Глава отдела информационной безопасности Google Адриан Людвиг выступил на конференции RSA и рассказал довольно интересную вещь. По его словам, уязвимости в Android совсем не так опасны, как принято думать.
Людвиг привёл в пример баг Stagefright, которому подвержено более 90% всех Android-устройств в мире. Компании Google неизвестно ни одного случая, когда этот баг эксплуатировался и привёл бы к негативным последствиям.
Для атаки через баг Stagefright используется мультимедийный файл со встроенными метаданными. При запуске в стандартном или стороннем медиапроигрывателе эти метаданные запускают эксплойт, который может использоваться для запуска на устройстве вредоносного кода. Такие файлы могут распространяться на пиратских сайтах, и если пользователь включит «зараженную» песню или запустит видео, вирус, содержащийся в метаданных, будет запущен, а хакер через открывшуюся уязвимость, сможет без ведома пользователя удаленно исполнять на его устройстве любые команды. Этому багу подвержены все смартфоны и планшеты на Android от версии 1.0 до версии 5.1.1.
«Большая часть нарушений безопасности, с которыми мы сталкиваемся, неинтересны нам с профессиональной точки зрения. Мы фиксируем рекламный спам, связанный с поддельными антивирусами, но это просто социальная инженерия. Даже если на устройство убыло установлено вредоносное приложение, эскалация привилегий задействуется крайне редко, в основном вирус просто загружает другие приложения», — сказал Адриан Людвиг.
Людвиг рассказал ещё об одной проблеме, значимость которой преувеличивают эксперты по безопасности. Речь идёт о баге MasterKey, найденном в 2013 году. Эта уязвимость затрагивала 99% устройств, но на деле атаке были подвержены лишь 8 устройств из миллиона. Ещё более ничтожное распространение получил эксплойт для бага, который получил название FakeID и присутствует на 82% Android-устройств. Хакеры использовали этот баг для атак лишь на одного пользователя из миллиона.
Такие данные были получены Людвигом от системы Verify Apps, которую Google использует для проверки приложений на смартфонах и планшетах с установленными сервисами Google Play. Это означает, что в статистику не попали устройства без этих сервисов, а это огромный сегмент китайского рынка и гаджеты, где используется сторонняя платформа контента (например, Amazon).
Адриан Людвиг часто высказывает мысли, защищающие Android вопреки мнению, которого придерживаются прочие специалисты по безопасности. К примеру, ранее он говорил, что на Android вообще не нужна антивирусная защита и она даже вредна, а в 2016 году утверждал, что Android защищён от посягательств хакеров не хуже, чем iOS.
