Мне ужасно нравится новое приложение под названием Draw Something, созданное OMGPOP. Я часто играю в эту игру с друзьями — возможно, даже слишком часто. Draw Something загрузили более 50 миллионов пользователей, а компанию, ее разработавшую, только что приобрела за 200 миллионов долларов Zynga. Увидев давеча внизу экрана игры рекламу приложения для оптимизации работы батареи, я был удивлен. А ведь в рекламе говорилось еще о наличии двух апгрейдов!

Многие из приложений, которыми мы пользуемся, бесплатные. Однако называть их бесплатными не совсем правильно – вы платите тем, что просматриваете рекламные объявления. Все мы сталкиваемся с этим на боковых панелях Facebook, Google и практически любого сервиса, который не требует платы за свое использование. Реклама позволяет многим таким сервисам собирать большую аудиторию и получать прибыль.

Однако в случае Android, а также iOS, рекламодатели стали действовать очень агрессивно. Теперь с помощью разных видов рекламы они собирают ваши данные. Давайте подробнее рассмотрим, с чем может столкнуться пользователь.

Баннерная реклама – наиболее распространенный вид рекламы, хорошо знакомый всем, кто использует мобильные приложения. Баннеры появляются поверх приложения и часто содержат целевую рекламу, использующую сервисы геолокации.

Push-уведомления – это уведомления, которые инициирует удаленный сервер, в отличие от pull-уведомлений, при которых данные запрашивает устройство. Push-уведомления часто появляются в области уведомлений.

Формы для ввода контактных данных/подписки на рассылки (Capture Forms/Signup Ads) – появляются при запуске или использовании приложения. Как правило, они занимают весь экран, предлагая пользователю оформить подписку на рекламные рассылки или получить дополнительную информацию о рекламном объявлении.

Блокировка контента (Content Locks) – дополнительный контент доступен только после ответа пользователя на рекламное объявление – например, подписки на получение уведомлений или ввода адреса электронной почты.

Стены приложений (App Walls) – списки популярных приложений, которые появляются во время игр и предлагают попробовать другие приложения, также продвигаемые рекламной сетью.

Иконки приложений – ярлыки приложений, которые появляются на основном экране. Недавний пример – иконка поиска, которая появляется при установке приложения через определенную рекламную сеть.

Как работает эта реклама?

Рекламный код вставляется в приложения с помощью SDK (software development kit – набора инструментов для разработки ПО). В данном случае это блок кода, который разработчик вставляет в уже существующее приложение.

Представляет ли она опасность?

Правильный ответ здесь – «возможно, да». На самом деле все зависит от того, какую рекламную сеть выберет разработчик приложения. Во многих случаях реклама остается просто досадной помехой, которая, тем не менее, позволяет вам играть бесплатно. В других случаях SDK создателей рекламы намного агрессивнее и позволяет им собирать большое количество пользовательской информации, включая, но не ограничиваясь, следующими данными:

IMEI – это число идентифицирует ваше устройство в мобильной сети. Оно специфично для конкретного устройства и не изменяется при смене SIM-карты.

IMSI – это число идентифицирует вашу SIM-карту.

Модель устройства Версия ОС Код страны Язык Jailbreak/Root Status GEO-локация Номер телефона

Помимо этого, некоторые SDK, позволяющие помещать на основном экране ярлыки, затем собирают информацию обо всех действиях, предпринятых пользователем после клика по иконке. К примеру, иконка поиска, используемая в Apperhand SDK, направляла пользователей на страницу поиска, где все их действия фиксировались. Компания Google отказалась изъять такие приложения под предлогом того, что они не нарушают условия пользовательского соглашения Android App Store.

Собираемая таким образом информация используется для того, чтобы оценить вас как потребителя. И даже если затем она используется ответственной компанией, это достаточно большой объем данных о человеке. Представьте, что вы сознательно установили приложение, которое имеет доступ к идентификационному номеру (ID) вашего телефона и SIM-карте, знает ваши GPS-координаты и номер телефона. Стоит запустить такое приложение, и оно запрашивает у вас адрес электронной почты, собирает список всех ваших закладок, а затем помещает на основном экране иконку поиска и фиксирует все ваши поисковые запросы.

В США полиция без ордера не имеет права собрать о вас такое количество данных. Так почему же рекламодателям это разрешено?

В последнее время было много разговоров о некоей программе, установленной на мобильных устройствах - Carrier IQ. Предполагаемой задачей этой программы, по словам производителей, является сбор метрик для усовершенствования многих функций устройства, на котором она установлена. Говорили и о том, что эта программа имеет доступ к слишком многим личным данным пользователя.

