Проблема безопасности Android – производители смартфонов

ИБ-эксперт Елена Решетова совместно с коллегами из университета Аалто (Хельсинки, Финляндия) проанализировала модель безопасности Android, реализуемую Google с момента выхода версии Lollipop 5.0. Исследователи пришли к выводу, что сама по себе политика компании весьма эффективна, если неукоснительно ей следовать. Тем не менее, проблема заключается в том, что производители мобильных устройств и их составляющих допускают ошибки при выполнении требований Google.

«Производя различные модификации, производители могут не столь строго следовать правилам, тем самым увеличивая возможности для потенциальных атак», - сообщили эксперты.

Росту числа уязвимостей также способствует тот факт, что в условиях конкуренции производители стремятся как можно скорее выпустить новый продукт и не всегда могут до конца убедиться в выполнении всех требований в рамках проекта Security Enhanced (SE) Android.

В числе проблем, возникающих с недостаточным выполнением производителями требований безопасности, исследователи выделили следующие:

  • Злоупотребление использованием профилей по умолчанию. Это может означать, что модифицированные версии Android могут указывать на чувствительные источники из недоверенных доменов.

  • Злоупотребление использованием заранее определенных доменов. Вместо определения отдельного домена для каждого из своих приложений, производители размещают их в доменах system_app или platform_app. Это приводит к сосредоточению в одном месте чрезмерного количества программ с одинаковыми правами.

  • Забытые правила. Правила безопасности, которые либо генерируются автоматически, либо связаны с устаревшими уязвимыми драйверами.

  • Игнорирование безопасности в пользу удобства. Зачастую вместо того, чтобы внести изменения в сам код, для собственного комфорта производители мобильных устройств поставляют продукты с неадекватной политикой безопасности.

Источник

Регион: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя uagav

"сама по себе политика компании весьма эффективна, если неукоснительно ей следовать" А дальше можно было уже ничего и не писать. Стрелочник есть, а чтобы ничего не случилось, то из дома лучше вообще не выходить. А это ничего что удобство и политика безопасности вообще не стыкуются? Или или.

Аватар пользователя mike

Не надо гнать на Гугл. Он прав: внося изменения в код, производитель может внести уязвимости. Что и наблюдается.

Аватар пользователя Al

"удобство и политика безопасности вообще не стыкуются" - Не надо путать удобство и беспечность/разгильдяйство. Мне и удобно, и безопасно, без проблем. Хороший производитель очень аккуратно изменяет оригинал. И он становится лучше его. То, что Самсунг придумал и сделал в 4-й версии, Гугл ввел в 5-ю.