USD 64.2 ЕВРО 70.67

Смартфоны становятся кошельками и привлекают мошенников

Аналитика

Смартфоны становятся кошельками и привлекают мошенников

Смартфоны на платформе Android, iPhone и BlackBerry все больше становятся кошельками для своих владельцев и «плохие парни» все чаще обращают на них свое внимание, предупреждает СТО компании eEye Марк Маифрет (Marc Maiffret).

Пользователям смартфонов стоит задуматься о двух вещах. Первое – их
устройства унаследовали те же самые уязвимости, которые были присущи
персональным компьютерам десять лет назад. Второе – эти дыры в безопасности
позволяют ворам залезть в ваш карман, поскольку смартфон все больше становится
похож на кошелек.

И день, когда это произойдет, наступит очень скоро, как заявляет
сооснователь  eEye Марк Маифрет.

«Мы пока не видели много атак на смартфоны, поскольку все еще значительно
проще взломать настольный компьютер», говорит Маифрет. «Но, ситуация скоро
изменится, потому что они превращаются в пользовательские кошельки, с
программами, поддерживающими на устройстве банковские операции. Все больше
важных данных будет на телефонах, делая их привлекательными для
злоумышленников».

Усложняет проблему тот факт, что производители смартфонов повторяют старые
ошибки, сделанные производителями настольных компьютеров более десяти лет
назад.  В особенности, в спешке по выводу новых технологий на рынок,
разработчики упускают вопросы безопасности. Жизненный цикл разработки
безопасности пока еще не применяется к смартфонам.

«Один из самых последних инструментов jailbreak  для iPhone заходя на
веб-сайт загружал pdf файлы, которые служили причиной выполнения кода», сказал
Маифрет.  «Это классический стиль атак, который мы наблюдаем многие годы в
среде Windows».

Рынок смартфонов становится очень конкурентным, Apple, RIM и Android борются
за долю рынка, и опасность будет только возрастать, считает Маифрет, добавляя,
что «ни один производитель еще не сказал, что откладывает выпуск на пару
месяцев, потому, что необходимо еще поработать над безопасностью».

Конечно, Маифрет, не первый аналитик по безопасности, который сделал такое
наблюдение. Во время конференции по безопасности SecTor, прошедшей в Торонто
два месяца назад, эксперты Зач Ланиер  (Zach Lanier) и Майк Зусман из
компании Intrepidus Group в своей презентации обратили внимание на тот факт,
что старые уязвимости наводнили смартфоны.

Эксперты  изучали каждое приложение в отдельности и обнаружили, что
предположение о том, что уроки, полученные на персональных компьютерах, были
применены для смартфонов, оказалось не верным. Они показали своим слушателям
несколько ярких примеров очень старых брешей, которые не были закрыты во многих
веб приложениях для смартфонов.

Ланиер сказал, что эти проблемы нужно решать  разработчикам. В погоне
за удовлетворенностью пользователей смартфонов, жаждущих новых приложений,
ошибки, допущенные еще в 1999-2000 годах в мире персоналок, опять повторяются.
После изучения популярных платформ Android и BlackBerry, два эксперта помимо
прочего обнаружили следующее:

Легко перехватываются параметры пользователя в приложениях типа
Foursquare.

Приложения по хранению, популярные среди тех, кто любит хранить и легко
отыскивать музыку и видео на своих телефонах, содержат дыры в безопасности и
злоумышленники могут использовать их, что приводит к отказу в обслуживании или
обход контроля DRM.

Приложениям от провайдеров обычно доверяют потому, что вы находитесь в их
сети.

Приложения третьих сторон иногда лучше, чем у провайдеров, но у них
недостаточная поддержка для открытых стандартов.

Это совсем несложно для злоумышленников воспроизвести загрузку картинки
пользователя через приложение третьей стороны  для BlackBerry и отправить
свой, потенциально опасный файл случайному адресату.  Зусман говорит, что
уязвимостей в функционале по загрузке фотографий имеется в большом количестве и
что очень легко вставить свои XML атрибуты.

Ланиер и Зусман пришли к заключению, что в среде веб – приложений для
мобильных телефонов недостаточно руководств, стандартов и лучших практик для
разработчиков.

«Мы знали о многих из этих недостатков 10 лет назад», говорит Лаинер. «Мы
забываем об уроках, которые уже получили».

Источник: www.csoonline.com