Прошедший год выдался для безопасников Google оживленным. Компания справлялась с серьезной уязвимостью в Stagefright и эффективно боролась с вредоносными приложениями, а также перешла на ежемесячные обновления Android и учредила программу премирования за найденные уязвимости.

Однако, несмотря на эти позитивные изменения, Google все еще не может взять под контроль крайне фрагментированную экосистему устройств, что в некоторой мере подрывает усилия компании по обеспечению безопасности.

Патчи для ОС, ядра и прошивок должны быть внедрены производителями устройств, а производители, в свою очередь, должны проконтролировать, чтобы операторы вовремя доставили необходимые OTA-обновления на девайсы. Очевидно, этот подход срабатывает не всегда.

В ежегодном отчете о безопасности Android компания Google заявила, что версии ОС Android 4.4.4 и выше, для которых доступны регулярные обновления от Google, установлены на 71% активных устройств.

По данным разработчиков Android, 33,4% девайсов работают под версией 4.4 (KitKat), а 40,4% — под более свежими версиями ОС, Lollipop или Marshmallow. Таким образом, немалая часть Android-устройств работает под устаревшей версией ОС, которая больше не поддерживается Google.

Система ежемесячных обновлений, которую Google запустила сразу после обнаружения бреши в Stagefright, эксклюзивно доступна через прямые OTA-апдейты устройствам Nexus; партнерам Google по экосистеме предоставляются патчи. Samsung, BlackBerry и LG первыми пообещали наладить регулярную ежемесячную доставку патчей операторам.

«Мы надеемся, что модель обновления ОС на устройствах Nexus впоследствии будет применяться всеми производителями Android-девайсов, и мы активно работаем над этим вместе с участниками экосистемы, — заявил Адриан Людвиг (Adrian Ludwig), ведущий инженер ИБ-команды Android, в блоге. — Производители уже предоставили ежемесячные обновления сотням моделей Android-устройств и сотням миллионов пользователей».

«Несмотря на заметный прогресс, многие Android-девайсы до сих пор не получают ежемесячные обновления; мы прилагаем все усилия, чтобы помочь нашим партнерам доставлять апдейты своевременно», — подчеркнул Людвиг.

Отчет о безопасности Android — своеобразное послание Google участникам экосистемы. На этот раз Google в нем представила новые функции безопасности Marshmallow: полное шифрование накопителя (FED) и SD-карт, расширенные возможности управления разрешениями, функцию подтвержденной загрузки, а также отображение актуальности патчей Android.

Google заявила, что продолжает войну с потенциально вредоносными приложениями, они все реже просачиваются через модерацию Google Play. Такие заражения обнаруживаются на 0,15% устройств, в то время как при загрузке программ из сторонних магазинов этот показатель почти в пять раз выше (0,5%). По данным Google, по сравнению с прошлым годом в Google Play наблюдается меньше приложений, собирающих данные пользователей, а также меньше шпионских программ и загрузчиков.

Что касается программ, доступных в альтернативных магазинах, количество вредоносных приложений во всех перечисленных выше категориях, наоборот, выросло: аналитики рапортуют об увеличении количества вредоносных загрузчиков и троянцев (они обнаружены на 2,6 и 1% устройств соответственно).

Ghost Push — один из наиболее опасных загрузчиков, о котором известно еще с октября 2014 года. Прошлым летом его активность возросла до 30% попыток установки под Android. Google известно более чем о 40 тыс. приложений, связанных с Ghost Push, и более чем о 3,5 млрд попыток инсталляции.

В отчете сказано, что, согласно результатам внутреннего расследования, столь массовое заражение произошло из-за взлома инфраструктуры одного из операторов Юго-Восточной Азии, ответственного за доставку OTA-обновлений Android абонентам.

«Мы выяснили, что большое количество попыток заражения произошло по причине внедрения Ghost Push в OTA-обновления одной компании. В некоторых случаях из-за багов в ПО для установки приложений оператор пытался установить одну и ту же программу сотни раз на одном устройстве, пока через несколько сотен попыток одна из них не оказывалась успешной, — говорится в отчете. — Мы работаем с этим оператором, чтобы обеспечить сканирование приложений, посылаемых на устройства».

Что касается Stagefright, то, несмотря на шумиху и большое количество связанных с этим компонентом уязвимостей, Google не имеет сведений о публичных эксплойтах, хотя в некоторых случаях атаки на уязвимость были включены в активные эксплойт-паки.

«Цель нашего отчета — продолжать диалог о безопасности Android. Мы надеемся предоставить сообществу более целостную картину развития экосистемы и наших действий на ниве безопасности, — сказал Людвиг. — Мы уверены, что открытая и обоснованная аналитическими данными дискуссия о безопасности поможет нам сделать экосистему Android более защищенной».

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости