехватывает приложение Slack. Но здесь нет гарантии, что URL не перехватит кто-то другой, причем по нему передается токен. Схема достаточно простая: когда вы кликаете в браузере, вас сразу авторизовывают в приложении Slack. Значит, этого URL достаточно для авторизации. Здесь отмечены кнопки, которые можно кликать в браузере и которые инициируют это открытие. Это не только «Открыть Slack», но и логотип — он всегда находится сверху, на любом экране.

Давайте посмотрим видео, которое демонстрирует использование этой проблемы. Мы авторизовались, зашли в свою директорию, нажали на логотип Slack — но приложения Slack у нас нет, у нас злоумышленник подставил интент-фильтр. Вернулись, нажали… Можно фишинг сделать — точно такой же по внешнему виду, как Slack. Написать, что авторизация не сработала и всё такое. Пользователь ничего не поймет, а токен окажется у вас. Поэтому если пользуйтесь Slack, то будьте внимательны с этой браузерной авторизацией. Решение очень простое. Как говорил мой коллега, можно использовать явные интенты, которые открываются из браузера. Но когда я в Slack зарепортил и мой тикет получил номер 80000 с чем-то, они сказали, что это дубликат и что уже есть тикет 50000-какой-то. Если прикинуть, получится, что им это больше чем полгода назад сообщили. Исправляется вроде достаточно просто, но — не исправили. Значит, это не критичная проблема и можно тогда о ней рассказать.

Здесь есть рекомендация, что лучше всегда использовать явный интент. Если вы почитаете и вникнете более глубоко, то узнаете, что у Android была прикольная опечатка. Они в одном месте использовали неявный pending intent. Из-за этого можно было получить доступ к пользователю с правами system. Они эти ошибки исправили в Android 5. Такие ошибки у всех бывают, даже у Google.

Всегда лучше использовать явный интент или, если это невозможно, всегда задавать какой-то permission. Он позволяет ограничить доступ.

Рассмотрим другой вид уязвимостей — основанный на пользовательских данных.

У нас есть приложения, которые могут получить какие-то данные от пользователей, например отправить какой-то файл, открыть его, просмотреть. Это обычно осуществляется при помощи интентов типа view и send.

Вот это зловредное приложение может вам сказать: отправь мне файл, который лежит у тебя же в приватной директории, в твоей же песочнице. Допустим, этот файл может быть вашей базой данных, содержащей всю переписку, или преференсы, если хранятся какие-то токены. Некоторые приложения могут выполнять с этими файлами какие-то действия. Они могут, например, файл закешировать на SD-карте или отправить куда-то. В том числе можно выполнить такое действие, что этот файл станет доступен злоумышленнику, хотя изначально они предполагали, что это будет их внутренний файл.

Можно взять getAbsolutePath() и проверить, совпадает ли директория с вашей приватной. Но это неправильно. Вам злоумышленник может прислать не сам файл, а ссылку на него.

Как может создаваться эта ссылка? У злоумышленника создается readme.txt — он сделал ссылку на приватный файл вашего приложения. Затем он запихнул эту ссылку вам, и если вы будете использовать getAbsolutePath(), то вам вернётся путь ссылки — путь к файлу readme.txt. А вы подумаете, что всё нормально.

Чтобы это исправить, лучше использовать метод getCanonicalPath(). Он возвращает полный путь, самый настоящий. В данном случае система вернет не readme.txt, а какой-нибудь mailbox. Учитывайте эти проблемы.

Я сталкивался с ситуацией, когда подобная проблема была у одного приложения более чем с 50 млн пользователей. Говоришь: покажите мне этот файл. Они его кешируют на SD-карту и потом пытаются открыть. Так можно было все токены украсть. Они уже всё исправили, но попросили пока не разглашать. Тем не менее, такое встречается.

Следующий интересный момент: вам могут прислать ссылку на content provider, и он тоже может быть передан. Даже если он защищен через permission, даже если он не экспортируемый, то всё равно — когда ваше приложение попытается его открыть, выполнится метод query, который есть в content provider.

Тут надо быть осторожным. Вот ещё один реальный пример, уже из другого приложения. Они делали бэкап БД из метода query. Туда можно было передать action типа backup и программа сразу дублировала всю БД на SD-карту. Получается, вроде провайдер защищен, но его можно так подсунуть, чтобы получить в итоге всю БД. Я больше нигде не встречал, чтобы кто-то делал запись в методе query, но там всегда лучше открывать что-то для чтения. А ещё — учитывать, что там может быть SQL-инъекция. Сейчас есть ряд приложений, в которых я обнаружил возможность SQL-инъекции. Однако доступы у них только для чтения, и я пока не понял, можно ли там дальше что-то сделать. Но вдруг найдется уязвимость в самой БД SQLite, которая позволит выполнить уже не настолько безобидную инъекцию? Всё-таки лучше их не допускать, даже если если при открытии есть доступ только для чтения.

