Дайджест #2.1 Safety. Мобильная безопасность

Второй дайджест получился достаточно объемный. Я послушал несколько подкастов про безопасность, а именно:

Дайджест получается достаточно объемный и я решил разбить его на две части. Первую часть вы читаете прямо сейчас - заметка о выпуске #116 SDCast

Про дайджесты

Для начал немного напомню про дайджесты - в этом году я начал активно слушать подкасты. Это удобно - можно совмещать прослушивание с чем-нибудь другим. Но со временем я столкнулся с тем, что информация из подкастов надолго в голове не удерживается и решил делать заметки.

Затем я начал делиться новыми фактами, которые я узнал в подкастах, с другими людьми. Так я понял, что этот контент может быть полезным для окружающих и начал делать подобные посты. Список всех дайджестов можно увидеть здесь - amorev.ru/tag/digest.

Буду рад любой обратной связи - свяжитесь любым удобным для вас способом через контакты.

SDCast #116. Виктор Яблоков - руководитель мобильной разработки «Лаборатории Касперского»

Как я уже писал ранее поговорим про безопасность. В дайджесте контент из выпуска SDCast с руководителем мобильной разработки "Лаборатории Касперского". Я пользуюсь андроидом достаточно давно - я слышал много мнений насчет того, что это очень дырявая операционная система, но мне повезло и ниразу не было инцидентов, о которых я был в курсе. Для начала Константин (ведущий) и Виктор (гость) проходятся по истории мира мобильной разработки.

Времена травы по-зеленей

Виктор Яблоков, судя по диалогу, является первым мобильным разработчиком в Лаборатории Касперского. То есть он застал очень много переворотов в мире мобильной безопасности, а у мобильной разработки история интересная. Стоит начать в того, что скорость развития мобильной индустрии на порядок превышает скорость развития мира персональных компьютеров. Оно не мудрено - скорость процесса в нулевых была сильно выше чем в 80-90х, когда ПК начали появляться в домах обычных смертных.

Передай мне через ИК-порт

Если вы знаете что происходит, то вам более 24 лет

Я помню как мы в школе через ИК-порт передавали видосы, музыку, игры. Уютно укладывая телефоны на партах мы ставили на передачу драгоценные файлы. Процесс был достаточно долгий и проблематичный - стоило неверно подвинуть один из телефонов, как сеанс связи прекращался и приходилось начинать все сначала.

"последний айфон" 2005 года

Уже тогда можно было заполучить "драгоценный" вирус на телефон. Но суть в том, что раньше на телефоне не было критических данных, которые позволили бы озолотить руки злоумышленнику - СМСки не представляли ценности да и были, в целом, не очень удобные. В те времена не было банковских приложений, мобильного банка через смс или двухэтапной аутентификации через смс. В связи с этим интереса взламывать телефоны практически не было. Но время шло и ламповость ИК-портов и мелодии из Бумера на звонке ушла и на сцену начали выходить смартфоны.

Windows mobile и Symbian

Идея мобильного ПК глубоко засела в головы инженерам и маркетологам. Первые смартфоны появились еще до того как мы передавали игры через ИК-порт, но массово смарты начали появляться во времена господства Nokia и ее ОС Symbian.

Вот уже в это время начали активно появляться кибер-преступники, зарабатывающие на этом деньги. Причина их появления достаточно проста - стремительный рост пользователей мобильных устройств. Там, где пользователей мало - нет смысла что то ломать. Но "большой прирост" времен Symbian ничто по-сравнению с тем, что было дальше

iPhone, Android, массовость и настоящие риски

С выходом iPhone мир наконец-то понял что такое настоящий смартфон. Спустя несколько лет вышел главный конкурент iOs под названием Android. Смартфоны становились все доступней и все более массовыми и в разных сферах услуг, например банковских, начали появляться первые мобильные приложения и мобильные банки, что сделала мобильную киберпреступность более денежной.

Мобильная безопасность

Ностальгия о развитии мобильной индустрии подошла к концу. Теперь вернемся к теме поста - безопаность и что с ней связано. Для начала Виктор поделился видами угроз в мобильном мире.

Сталкервары

Нет, речь не про одноменную игру S.T.A.L.K.E.R, а про угрозу сохранности личных данных.

Сталкинг (от англ. stalking, произносится «сто́кинг» — преследование) — нежелательное навязчивое внимание к одному человеку со стороны другого человека или группы людей. Сталкинг является формой домогательства и запугивания; как правило, выражается в преследовании жертвы, слежении за ней.

Одно из ответвлений слова Сталкер

Что же это может быть в призме вашего любимого мобильного телефона? - история перемещений, данные, вводимые в телефон (например пароли), переписки и другие вещи, которые не предназначены для передачи третьим лицам. В общем штука достаточно неприятная и опасная для ваших денег и персональных данных.

Очень часто вредоносные приложения такого рода маскируются под приложения "Родительский контроль" и так далее. Суть этих приложений достаточно проста - она отслеживает то, что делает ребенок на телефоне, на какие сайты заходит, где сейчас находится сам ребенок и тд. В итоге такое приложение получает полный доступ к телефону. И одно дело, когда речь идет о приложении от надежных поставщиков, а совсем другое, когда родители находят приложение "подешевле" или пиратские версии, дают ему все разрешения и передают телефон под власть злоумышленникам.

Вообще в целом не стоит ставить приложения, которые явно предполагают слежку за хозяином устройства. Если нужно поделиться своим местоположением всегда можно включить демонстрацию координат через Telegram тогда, когда нам это нужно.

Кража или потеря телефона

Очень наглая кража ресурсов

Угроза достаточно стандартная для любого девайса в оффлайн мире. Тяжело найти человека, который ниразу за свою жизнь не терял гаджет или не был жертвой кражи.

