Новости про Android, безопасность и операционные системы

Письмо гласит, что OEM-производители телефонов с Android предустанавливают в систему свои приложения, которые нельзя удалить из-за их системных привилегий, и которые обходят модель разрешений в Android. Таким образом, эти приложения получают доступ к микрофону, камере и средствам геолокации, собирают пользовательские данные и передают их OEM без согласия самих пользователей.

Группа просит Google внести некоторые изменения в то, как Android поддерживает предустановленные приложения. Они просят Google обеспечить возможность полной деинсталляции предустановленных приложений. Сейчас некоторые производители дают возможность отключить такие приложения, однако их службы продолжают работать в фоне и собирать информацию.

Кроме того, в письме выражено требование обеспечить предустановленным приложениям тот же уровень безопасности, что и приложениям из Google Play Store, а также гарантировать их обновление из Google Play, даже если пользователь не залогинился. В дополнение, Google должен отказывать в сертификации OEM-производителям, если они будут использовать пользовательские данные.

Вирус получил название xHelper. Впервые он появился в марте, после чего начал медленное распространение до 32 тысяч поражённых устройств в августе и 45 тысяч устройств в октябре.

По словам Symantec, этот вирус находит ежедневно 131 новую жертву. Наибольшее распространение xHelper получил в Индии, США и России.

Как сообщает Malwarebytes, инфекция распространяется благодаря переводу пользователей на страницу, где выложено некое приложение для Android. На этом сайте даются инструкции, как установить приложение из неофициального источника. А вот код, скрытый в этом приложении, и содержит троян xHelper.

За ним пока не выявлены разрушительные действия. По данным Malwarebytes и Symantec, большую часть своей жизни этот вирус занимается принудительной демонстрацией рекламы, а также показывает спам в области уведомлений. Эта реклама и нотификации переводят пользователей на Play Store, где жертву просят установить другое приложение. Таким образом, создатели xHelper зарабатывают деньги на комиссиях с установки.

Самое неприятное в XHelper то, что он работает с устройством как приложение из прошивки и устанавливает себя в виде отдельного сервиса. Более того, приложение нельзя удалить, поскольку троян постоянно переустанавливает себя, даже после сброса телефона до заводских настроек.

Неприбыльная организация e Foundation была создана в 2018 году. Её миссия — продвижение ОС с открытым исходным кодом и другими мобильными сервисами, которые уважают приватность и просты в использовании. Когда организация выпустила бета версию такой ОС, многие люди восприняли её с одобрением. В результате, компания решила выпускать телефоны с предустановленной /e/OS. Примечательно, что телефоны будут восстановленные, т.е. отремонтированные после заводского брака. Отмечается, что такой подход экономичен и экологичен. Пока организация готовит несколько моделей восстановленных телефонов: Samsung Galaxy S7 32GB за 279 евро, Samsung Galaxy S7 Edge 32 GB за 299 евро, Samsung Galaxy S9 64Gb за 499 евро или Samsung Galaxy S9+ за 549 евро. На смартфоны распространяется годовая гарантия. Однако пока их нет, и всем заинтересованным предлагается встать в бесплатную ни к чему не обязывающую очередь.

Что касается /e/OS, то она включает приложения, заточенные на приватное окружение. Система является форком Android и содержит ряд стандартных приложений из этой системы, включая контакты, часы, файловый менеджер, калькулятор, клавиатуру и так далее. Также имеется «отгугленный» форк Chromium и «форк для почты K9». Большинство предустановленных приложений имеют открытый исходный код, кроме Карт и Погоды. Все приложения не передают данные в Google или другую большую технологическую компанию.

В скором времени разработчики планируют обновить версию /e/OS до Android Pie, обеспечить возможность удаления предустановленных приложений, ввести несколько пользовательских профилей и поддержку веб-приложений. Также они надеются на сетевые функции приватности, такие, как VPN.

Более подробно с инициативой можно ознакомиться на сайте организации /e/.

Анонсировав новую версию Android O, компания Google решила не бросать производителей смартфонов наедине с собой, а планирует вести тесное сотрудничество с такими компаниями как Samsung, HTC, Motorola и прочими, чтобы гарантировать выпуск обновлений.

Компания отметила, что она начала тесное сотрудничество с производителями, которое позволит сократить время выпуска обновлений безопасности от 9 недель до нескольких дней. Таким образом, в будущем вы не останетесь беззащитными на несколько месяцев, в то время как Pixel или Nexus будут обновлены максимально быстро.

Кроме этого Google пообещала запустить специальный сервис, где будет размещать информацию о скорости обновления ОС, разделяя их по операторам и производителям смартфонов, что должно обеспечить большую прозрачность информации. Ранее эта информация была недоступна, и нельзя было оценить, насколько плохо разные производители подходят к вопросу обновления. Компания добавила, что информацией о скорости обновления своих устройств она также будет делиться, что должно заставить прочих производителей быстрее внедрять обновления.

Говоря по правде, этот рейтинг не совсем честен. В нём применён необычный метод оценки безопасности. Так, при его составлении просто подсчитали количество выявленных за год уязвимостей, но при этом совершенно не учли степень опасности, которую они создают. Также не была учтена скорость исправления выявленных ошибок.

К примеру, в начале второго десятка можно встретить продукты Apple, что довольно странно, ведь компания крайней трепетно относится к безопасности своих клиентов.

В любом случае, рейтинг демонстрирует, сколько ошибок в области безопасности допускают разработчики ОС, давая чётко понять, что «коллективный разум» авторов Linux совершенно не означает высокую безопасность продукта.

Фирма Rapid7, занимающаяся вопросами безопасности, выявила уязвимость движка WebView во всех версиях операционной системы Android 4.3 и ниже.

Однако ответ Google на это был довольно странным: «Если речь идёт о WebView до версии 4.4, мы в общем-то не разрабатываем патчей самостоятельно, однако приветствуем патчи с отчётами для рассмотрения. Кроме как информирования OEM производителей, мы не сможем предпринять каких-либо действий по любому отчёту, который касается версии до 4.4, и который не сопровождается патчем».

Другими словами, Google пытается нам сказать, что его совершенно не волнуют бреши в безопасности операционной системы, которая была на передовых позициях всего год назад. При этом если пользователи хотят исправить ошибку, они могут обратиться к производителю своего устройства, чтобы тот подготовил для них патч, а сама компания не станет заниматься подобными вещами для устаревшей ОС.

Как отмечают обозреватели, без исправления останутся около 1 миллиарда Android устройств, поскольку лишь 39,1% всех гаджетов работают под операционной системой Android 4.4 "KitKat". То же самое касается и пользователей, которые приобретают бюджетные модели телефонов, ведь часто не оснащаются самой новой версией операционной системы Android.

Уязвимость находится в Android KeyStore, которая является крайне важной зоной ОС, ответственной за хранение криптографических ключей и прочих важных сведений. Уязвимость была выявлена исследователями IBM, которые смогли использовать ошибку и выполнить вредоносный код, который извлёк ключи, используемые для банкинга и прочих важных приложений, служб VPN и PIN кодов или сканов отпечатков пальцев, использующихся для входа в систему. Уязвимость существовала незамеченной некоторое время, но компания Google исправила её в KitKat. Однако старые версии ОС, которые занимают 86,4% рынка, не получили исправлений.

Следует отметить, что брешь не так-то просто использовать. Атакующим потребуется заставить пользователя установить специальное приложение, которое должно обойти все прочие схемы защиты. При этом исследователи отмечают, что уязвимость по-прежнему остаётся опасной, поскольку способна привести к потере наиболее важных ресурсов, хранящихся в Android ОС.