Теперь давайте рассмотрим одну проблему с WebView, причем срабатывает она во всех Android до версии 5.0 и позволяет обойти SOP. Из этого мы сделаем вывод, что в WebView лучше никому не давать открывать свои файлы. Рассмотрим этот вид атаки. Зловредное приложение может попросить ваше приложение, если оно имеет доступы к WebView: покажи мне файлик index.html. Предположим, ваше приложение открыло index.html. Содержимое файлика очень простое — JavaScript, который через 5 секунд сам файлик, самого себя, загружает в iframe, перезагружает как бы. В этот период времени зловредное приложение указанный файлик удаляет и заменяет на символическую ссылку на приватный файл из вашего приложения. Проходит 5 секунд, оно перезагружается, но контент в нём уже становится контентом того самого приватного файла. На Android до 5.0 ещё до WebView, видимо, стоит неправильная проверка на то, что это символическая ссылка. Таким образом можно прочитать контент. Оно смотрит — имена файлов совпадают, значит SOP не нарушена, контент можно отдать и значит, JavaScript может взять контент и отправить его на сервер. Такой вид атаки встречается не только в WebView. Он до сих пор работает в UCBrowser, у которого больше 100 млн установок. Я встречал такое и на некоторых версиях Android-браузера, до Android 5.0. Наверное, он тоже на WebView построен. Например, на телефонах Samsung у меня такое не получилось воспроизвести, а на моем телефоне Acer срабатывает. Глянем небольшое видео о том, как это работает в UCBrowser. Речь о небольшом зловредном приложение, но оно может сработать. Вы легли спать, телефон тоже, внезапно запускается activity, страничка. Вы спите, а там запустилось — какой-то iframe, подтверждение, алерт. Если алерт прочитал контент, значит, мы точно так же могли отправить этот контент куда угодно. Это bookmark.db, тут хранятся закладки. Думаю, кому интересно — может поисследовать. Возможно, удастся найти там более приватные пользовательские данные. Можно и куки украсть. Но куки у них названы по имени сайта, поэтому надо перебирать. ВКонтакте можно взять. Уязвимость до сих пор есть, вроде пока ещё не исправили и не спешат исправлять.Вывод: если у вас есть WebView, то не давайте никому открывать в нём свои ссылки. А если всё-таки даёте, то хотя бы запретите открытие локальных файлов. В этом плане большие молодцы компания Qiwi, я их приложение пробовал, обрадовался, что сейчас открою файлик — ан нет, они запретили открывать локальные файлы и ничего не сделаешь.

Рассмотрим следующий вид нетривиальной проблемы. Она основана на особенностях десериализации в Android. Возможно разработчикам самой Java может быть полезно.

Представим, что у нас есть интент, который содержит какие-то данные, которые передаются в наше приложение — оно берет одно поле и считывает его с интента. И если приложение считало хоть одно поле, то происходит автоматическая десериализация всех данных в интенте. Даже если они не будут использованы, они всё равно десериализуются. Сейчас поймете, что здесь опасного.

Есть в Android до 5.0 такой бонус: на некоторых версиях при десериализации не проверяется, что класс действительно имплементирует интерфейс сериализации.

Это означает, что все классы, которые есть в вашем приложении, могут быть уязвимы. Да, они могут быть не сериализуемы, но если они подойдут под критерий, который будет описан дальше… Итак, что тут опасного? Если объект был создан, он когда-нибудь будет удален. Обычно в том, что метод finalize вызовется, нет ничего опасного, ничего не реализуется. Однако когда есть нативная разработка, то обычно в методе finalize вызывают деструктор из нативной области и передают туда указатель. Я нативной разработкой не занимался, но поизучал, как туда передаются указатели. Если данный указатель сериализуется, то злоумышленник может подставить свой, а он, в свою очередь, может как вызвать ошибку выхода за границы памяти, так и указать на другую память, которая потом возьмет и выполнит какой-то код. Этим воспользовались ребята из компании IBM. Они проанализировали весь список классов на платформе Android — проверили больше тысячи или сколько их там. И нашли всего один, который удовлетворял критериям: он был сериализуемый, и он сериализовал native-указатель. Они взяли этот класс, подставили свой указатель, он сериализовался и десериализовался. Он был новым не каждый раз. Сделали proof of concept, демонстрацию, есть видео. Эта уязвимость позволила им при помощи этого класса заслать интент в системное приложение. Оно позволило им, допустим, удалить оригинальное приложение Facebook и заменить его на фейковое. Видео длится минут 7. Там приходится повертеть — пока finalize вызовется, пока очистится память. Но вывод — никогда не надо десериализовывать нативный указатель.

Подытожим. Лучше никогда не экспортировать компоненты, которые есть в вашем приложении. Либо — ограничивать доступ по permission. Интенты всегда лучше использовать явные, либо permission задать. Никогда не доверяйте тем данным, которые придут от пользователя — это могут данные на что угодно, даже на ваши приватные области. Вы их потом можете повредить. Внимательно отнеситесь к ContentProvider, в том числе к SQL-инъекции и т. п.

Такая штука, как WebView, — она вообще не для игрушек. Если она есть в вашем приложении, закройте её и никому не давайте с ней играться.

Сериализация, а точнее, нативная разработка — это тоже как спички, будьте с ней поосторожнее. Спасибо за внимание.

habrahabr.ru

Топ-10 угроз безопасности Android | Вирусы

Опубликовано: 9 апр 2011 в 22:17

Автор: Lisa Phifer  Перевод: freeeeez 

Прошлая статья о необходимости антивирусной защиты для Android стала весьма популярной на сайте. И сегодня я наткнулся на еще одну интересную статью по обзору безопасности платформы Android. Какие-то угрозы безопасности покажутся вам малозначимыми, но для кого как, конечно. Начнем же.

В прошлом году, платформа Android стала самой популярной мобильной ОС, обогнав Apple и BlackBerry. Из 300 млн. смартфонов, 67 млн. это Android устройства, такие как Samsung Galaxy S, Motorola Droid X, HTC EVO. Новый Android 3.0 Honeycomb предназначенный для планшетных устройств будет еще больше стимулировать продажи в этом году.

Далее мы рассмотрим крупнейшие для Android угрозы безопасности и способы их устранения.

1. Отсутствие восстановления данных: Вопрос восстановления утерянных данных волнует многих. Однако в ходе исследований оказалось, что почти 60 процентов пользователей смартфонов и таблеток не смогли восстановить потерянные данные, тогда как пользователи Apple iPhone могли восстановить почти все из iTunes. Потери данных можно избежать, установит программу автоматического создания резервных копий (например, WaveSecure или MyBackup). Или же зарегистрироваться в одном из доступных сервисов FindMe.

2. Блокировка устройства: Если ваш Android попадает в чужие руки, вам необходимо сделать все необходимое чтобы предотвратить звонки, смс, чтение вашей почты или использование Интернета. По статистике трое из четырех пользователей блокируют свой смартфон, однако, когда вы часто водите пальцем по одному и тому же месту, появляется след, по которому почти в 90% случаев удается разблокировать устройство.

