Хакер #305. Многошаговые SQL-инъекции
Bit9 представила перечень наиболее уязвимых смартфонов на сегодняшний день.
Попавшие в "черный список" устройства несут в себе самые серьезные угрозы
безопасности и сохранности личных данных пользователей и корпораций.
Согласно докладу, телефоны на базе Android занимают весь список. Первое место
занимает Samsung Galaxy Mini, а второе и третье места заняли HTC Desire и Sony
Ericsson Xperia X10 соответственно.
На 56% всех устройств на базе Android, которые на сегодняшний день предложены
на рынке, установлена устаревшая версия операционной системы. Исследование
показало, что производители мобильных устройств, такие как Samsung, HTC,
Motorola и LG, часто продают телефоны с предустановленным устаревшим ПО, а также
не спешат модернизировать эти телефоны последними и наиболее безопасными
версиями Android.
В некоторых случаях телефоны не обновляются вовсе, поскольку производители
переключают свое внимание на более новые модели, в результате чего уже
существующие клиенты остаются с небезопасным программным обеспечением.
"Смартфоны стали новой мобильной вычислительной системой и представляют собой
наиболее быстро развивающийся вектор
угроз", - заявил Гарри Свердлов, технический директор Bit9. "В нашей
культуре использования личных устройств, люди используют смартфоны как в личных,
так и в деловых целях, и атаки на эти устройства сейчас на подъёме. Данная
динамика изменяет то, как корпорации решают вопросы защиты личных данных и
интеллектуальной собственности. Мы столкнулись с новым рубежом безопасности".
"Грязная Дюжина" включает в себя:
- Samsung Galaxy Mini
- HTC Desire
- Sony Ericsson Xperia X10
- Sanyo Zio
- HTC Wildfire
- Samsung Epic 4G
- LG Optimus S
- Samsung Galaxy S
- Motorola Droid X
- LG Optimus One
- Motorola Droid 2
- HTC Evo 4G
Далее под номером13, в качестве почетного упоминания, следует Apple iPhone 4
и более старые модели. Критерии включения в список - популярность на рынке,
предустановленная устаревшая и небезопасная версия операционной системы и самые
медленные циклы обновления.
Тенденция приоритетности формы и функциональности над безопасностью в
мобильном пространстве имеет серьезные последствия как для пользователей, так и
для корпораций. Пользователи мобильных телефонов используют свои устройства в
качестве традиционных телефонов только около трех процентов времени – что
является иллюстрацией того, что эти устройства, по существу, являются следующим
поколением портативных компьютеров. Сегодня смартфоны содержат личную и
конфиденциальную деловую информацию, поэтому как потребители, так и компании
должны быть уверены, что их данные находятся в безопасности.
Большинство смартфонов по всему миру работают на базе Android. Открытый
характер платформы оставляет место как инновации, так и творчеству в мобильном
пространстве. Тем не менее, модель дистрибьюции, принятая производителями
телефонов и их носителями, создана в хаотичной и небезопасной среде, где
распространение важных обновлений может занять несколько месяцев. Ключом к
успеху, обеспечивающим обновления телефонов Android, в настоящее время является
ответственность отдельных производителей технических средств наряду с различными
носителями.
Во многих случаях, единственный выход, который есть у потребителя, если он
хочет последнее и наиболее безопасное программного обеспечения, заключается в
приобретении нового телефона.
Хотя нет простых ответов, следующие меры помогли бы в этой ситуации:
- Специалисты по безопасности и потребители должны оказывать давление на
производителей, чтобы те были более ответственными при определении
приоритетности обновлений безопасности. - Как и в компьютерной индустрии, производители могли бы отказаться от
контроля обновлений программного обеспечения операционной системы. Этот
процесс уже был реализован с iPhone компании Apple и с телефоном Nexus от
Google. - Корпорации должны развиваться в сторону модели "безопасного магазина
приложений" и работать только с конкретными устройствами и надежными
приложениями.
В то же время, компании должны быть хорошо осведомлены о проблемах,
возникающих при позволении сотрудникам использовать на работе их собственные
устройства. Способность понимать где существуют уязвимости и иметь некий
контроль для снижения этих рисков, имеют решающее значение для корпорации.
Поскольку нынешняя экосистема Android делает эту задачу сложной, если не
невыполнимой, компаниям необходимо рассмотреть возможные стратегии как по
ограничению определенных устройств, так и по контролю исключительно в целях
защиты своей интеллектуальной собственности.