Стираем память. Быстро, дистанционно, недорого
16 июля интернет-магазин Amazon удалённо стёр романы Оруэлла "1984" и "Скотный двор" из памяти электронных книг Kindle, не уведомив об этом пользователей. Могут ли производители, операторы и третьи лица проникать в память других гаджетов?
Авторы: Алексей Стародымов, Марина Пелепец
| Раздел: Статьи |
Дата: 23 июля 2009 года
16 июля интернет-магазин Amazon удаленно стер романы Джорджа Оруэлла "1984" и "Скотный двор" из памяти электронных книг Kindle. Пользователей об этом не уведомили – им попросту вернули деньги, уплаченные за возможность скачать произведения.
Выяснилось, что в продажу попали нелицензионные копии романов, и после обращения правообладателей проблему решили быстро, но не слишком корректно по отношению к пользователям. Напомним, что "читалка" Kindle оснащена встроенным модемом для сетей CDMA EV-DO американского оператора сотовой связи Sprint, позволяющим подключаться к Интернету и покупать книги, минуя ПК. Но, как оказалось, не только покупатели могут "прогуляться" по дебрям Amazon в поисках нужной книги, но и Amazon способен заглянуть в пользовательские устройства и вплотную заняться их памятью.
По заявлению представителей интернет-магазина, они осознают ошибочность своих действий и больше не планируют внезапно удалять книги: если подобная ситуация с отсутствием прав на тексты повторится в будущем, их снимут с продажи, а уже купленные "экземпляры" оставят читателям.
Amazon – не первая компания, встроившая в интернет-сервис систему "удалённого администрирования" проданных гаджетов. Ещё летом прошлого года специалист по кибербезопасности Джонатан Здзярски проанализировал код прошивки iPhone и пришел к выводу, что Apple оставила за собой недокументированную возможность удалять установленные пользователем приложения. Позже Стив Джобс в интервью изданию Wall Street Journal подтвердил, что компания действительно может блокировать вредоносные программы, случайно попавшие в базу данных сервиса App Store. При этом г-н Джобс особо подчеркнул, что на тот момент Apple ни разу не использовала возможность дистанционного удаления ПО.
В условиях по использованию службы Android Market есть пункт, согласно которому компания Google имеет право удалять с клиентских коммуникаторов приложения - в случае, если нарушен порядок их дистрибуции. Впрочем, поисковый гигант при этом постарается компенсировать владельцам устройств под управлением Android средства, затраченные на покупку уничтоженной программы.
За последние полгода о создании своих онлайновых магазинов приложений также объявили компании Nokia, RIM, LG Electronics и Sun Microsystems, а также ряд операторов сотовой связи. Контролировать содержимое всех программ на этапе их поступления на виртуальные прилавки получается не у всех. Скажем, контроль в Android Market не такой суровый, как в App Store, хотя и у самой Apple случаются промахи. Это значит, что нас вполне может ждать череда новых "разоблачений": удалённая деинсталляция софта с возвращением денег покупателю - очень удобная возможность для компании, когда нужно оперативно повлиять на ситуацию, пусть и допуская удар по собственному имиджу.
Впрочем, приложения – приложениями, а куда более серьёзной проблемой выглядит возможность компаний-производителей, операторов или же вообще неких третьих лиц рыться в личных данных пользователей, хранимых в их мобильниках. Одно дело, если человек недосчитается в своём iPhone очередной софтовой "свистелки", и совсем другое – когда кто-либо удалит или скопирует из памяти аппарата пароль от кредитки или смс-сообщение с конфиденциальными данными. Так, у одного из читателей электронной версии "1984" вместе с книгой пропали все заметки. Ещё можно вспомнить нашумевшую историю о взломе коммуникатора BlackBerry Пэрис Хилтон – тогда юный хакер из Массачусетса выложил в Сеть содержимое её адресной и записной книжек.
Запись телефонных разговоров, перехват смс-сообщений и электронных писем по требованию спецслужб – обычная практика для операторов связи во всём мире. Более того, телекоммуникационное оборудование изначально предусматривает такую возможность: например, недавно иранская оппозиция объявила бойкот компании Nokia и её подразделению Nokia Siemens Networks за то, что они поставили действующей власти специальное мониторинговое оборудование, помогающее следить за неугодными абонентами. А в Латвии с 2005 года действует закон, обязывающий операторов записывать и хранить все разговоры в течение трех лет. (А ещё Россию считают полицейским государством...) Наконец, сотрудники органов госбезопасности ряда стран СНГ утверждают, что слушать разговоры посторонних людей не только "необходимо по службе, но и вообще прикольно". Как говорится, конец цитаты.
Всё тот же Джонатан Здзярски выяснил, что iPhone постоянно делает снимки экрана без ведома владельца. Таким образом аппарат создает эффект уменьшения окон приложений, который демонстрируется при нажатии на кнопку Home. После воспроизведения эффекта скриншот, по всей видимости, удаляется, однако восстановить его не представляет особого труда. В итоге, третьи лица теоретически могут получить доступ к конфиденциальной пользовательской информации, например, тексту электронного письма или содержимому формы в браузере. Эксперт считает, что существуют и другие способы получения конфиденциальной информации о владельцах iPhone. Не предназначенные для третьих лиц сведения могут быть извлечены из кэша клавиатуры, браузера, истории Google Maps и так далее.
В 2005 году компания Samsung запатентовала технологию, которая позволяет удалять уже доставленные, но ещё не прочитанные сообщения из памяти телефонов адресатов. Предполагается, что эта система придётся ко двору компаниям, которые занимаются легальной массовой рассылкой смсок, но регулярно ошибаются номерами. Данный пример лишний раз демонстрирует, что возможность организации чистки памяти аппаратов их производителями и операторами вполне реальна. Другое дело, что по своей инициативе компании этим заниматься не станут: в случае обнаружения "атаки" восстановить репутацию будет невозможно.