Используйте PIN-код или пароль, чтобы ограничить доступ к смартфону. Пользователи также могут применять сторонние приложения для аутентицикации, такие как Norton Mobile или AppProtector. Также есть удаленные службы блокировки смартфонов.

3. Отсутствие шифрование данных: Основным риском безопасности является отсутствие аппаратного шифрования данных. К счастью, в Android 3.0 Honeycomb есть встроенный API, предлагающий производителям внедрять свои разработки в области шифрования данных. А что насчет Android 2.2 и ниже? Остается использовать те приложения, которые самостоятельно шифруют данные (Good for Enterprise, Exchange Touchdown и другие).

4. SMS-фишинг: Злоумышленники используют текстовые сообщения для того, чтобы обманным путем заставить пользователя посетить вредоносный или мошеннический сайт. Уже давно хакеры обращают внимание на открытость и популярность Android. Например, в прошлом году один "счастливчик" получил СМС, в котором была ссылка на Trojan-SMS.AndroidOS.FakePlayer, замаскированный под бесплатный видеоплеер. После установки, FakePlayer начал звонить на платные номера без участия юзера. Во избежание подобных ситуаций следует установить SMSLinkGuard, чтобы блокировать потенциально вредоносные ссылки.

5. Сетевая безопасность: Вы думаете просмотр веб-страниц с вашего смартфона является безопасным? Прошлой осенью М.Дж. Кейт продемонстрировал уязвимости WebKit браузера, которые могут быть использованы на Android 2.0 и 2.1. А Т. Крэннон нашел недостаток браузера Android 2.2, который может позволить хакеру получить полный достук к SD карте. К тому же, недавно в Google зафиксировали XSS-уязвимости на Android Market.

К сожалению, пользователи Android не могут быстро патчить свои смартфоны, потому что обновления ОС выходят довольно редко. Можно поставить себе приложения, вроде BadLink Check или TrendMicro, чтобы избежать заведомо вредоносных сайтов.

6. Любопытные приложения: За последние пол года, число приложений на Андроид Маркете выросло более чем в два раза. Почти 28% приложений знают настоящее месторасположение устройства, а около 7,5% имеют доступ к вашим контактам. Вы не задавались вопросом, зачем им эта информация, и что они с ней делают? При установке приложения должны запрашивать разрешение — избегайте чересчур любопытных приложений. Чтобы найти уже установленные навязчивые игры для android, используйте Lookout Mobile Security's.

7. Трояны: Некоторые приложения на самом деле не то, чем кажутся. В некоторые легальные приложения "имплантируют" троянские программы, такие как Android.Geinime, который превращает инфицированные телефоны в ботов. Таких проблем можно избежать, устанавливая приложения только из Android Market.

8. Вирусы: За последнее время, число вирусов на Андроид заметно подросло. Это связано с быстро расширяющейся популярностью платформы. Потому как Android является открытой платформой, хакерам предоставляются широкие возможности осуществления своих коварных фантазий.

К счастью, в Android для таких программ предусмотрена песочница, позволяющая ограничить потенциальный ущерб от вредоносного ПО, если оно, конечно, не покинет пределы этой песочницы. Как DroidDream в прошлом месяце. Скрытый внутри более 50 приложений, в их числе Sexy Girls, Advanced File Manager, Task Killer Pro, DroidDream инфицировал телефоны. Про необходимость антивирусной защиты я писал в отдельной теме "Нужен ли антивирус для Android?".

9. Поддельные антивирусы: Увы, тенденция подделывания антивирусных программ в настоящее время достигла и Android. После расправы с DroidDream, Google выпустили приложение Android Market Security Tool 2011. Вскоре после этого, на сторонних китайских рынках появился Android.Bgserv, делая вид что это приложение Гугла. Остается только посоветовать скачивать антивирусную защиту только из проверенных источников.

10. Отсутствие MDM (Mobile Device Management): В отличии от iOS, Android пока не предлагает родной MDM, однако доступны сторонние системы. В то же время Android обеспечивает API-интерфейсы для использования чтения/записи параметров (например, сложности пароля), атрибутов (например, GPS-местоположение) и подобных. Настраиваемые параметры ограничены, но быстро расширяются — в зависимости от производителей.

Примечание: Многие из указанных выше приложений на самом деле включают в себя несколько средств безопасности. Все указанные выше приложения, можно найти на Google Play.

20 959 просмотров

www.securityscripts.ru

Основы безопасности операционной системы Android. Безопасность на уровне Application Framework. Binder IPC

Вступление

После небольшого перерыва я продолжаю объяснять базовые принципы как обеспечивается безопасность в операционной системе Android. Сегодня я начну описывать безопасность на уровне Application Framework. Но чтобы понять данную тему, вначале необходимо рассмотреть как в Android реализован механизм межпроцессного взаимодействия (Inter-Process Communication (IPC)). Этот механизм называется Binder IPC, и сегодня мы будем рассматривать его особенности. Все, кому интересно, добро пожаловать!
Список статей
Ниже приведены ссылки на мои статьи из этой серии:
  1. Основы безопасности операционной системы Android. Уровень ядра
  2. Основы безопасности операционной системы Android. Native user space, ч.1
  3. Основы безопасности операционной системы Android. Native user space, ч.2
  4. Основы безопасности операционной системы Android. Безопасность на уровне Application Framework. Binder IPC

Зачем нужен Binder IPC?

Как я уже писал в первой статье цикла, каждое приложение в Android выполняется в своей собственной «песочнице» (Application Sandbox). Механизм «песочницы» в Android основан на присвоении каждому приложению уникального user ID (UID) и group ID (GID), таким образом каждому приложению (application или app) в этой операционной системе соответсвует свой уникальный непривилегированный пользователь. Мы рассматривали эту тему в первой статье цикла. В тоже время владельцами всех критических ресурсов системы являются более привилегированные пользователи, имена и идентификаторы которых жестко зашиты в систему (см. system/core/include/private/android_filesystem_config.h). Системные сервисы, которые запускаются от имени этих пользователей, имеют доступ к соответствующим критическим ресурсам системы (например, к GPS данным), в то время как процессы обычных приложений доступ к этим ресурсам получить не могут.

