Технологии
Никита Лихачёв

«У вас уже есть встроенный антивирус, другого не нужно»: интервью с отделом безопасности Android о борьбе с вирусами в России

Многолетнее противостояние Android и iOS убедило миллионы пользователей в том, что у платформе Google существует масштабная проблема засилья вирусов, а мобильная ОС от Apple якобы от этой проблемы избавлена. Однако в сентябре стало известно, что и в App Store могут попасть вирусы, и не существует универсального способа застраховать себя от кражи ценных данных.

Как выяснилось, в Google не только не игнорируют эту проблему, но и активно борются с ней, в том числе в России. TJ поговорил с представителями отдела безопасности Android Себастианом Порстом (Sebastian Porst) и Адрианом Людвигом (Adrian Ludwig) о прошедшей в 2015 году кампании по борьбе с несколькими семействами вирусов, распространённых в России, а также узнал их мнение по необходимости установки антивирусов и спросил совета по обеспечению безопасности на мобильных платформах.

Офис Google в Маунтин-вью. Фото Энтони Куинтано

Если все приложения в Google Play сканируются на предмет угроз по умолчанию, то на устройствах пользователей у компании есть три основных метода борьбы против потенциально опасных программ (PHA, potentially harmful application). Первый — показывать уведомление при попытке установки PHA, второй — анализировать уже установленные приложения и предлагать пользователю удалить их, третий — следить за общим состоянием безопасности системы, проверять, не было ли взлома.

PHA для Google — это любой тип компьютерной угрозы, который «соответствует определённому уровню интереса с точки зрения безопасности». Понятие может быть как шире, так и у́же, чем просто «вредоносное приложение».

Согласно собственной статистике Google, в конце 2014 года в России было около 8,5% Android-устройств с установленными приложениями, которые загружали PHA из сторонних источников. К сентябрю 2015 года их количество удалось снизить до 2,5%.

Большой скачок в конце 2014 года Себастиан Порст объясняет усилением мер по обнаружению вредоносных программ.

У нас раньше просто не было такой видимости. […] Я думаю, что в конце 2014 года мы больше узнали о плохом состоянии дел в России в целом — это был всплеск не новых приложений, а лишь не обнаруженных старых.

Себастиан Порст, глава разработки антивирусных решений Android Security

Какие именно вредоносные приложения были обнаружены в ходе этого периода, в Google не раскрывают: представители компании уточнили, что речь идёт о шести «семействах», которые вели себя практически идентично, и о которых было известно сотрудникам отдела безопасности ещё с 2013 года. По словам Порста, сторонние исследовательские фирмы сообщали обо всех этих угрозах публично.

Особенностью этих PHA было использование хакерами некоторых форм социальной инженерии. На экране пользователя выводились уведомления вроде «Ваш смартфон заражён, скачайте это приложение для проверки на вирусы» или «Доступно обновление. Нажмите ОК, чтобы скачать его». В других случаях вредоносные программы шли в комплекте обычных, и загрузка вируса была незаметна для пользователя.

PHA постоянно отслеживали, какие приложения запускает пользователь, и паразитировали на этом. Например, рассказал Порст, они дожидались, пока будет открыт «Сбербанк Онлайн», затем демонстрировали диалог ввода логина и пароля, а на самом деле это было фишинговой формой. При помощи неё хакеры крали данные кредитных карт, аккаунты Google Play, а также данные клиентов некоторых других банков. В атаке на приложение «Сбербанка» пострадало около десяти тысяч пользователей, однако назвать точную цифру представители Google не смогли.

С 12 марта 2015 года Google стала принимать активные действия по удалению этих программ (на графиках это фаза №1). Ранее сканирования и отображение предупреждений происходило раз в неделю: специально для России это стали делать ежедневно. Пользователям выводилась фраза в духе «Эй, вы собираетесь установить вредоносное приложение. Вы действительно хотите это сделать?», однако 15% аудитории просто игнорировало это предупреждение или даже отключало все уведомления целиком.

Компании пришлось проконсультироваться с носителем русского языка, чтобы уведомления от Google были осмысленными и полезными. Хотя количество уведомлений выросло в шесть раз, пользователи всё равно продолжали устанавливать вирусы.

30 марта компания заблокировала возможность устанавливать определённые приложения с PHA, а уже установленные попыталась удалённо стереть с устройств пользователей (это фаза №2). Однако часть вредоносных программ имела администраторский доступ, который ей выдали сами владельцы смартфонов и планшетов на Android: Google не могла удалить их автоматически. Для ограничения их полномочий компании пришлось использовать Intent Firewall — встроенный в Android брэндмауэр, способный запретить выполнение любого действия в системе. «Он запрещал PHA получать определённые системные сообщения, и этого было достаточно», — пояснил Порст.