По данным исследования, проведенного Trevor Eckhart, Carrier IQ имеет доступ практически ко всему, что вы делаете на своем устройстве – от нажатия клавиш на клавиатуре до имен пользователя и паролей, пересылаемых через SSL-зашифрованное соединение (правда, прежде чем они будут зашифрованы). И хотя новое исследование показало, что никакие личные данные на самом деле эта программа не собирает, потенциал для злоупотреблений очень высок.

Я понимаю рассерженных покупателей. Я не хочу, чтобы мои текстовые сообщения или электронную почту читали, чтобы видели все, что я искал в Интернете. А как же быть с корпорациями? Как насчет того, что на этих устройствах может быть что-то, являющееся интеллектуальной собственностью?

Эта программа может быть атакована. Я еще никогда не видел ПО без уязвимостей. Разве эту программу нельзя взломать? Разве не возможна утечка данных, к которым она имеет доступ?

Мне кажется, самым важным здесь является то, что «пострадавшие» практически беспомощны. Обычный пользователь просто не может удалить эту программу самостоятельно. По сообщениям тех, кто столкнулся с этой проблемой, даже если пользователь получает полный доступ к функциям системы («root» или «jailbreak»), чтобы удалить программу, появляются сообщения о том, что это нарушает функциональность или даже приводит к временному выходу телефона из строя. Некоторые пользователи перепрошивают свои устройства нестандартными прошивками. Эти нестандартные прошивки полностью заменяют установленную производителями аппарата операционную систему. В некоторых случаях даже после этого пользователи обнаруживают файлы Carrier IQ в своих устройствах.

Мы не рекомендуем большинству пользователей пытаться получить root-доступ к функциям системы или перепрошивать свои устройства нестандартными прошивками. Это полностью разрушает защитный модуль вашего устройства. Более того, нестандартные прошивки могут быть очень сложными и зачастую никак не проверяются экспертами безопасности. Можно ли считать, что эти прошивки опаснее, чем приложение с правами уровня администратора, которое может фиксировать всю вашу активность? Трудно ответить.

Короче говоря, на многих пользовательских устройствах прячется приложение с правами уровня администратора, ведущее журнал ваших действий. Даже если пользователь заключил с провайдером годовой фиксированный контракт, провайдер не обязан уведомлять пользователя об установленной на его устройстве программе. Мало того, что эта программа имеет широчайший доступ к вашим персональным данным, вы еще и не можете ее просто так удалить. Даже если вы поняли, как это сделать, вы можете сломать свое устройство. Я не имею ничего против повышения качества связи. Я ненавижу, когда прерываются звонки. Что мне совсем не нравится, так это то, что провайдеры намеренно не информируют меня о том, что они делают с моими данными на устройстве, за которое я заплатил, и к тому же лишают меня возможности что-то на нем удалять или от чего-то отказываться. Мало того, что это незаконно, это совершенно неэтично.

Итак, что можно сделать? Несмотря на то, что присутствие Carrier IQ в устройстве можно обнаружить, в настоящее время просто удалить его нельзя. Возможно, правильнее всего будет поговорить с вашим провайдером. Если он установил Carrier IQ на ваше устройство, а вы этого не хотите, свяжитесь с отделом клиентского обслуживания и выразите свое возмущение.

Меня часто спрашивают о реальной опасности вредоносных программ для Android. Это сложный вопрос, так как в расчет приходится принимать множество факторов, таких как местонахождение пользователя, его устройство, количество установленных приложений, а также то, насколько небрежно он выбирает приложения.

Есть два распространенных противоположных мнения. Одни утверждают, что опасность угроз для Android раздута и не представляет большой значимости, так как количество вредоносных программ для Android, обнаруженных на настоящий момент, ничтожно мало по сравнению с количеством зловредов для Windows. И действительно, когда компания обнародует полученные данные, а затем демонстрирует какой-либо рост на рынке в этом секторе, в ее адрес часто поступают обвинения в раздувании паники с целью инициации продаж.

По моему мнению, на самом деле такие утверждения объясняются тем, что многие компании с 2004 года вот уже на протяжении 7 лет объявляют каждый год «годом мобильных угроз». В 2004 был обнаружен первый вирус для сотового телефона под названием «Cabir», который передавался на телефоны Symbian через Bluetooth. После этого открытия было естественно предположить, что количество новых угроз для мобильных телефонов будет расти. Что и происходило в действительности в течение нескольких лет — просто число новых угроз было не таким большим, как ожидалось. Однако ситуация меняется. По статистике, количество устанавливаемых систем Android постоянно растет. Компания Google утверждает, что в день она активирует более полумиллиона устройств. При таком количестве новых пользователей вирусописатели не заставят долго себя ждать.

