О моделях безопасности мобильного ПО

Apple частенько поругивают за жесткие ограничения и волюнтаризм при допуске сторонних приложений в свой App Store. Google взяла на вооружение более демократичную модель, которая, в свою очередь, стала одной из составлящих успеха Android. Но, как обычно, у медали есть и обратная сторона.

Так, Нэйл Дазвэни, CTO компании Dasient сообщил, что их специалисты исследовали 10 тыс. приложений для Android и выявили среди них 8% таких, что могут быть отнесены к категории malware. Чаще всего они собирают и пересылают персональные данные (что не обязательно связано с мошенничеством, пользователь может и предупреждаться - как обычно, мелким шрифтом в самом конце лицензионного соглашения), но некоторые, к примеру, отсылают СМС на "премиум"-номера. Полная информация будет обнародована в начале августа на конференции Black Hat - постараюсь не пропустить.

В свете этого меры Apple уже не кажутся такими драконовскими. Всего-то навсего - собственные сертификаты, единственная точка распространения и, благодаря этому, возможность серьезного контроля функциональности приложений. А результат - ни единого реального прецедента с malware на неразблокированных iPhone.

Модель Android, казалось бы, отличается лишь в деталях. Можно использовать разные сертификаты и способы распространения. Но в результате у злоумышленников появляются возможности сохранить анонимность даже после регистрации в Google, взламывать и переподписывать готовые программы, загружать вредоносный контент в процессе работы "безопасной" программы.

Я лично не склонен излишне драматизировать ситуацию. Хотя многие рисуют чуть ли не апокалиптические картины, предвещая закат платформы Android, если Google срочно что-то не предпримет. Та же Windows как-то приспособилась сосуществовать с malware вообще без какой бы то ни было модели безопасности для сторонних приложений. У мобильных платформ, правда, есть одно важное отличие - они априори и непосредственно связаны с различными коммерческими сервисами: звонками, СМС и пр. Но уже сегодня все ведущие разработчики систем безопасности предлагают для них защитное ПО, хотя, насколько я вижу, популярностью оно отнюдь не пользуется.

Впрочем, спасение утопающих должно быть прежде всего делом их же рук. Меня в данном контексте больше интересует философский вопрос: нужно ли индустрии искать некую золотую середину между двумя моделями или пусть ситуация идет своим путем? Т.е. к более защищенному, но относительно "нишевому" (если верить прогнозам аналитиков) миру iOS и менее защищенному, но и более свободному (и поэтому значительно большему) Android. Да, а где-то между ними еще займет свое место Windows Phone :)