Эксперты объяснили, что не так с безопасностью Android

Безопасность – штука весьма и весьма относительная. Поэтому, когда я слышал, что кто-то критикует Android за низкий уровень безопасности, то всегда считал своим долгом опровергнуть этот довод. Даже если забыть об обновлениях безопасности, которые Google каждый месяц выпускает на протяжении вот уже нескольких лет, существует один простой критерий безопасности – адекватность пользователя. Ведь логично, что, если вы будете скачивать себе на смартфон всякий трэш из интернета, ничего хорошего из этого не выйдет. Но, как показала экспертиза, даже без этого Android-смартфоны защищены не лучшим образом.

Безопасность Android

Безопасность Android находится примерно на одном уровне с iOS — то есть не на очень высоком

Что за стыд? Huawei рассказала, чем Harmony OS отличается от Android и iOS

Исследователи в области кибербезопасности Университета Джона Хопкинса выпустили отчёт, в котором раскритиковали систему шифрования, применяемую в Android. По их словам, чтобы проникнуть в защищённые сегменты операционной системы даже не требуется бэкдор, который постоянно просят спецслужбы. Впрочем, аналогичным образом они разнесли в пух и прах шифрование на iOS.

Безопасное хранение данных на Android

Разблокировка Android

Надёжнее всего ваши данные в памяти смартфона находятся только после включения и до разблокировки

Недостаток системы шифрования, о котором рассказали исследователи, заключается в так называемом выборочном шифровании данных. Это значит, что смартфоны полностью шифруют информацию в своей памяти только до первой верификации. В данном случае имеется в виду момент после включения устройства, когда оно требует ввести пароль, чтобы подтвердить личность пользователя. Это состояние называется BFU – before first unlock, что в прямом переводе означает «до первой разблокировки».

Защита Android не дала властям Москвы следить за пользователями

Однако после того, как пользователь впервые после включения проходит верификацию, смартфон переходит в состояние AFU – after first unlock (после первой разблокировки). Оно предполагает надёжное шифрование только ограниченного набора данных. Это история браузера, электронная почта и ещё данные из некоторых штатных приложений. Однако большая часть софта, установленного на смартфон, шифруется при помощи простых алгоритмов, не обладающих такой же надёжностью, как шифрование, применяемое в состоянии BFU.

Шифрование данных на Android

В этом смысле iOS и Android устроены практически одинаково, утверждают эксперты. Несмотря на то что в последних обновления своей ОС Google значительно усовершенствовала работу защитных механизмов, взломать Android по-прежнему легко, воспользовавшись эксплойтом, которые наверняка известны хакерам и спецслужбам. Но если подавляющее большинство устройств Apple работают на базе самой новой версии ОС, то в случае с Android дела обстоят немного хуже.

Шифрование Android

Шифрование на Android устроено не очень надёжно, но это нужно для удобства пользователей, уверяют разработчики

Из-за высокого уровня фрагментации наиболее эффективно защищен только очень узкий круг устройств, работающих на базе новых версий ОС. Все остальные же можно взломать ещё легче и быстрее, поскольку в старых сборках Android отсутствуют даже самые примитивные механизмы шифрования. Но хуже всего то, что Android не предлагает эквивалента инструмента Apple Complete Protection. Он нужен для удаления ключей шифрования после успешной разблокировки. Как следствие, Android продолжает хранить в памяти все ключи дешифровки и после верификации, позволяя изъять их и проанализировать.

Сможет ли Xiaomi использовать Android и сервисы Google после внесения в чёрный список

Само собой, Apple и Google не просто так отказались от надёжных способов шифрования данных для состояния AFU, в котором смартфоны пребывают 95% времени. Это было нужно, чтобы облегчить приложениям фоновую работу с некоторыми видами данных вроде информации от служб геолокации и т.д. Очевидно, что это было сделано не с целью ослабить защиту своих операционных систем, а для их усовершенствования. В конце концов, вряд ли ситуации, когда пользователям требуется прямая защита от хакеров и спецслужб. Поэтому не переживайте, всё ок.

Теги
Лонгриды для вас
Скам
Почему может быть опасно участвовать в розыгрыше смартфонов

Наверное, все компании устраивают предновогодние акции. Все проводят их по-разному, но цель преследуют все одну и ту же – привлечь внимание потребителей и заработать побольше денег. Одни для этого делают скидки на свою продукцию, другие – объединяются с партнёрами и предлагают что-то вместе, а третьи просто дарят подарки. Конечно, учитывая, что все эти акции направлены на извлечение прибыли, то нет ничего удивительного в том, что зачастую участие в них имеет сомнительную выгоду для пользователя. Но иногда попадаются откровенные разводы, в том числе от чужого имени.

Читать далее
Дуров
Павел Дуров рассказал, почему нужно переходить с iOS на Android

Павел Дуров – личность очень эксцентричная, но оттого не менее талантливая, а потому – цитируемая. Особенно хорошо это стало заметно в последние несколько месяцев, когда предприниматель неожиданно для всех начал давать комментарии по многим вопросам, не входящих напрямую в его компетенцию. Из-за этого у меня сложилось впечатление, что предприниматель, живущий вдали от родины и знаковых событий, просто пытается актуализироваться, берясь за обсуждение самых хайповых повесток. Например, на днях он снова взялся рассуждать о том, что лучше: iOS или Android.

Читать далее
Уязвимости Android
Google рассказала, как защищает Android от взломов

Безопасность – штука очень условная, особенно, если попытаться примерить её на операционную систему. Вот взять хотя бы Windows. Несмотря на то что Microsoft явно заинтересована в том, чтобы платформа была безопасной, высокая популярность делает её востребованной среди вирусописателей и хакеров разных мастей. Похожая ситуация наблюдается и с Android, которая стала жертвой собственной известности, чем спровоцировала множественные вредоносные атаки на своих пользователей. Но Google считает, что достаточно эффективно справляется с обеспечением безопасности своей ОС.

Читать далее
Новый комментарий