Однако приложения должны иметь возможность «попросить» системные сервисы предоставить им такую информацию, а последние, в свою очередь, должны иметь возможность предоставить такую информацию приложениям. Так как приложения и системные сервисы исполняются в разных процессах, то для организации такого обмена операционной системе необходимо предоставить механизм обмена информацией между процессами. Более того, даже обычные приложения иногда должны взаимодействовать друг с другом. Например, почтовый клиент может «попросить» просмотрщик изображений отобразить графическое приложение к письму.

В Android обмен сигналами и данными между процессами организован с помощью фреймворка межпроцессного взаимодействия (Inter-Process Communication) Binder. Стандартный System V IPC фреймворк не поддерживается данной операционной системой, в частности, в Bionic libc отсутствуют заголовочные файлы <sys/ipc.h>, <sys/sem.h>, <sys/shm.h>, <sys/msg.h>. В некоторых специфических случаях (например, для взаимодействия с демоном Zygote) используются Unix domain sockets. Все остальные способы взаимодействия между процессами, включая Intents, реализованы используя Binder IPC. Этот фреймворк позволяет синхронно и асинхронно вызывать методы удаленных объектов так, будто они локальные, обмениваться файловыми дескрипторами между процессами, link to death (автоматическое оповещение в случае если Binder определенного процесса был прерван), и т.д.

Как работает Binder IPC?

Взаимодействие между процессами организовано по синхронной клиент-серверной модели. Клиент инициирует соединение и ждет ответа со стороны сервера. Таким образом, взаимодействие между клиентом и сервером происходит последовательно. Такой дизайн позволяет разработчику вызывать удаленные методы словно они находятся в том же самом процессе. Стоит отметить, что это не рассходится с тем, что я писал выше по поводу асинхронного вызова методов: в случае асинхронного вызова, сервер сразу же возвращает пустой ответ клиенту. Схема взаимодействия процессов через Binder представлена на следующем рисунке: приложение (клиент), которое выполняется в процессе Process A, получает доступ к функцианальности, реализованной в сервисе, который выполняется в процессе Process B.

Все взаимодействия между клиентом и сервером в рамках Binder происходят через специальный Linux device driver (драйвер устройства) /dev/binder. В статье «Основы безопасности операционной системы Android. Native user space, ч.1» мы рассматривали процесс загрузки системы. Один из первых демонов, запускаемых процессом init, является ueventd — менеджер внешних устройств в Android. Этот сервис во время старта читает конфигурационный файл ueventd.rc и проигрывает события добавления внешних устройств. Эти события выставляют для устройств разрешения (permissions), а также владельца (owner) и группу (owning group). В следующем примере можно увидеть какие разрешения выставлены для /dev/binder.

... /dev/ashmem 0666 root root /dev/binder 0666 root root ...

Как можно заметить, разрешения для этого устройства выставлены в 0666. Это означает, что любой пользователь системы (а мы помним, что разные приложения в Android — это уникальные пользователи) имеет право писать в и читать из данного устройства. Для взаимодействия с этим драйвером была создана библиотека libbinder. Эта библиотека позволяет сделать процесс взаимодействия с драйвером прозрачным для разработчика приложений. В частности, взаимодействие между клиентом и сервером происходит через proxy (прокси) на стороне клиента и stub на стороне сервера (см. рисунок выше). Proxies и Stubs отвечают за маршалинг данных и комманд передаваемых через драйвер. Т.е. Proxy выстраивает (marshalling) данные и команды, полученные со стороны клиента таким образом, что они могут быть корректно прочитаны (unmarshalling) и однозначно поняты Stub'ом. Вообще, разработчики приложений даже не пишут Stub'ы и Proxy'и для своих приложений. Вместо этого они используют интерфейс, описанный с помощью языка AIDL. Во время компиляции приложения, на основании этого интерфейса генерируется код для Stub'ов и Proxy'и (можете поискать в своих проектах, чтобы увидеть как они выглядят).

На стороне сервера для каждого клиентского запроса создается отдельный Binder поток (см. рисунок выше). Обычно эти потоки называются как Binder Thread #n. Кстати, если мне не изменяет память, то максимальное количество Binder потоков равно 255, а максимальный размер данных, которые могут быть переданы через Binder в рамках одной транзакции составляет 1Mb. Это следует иметь ввиду, когда разрабатываете приложения, передающие или получающие данные от других процессов.

Service Manager

Внимательные читатели должны были отметить для себя тот факт, что до этого я ничего не писал о том, как Android понимает, какому процессу нужно отсылать данные. Технически каждому сервису Binder присваивает 32 битный токен, являющимся уникальным в рамках всех процессов системы (за чем следит драйвер). Этот токен используется как указатель на сервис. Если у клиента есть этот указатель, то он может взаимодействовать с сервисом. Но сначала клиенту необходимо получить это уникальное значение.

Для этого клиент обращается к Binder context manager, который в случае Android называется Service Manager (servicemanager). Service Manager — специальный сервис, Binder токен которого известен всем заранее. Не удивительно, что значение токена для этого сервиса равно 0. Binder драйвер разрешает регистрацию только одного сервиса с таким токеном, поэтому servicemanager — один из первых сервисов, запускаемых в системе. Service Manager можно представить в виде справочника. Вы говорите, что хотите найти сервис с таким-то именем, а вам в ответ возвращают его уникальный токен-номер, который вы можете использовать после для взаимодействия с искомым сервисом. Естественно, сервис сперва должен зарегистрироваться в этом «справочнике».

Безопасность

Сам по себе Binder фреймворк не отвечает за безопасность в системе, но он предоставляет механизмы для её обеспечения. Во-первых, Binder драйвер в каждую транзакцию записывает PID и UID процесса, который инициирует транзакцию. Вызываемый сервис может использовать эту информацию чтобы решить, стоит ли выполнять запрос или нет. Вы можете получить эту информацию используя методы android.os.Binder.getCallingUid(), android.os.Binder.getCallingPid(). Во-вторых, так как Binder токен уникален в рамках системы и его значение не известно априори, то он сам может использоваться как маркер безопасности (смотрите, например, вот эту статью).

