На конференции Black Hat Europe был представлен отчет NCC Group, согласно которому шифрование мобильных устройств не столь надежно, как принято считать, и Android в этом плане вновь отстает от iOS.

Исследователи Дэниэл Майер (Daniel Mayer) и Дрю Суарес (Drew Suarez) разрушили несколько общепринятых, но в то же время ложных представлений о шифровании смартфонов, а также сравнили iOS и Android с точки зрения надежности шифрования.

Эксперты уделили особое внимание тому, какую на самом деле опасность может представлять утеря или кража смартфона. Например, криптоключи хранятся в памяти смартфона, и при условии физического доступа к устройству злоумышленник может обойти эту меру безопасности. Даже учитывая, что iOS-смартфон защищен при помощи секретного кода, связанного с физическими компонентами девайса, данные лучше защитить до того, как до них доберется злоумышленник.

Фрагментированность экосистемы Android создает дополнительные риски с точки зрения надежности шифрования, и в этом отношении дела Android намного хуже, чем у Apple. Прежде всего риск атаки на Android повышают проблемы со своевременной доставкой патчей и применением обновлений. Кроме того, не все процессы загрузки в Android подписаны, а значит, при наличии физического доступа к целевому устройству хакер имеет возможность внедрить бэкдор в прошивку. Владельцы устройств под iOS могут на этот счет не беспокоиться — код, запускаемый на устройстве, всегда имеет цифровую подпись.

Позиции Android чуть улучшились после выхода последней версии ОС (Marshmallow 6.0), но из-за того, что разработчики не умеют в достаточной степени воспользоваться новыми возможностями Android в области безопасности, эти меры могут и не иметь ожидаемого эффекта. Когда дело доходит до обеспечения безопасности, половина разработчиков Android допускает непростительные ошибки.

Это печальная ситуация, учитывая природу мобильных устройств. В традиционных браузерных приложениях данные всегда хранились на стороне сервера и имели более высокую степень защиты. Но многие мобильные приложения кэшируют данные на устройстве, иногда среди них встречаются токены аутентификации. Принимая во внимание, что в сравнении с браузерными приложениями они «живут» дольше, опасность компрометации возрастает.

Если смартфон попадет в руки преступников, последние смогут обойти некоторые меры безопасности и получить доступ к данным приложений. Как признались исследователи, многие из их клиентов уже на собственном опыте убедились в серьезности проблем, возникающих после утери смартфона.

Эксперты NCC надеются, что их результаты помогут обратить внимание разработчиков на проблемы с шифрованием, чтобы в будущем они могли наилучшим образом обеспечить безопасность устройств. Как выяснилось в ходе презентации, даже полное шифрование накопителя не исключает вероятность использования нескольких векторов атак.

Категории: Аналитика