Противоположную позицию в этом споре занимают такие, как я – люди, которые ежедневно занимаются аналитикой угроз для Android. Я наблюдаю, что пользователи устанавливают такие вредоносные приложения, как DroidDream, причинивший ущерб более 100000 пользователям, и добавляют сети, из которых без их ведома происходит утечка информации. Я наблюдаю, что планшеты и нетрадиционные устройства, например, телевизоры под управлением Android, используются все чаще. Я вижу логотип Android повсюду. То же самое видят и киберпреступники. На самом деле, если спросить многих «ветеранов» антивирусной индустрии, как они видят сегодняшнюю ситуацию с угрозами для Android, они начнут ее сравнивать с началом эпохи зловредов для Windows. Медленные обновления, отсутствие у пользователя информации и его убежденность в том, что «меня это никогда не коснется» – все это наблюдается и сейчас.

Я думаю, действительно важно отметить, что многие из наблюдаемых нами новых угроз появляются на альтернативных рынках, в таких странах, как Китай. На самом деле, многие из обнаруженных вредоносных программ неудобны для преступников, атакующих пользователей в США — по крайней мере, на данный момент. Причина в том, что большинство зловредов для мобильных устройств — это SMS-троянцы, которые просто не имеют никакого смысла в США. SMS-троянцы отсылают сообщения, снимая за их пересылку деньги со счета пользователя. Подобные вредоносные программы успешно используются в таких странах, как Россия и Китай. А непопулярность SMS-троянцев в Америке объясняется несколькими факторами. Первое: платеж за операции с платными номерами в США осуществляется один раз в 30 дней. Это означает, что киберпреступники не могут получить деньги от своих жертв в течение этого периода, а у властей появляется больше времени для их ареста. Второе: установка таких платных номеров в США требует предоставления большого количества идентификационной информации. В других странах, возможно, преступнику не требуется предоставлять подробную информацию, что позволяет ему сохранять анонимность. Таким образом, мы видим в США только вредоносные программы, предназначенные для кражи данных. Когда будете в США, поспрашивайте людей, и держу пари, немногие скажут вам, что их телефоны были заражены. Попробуйте сделать то же самое в любой другой стране мира, и, возможно, все окажется совершенно иначе. Мы также предполагаем, что и эта ситуация будет меняться, так как программы становятся все более изощренными, и появляются разные виды программ. Если что-то изменится, и создатели мобильных зловредов смогут получать прибыль, можно не сомневаться — они не преминут этим воспользоваться.

И наконец, хочу добавить, что работа аналитиков в сообществе безопасности заключается в идентификации новых угроз. Мы трудимся в коммерческих антивирусных компаниях, при этом мы выступаем на благо общества. Война против киберпреступности сложна, но все же мы оказываем влияние на ее ход. Мы будем продолжать бороться с киберкриминалом. Один из методов этой борьбы – просвещение пользователей, информация о существующих видах угроз. Проблема вредоносных программ в мире — крупномасштабна, и любые усилия, направленные на уменьшение ее негативных последствий, имеют положительный результат.

Некоторое время назад я писал про «доски предложений» (offer walls), которые используются для организации утечки пользовательских данных и их сбора. Но теперь появились основания считать, что жертвами атаки становятся не только отдельные пользователи. Недавно, просматривая новостной ресурс Reddit, я натолкнулся на рассказ популярного разработчика Android-приложений о том, что другой разработчик украл его приложение, добавил туда код, предназначенный для распространения рекламного спама, и загрузил его на Android Market под тем же названием, но уже через свою учетную запись. Спустя некоторое время я убедился в том, что это правда.

Приложение под названием ElectricSleep было создано Джоном Уиллисом (Jon Willis). Вы можете найти его ВОТ ЗДЕСЬ.

Согласно описанию, приложение может «улучшить качество вашего сна с помощью интеллектуального будильника. ElectricSleep – это будильник, записывающий циклы вашего сна и бережно пробуждающий вас во время фазы быстрого сна. Данные о вашем сне сохраняются и анализируются, чтобы помочь вам разобраться с тем, как вы спите, и выработать привычку к более здоровому сну».