В результате Google удалось удалить около 80-85% обнаруженных вредоносных приложений в России. Почему компания не смогла удалить их полностью, неизвестно: это требует дальнейшего изучения проблемы.

Из проведённой борьбы с вирусами на Android в компании вынесли два урока. Во-первых, выяснилось, что отображение предупреждений на экране устройства не даёт желаемого эффекта, а удалённое стирание вирусов гораздо более эффективно. Во-вторых, права администратора, которыми владельцы Android-устройств наделяли вредоносные приложения, оказались слишком могущественным инструментов в руках злоумышленников.

С другой стороны, сами хакеры оказались не приспособлены к такой быстрой зачистке, однако для полноценной борьбы с вирусами требуется постоянное функционирование укомплектованной специалистами команды. Тем не менее всегда останется большой процент пользователей, которые будут игнорировать все требования безопасности.

Некоторые пользователи нормально относятся к некоторому уровню опасности на их устройствах, но неясно, сколько именно таких людей. Вторая проблема в том, что более чем миллиард наших пользователей должны суметь понять суть наших сообщений: даже если мы скажем, что вот это — фишинговое приложение, большой процент пользователей просто не поймёт, что такое фишинговое приложение. Поэтому нам приходится объяснять иначе: «Это приложение может украсть деньги с вашей карты». Приходится разжёвывать.

Себастиан Порст, глава разработки антивирусных решений Android Security

Для предотвращения таких ситуаций в дальнейшем Google внесла некоторые изменения в Android M (Android 6.0 Marshmallow). В SDK для разработчиков запретили использовать метод getRunningTasks для отслеживания активности других программ, а для вывода системных сообщений потребуется явное разрешение от пользователя. Помимо этого, хакерам усложнили удалённое управление своими вредоносными приложениями через команды по SMS: для их активации каждый раз будет требоваться подтверждение от владельца устройства.

По словам специалиста отдела безопасности Android Адриана Людвига (Adrian Ludwig), на других платформах — например, Windows — невозможна быстрая реакция компании по исправлению уязвимостей в безопасности из-за огромного числа различных вендоров, которые не внедряют обновления централизованно и в короткие сроки. По его мнению, система безопасности Safety Net, имеющаяся на большинстве Android-устройств, позволила компании одновременно «накрыть» сразу всех пользователей из России и повлиять на распространение вредоносных программ.

Похожая проблема есть и в Android, признаёт Людвиг, однако в последнее время партнёры Google ускорили работу по выпуску обновлений: многие из них заявили о готовности выпускать обновления ежемесячно. «Апдейты каждый месяц — это по сути чаще, чем на любой другой ныне существующей платформе», — заявил Людвиг. По его словам, в особых ситуациях компании способны реагировать ещё быстрее.

В этой ситуации мы также наблюдали, как атакующие изменяли своё поведение, чтобы заставить пользователей обойти наши предупреждение. Например, они показывали сообщения из разряда: «Сейчас вы установите приложение и увидите вот такое предупреждение — просто проигнорируйте его». Мы видели, что это влияет на поведение пользователей. Мораль в том, что если ваша система не обновляется, то злоумышленник найдёт способ обойти её систему безопасности.

Адриан Людвиг, сотрудник Android Security

Это была не единственная попытка обойти систему безопасности, рассказал Людвиг. Российских хакеров обычно можно было идентифицировать по времени включения их сети дистрибуции вирусов: оно совпадало с началом рабочего дня в России. При этом злоумышленники старались вносить изменения в свои программы вечером пятницы, предполагая, что в Google не смогут отреагировать до начала следующей рабочей недели. Однако в Android Security Team распознали эту особенность поведения и стали в это же время вносить изменения в работу своих антивирусных систем: когда хакеры просыпались утром субботы по московскому времени, их программы не функционировали так, как надо.

Активным розыском хакеров в Google не занимались. «Мы знаем, что в России есть организации, занимающиеся расследованием подобных действий. Мы взаимодействовали с ними и предоставляли им полезную информацию, но мы не вовлекались в активные действия [против хакеров]», — заявил Людвиг.

Исторически сложилось так, что Google ранее не публиковала отчётов о найденных в Android уязвимостях: этим всегда занимались сторонние фирмы, специализирующиеся на кибербезопасности. Однако в конце лета 2015 года ситуация поменялась: вместе с ежемесячными обновлениями устройств Nexus компания стала разглашать обнаруженные баги: в открытом доступе есть отчёты за август и сентябрь.

У Android существует программа выплат за найденные уязвимости, однако компания никогда не вознаграждала отчёты об успешно работающих эксплойтах (вредоносных программах, использующих существующие уязвимости). По словам Людвига, за время существования программы Google выплатила исследователям более 100 тысяч долларов.