Заключение

В следующей части планирую написать о разрешениях (permissions). Материал уже есть, но надо его перевести и подработать. Как всегда буду благодарен за интересные вопросы и пояснения в комментариях, возможно некоторые моменты я неправильно для себя понял.
Ссылки
  1. «Deep Dive Into Binder Framework» by Aleksandar Gargenta
  2. «Embedded Android» by Karim Yaghmour
  3. «Android Binder. Android Interprocess Communication» by Thorsten Schreiber

habrahabr.ru

Новые функции безопасности Android 7 / Блог компании ESET NOD32 / Хабрахабр

Google уже выпустила Android 7. В ближайшее время владельцы различных устройств под управлением Android получат обновление прошивки. Одними из первых новую версию получат пользователи фирменных устройств Google Nexus 6P, 5X, 6, 9, Google Pixel C, Nexus Player, Android One. Так как Google распространяет обновления Android волнами, не все пользователи этих устройств смогут оперативно получить обновление. Android 7 также смогут получить флагманские модели устройств таких вендоров как Samsung (Galaxy S6 и S7), HTC (HTC 10, One A9 и One M9), Sony (Xperia Z3+, Xperia Z4 Tablet, Xperia Z5, Xperia X), LG (V20), Huawei. В новой версии Android появился ряд новых серьезных функций безопасности (security features), о некоторых из которых мы писали в предыдущих постах. Первый был посвящен функции Direct Boot, которая упростит владельцам устройств работу с шифрованием. Второй содержал информацию об улучшениях безопасности ядра Linux, на котором основана Android.

Функция Direct Boot ответственна за своевременную подготовку исполнения системных файлов Android на зашифрованном устройстве. Так как предыдущие версии Android использовали метод шифрования Full Disc Encryption (FDE), т. е. шифрование памяти устройства целиком, загрузчику необходимо было знать код разблокировки устройства для расшифровки системных файлов (в качестве компонента ключа шифрования Android использует код разблокировки устройства). В такой схеме пользователю нужно было ввести код разблокировки дважды после перезагрузки устройства: в первый раз для разблокировки системных файлов, а второй для разблокировки самого устройства.

Своей реализацией Direct Boot обязана тому факту, что Android 7 переключилась с использования шифрования FDE на шифрование per-file, т. е. каждого отдельного файла. Такая схема шифрования уже давно применяется в iOS.

Under the hood, file-based encryption enables this improved user experience. With this new encryption scheme, the system storage area, as well as each user profile storage area, are all encrypted separately. Unlike with full-disk encryption, where all data was encrypted as a single unit, per-profile-based encryption enables the system to reboot normally into a functional state using just device keys. Essential apps can opt-in to run in a limited state after reboot, and when you enter your lock screen credential, these apps then get access your user data to provide full functionality.Источник

Другое security-улучшение касается печально известного системного сервиса под названием MediaServer. Этот компонент работает с повышенными правами и отвечает за проигрывание различного мультимедийного контента. Уязвимости в нем регулярно закрывались в обновлениях безопасности Android, о которых мы писали в блоге. Функция безопасности под названием overflow sanitization помогает закрыть целый класс уязвимостей Android, которые были обнаружены в библиотеке libstagefright. Данную библиотеку использует MediaServer. Другое улучшение безопасности MediaServer касается работы всего мультимедийного стека компонентов, каждый из которых теперь находится в условиях изоляции своего собственного окружения sandbox.

First, by incorporating integer overflow sanitization, part of Clang’s UndefinedBehaviorSanitizer, we prevent an entire class of vulnerabilities, which comprise the majority of reported libstagefright bugs. As soon as an integer overflow is detected, we shut down the process so an attack is stopped. Second, we’ve modularized the media stack to put different components into individual sandboxes and tightened the privileges of each sandbox to have the minimum privileges required to perform its job. With this containment technique, a compromise in many parts of the stack grants the attacker access to significantly fewer permissions and significantly reduced exposed kernel attack surface.Рис. В Android 7 сервис MediaServer разбит на различные подсистемы (мультимедийный стек), которые работают с ограниченными правами и в ограниченном окружении (sandbox). Видно, что новая система присвоения прав сервисам является гораздо эффективной с точки зрения безопасности, поскольку позволяет задать приложению только нужные ему права. В новой версии библиотека libstagefright функционирует в сервисе MediaCodecService, который имеет минимальные права в системе. Таким образом, эксплуатация уязвимостей в этом компоненте для Android 7 не принесет атакующим никаких результатов.

Новая функция Verified Boot строго контролирует целостность загрузчика, предотвращая загрузку устройства в случае его компрометации. Улучшению подвергся и механизм изоляции приложений (sandbox) ядра Linux, известный как seccomp. Кроме этого, были улучшены настройки конфигурации подсистемы безопасности SELinux. Обе этих меры позволяют полностью закрыть механизм безопасности sandbox приложений, а также уменьшить риск успешной эксплуатации других методов атак, используемых эксплойтами.

Об улучшениях безопасности ядра Android мы писали ранее. Они включают в себя реализацию DEP для виртуальной памяти режима ядра (Kernel DEP), функцию типа SMAP, которая позволяет блокировать доступ к страницам пользовательской виртуальной памяти для кода режима ядра. Несколько новых функций относятся к технике, известной под названием Attack Surface Reduction (ASR), она позволяет существенно сократить успешность эксплуатации целого класса уязвимостей. В рамках ASR. Android 7 поддерживает удаление доступа по умолчанию отладки устройства, а также запрещает приложениям использовать некоторые команды с использованием функции ioctl.