Если сравнить ворованную версию приложения с исходной, следы вмешательства злоумышленников сразу же станут очевидны, стоит только взглянуть на разрешения, запрашиваемые программой:

Не так давно компания Google объявила о скором появлении версии Ice Cream Sandwich, Android 4.0. Казалось бы, Android далеко продвинулся за такое короткое время. Я хотел бы остановиться на усовершенствованиях в области безопасности и дополнительных возможностях этой версии Android.

Android от Google появился в ноябре 2007 года, и его популярность неуклонно росла. В то же время исследователи занялись поиском уязвимостей в нем. Было найдено некоторое количество уязвимостей, от таких, которые дают возможность получить права суперпользователя, например Rage Against the Cage, до ошибок типа cross-application scripting, таких как CVE-2011-2357.

С выпуском Ice Cream Sandwich можно ожидать прогресса в безопасности Android. Google обещает следующее:

Компания Sony сообщила о ряде попыток взлома аккаунтов пользователей некоторых своих сетей. В заявлении на сайте компании говорится: «Sony Network Entertainment International LLC и Sony Online Entertainment (SOE) зарегистрировали большое количество попыток неавторизованного доступа к сервисам PlayStation®Network (PSN), Sony Entertainment Network (SEN) и Sony Online Entertainment (SOE)».

Всего было взломано почти 93000 аккаунтов. В качестве ответной меры Sony эти аккаунты заблокировала. Позже компания сообщила, что в зоне риска не находятся данные ни одной из кредитных карт, а также о том, что «в этих хакерских атаках, по-видимому, использовались данные, полученные из одной или более взломанных баз других компаний, сайтов или ресурсов».

Примечательно, что Sony стала более открыто и быстро уведомлять общество и своих пользователей о попытках хакерских атак. Напомним, что в апреле компания реагировала на действия злоумышленников слишком медленно, в результате чего пострадали более 70 миллионов пользователей. Различные сети и базы данных Sony взламывали уже как минимум 19 раз, и каждый из этих взломов негативно влиял на репутацию компании. Судя по всему, в этот раз Sony пытается свою репутацию сохранить.

О том, что их аккаунты заблокированы, и им необходимо сменить пароль, Sony будет сообщать владельцам атакованных аккаунтов по электронной почте. Пользователей сети Playstation мы просим быть внимательными, отвечая на уведомления от Sony, поскольку мошенники могут воспользоваться ситуацией для сбора логинов и паролей, чтобы затем получить доступ к аккаунтам. Если у вас есть хоть малейшие подозрения в том, что ваш аккаунт был взломан, немедленно смените пароль.

Вчера после длительного простоя сервиса компания Sony сообщила, что геймерская сеть Sony PlayStation подверглась атаке хакеров. Sony признала, что неизвестному взломщику стали доступны личные данные пользователей, предоставленные при регистрации: имена, электронные и почтовые адреса, даты рождения, логины и пароли. Возможно даже, что в его распоряжение попали ответы на секретные вопросы. Представитель Sony также заявил: «В настоящее время нет доказательств того, что были похищены данные кредитных карт, но мы не исключаем такой возможности». В компании не строят предположений относительно того, когда игровая сеть «вернется в строй», но говорят, что восстановительные работы ведутся, а для проведения объективного и всестороннего расследования происшедшего привлечена авторитетная компания, специализирующаяся на вопросах безопасности.

Игровые консоли на таких платформах как Playstation и XBOX невероятно популярны. Их успех во многом объясняется тем, что за ними стоят организованные производителями сети, позволяющие докупать игры, контент и иметь доступ к сторонним сервисам, таким как Netflix. Пока непонятно, какие методы были использованы для атаки на геймерскую сеть Playstation, но уже ясно, что хакеры заинтересовались новыми путями сбора персональной информации. Также очевидно, что Sony не предпринимала достаточно усилий, чтобы обеспечить безопасность и сохранность данных пользователей.

Вся эта история — еще одно свидетельство того, что хакеры все больше интересуются альтернативными источниками персональных данных пользователей. Консольным сетям доверяют больше, потому что их репутация еще не испорчена инцидентами, связанными с проблемами с безопасностью данных, как у веб-сайтов и персональных компьютеров.

Если Вы являетесь пользователем PSN, мы настоятельно рекомендуем вам особенно внимательно следить за своей кредитной картой на случай появления признаков мошенничества. Мы также советуем всем геймерам сети срочно поменять свои пароли к PSN, если они использовались где-либо еще. Наконец, поскольку злоумышленники получили базу e-mail-адресов геймеров, увеличился риск фишинговых атак: от имени Sony или ее партнеров они могут посылать письма с требованием сообщить любые персональные данные.

