Инцидент с DigiNotar продемонстрировал слабость смартфонов

Давеча я рекомендовал озаботиться защитой от поддельных SSL-сертификатов. Но насколько просто это сделать? На ПК вопрос, можно считать, закрыт. А на смартфонах?

Действительно, Google и Mozilla выпустили обновления своих настольных браузеров почти сразу. У Opera кстати, также появилось исправление, но оно к DigiNotar отношения не имеет. В этом браузере используется более надежный механизм проверки сертификатов - при каждом обращении к сайту, причем, при невозможности достучаться до проверочного сервера они в любом случае блокируются. Microsoft начала распространять заплатки для своих ОС чуть позже, а Apple созрела только под самый конец прошлой недели.

А что же со смартфонами? Игнорировать их уже опасно, на них приходится 5% мирового веб-трафика (более 8% в США). Но ни Apple, ни Google пока даже не высказались на эту тему. Допустим, Apple, как подлинно фруктовая компания, и в данном случае еще зреет. Но Google? А вот здесь как раз снова приходится вспомнить о фрагментации платформы Android. Терминалов много и разных, а ответственность за их обновление несет вовсе не Google. Да, она может (и должна) внести необходимые коррективы в Android, но дальше - дело OEM и сотовых операторов.

Картина на самом деле безрадостная. Я уже приводил пример, что много Android-терминалов по-прежнему содержат известные и исправленные в очередных версиях платформы уязвимости. Да, смартфоны лучше ПК защищены от malware, но перед атаками на основе социальной инженерии (а именно для таких могут пригодиться поддельные SSL-сертификаты) они так же бессильны. К счастью, в данном случае угрозе в основном подвержены иранские пользователи, но с таким же успехом эта или подобная история может коснуться и всех прочих.

В чем же причина? Из встреченных аргументов более-менее внятным мне показался только один: на самых крупных рынках смартфоны распространяются через сотовых операторов, которые завязывают на них каналы продаж своих услуг. А что если эти каналы обслуживаются (допустим, исключительно) сертификатами (не поддельными, естественно) именно DigiNotar? Ведь компания пока не лишена своего статуса (хотя все к тому идет)... Тоже, конечно, не очень убедительно. Поменять сертификаты - вроде бы не такое большое дело, тем более, что на Windows-десктопах они уже нелигитимны - Microsoft, как известно, заблокировала корневые сертификаты DigiNotar. А то, что вокруг них крутятся реальные денежные потоки, казалось бы, должно только повысить ответственность и желание минимизировать риски.

В случае с Android, впрочем, доступна помощь сообщества. В сети уже гуляет немалое количество советов, как можно самостоятельно блокировать корневые сертификаты DigiNotar. Правда, для этого терминал, кажется, должен быть разблокирован (rooted). Вот есть даже готовая утилита в Android Market. С Apple ситуация неясна. Она как-раз полностью контролирует платформу iOS и могла бы все исправить одним махом, возможно дело действительно в необходимости выяснения ситуации с операторами. А на Windows Phone и BlackBerry корневых сертификатов DigiNotar по какой-то причине не оказалось, так что их пользователям можно не переживать. В этот раз.