Улучшенным стал и механизм обновлений Android 7 «по воздуху» (OTA update). Теперь размер обновлений стал более компактным, а время установки существенно сократилось. Сокращение времени установки обуславливается еще и тем фактором, что в новой версии не будет этапа «подготовки приложений», который занимал больше всего времени в процессе установки обновления в предыдущих версиях Android.

be secure.

habrahabr.ru

Top 20 приложений для обеспечения безопасности Android

Операционная система Android уже давно занимает лидирующее положение на рынке мобильных устройств. Согласно исследованию проведенному фирмой IDC, более 68 процентов мобильных устройств работают под управлением ОС Android, которая имеет открытый исходный код, благодаря которому увидеть как и что в ней работает может каждый, в том числе и плохие парни.

Android очень часто является целью хакерских атак не только из-за своей открытой природы, но и благодаря довольно низким стандартам размещаемых приложений, особенно, в сравнении с остальными платформами, такими как Microsoft Windows и Apple iOS.

Компании, которые занимаются созданием ПО для обеспечения безопасности, находят все больше уязвимых мест, которые используют хакеры для внедрения вредоносного кода в приложения, размещаемые на Google Play. Счет идет уже на десятки тысяч, что не есть хорошо, особенно, если учесть тот факт, что, по заявлению IDC, более 105 миллионов устройств работают под управлением Android.

Что же делать?

Огромное количество приложений, обеспечивающих безопасность, доступно и для Android-устройств. Некоторые из таких приложений представляют из себя не только anti-malware программы, но и способны справиться с рядом более серьезных угроз безопасности. Представляем вашему вниманию 20 must-have приложений для Android, обеспечивающих безопасность не только против вредоносных программ, но и способных обезопасить ваши сетевые транзакции, личные данные и другие аспекты вашего времяпровождения онлайн.

  1. mSecure Password Manager Приложение оснащено технологией шифрования, которая обеспечивает безопасность данных хранящихся в электронных кошельках, включая имя пользователя, пароль и номера аккаунтов, с которыми проводятся или проводились какие-либо транзакции. Кроме того, приложение поддерживает автоматическое резервное копирование на кату памяти, а также имеет генератор сложных паролей.

  1. SplashID Safe for Android Приложение позволяет создавать безопасное хранилище личных данных, таких как персональные пароли к различным интернет ресурсам, ПИН-коды и номера кредитных карт. Также устройство поддерживает функцию резервного копирования, которая может быть синхронизирована с компьютерами Mac и PC.

  1. SeekDroid Safe for Android Приложение позволяет не только дистанционно заблокировать устройство и стереть важные данные, но и узнать физическое местоположение потерянного устройства. Подключение функции GPS позволяет быстро отследить устройство, а дополнительные функции программы обеспечат защиту от слежения, когда устройство находится в ваших руках.

  1. Safe Notes Список важных данных не ограничивается учетными записями и паролями от них. Данные созданные пользователем, например рабочие записи, также могут содержать конфиденциальную информацию. Бесплатное приложение Safe Notes позволяет зашифровать записи и ограничить к ним доступ с помощью ПИН-кода или секретного вопроса.

  1. B-Secure Tracker Потерянное или украденное устройство может быть использовано против воров. B-Secure Tracker позволяет не только узнать местоположение устройства с помощью Google Maps, но и удаленно делать снимки и аудио-записи, которые будут отправляться владельцу по электронной почте.

  1. Secure Settings Secure Settings – это плагин для Android, представляющий из себя интерфейс для сброса кода доступа к устройству, дистанционное включение/выключение ADB, GPS и многое другое.

  1. Remote Security Раскрывает все основы управления потерянными устройствами. Пользователи могут удаленно блокировать свои устройства, включать тревожный сигнал, заставлять устройство звонить на заранее заданный номер и удалять важные данные, такие как SMS-сообщения.

  1. eWallet Предоставляет более высокий уровень обеспечения безопасности паролей и платежных данных на Android-устройствах. Обеспечивает безопасность финансовых аккаунтов и другой важной информации.

  1. GadgetTrak Mobile Security Приложение предоставляет сразу несколько уровней защиты для Android-устройств. Защищает приложения и настройки безопасности от постороннего вмешательства, а также предотвращает любые изменения информации. Записанной на SIM-карте. Кроме того, приложение поддерживает слежение по GPS, удаленное стирание, и резервное копирование с шифрованием.

  1. SPB Wallet Приложение для хранения и шифрования паролей и данных о платежных картах. Поддерживает безопасную синхронизацию с другими устройствами, а так же защищает от слежения за тем, какие кнопки нажимает пользователь, регулярно очищает буфер обмена и предоставляет защиту от фишинга.

  1. Password Box Программа для управления паролями. Позволяет хранить пароли и личные данные в безопасном хранилище. Также имеет функцию автоматического ежедневного резервного копирования на карту памяти с шифрованием и много другое.

  1. Perfect App Protector Pro Беспокоитесь сохранности ваших о регистрационных данных для приложений, платежных операций, электронной почты и социальных сетей? Это приложение позволяет выбрать приложения, для которых вы можете использовать пароль для запуска, и тем самым обезопасить их от использования посторонними. Также вы можете ограничить доступ к отдельным данным, например к фотографиям или даже ограничить использование встроенной камеры.

  1. AirCover Security Suite Приложение содержит шесть утилит, призванных обеспечить безопасность данных и семьи. В случае, когда кто-то из членов семьи находится в чрезвычайной ситуации, можно включить тревогу с помощью этого приложения. Кроме того, имеются функции защиты потерянного устройства (GPS-слежение, удаленная блокировка и стирание), а также защита личных данных и резервное копирования в облачное хранилище.

  1. Pocket Предоставляет безопасное хранилище для хранения конфиденциально информации: паролей, платежной информации и многого другого. Все данные шифруются и доступ к ним защищен с помощью кодового слова, который хранится в удаленной базе данных. Также имеет функцию автоматического резервного копирования в режиме онлайн.

  1. DataVault Password Manager Имеет довольно понятный интерфейс, который отображает содержание каталогов, наподобие Windows Explorer. Приложение генерирует пароли, соответствующие любым критериям безопасности, предоставляя шкалу для измерения сложности кодового слова. В дополнение к шифрованию и функции резервного копирования на карту памяти, пользователи могут установить ограничение максимальное на количество попыток доступа к системе.

