Как запрет iPhone помогает американским спецслужбам
В последние пару месяцев пресса пестрит заголовками об опасности устройств Apple, органы государственной власти и крупнейшие корпорации наперегонки запрещают сотрудникам использовать личные айфоны и айпады в служебных целях. Правда, взамен не предлагают ничего, кроме самостоятельной покупки китайских смартфонов с Android.
С чего всё началось?
До последнего времени никто не пытался ограничить использование иностранных смартфонов, все девять лет импортозамещения прошли под знаком замены настольных и серверных операционных систем, СУБД, различных бизнес-приложений. Смартфоны остались и вне регулирования в области критической информационной инфраструктуры. Никому почему-то не приходило в голову, что сотрудник с устройством, подключённым к американскому облаку, тоже может представлять угрозу для объектов КИИ. Переход на российские мобильные устройства с отечественными ОС до сих пор носил, мягко говоря, эпизодический характер.
Всё изменилось 1 июня 2023 года, когда ФСБ России без каких-либо технических подробностей о выявлении разведывательной акции американских спецслужб с использованием мобильных устройств Apple. Эта новость мгновенно стала сенсацией и была перепечатана всеми российскими изданиями. По странному стечению обстоятельств в этот же день "Лаборатория Касперского" о выявлении нового вида целевой атаки на устройства iOS категории "zero click", при которой не нужны никакие действия пользователя и заражение происходит скрытно. Подробная техническая информация о способе заражения через сообщение iMessage под названием "Операция Триангуляция" также в блоге "ЛК", где отмечалось, что заражения могли происходить ещё в 2019 году. Мы точно не знаем, связаны ли эти два события, но описание зловреда "Триангуляция" очень точно соответствует именно задачам целенаправленной разведывательной акции с использованием так называемых уязвимостей нулевого дня. Уязвимости "нулевого дня" – ранее неизвестные разработчику ПО и сообществу исследователей в области информационной безопасности уязвимости, которые могут быть использованы злоумышленниками (как организованными группами хакеров, так и спецслужбами) для организации скрытных кибератак на протяжении достаточно длительного времени.
В России после этих новостей началась волна запретов на использование мобильных устройств Apple. Казалось быть, вот и настал звёздный час российских смартфонов и планшетов с отечественными мобильными операционными системами. Но оказалось, что при запрете устройств Apple, как правило, сотрудникам рекомендуют переходить на устройства с Google Android. Такая рекомендация выглядит, мягко говоря, непрофессионально, более того, она создаёт угрозы, которые в несколько раз более значительны, чем продолжение использования смартфонов от Apple. Во-первых, ОС Android также принадлежит американской корпорации, и, если мы не доверяем Apple, то почему мы должны доверять Google? Во-вторых, особенности архитектуры, модели распространения и обновления Android делают эту мобильную ОС значительно более опасной и уязвимой по сравнению с iOS. Страус, конечно, может спрятать голову в песок, но лев от этого никуда не исчезнет.
Чтобы понять, почему массовый переход с Apple iOS на Google Android выгоден, в первую очередь, злоумышленникам (хоть хакерам, хоть спецслужбам), нам необходимо разобраться в следующих вопросах:
- Как устроена система распространения обновлений в iOS и Android?
- Какой объём телеметрии и персональных данных собирают устройства Apple и смартфоны на Android, особенно производства КНР?
- Является ли обнаруженная 1 июня атака действительно принципиально новой?
- Насколько в Android больше возможных векторов атаки по сравнению с iOS?
Как обновляются iOS и Android
Поскольку корпорация Apple полностью контролирует как аппаратную, так и программную часть своей экосистемы, обновления распространяются централизованно для всех устройств "по воздуху", то есть пользователю предлагается их скачать и установить. Несколько раз в год Apple выпускает промежуточные версии своей ОС, включающие обновления безопасности, в том числе и для слоёв драйверов аппаратного обеспечения и ядра операционной системы. В настоящее время регулярные обновления выпускаются для iOS 15 и 16, однако в случае выявления критических уязвимостей "нулевого дня" Apple может выпускать и обновления для более ранних версий своей ОС. В 2023 году Apple добавила новый тип срочного обновления программного обеспечения для iPhone, iPad и Mac – Rapid Security Response. Такие обновления используются для более оперативного устранения проблем безопасности, связанных с выявлением новых или новыми способами использования известных уязвимостей.
