`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Виталий Кобальчинский

Защита смартфонов не готова к серьезным испытаниям

+33
голоса

Криптографы из Университета имени Джона Хопкинса обнародовали неутешительные результаты исследования текущего состояния дел с конфиденциальностью мобильных устройств. В своём анализе они использовали общедоступную документацию Apple и Google, а также отчёты за минувшее десятилетие о случаях обхода мобильной защиты властями и преступниками с помощью специальных хакерских инструментов.

Сегодня смартфоны предлагают многослойную защиту с разными ключами шифрования для разных уровней. Операционная система и специальные чипы управляют этим по большей части незаметно для пользователя. Однако делать на основании этого вывод, что приватные данные надёжно защищены, было бы ошибкой, считают авторы отчёта.

При включении iPhone все данные находятся в состоянии полной защиты (Complete Protection), но при разблокировании телефона значительная часть их переходит в другой режим, условно названный AFU (After First Unlock). Так как, смартфон обычно не перезагружают неделями, резонно будет считать, что он почти всегда работает в режиме AFU. Именно к этому состоянию у исследователей возникают основные претензии.

После первого разблокирования многие ключи шифрования помещаются в память быстрого доступа, откуда их может извлечь хакер, используя определённые неисправленные уязвимости iOS. Обладая ключами, злоумышленник может расшифровать значительную часть данных с мобильного телефона. Критические уязвимости, как правило, устраняются компаниями Apple и Google максимально быстро, но, если вы их найдёте, то доступ к памяти телефона у вас в кармане

Для устройств на Android ситуация ещё более серьёзная, поскольку в этой ОС не предусмотрен имеющийся в iOS механизм расширения постоянной полной защиты на самые ответственные данные (например, банковских приложений). Кроме того, наличие множества производителей устройств, различных конфигураций, версий и модификаций Android, делает своевременную доставку обновлений и обеспечение безопасности всей этой пёстрой экосистемы ещё более трудоёмкими делом.

Перед публикацией исследователи поделились своими выводами и техническими рекомендациями с командами разработчиков Android и iOS. В ответ, представитель Apple по связям с общественностью заявил, что вероятность указанных атак невелика, так как их осуществление требует больших финансовых затрат и получения физического доступа к устройству. Подход же Apple к защите iOS основан на балансе между безопасностью и удобством работы.

Реакция Google была похожей: компания подчеркнула, что такие атаки возможны только при одновременном наличии нужных незакрытых уязвимостей и физического доступа к устройству. «Мы выпускаем исправления таких уязвимостей ежемесячно, — заявил представитель компании. — Вы можете рассчитывать на дополнительное усиление защиты в следующем выпуске Android».

Подытоживая свой анализ, исследователи утверждают, что доступные в настоящее время средства защиты смартфонов более чем достаточны для большинства угроз, однако они не представят серьёзных препятствий для взлома с применением специализированных инструментов, легко доступных для правоохранительных органов и разведки.

Защита промышленных сетей: основные риски и сценарии атак

+33
голоса

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT