Най-голямата заплаха за сигурността на Android: фрагментиране на os

Освен ако не сте купили телефона или таблета наскоро, шансовете са, че устройството ви с Android работи с остаряла версия на операционната система, излагайки ви на сериозни рискове за сигурността.

Последните данни от Google показват, че 44 процента от потребителите на Android все още са на „Gingerbread“, или версии 2.3.3 до 2.3.7, която беше пусната преди две години. Gingerbread има редица уязвимости в сигурността, които са фиксирани в по-късни версии. Данните за разбивка на OS се основават на статистически данни, събрани от устройства с Android, свързващи се с Google Play от 22 февруари до 4 март.

Само 16 процента от устройствата с Android работят с версия 4.1 или 4.2 на мобилната операционна система, според Google. Известна още като "Jelly Bean", най-новата версия на Android беше пусната преди шест месеца, но повечето потребители на Android не успяха да надстроят до новата ОС, тъй като процесът е строго контролиран от операторите.

"Проблемът с Android е, че повечето хора имат стари версии на телефона си", казва Колин Мълинер, докторантичен изследовател от SECLAB в Университета в Североизточен в Бостън, по време на дискусия на панела за мобилна сигурност на конференцията за RSA миналия месец.

По време на срещата на върха по SecurityWatch миналата есен Дан Гуидо, главен изпълнителен директор и съосновател на Trail of Bits, отбеляза, че по-голямата част от iOS устройства се актуализират в рамките на седмици, а не дни, на Apple пусна новата операционна система.

Мобилните оператори изостават в актуализациите

"Едно от най-важните неща в сигурността на софтуера днес е възможността за отдалечена актуализация", каза Mulliner на панела. Докато потребителите могат сами да инициират актуализацията на операционната система за iPhone и iPad, Android, мобилните оператори контролират целия процес за устройства с Android. В момента колективният им запис за изтласкване на актуализации за потребителите е абсолютно лош.

Проблемът е, че отворената платформа на Android позволява на производителите и операторите на устройства да ощипват операционната система за групиране на допълнителен софтуер и задаване на определени настройки на конфигурацията. Всеки път, когато Google пусне актуализация на операционната система, както доставчикът, така и операторите трябва да тестват промените спрямо техните системи за домашен шрифт, преди да внедрят последната версия. Превозвачите твърдят, че това е бавен процес, но много експерти по сигурността смятат, че превозвачите имат предимство пред печалбата пред сигурността.

Някои телефони просто не получават най-новата актуализация на Android, тъй като те се преустановяват или са по-стари модели, заяви Крис Согьоян, изследовател и активист на поверителността, на друго събитие по-рано тази година. Производителите съсредоточават усилията си върху устройства, които понастоящем се продават и излизат на пазара, а безжичните превозвачи „се грижат само за вас веднъж на две години“, когато потребителският договор е готов за подновяване, заяви Soghoian. Например, смартфон на LG Android не получи първата си актуализация на ОС за 16 месеца, а много телефони дори не получават тази първа актуализация, камо ли за втора.

Имайки предвид, че Google изхвърля нова версия приблизително на всеки шест месеца, лесно е да се види колко бързо потребителите могат да остареят.

Атаката на задвижване, при която потребителят е компрометиран само чрез посещение на злонамерен сайт, не е най-голямата заплаха, пред която са изправени потребителите на Android, Чарли Милър, изследовател, добре известен с работата си по сигурността на iOS и Android, каза по време на същия панел в конференцията на RSA.

"Хората смятат, че шофирането е голяма заплаха, но в реалния живот те просто не се случват", каза Милър. Що се отнася до Android, най-големият риск, с който се сблъскват потребителите, е фактът, че техните устройства имат остарели и безпакетни версии на операционната система, каза той. Най-новите версии на Android имат кръпки за сигурност и подобрени смекчаващи експлоатации.

Киберпрестъпниците знаят, че потребителите работят с уязвими операционни системи. Всичко, което престъпниците трябва да направят, е да пусне злонамерено приложение, използващо уязвимост в стара версия на Android, и да удари значителна част от потребителската база.

Както Согхоян посочи по-рано, "не е нужен нулев ден, за да атакувате повечето устройства с Android, ако потребителите използват софтуер на 13 месеца."

За съжаление, тази ситуация вероятно няма да се промени, ако операторите не започнат да взимат сериозно сигурността или Google премахне контрола върху процеса на актуализация далеч от операторите. Най-сигурното Android устройство наоколо е смартфонът Nexus 4 от Google, тъй като компанията има пълен контрол върху актуализациите.