Хакер #305. Многошаговые SQL-инъекции
В ходе выступления на конференции RSA глава отдела безопасности Android Адриан Людвиг (Adrian Ludwig) высказал интересную точку зрения. По его мнению, многие опасные уязвимости в Android далеко не так страшны, как их представляют эксперты.
В качестве примера Людвиг привел ситуацию, сложившуюся вокруг известной проблемы Stagefright, перед которой уязвимы 95% всех Android-устройств в мире. Глава по безопасности Android сообщил, что специалистам Google не известно ни одного «подтвержденного случая» эксплуатации этой уязвимости.
Продолжая свою мысль, Людвиг отметил, что то же самое можно отнести и к более старой проблеме MasterKey, обнаруженной еще в 2013 году. Хотя в теории перед багом были уязвимы 99% Android-девайсов, на деле от реальных атак с использованием MasterKey пострадали примерно восемь пользователей из миллиона. Похожая статистика наблюдается и в отношении проблемы FakeID, перед которой уязвимы 82% устройств, но даже на пике эксплуатации бага атаки приходились лишь на одного пользователя из миллиона.
Данные Людвига основаны на информации, полученной от системы Verify Apps, которой в Google пользуется для проверки приложений. Verify Apps работает на 1,4 млрд устройств, использующих сервисы Google Play, и сообщает компании, если находит вредоносные приложения. Таким образом, в статистику Людвига не входят устройства, не использующие сервисы Google Play, то есть в стороне остался огромный сегмент китайского рынка, Android-устройства Amazon и так далее.
«Большинство нарушений, с которыми мы сталкиваемся, неинтересны с точки зрения безопасности. Мы видим рекламный спам, связанный с фальшивыми антивирусами, но это просто базовая социальная инженерия. Даже если [на устройство] установилась малварь, эскалация привилегий задействуется редко, в основном она просто загружает другие приложения», — говорит Людвиг.
Стоит отметить, что глава отдела безопасности Android не впервые высказывает довольно экстравагантную точку зрения. Так, несколько лет назад Людвиг заявлял, что вопреки распространенному мнению, пользователям Android вообще не нужны антивирусы, так как эти программы бесполезны в 99% процентах случаев. А в конце прошлого года Людвиг с уверенностью говорил о том, что iOS и Android защищены одинаково хорошо, и никакой разницы между ними, в сущности, нет.
Фото: Tiffany Lin