Хотя платформу iOS часто критикуют за закрытость, в открытости Android тоже есть свои проблемы: до недавних пор считалось, что в отличие от Android, на операционной системе от Apple исключено появление вирусов и вредоносных приложений. Людвиг считает, что проблема — в открытости Android как экосистемы, то есть одновременно и в том, что делает платформу Google уникальной.

Думаю, что фундаментальное различие [Android и iOS] заключается как раз в этой открытости. Мы разрешаем свободный обмен информацией, да теперь и сами делимся этой информацией — например, об уязвимостях платформы. На техническом уровне все продвинутые технологии, которые доступны для защиты платформы, внедрены в Android, но открытость определённо влияет на то, что происходит.

Адриан Людвиг, сотрудник Android Security

Существует мнение, что проблема кроется и в том, как устроен процесс модерации приложений на Android и на других платформах. Порст не смог это прокомментировать: «У нас нет абсолютно никакого понимания того, как это происходит, например, у Microsoft». Однако Людвиг верит, что все платформы так или иначе уязвимы к вирусам.

Абсолютно. Это то, что мы поняли годы назад. Открытость, с одной стороны, позволяет свободнее обсуждать то, что уже известно, а с другой — помогает другим найти то, что они ищут. Например, мы иногда обнаруживаем проблемы, затронувшие одно, два, пять устройств. Проблема должна быть невероятно большой и заметной, чтобы мы смогли её заметить, но это привлечёт и других людей к её изучению.

Адриан Людвиг, сотрудник Android Security

По статистике Android Security, в 90% случаев — практически всегда — заражение устройств вредоносными приложениями происходит из-за установки программ из репозиториев, отличных от официальных. «Первое, что можно порекомендовать — устанавливать приложения из уважаемых источников. Google Play — хороший пример, но есть и другие: такова особенность открытой экосистемы», — пояснил Людвиг: «Думаю, иногда сложно определить, можно ли доверять тому или иному источнику, но мы вносим изменения в то, как работают устройства, чтобы сделать это более понятным».

В случае попыток кражи данных пользователей Google Play фишинговые атаки не являются эффективными, потому что платформа не заставляет пользователей вводить свои платёжные реквизиты снова и снова, объяснил Людвиг: «Мы не полагаемся на SMS, так как это небезопасный протокол, хотя другие приложения используют его». В случае с авторизацией на сервисах Google используется крайне сложный механизм верификации пользователя: одним из факторов его является местонахождение пользователя. При авторизации или попытке платежа система определяет, может ли текущая геолокация соответствовать последнему известному месту пребывания пользователя.

Если мы видим, что вы перескакиваете из одной страны в другую в течение пяти минут, мы, вероятно, заблокируем все попытки, чтобы разобраться в том, что происходит. Тем не менее когда имеешь дело с несколькими миллиардами пользователей, всегда будут случаться ошибки. Может, когда-нибудь алгоритм сможет учесть наличие письма с электронным билетом на самолёт в почтовом ящике — это как раз пример того, как система может становиться всё более и более точной.

Адриан Людвиг, сотрудник Android Security

По мнению Людвига, Android должен самостоятельно предоставлять все необходимые инструменты для борьбы с вредоносными приложениями, хотя в компании и не против существования сторонних антивирусов.

Так как мы являемся открытой платформой, создание [антивирусов] сторонними разработчиками более чем приветствуется, однако мы не видим никаких подтверждений тому, что пользователи получают от этого какую-то особую пользу или нуждаются в них. [Антивирус] уже есть [в Android]: это Safety Net, Verify Apps. Мы хотим обеспечить фундаментальную защиту пользователей и устанавливаемых ими приложений.

Адриан Людвиг, сотрудник Android Security

Для поддержания безопасности Android-устройства Людвиг советует соблюдать два простых правила: всегда устанавливать приложения из Google Play и иметь пароль блокировки экрана. Сам он пользуется сложным текстовым паролем, так как на его смартфоне хранятся конфиденциальные данные, однако для большинства людей будет достаточно ПИНа или паттерна разблокировки.

«Я бы посоветовал помнить, что бесплатный сыр бывает только в мышеловке: если кто-то предлагает вам скачать бесплатно приложение, которое в Google Play стоит 5 долларов, не делайте этого. История Microsoft повторяется: люди вшивают в платные приложения бэкдоры и загружают их на сторонние ресурсы, потому что всегда есть те, кто хочет скачать их бесплатно», — добавил Порст.

#Интервью #Google #хакеры #Android #безопасность #вирусы #приложения_для_Android #Сбербанк #антивирусы_на_Android #уязвимости_в_Android #антивирусы #кибербезопасность #Себастиан_Порст #Safety_Net #Адриан_Людвиг