  1. BioWallet Signature Пользователи получают доступ с помощью собственной письменной подписи, что переносит уровень безопасности для Android на новый уровень. По существу, подпись защищает доступ к данным, хранящимся в электронных кошельках.

  1. BoxCryptor Онлайн хранилища, вроде Dropbox и Google Drive, в последнее время пользуются огромной популярностью среди пользователей. Данная программа шифрует пользовательские данные хранящиеся в этих хранилищах, что делает подобные облачные базы данных намного безопаснее.

  1. CryptRoll Secure Notepad Шифрует не только записи, хранящиеся на Android-устройствах, но также шифрует и файлы, которые хранятся в Google Docs. Кроме того, с этим приложением вы получаете еще и безопасных редактор текста и возможность шифрования SMS и сообщений электронной почты.

  1. Seal App Locker Программа позволяет защитить любое приложение с помощью пароля или жестов. Помогает создавать сложные пароли, а также идентифицирует потенциально опасные приложения, отправляя их в карантин.

  1. App Protector Pro Позволяет создать мастер-пароль или матрицу из жестов для защиты текстовых сообщений, контактов и фотографий. Поставляется в комплекте с tasker-плагином и еще несколькими настраиваемыми утилитами.

Все эти и другие приложения вы без труда сможете отыскать на Google Play. Некоторые из них вы можете скачать абсолютно бесплатно. Напомним, что если вы заинтересованы в более комплексной безопасности, например для целого предприятия и его сотрудников, то вам стоит обратиться в одну из компаний, занимающихся IT-аутсорсингом и IT-консалтингом. Они помогут вам обеспечить безопасность сети и не только проводной, но и беспроводной. С предлагаемыми услугами одной из них вы можете ознакомиться тут.

Источник: blog.kaspersky.com

logmag.net

проблемы, вирусы и полезные советы

Операционной системе Android удалось быстро завоевать популярность за счёт своей открытости. Однако эта палка оказалась о двух концах, так из-за этого же стало возникать много вопросов, связанных с безопасностью. Сеть просто переполнена жуткими историями, повествующими о случаях проникновения в их телефоны ужасных вирусов, что приводило к потере денег или ценных данных. Целью этой публикации является внести ясность в вопрос о том насколько это страшно в действительности.

Что, чаще всего, является причиной возникновения проблемы

 

Одной из главных проблем Android является фрагментация. Она используется производителями всего мира на самых разнообразных устройствах. И надо сказать, иногда разница технических характеристик достаточно велика. Отличия могут заключаться не только в размере экрана, но также и в его разрешении.

По статистике, Android наиболее подвержен угрозе вредоносного ПО,не смотря на то, что многим не приходилось с этим сталкиваться.

Кроме того, используются разные процессоры, варьируется величина оперативной памяти и многие другие параметры. Само собой, имеются отличия и в установленных системах. Результатом этого является то, что ОС Android, которая используется для смартфонов Sony или Samsung имеет значительные отличия от устанавливаемой на какой-то модели телефона, произведённого в Китае.

Помимо этого производителями часто практикуется снабжение установленной системы разнообразными дополнениями и приложениями, которые являются предустановочными. Именно они очень часто в итоге становятся причиной, провоцирующей возникновение проблем самого разного вида. Это может быть и простое торможение телефона и образование дыр в его системе безопасности.

Однако главной проблемой фрагментации, по мнению специалистов, является отсутствие надлежащего уровня поддержки от производителей. Очень часто случается так, что обновления для устройств пользователей либо не доходят совсем, либо приходят, но очень поздно. Вследствие этого им приходится пользоваться версиями уже утратившими свою актуальность, что делает телефон достаточно уязвимым.

Чаще всего такие накладки наблюдаются в телефонах, производимых компаниями не очень известными на этом рынке. Тогда как любая достаточно крупная компания стремится не затягивать выпуск обновлений, тем более, когда речь идёт о топовых моделях. Но порой, даже им не под силу охватить аппараты всего модельного ряда, который может включать в себя несколько десятков моделей.

Именно по этой причине смартфоны Android не могут составить конкуренции в вопросах, связанных с безопасностью продукции Apple. Это оправдано ограниченным модельным рядом последних, что исключает возникновение проблемы фрагментации по определению, это же объясняет и отсутствие проблем со своевременным поступлением обновлений.

Кроме того, компанией Apple проводится достаточно жёсткая политика, направленная на ограничение большого количества действий потребителей, что помогает исключить совершение потенциально опасных действий. Двигаться по этому пути Android, конечно же, не могут, так как в этом случае они должны будут отказаться от претворения в жизнь идей, которые закладывались в процессе формирования психологии данной системы. И следует отметить, что большое количество пользователей останавливают свой выбор именно на Android, именно из-за того, что тут отсутствуют ограничения и нет жёстких рамок.

При этом не следует забывать о том, что наличие дополнительной свободы, влечёт за собой и особую ответственность. А значит, приходится уделять дополнительное внимание вопросам безопасности. Ведь ни для кого не секрет, что возникновение основной массы проблем провоцируется действиями самого пользователя смартфоном.

Что нужно делать, чтобы ничего не бояться

По утверждению специалистов, главный вирус – находится перед монитором компьютера. Это утверждение, без сомнения, справедливо и для современных смартфонов. И это притом, что для того, чтобы не допустить возникновения проблем с безопасностью достаточно просто внимательно изучить некоторые имеющиеся в телефоне настройки и соблюдать некоторые элементарные правила.

