В продовження теми про уразливість в ОС Android ми розглянемо способи їх виявлення за допомогою безкоштовних програм з офіційного магазину Google Play. Оскільки помилки знаходяться переважно в системних компонентах, усунути багато з них самостійно не вдасться - потрібно оновлювати прошивку. Якщо ж її нової версії немає, то іноді можна прийняти альтернативні заходи: змінити налаштування і підібрати заміну потенційно небезпечним додаткам. Praemonitus praemunitus!

Для тестування ми використовували три найпоширеніших в даний час платформи: Android 4.2.1, 4.4.4 та 5.1.1. У всіх наведених результатах сканування вони відповідно вказані зліва направо. Виняток становить перша ілюстрація, де ми перевірили версію Android 5.0 - останню з містить не повністю закриту уразливість Stagefright.

прицільний вогонь

Швидше за все з'являються утиліти для вибіркової перевірки на якусь свіжу критичну уразливість. Зазвичай їх пишуть не тільки відомі виробники антивірусів, але і окремі фахівці з безпеки.

Stagefright Detector (Zimperium).
Перевіряє вбудований мультимедійний движок на наявність критичних помилок. Зараз їх стало відомо вже вісім, тому програма оновилася.

Heartbleed Detector (Lookout Mobile Security)
Перевіряє які бібліотеки OpenSSL використовують програми. Серед них багато вразливих версій.

Більш ранні версії бібліотек знайдені на всіх тестових платформах, однак всюди вони не становлять суттєвої загрози, так як не зачіпають браузер. В інших додатках їх використовувати набагато складніше.

OpenSSL FREAK Scanner (Trustlook Mobile Security)
Може виявити ще одну небезпечну уразливість в OpenSSL - CVE-2015-0204.

тотальна зачистка

Багато уразливості залишаються актуальними роками, але не ставити заради кожної з них свій додаток - явно не найкращий підхід. На щастя, є програми для пошуку відразу декількох дірок в безпеці. Зазвичай - найнебезпечніших і поширених.

Mobile Security & Compliance (IScan Online)
В Android 5.1.1 програма вразливостей не знайшла, тому ми наводимо скріншоти з результатами для версій 4.2.1 і 4.4.4.

VTS for Android (NowSecure OSS)
Визначає ризик використання Stagefright, ZipBug і специфічних для виробника загроз, наприклад - Samsung WiFi Cred, що приводить до віддаленого запуску довільного коду.

Kaspersky Threat Scan (ЗАТ «Лабораторія Касперського»)
Безкоштовний додаток для детектування чотирьох ключових загроз.

Коли одні утиліти рапортують про наявність маси вразливих компонентів, Kaspersky Threat Scan зазвичай пише в своєму звіті, що все в порядку. Чому так буває, ми запитали керівника управління мобільних рішень "Лабораторії Касперського" Віктора Яблокова.

«Додаток Kaspersky Threat Scan здійснює перевірку на наявність найбільш небезпечних вразливостей, які можуть привести до втрати користувачем цінних даних, особистої інформації або грошей. До них відносяться Fake ID, Heartbleed, MasterKey і FREAK. Разом з тим, реально експлуатувати останню уразливість зловмисникові буде вкрай проблематично. Ми свідомо не хотіли зайвий раз лякати користувача. Найбільш реальний і часто застосовується метод її експлуатації - через вразливі браузери. Тому Kaspersky Threat Scan здійснює сканування популярних браузерів на предмет FREAK », - відповів Віктор.

Дійсно, іноді надлишкові повідомлення про погрози дезорієнтують користувача, однак недомовленість також може ввести в оману. Тому в майбутніх версія Kaspersky Threat Scan все ж хотілося б бачити більш детальні результати - наприклад, в окремій вкладці. Тоді основна частина користувачів буде задоволена загальним вердиктом, а просунуті змогли б подивитися деталі перевірки.

Bluebox Security Scanner (Bluebox)
Додаток для перевірки на уразливості MasterKey і FakeID, які дозволяють обходити вбудований в Android механізм контролю додатків.

Recap (Palindrome Technologies)
У базі MITRE міститься 140 записів про помилки в системних компонентах Android. Якщо ж до них додати відомі уразливості ядра Linux і мобільних додатків, то вийде значний список майже з трьох тисяч. Єдина утиліта в нашому огляді, здатна перевірити їх все - Recap. Крім того, тільки у неї є сканер вразливостей встановлюваних додатків, що працює в резидентном режимі.

Якщо подивитися, скільки помилок було виправлено в Lollipop, то результат дуже вражає. В Android 5.1.1 не залишилося відомих програмі вразливостей (хоча її база регулярно оновлюється). Єдина обнаруживаемая пов'язана з додатком Skype, яке зберігає всю переписку в відкритому вигляді.

Прокоментувати результати нашого дослідження ми попросили керівника підрозділу безпеки мобільних додатків Positive Technologies Артема Чайкіна.

"Хоча написане і здається трохи страшним (або навіть сумним), Google виконала і продовжує робити дуже багато роботи для захисту користувача від всіх типів атак. В останніх версіях Android додатків заборонили читати системний журнал інших програм. Були додані механізми заборони незахищеного з'єднання по HTTP і впроваджені інші засоби підвищення безпеки. Компанією були зроблені кроки до більш простому механізму відновлення окремих компонентів системи. Наприклад, одна з основних цілей хакерів - модуль WebView, з недавнього часу оновлюється через Google Play. Немає більше потреби чекати нову прошивку, щоб закрити в ньому чергову уразливість.

В ході надання консалтингових послуг ми вже перевірили безліч додатків, в тому числі для мобільного банкінгу. У них зустрічалося величезну кількість вразливостей. На щастя, на даний момент велика частина зловмисників не вміють або не хочуть їх використовувати. Більше 90% троянів під Android просто покладаються на неуважність користувача. Ми аналізували різні додатки починаючи з появи Android 2.2. Якщо порівнювати з тим, скільки проблем ми знаходили тоді, то прогрес є ".