Як безпечно користуватися смартфонами, аби убезпечити себе від зловмисників? На скільки ми обізнані із кіберзагрозами, що можуть нести мобільні пристрої? Яка операціна счистема – Android чи iOS – є безпечнішою? На ці запитання відповідає спеціаліст з інформаційної безпеки, ініціатор та координатор конференції з практичної кібербезпеки NoNameCon Володимир СТИРАН.

Володимире, розкажіть, чи відрізняються якось заходи безпеки для смартфонів на Android та iOS?

Вони радикально різняться. Все впирається в економіку. Компанія Apple у якийсь момент поставила на те, що її продукт має бути захищеним. І через те, що вона була на ринку сучасних смартфонів першою, почала зростати без втрат у безпеці. Але коли компанія Google зрозуміла, що втрачає свої позиції на цьому ринку й потрібно наздоганяти конкурента, вона вирішила зробити свою платформу більш відкритою й вільною. Так і є — почати програмувати під Android набагато простіше й опублікувати свій додаток простіше, але ось ця свобода й відсутність контролю від основного постачальника призводить до того, що розробнику важче зробити додаток безпечним. І ми отримуємо таку ситуацію, що й шкідливого програмного забезпечення під Android більше, й налаштувань приватності для користувача менше, і йому їх важко контролювати тощо.

Тобто тут сталося те, що сталося з Windows — на ринку персональних комп’ютерів ця ОС дуже швидко розвивалася в 1990-ті й не дуже серйозно поставилася до своєї безпеки. Значно пізніше, під тиском, Microsoft була змушена щось робити з безпекою, оскільки ситуація була вже геть кепською. Така ж позиція — швидше, швидше, якомога більше ринку захопити, — була у Google декілька років тому. Але тепер вони почали більш-менш приміряти на себе модель Apple, модель більшого контролю над тим, що відбувається в них в екосистемі.

А як Apple реалізовує такий контроль?

Apple завжди контролює повний технологічний цикл усіх своїх продуктів. Наприклад, якщо ви купуєте MacBook Pro, то у вас буде й «залізо» від Apple, і «BIOS» від Apple, і операційна система, і ще набір програм. Ви повністю, від «заліза» до прикладних програм, довіряєте одному постачальнику. І це надає йому змогу дуже швидко вирішувати всі проблеми, які виникають. Якщо з’являється вразливість, приходить одне оновлення й воно може стосуватися чого завгодно — хоч драйверів відеокарти, хоч текстового редактора.

Така ж ситуація і з iPhone — компанія контролює «залізо», всі модулі, операційну систему тощо. Тому вона дуже швидко по мережі може поставити вам усі апдейти, якщо виникне якась складна вразливість. У Google такої можливості немає, тому що його операційною системою користуються всі: Sony, Samsung, Xiaomi, Huawey і багато інших, і кожен під себе її модифікує. Якщо раптом щось трапляється в Android, Google може це швиденько виправити лише на своїх пристроях, які він виробляє й на які встановлює «оригінальний» Android: на Pixel та Nexus.

Всі інші користувачі мають самі подбати про встановлення оновлень?

Так. Наприклад, якщо у вас смартфон Samsung, вам доведеться чекати, поки компанія візьме оновлену версію Android, «впиляє» в неї всі свої інструменти стеження за вами, які потім монетизує через рекламу, всі свої програми, які вона паралельно додає в Google Play Market, і тільки після цього, якщо вам пощастить і у вас більш-менш новий телефон, ви отримаєте це оновлення.

Але загалом це не їхня бізнес-модель — викачувати вам оновлення. Їхня модель полягає в тому, щоб ви через рік прийшли купувати новий смартфон. Тому з великою ймовірністю, якщо Android-смартфону більше двох років, оновлення він не отримає й доведеться сидіти з усіма вразливостями застарілого Android. Якщо смартфон від Google — скоріш за все, ви отримаєте оновлення. Якщо смартфон Apple — майже гарантовано отримаєте, вони стабільно підтримують оновлення для моделей смартфонів, випущених в останні три роки.

Із чого краще почати користувачеві, який давно користується смартфоном, та лише тепер задумався про його захист?

Піти купити iPhone або смартфон від Google. Треба довіряти тому постачальнику, який може швидко виправити вразливість. Тут ми маємо приклад вразливості ланцюжка поставок: це те, що ми мали з M.E.Doc, це те, що тепер відбувається з Intel та іншими виробниками процесорів. Ці приклади дуже яскраво ілюструють небезпеку слабкого контролю над ланцюжком поставок апаратного та програмного забезпечення.

