Уязвимости в безопасности Android — мнение экспертов

На сайте компании Элкомсофт разместили статью, посвященную уязвимостям мобильной системы Android.

До версии Android 4.4 KitKat, вышедшей в 2013 году, операционная система была самой небезопасной на рынке. С выходом Android 6.0 Marshmallow поисковому гиганту Google удалось добиться приемлемого уровня безопасности, а Android 9.0 Pie развился до облачного шифрования данных. Но не все дыры в защите были устранены.

С пятой версии зеленого робота включили способ шифрования FDE, который был использован большинством брендов до 2018 года. Чтобы его взломать, достаточно расшифровать данные, применив ключ «default_password». Умелые хакеры создали на его основе автоматический загрузчик, который мгновенно сливает файлы со смартфонов. Усложнило взлом шифрование в режиме Secure Startup, когда на место фразы «default_password» вставал код блокировки дисплея. Ну а самая крепкая защита появилась в Android 7 с его пошаговым FBE, где ключ доступа к части файлов формировался из пароля, а другую защищали аппаратные ключи.

Слабая изоляция приложений с простым доступом к файловой системе Android породила массу методов шпионить за пользователем. Проблему не решал запрос разрешений для доступа к функциям смартфона, добавленные в Marshmallow. Вредоносный софт накладывает поверх одних приложений прозрачные окна, заставляя тапать по кнопке разрешения доступа без вашего ведома. Даже без права определять местонахождение, шпионский софт вычислит, где находится смартфон с погрешностью в несколько метров. Попадается такое ПО во многих играх, приложениях и даже пробирается в прошивки ОС.

После шумихи вокруг Apple Face ID, производители Android-смартфонов начали добавлять аналогичную фишку в новые модели, подкручивая функцию распознавание лица к обычной камере. И если отдельный 3D-датчик гарантирует защиту по лицу, то селфи-объектив запросто перепутает владельца сканировав его фотографию лица или наспех трехмерную модель физиономии на компьютере. Защиту дактилоскопа обходят через Smart Lock, когда телефон разблокируется по местоположению или через подключение проверенного Bluetooth-устройства. Достаточно заполучить портативную колонку или фитнес-трекер устройства.

Не внушает доверия стремление Google собирать информацию о пользователях, а затем хранить их отдельно на облаке. На дисках, непонятно где, оседает информация о купленных вами билетах, поисковых запросах и прослушанной музыке. Практически все данные остается в открытом виде и при должном желании может быть перехвачены злоумышленниками.

Для защиты девайса на Android, эксперты рекомендуют ежемесячно устанавливать патчи безопасности (актуально для флагманов), запретить Smart Lock, установить PIN-код длиной не менее 6 цифр, включить дактилоскоп и не получать Root-права.