Ну у меня вообще-то ничего не крали и никогда не терял, т.к. голова всегда на месте

Кто-нибудь из моих читателей:)

В плане защиты от этих действий есть много практик и приложений. Но есть интересный момент - под приложение "антивор" легко может замаскрироваться сталкервара (см. выше). Так что нужно быть предельно внимательным и осторожным при выборе подобного приложения. От себя добавлю, что мне однажды удалось вернуть телефон с помощью подобного приложения.

Нежелательные звонки

- Добрый день! Сегодня у нас только для вас уникальное предложение по заработку всех денег мира!

- Спасибо, мне очень интересно, до свидения!

Типичный диалог со спамером

Когда мы оставляем номер телефона на любом сайте есть риск, что наш телефон потом будет жертвой спамеров, которые будут вас вовлекать во множество выгодных предложений, которые вам, конечно же, очень нужны. Для защиты от подобных проблем тоже есть ряд приложений, но им необходимо давтаь свой доступ к контактам - стоит быть внимательней.

Блокировка с целью выкупа

Хотим мы продать, например, свой телефон. Выкладываем объявление на любой сайт и к нам приходит смс вида "предлагаю обмен вашего телефон а на это - **туткакаятоссылка**". Открываем ссылку, телефон просит нас поставить какие-то разрешения, но мы уже так вдохновлены тем, что скоро продадим телефон, и даем все разрешения.... Телефон стал кирпичем и для его разблокировки нужно кому-то что-то переводить. Подмена ссылок достаточно опасная штука.

Работает она достаточно просто. В мире сайтов можно сделать спокойно такую ссылку - https://youtube.com. Если ее нажать то, почему-то, откроется главная страница моего блога. Для разработчиков или людей, которые давно в мире интернета такие вещи не новость, но даже опытному человеку легко попасться на такое. Снизу в хроме, например, всегда отображается какая именно ссылка откроется при нажатии. Как часто вы туда смотрите?

В целом таким образом можно легко остаться не только без телефона, но и без ПК с ценными данными. Отдельный блок в подкасте уделяется безопасности корпоративных данных - это крайне актуально, особенно сейчас:)

Особенности разработки мобильного ПО

В мобильном мире уже давно есть такие удобные вещи, как Play Market, App Store. Они позволяют очень удобным образом, на уровне экосистемы, выбирать аудиторию, с которой делиться новой версией продуктов. В мире ПК нам все еще привычно "скачать exe, желательно бесплатно, и запустить и работать". В Андроиде тоже можно сделать так, но андроид несколько раз спросит вас действительно ли вы хотите это делать - в этом плане они ушли далеко вперед мира ПК, хотя моложе его на несколько десятков лет.

Отдельный блок был также направлен на банковскую безопасность. Казалось бы - если взломали стороннюю ОС пользователя и украли деньги, например, через Мобильный Банк "Банка Х", то это проблема пользователя. Но "Банк Х" также несет свои репутационные издержки, т.к. именно через его мобильный банк были уведены деньги пользователя. Поэтому некоторые приложения некоторых банков поставляются со своим антивирусом внутри, используют свою встроенну клавиатуру, а не системную пользователя.

Некоторые приложения перестают поддерживать старые API старых систем в угоду безопасности. Конечно разработчики и ОС и приложений стараются по максимуму сохранить обратную совместимость, но иногда приходится жертвовать частью пользователей и лишать приложения возможности работать на старых девайсах, как это сделал не так давно WhatsApp на iPhone 4.

Ну и конечно же гость упоминает особенности жизни на Android и любовью производителей дройдовых смартфонов к разработке кастомных прошивок. Там где есть открытость там есть кастомность, там где есть кастомность там хромает безопасность, т.к. в погоде за фичами часто теряется фокус с устойчивости к атакам. Каждый уважающий себя производителей имеет свою оболочку над ОС Android - MIUI у Xioami, OneUI у самсунга, EMUI у Huawei и другие. Зачастую оболочки интегрированы прямо в ядро системы для получения какого-то функционала и, следовательно, так создаются новые дыры в безопасности

Как тестировать безопасность?

На самом деле я не до конца уловил чем отличается тестирование на безопасность отличается от простого тестирования приложений. В Лаборатории Касперского тестирование, как понял я, содержит в себе небольшой элемент геймификации за нахождение багов и дыр - геймификация используется для проверки новых версий приложений.

Геймификация — применение для прикладного программного обеспечения и веб-сайтов подходов, характерных для компьютерных игр, в неигровых процессах с целью привлечения пользователей и потребителей, повышения их вовлечённости в решение прикладных задач, использование продуктов, услуг.

Выдержка из Википедии.

Если вдруг чего то при раскатывании приложении на пользовательских телефонах (через магазины приложений) идет не так, то эту раскатку можно остановить, но пользователи, которые уже скачали новую версию остаются с новой версией. Так что в мире нативной разработки чуть сложнее чем в вебе, где мы можем просто залить старую версию на сервер и отдавать уже её = откат на всех пользователях.

Планы на мир мобильной безопасности

30 лет назад тот, кто мог проявлять фотопленки и печатать фотографии мог быть спокоен за свое финансовое состояние... до выхода цифровых фотоаппаратов. То же самое можно сказать про мир мобильной разработки. 15 лет назад королем на рынке был Symbian и разработчики под Symbian были очень ценны на рынке. А сейчас, как мне кажется, далеко не каждый знает что такое симбиан.

Вместо заключения

Если вам понравился дайджест, то подписывайтесь на мой канал в Telegram (@amorev94), а если вдруг есть какой-то интересный выпуск, которым стоит поделиться в дайджесте или нашли ошибку или неточность, то, пожалуйста, пишите моему боту (@amorevbot).