  1. Ни в коем случае не следует устанавливать вызывающие подозрения приложения, предлагаемые неизвестными источниками. Чаще всего причиной возникновения проблем является бездумная установка пользователями разнообразных приложений. При том что пользоваться следует исключительно проверенными источниками, такими, например, как Google Play. Неизвестных площадок, которые занимаются распространением программного обеспечения необходимо избегать, так как именно на них самая высокая вероятность скачать какой-нибудь вирус. Кстати, имеется возможность отключения самой возможности закачки ПО из источников, не прошедших проверку. Для этого необходимо зайти в раздел «Настройки», выбрать пункт «Безопасность», активировать «Неизвестные источники» и включить «Проверять приложения».
  1. Установить себе непреложным правилом установку программ, предлагаемых проверенными разработчиками. В том случае, когда программа очень заинтересовала, имя её создателя ни о чём не говорит, следует постараться найти отзывы и рейтинги, составленные пользователями, которые уже использовали данное ПО. Сеть буквально забита специализированными ресурсами и форумами, которые специализируются на обсуждении различных приложений и размещении советов, их касающихся.
  1. В обязательном порядке нужно обратить внимание на то, что данным приложением разрешается. Перед тем как произвести установку программы, как правило, сообщается, для чего она может быть использована. И тут необходимо проявление максимальную внимательность. В том случае если приложение требует публикацию контактов, идентификационных данных или отправки смс, то следует как минимум насторожиться.
  1. Если приобретённое вами устройство уже имеет комплект предварительно установленных приложений, то следует внимательно их просмотреть и удалить все те, потребности в которых у вас нет. Кроме того, что это позволит освободить место, будет ещё и страховка от того, что посредством этих программ в устройство попадёт какая-нибудь вредоносная программка.
  1. Не стоит сразу откликаться на сообщения, которые поступили от отправителей, вам неизвестных. Сказать точно какое количество программ, вредящих их получателям, было установлено таким образом, не сможет никто. При этом имеются в виду как смс-рассылки, так и E-Mail. Рекомендуется даже сообщения от знакомых контактов, в которых содержится странная ссылка, предварительно проверять на предмет того, а отправлял ли он её.
  1. Все обновления должны устанавливаться своевременно. В каждом обновлении содержатся не только новые обновления, но и средства борьбы с выявленными проблемами безопасности. А потому чем «свежей» версия стоит на вашем телефоне – тем вам спокойней.
  1. Очень осторожно следует обращаться с беспроводными сетями. Специалисты настоятельно рекомендуют не пользоваться неизвестными вам открытыми общественными сетями Wi-Fi. Были случаи, когда они разворачивались злоумышленниками, движимых целью похитить данные подключившихся. А потому модуль Wi-Fi лучше всего отключать если необходимость в нём отпала.
  1. Для исключения получения доступа к содержащимся в вашем устройстве сведениям нелишним будет установить пароль, а не доверяться пин-коду или графическому ключу, которые могут быть легко подсмотрены. Делается это очень просто. Заходите в «Настройки», выбираете «Безопасность», открываете «Блокировка экрана» и в качестве варианта блокировки экрана кликаете на «Пароль». Для того чтобы пароль было трудно взломать, он должен быть достаточно длинным и содержать не только буквы, но и цифры. Однако ту нельзя «перебарщивать», так как вам может просто надоесть постоянно вводить длинный пароль при каждой необходимости разблокировки экрана. В качестве дополнительной защиты можно открыть «Настройки», зайти в «Безопасность» и там выключить функцию «Показывать пароли».
  1. После того как будет установлен пароль надо произвести шифровку данных, что позволит получить доступ к данным только тому пользователю, который правильно укажет учётные данные. Чтобы это сделать заходим в «Настройки», далее переходим в «Безопасность» и активируем «Зашифровать телефон». Если в смартфоне используется карта памяти, то надо также произвести включение «Шифровать SD-карту». Однако функция шифровки пароля имеется не на всех устройствах.
  1. Лучше всего отключить уведомление, так как когда они приходят на телефон, то они отображаются на экране даже заблокированного телефона. Делается это в «Настройках», где открывается «Приложения» и производится отключение функции «Показать уведомление». Причём сделать это надо для каждой программы персонально.
  1. Те пользователи, которые серьёзно озадачены вопросами безопасности, устанавливают на устройство антивирусные программы. Однако тут следует быть очень осторожными, так как имеется очень большое количество троянских программ, замаскированных под программы безопасности. Поэтому лучше всего устанавливать проверенные многими пользователями такие программы, как avast! Mobile Security, McAfee Antivirus & Security, Nod 32 Mobile Security или Norton Mobile Security.

В заключение следует отметить, что вопросы, имеющие отношение к безопасности Android уже не настолько актуальны, какими они были всего несколько лет назад. По этой причине, большое количество пользователей никогда не выполняет приведённые выше рекомендации и при этом не имеют никаких проблем с потерей данных. Правда, следует, конечно, помнить, что во многом это определяется ценностью данных. А потому если для корпоративных пользователей есть основание опасаться атак хакеров, то рядовым пользователям, которым смартфон нужен лишь для звонков и игр, опасаться особенно нечего. Впрочем, как гласит пословица: «Бережёного и Бог бережёт».

Смартфоны, имеющие максимальный уровень защиты

С учётом тенденции, наблюдаемой у многих современных пользователей, озабоченности вопросами, связанными с безопасностью, некоторые производители начали выпуск моделей, имеющих очень высокий уровень защиты. Так, например, не очень известная нашему потребителю компания TRI (Turing Robotics Industries) представила модель по названием Turing Phone.

В смартфоне изначально установлено программное обеспечение, главной целью которого является повысить уровень безопасности пользователя. Приобретая этот аппарат, пользователь должен быть готов к тому, что ему придётся непрерывно вводить пароли и сталкиваться с зашифрованными данными. При этом устройство имеет хорошую защиту не только внутри, он хорошо защищён и снаружи.

Корпус полностью исключает попадание во внутреннее пространство телефона влаги или пыли. Для его изготовления использованы сплавы, способные противостоять достаточно большим нагрузкам.  Конечно сейчас сложно прогнозировать насколько устройства типа Turing Phone станут широко популярными, однако нельзя исключить появления в самом близком будущем целой серии устройств с подобными характеристиками. Ведь в прямой зависимости от степени нашей интернет-зависимости будет цениться степень защищённости данных размещающихся на наших устройствах.

Безопасность Android: проблемы, вирусы и полезные советы

Оцените статью

androidios.org


Смотрите также