Мы обратились к экспертам компаний, в портфолио которых есть антивирусные продукты для смартфонов и коммуникаторов, и попросили высказаться на тему безопасности мобильных устройств.
Кирилл Керценбаум, старший технический консультант корпорации Symantec:
В отличие от настольных ПК, портативные устройства на основе ОС Windows Mobile, Symbian и т.д., менее опасны для пользователей, современные угрозы для них не столь актуальны и страшны. Причин этому много. Портативные устройства не так популярны, как настольные ПК, обладают ограниченным функционалом, заложенным в ОС. Кроме того, как правило, у смартфонов и других мобильных устройств нет постоянного подключения к Интернету и многого другого. Другими словами, при неменьших, а порой и больших расходах на разработку вредоносного ПО для мобильных устройств, финансовая выгода, которую, как уже давно известно, преследуют его авторы, может быть на несколько порядков меньше. Специалисты неоднократно предсказывали возможный всплеск распространения вредоносного кода для смартфонов, но пока этого так и не произошло. Есть более простые и финансово выгодные направления данных инвестиций. Всё это не означает, что о защите мобильных устройств можно забыть, но важно понимать, что всегда необходимо правильно выбирать приоритеты и на данный момент ключевым по-прежнему остается защита ПК и ноутбуков Windows, как наиболее распространенных и наиболее атакуемых устройств.
Денис Масленников, старший вирусный аналитик, руководитель группы мобильных угроз "Лаборатории Касперского":
Несанкционированный удаленный доступ к данным пользователя смартфона (например, через уязвимости в Bluetooth-протоколе) на данный момент, к счастью, широко не распространен, однако подобные атаки возможны и способны привести к утечке конфиденциальной информации, хранящейся на смартфоне. Если говорить об уязвимостях в различных операционных системах смартфонов, то, безусловно, они является реальной угрозой безопасности. В качестве примера можно привести уязвимость под названием Curse of Silence, которая затронула практически всю линейку смартфонов на базе различных версий ОС Symbian. В том случае, если на уязвимый смартфон будет послано специально сформированное SMS-сообщение, которое эксплуатирует данную уязвимость, то дальнейшая отправка/прием SMS или MMS сообщений с помощью данного смартфона будет невозможна.
Безопасности смартфонов необходимо уделять много внимания, так как подобные устройства с каждым днем становятся популярнее и предлагают пользователям всё больше и больше возможностей, что, к сожалению, приводит и к повышенному вниманию к ним со стороны злоумышленников.
Григорий Васильев, технический директор ESET:
Сегодня мобильные устройства активно задействованы в бизнес-процессах и используются для мобильного банкинга и хранения ценной информации (контактные данные, логины и пароли и др.). Поэтому, очевидно, что вирусописатели будут эксплуатировать уязвимости смартфонов для извлечения выгоды. Чаще всего кража личных данных и ценной информации осуществляется при помощи троянских программ. Например, давно известная вредоносная программа WinCE.Brador способна получать инструкции от злоумышленника на выполнение таких действий, как передача файлов, запуск приложений, отправка электронных писем с ценной информацией прямо на электронный адрес хакера. Троянские программы обычно распространяется по средствам таких каналов, как GPRS, WiFi, Bluetooth, а также MMS. Помимо троянских программ также распространены угрозы, получившие условное название "man in the middle" ("человек посередине"). Речь идет о компрометации канала связи, когда хакер подключается между сторонами и вмешивается в протокол передач.
Валерий Ледовской, аналитик компании "Доктор Веб":
Чаще всего для получения удаленного доступа к данным в памяти смартфонов и прочих мобильных устройств используются различные ухищрения для установки в них вредоносного ПО самими пользователями. Для этого могут использоваться различные методы социальной инженерии или вредоносные программы на ПК, перенаправляющие пользователей на сайты, с которых эти вирусы для смартфонов распространяются. Реже злоумышленники могут работать с различными уязвимости в ОС или другом ПО, установленном в мобильном устройстве. Часто утечка личных данных со смартфона возможна благодаря пренебрежению пользователем элементарными правилами. Например, не стоит всё время держать включённым Bluetooth, а если это необходимо, то лучше выбрать режим подключения, требующий авторизации в виде пароля или другого метода.
Если касаться доли пользователей, столкнувшихся с такими проблемами, то она на данный момент весьма невысока. По-прежнему, если выйти на улицу и опросить прохожих, довольно сложно найти человека, который бы уже пострадал от утечки личных данных из мобильного устройства.
Уязвимости смартфонов представляют собой достаточно серьёзную угрозу, но по-прежнему более эффективной защитой от них является своевременная установка обновлений, выпускаемых производителем ОС для используемого устройства, закрывающих уязвимости и следование банальным правилам информационной безопасности.
В прошлом году аналитики фирмы Credant Technologies пришли к выводу, что в плане информационной безопасности смартфоны являются едва ли не самыми сомнительными устройствами: 94% опрошенных ИБ-специалистов считают их угрозой для компаний (о потенциальном вреде флэшек и ноутбуков высказались 88 и 79 процентов экспертов соответственно). Смартфоны в большинстве случаев являются личным имуществом сотрудников, и влиять на методы их использования работодатели не могут. При этом средства связи и прочая карманная электроника нередко используются в рабочем процессе и содержат в памяти незашифрованные конфиденциальные данные, имеющие отношение к компаниям. Но пока личные и корпоративные данные в основном теряют вместе с гаджетами, а случаи, аналогичные истории с удалением книг по сети, остаются единичными.