На прошлой неделе Твиттер отметил свое 5-летие. За время, прошедшее с его появления в июле 2006 года, Твиттер с его 140 символами стал неотъемлемой частью повседневной жизни многих людей. Также Твиттер стал местом проведения множества массовых вредоносных атак — и по сей день успешно используется киберпреступниками.

Проблемы с безопасностью в Твиттере имеют богатую историю, несмотря на его относительно «молодой» возраст. Каких только атак не было в этой сети: и эксплуатация наиболее популярных тем, и взлом паролей администраторов, и захват пользовательских аккаунтов... Продолжать можно долго. Популярность Твиттера и постоянные проколы в его безопасности стали причиной того, что в 2010 году Федеральная комиссия по торговле выдвинула против Твиттера обвинения. В результате Твиттеру пришлось ввести в действие новые политики безопасности, предусматривающие такие средства защиты, как использование по умолчанию SSL-соединений и поддержка OAUTH для сторонних веб-приложений.

Новый пост в блоге Google обещает пользователям ответ на вопрос, что делать с так называемым «DroidDream» - зловредом, который заявил о себе на Android Market на прошлой неделе:

Зловреды на Android Market, часть 1

Зловреды на Android Market, часть 2

По данным блога, Google начинает процесс удаления зловреда путем удаленной установки на устройство нового приложения, которое называется “Android Market Security Tool March 2011”. Мы посмотрели на это приложение – оно не закрывает уязвимость, оно просто удаляет программы, считающиеся вредоносными. Далее Google обещает внести изменения в организацию работы Android Market для того, чтобы решать такого типа проблемы и утверждает, что «сотрудничает с партнерами для предоставления решения по основным вопросам защиты».”

Эта часть выглядит замечательно за исключением нескольких бросающихся в глаза фактов:

Google вводит пользователей в заблуждение. В тексте говорится, что «обновление автоматически ликвидирует эксплойт». Однако это не делает ваш телефон менее уязвимым. После того, как я несколько раз перечитал пост, я понял имеется в виду, что уязвимые телефоны теперь защищены от эксплойтов, используемых во вредоносных программах DroidDream. Но это не тот случай.

Установка патча – очень любопытный процесс: Google удаленно устанавливает приложение на устройство без согласия пользователя, приложение запускается также без его согласия (иначе это называется удаленное исполнение кода), затем приложение получает root-привилегии, удаляет другие приложения и потом удаляет само себя. Любой из этих шагов может быть вполне приемлемым, если бы пользователь мог участвовать в процессе.

Установить патчи локально невозможно. В случае с Android в его настоящем виде удаленно устанавливать обновления на компьютер, как это делается в системах Linux и Windows, трудно и дорого. В отличие от iPhone, который устанавливает патчи через iTunes или Windows Mobile, использующие ActiveSync, Android работает практически полностью через беспроводные линии связи. Это осложняет жизнь мобильных операторов, которые должны удаленно установить обновленные данные на устройства всех своих клиентов через свою мобильную сеть. Это очень дорого. Если бы Android мог устанавливать более мелкие патчи, и если бы клиенты могли устанавливать их через обычный компьютер (даже опционально), это позволило бы и поставщикам услуг, и производителям, и клиентам чаще устанавливать обновления.

Еще одна проблема заключается в том, что сами производители устройств не обеспечивают постоянной поддержки или обновления своих платформ. Почитайте любой мобильный форум, и вы увидите, что масса пользователей просто умоляет выпустить обновление для их устройств. По статистике Google, более чем у 40% пользователей Android стоит версия ОС ниже Android 2.2. Даже те, кто пользуется версией 2.2, уязвимы, поскольку эксплойт работает на версиях 2.2.1 или даже более ранних. К сожалению, Google не хочет замечать эти цифры, чтобы не портить статистику. За исключением небольшого числа клиентов, которые получают обновления Android Market Security Tool, каждый второй пользователь устройств с ОС версий 2.2.1 и ниже остается уязвимым.

Google обещает внести изменения в организацию работы Android Market, и эти изменения нам еще предстоит увидеть. Но компании не следует забывать и про более масштабные задачи: необходимость своевременного обновления приложений на компьютерах всех своих клиентов и быстрое закрытие уязвимостей с предоставлением пользователям разных вариантов установки обновлений. Для Google и партнеров корпорации это одновременно и возможность, и ответственность. Будем надеяться, что они не упустят первой и не откажутся от второй.