Фундаментальні принципи безпеки й довіра до найнижчої ланки інфраструктури тепер стоять під питанням. Що може зробити в цьому випадку Microsoft? Майже нічого, тому що вона контролює в цій інфраструктурі лише один рівень — операційну систему, компанія може випустити оновлення лише для неї. Що можуть зробити Intel, AMD, ARM? Теж майже нічого, вони можуть хіба що надіслати оновлення постачальникові материнської плати, а він уже має інтегрувати його у свій продукт і опублікувати пакет оновлень. І ви вже далі під танці з бубном маєте їх встановити. Що може в такому випадку зробити Apple? Надішле вам оновлення, ви натиснете кнопку «оновити» — й на цьому все.

Можливо, колись, у майбутньому, ця проблема вирішиться. Але наразі такий авторитарний підхід, коли все в одних руках (хоча компанія може цим маніпулювати), дає можливість виправити все дуже швидко. Такий тоталітаризм в IT має під собою логіку. А вільний підхід Android та Google поки що себе не виправдовує.

Наскільки подібні проблеми актуальні для України? Доходи українців доволі низькі й навряд чи вони часто купують нові смартфони.

Тут я можу не погодитися. Коли я їжджу в громадському транспорті в Києві, часто бачу в інших пасажирів нові iPhone. Це не дуже повний зріз суспільства, але смартфон є майже в усіх людей віком від 18 до 35 років. Комп’ютер не в усіх є, а смартфон став основним комунікаційним пристроєм. Ми з нього читаємо пошту, спілкуємось у месенджерах, проводимо операції з грошима.

Загрози неминучі. Сам факт, що таких пристроїв багато, створює серйозний ринок для інвестицій в кіберкримінальну економіку. Й масові епідемії трапляються. Не так давно була хвиля атак на смартфони зі старим Android до п’ятої версії через MMS-повідомлення. У цивілізованому світі це вже давно в минулому, а в нас смартфони старіші й тому минулого року було кілька неприємних випадків. Люди підхопили вірус й мали якось вирішувати цю проблему. А пересічний користувач що може зробити? Радше за все, викине телефон і піде купувати новий.

А як щодо обмеження дозволів для додатків, які запровадили на Android?

Це неефективно. Можна дуже довго вчитися, як це блокувати, але компанії постійно будуть знаходити способи збирати персональні дані. Наразі проти Google триває розслідування — виявилося, що навіть коли геолокація на смартфонах була вимкнена, вони все одно триангулювали (відстежували телефон за базовими станціями зв’язку — MS) по базових станціях розташування смартфонів. А Facebook тестувала використання гироскопів для виявлення, з ким ви зараз ідете або їдете в одному напрямку, навіть не маючи доступу до даних геолокації.

У компаніях, у яких реклама є основним джерелом прибутку — а найбільшими гравцями тут нині є Facebook і Google, — основним клієнтом є не той, хто купує Android-смартфони, а той, хто замовляє рекламу. В цьому контексті приватні дані більш захищені в того постачальника, який їх не перепродає. Це дуже просто перевірити — є чарти, які демонструють структуру прибутку різних компаній. Адже в сучасному бізнесі все формулюється виходячи з максимізації прибутку й мінімізації витрат.

КРОКИ ДЛЯ БЕЗПЕКИ СМАРТФОНА:

Встановіть код блокування. Підійдіть до завдання серйозно — нехай це буде щось складніше за 1234.

Регулярно завантажуйте і встановлюйте оновлення. Якщо ваш постачальник напряму їх вам не надсилає, то подбати про них доведеться самостійно.

Уникайте неперевірених магазинів додатків. Наприклад, у Китаї не працює Google Play Market і користувачі змушені шукати програми в інших магазинах додатків, часто неперевірених. Не дивно, що від вірусу CopyCat, який поширювався в минулому році, найбільше постраждала Азія.

Зважайте на дозволи, які додатки просять перед встановленням. Гра-пазл просить доступ до контактів, камери, даних про дзвінки та до галереї? Є сенс пошукати в магазині додатків іншу аналогічну гру, на щастя, їх є у відкритому доступі сотні. Також не завадить переглянути вже встановлені на смартфоні додатки й подивитися, яку інформацію вони збирають. Застосунок App Ops може заблокувати зайві дозволи в додатків.

Встановіть код на окремі додатки або папки. Якщо ви переймаєтеся з приводу конкретного контенту або чат чи застосунку, поставте на них додатковий захист за допомогою AppLock, Smart App Protector чи Hexlock.

Встановіть Android Device Manager. Якщо ви втратите свій Android-пристрій, через цей додаток можна увімкнути на ньому звуковий сигнал, відстежити його місце розташування або заблокувати його. Через цей менеджер можна зайти на свій втрачений пристрій з іншого й повністю видалити.

Джерело: Media Sapiens