Для текущей версии 16 (iPhone 8 и более поздние модели) с момента выхода в сентябре 2022 года в прошлом году вышло семь обновлений, а в этом году – уже 10. Для предыдущей iOS 15 (iPhone 6S, iPhone 7 и iPhone SE первого поколения) в 2022 году было выпущено 11 обновлений, в 2023 году – шесть. Даже для устаревшей и неподдерживаемой версии 12 (iPhone 5S и iPhone 6) было выпущено по одному обновлению безопасности в 2022 и 2023 годах.
Такая модель распространения обновлений обеспечивает отсутствие фрагментации версий операционной системы и позволяет оперативно обновить уязвимые прошивки устройств. За достаточно короткое время почти 100% устройств Apple получают обновления, устраняющие критические уязвимости.
О том, как обновляется ОС Android, я достаточно подробно писал в . Сейчас остановлюсь на наиболее важных моментах.
В Android ситуация со своевременностью и полнотой обновлений безопасности значительно хуже. С 2015 года Google выпускает ежемесячные обновления безопасности для слоя операционной системы и ядра Linux, устраняющие найденные уязвимости, включает их в код открытой части Android, Android Open Source Project (AOSP). В настоящее время Google поддерживает версии Android с 11 по 13 (Android 10 получил последнее обновление безопасности в феврале, после чего Google прекратил их выпуск для этой версии ОС). Однако включение обновлений в новую прошивку и сам процесс обновления устройств возложены на производителей смартфонов. Таким образом, Google публикует только исходные коды, но никак не следит за фактическим устранением уязвимостей на устройствах. Оперативно обновления выпускаются только для смартфонов Google Pixel, флагманские модели Samsung получают обновления через 3–4 недели. Что же касается смартфонов средней и бюджетной категории, то там ситуация значительно хуже. Где-то обновления прошивок могут выходить через 2–3 месяца, а устройства бюджетной категории могут вообще не обновляться. Добавим к этому значительную фрагментацию (множество различных версий) Android у разных производителей и получим крайне печальную картину: при появлении уязвимостей "нулевого дня", даже в случае их своевременного обнаружения, обновления гарантированно и быстро получат только смартфоны Google Pixel, с высокой вероятностью – флагманы и премиальные модели крупнейших производителей. Однако модели средней и бюджетной ценовой категории, особенно если они выпускались в рамках контрактного производства, в 2019–2020 годах, скорее всего, так и остались с Android 10 и не получают регулярные ежемесячные обновления безопасности.
Достаточно представить себе, что ОС Android найдена уязвимость, аналогичная "Триангуляции", причём под угрозой находятся все версии Android последних лет. Нужно оперативно выпускать обновление и распространять его. Что из этого получится?
Согласно данным о фрагментации Android по состоянию на апрель 2023 года, в лучшем случае и в идеальном мире обновления должны получить смартфоны с актуальными версиями Android 11–13 (52,1%). Таким образом, почти половина устройств на рынке (все более ранние версии) гарантированно не получат обновления в принципе. В реальности же обновления не получит (или получит с большой задержкой) и значительная часть устройств с поддерживаемыми версиями ОС, так как этот процесс децентрализован и отвечают за него исключительно производители устройств.
Таким образом, фрагментация версий и модель обновления Android очевидно делают эту мобильную ОС намного худшим выбором по сравнению с iOS.
Сбор телеметрии и персональных данных в устройствах с iOS и Android
С точки зрения сбора и передачи владельцу экосистемы (Apple или Google) телеметрии и персональных данных обе американских мобильных ОС выглядят не лучшим образом. О сборе данных (IMEI, серийный номер телефона и SIM-карты, номер телефона, данные учётной записи и т.д.) я уже , но в контексте этой статьи считаю важным процитировать Дугласа Лейта (Douglas Leith):
"И iOS, и Google Android передают телеметрию, даже если пользователь явно запретил эти действия. Однако Google собирает значительно больший объём данных о телефоне, чем Apple. В течение первых 10 минут после запуска телефон Pixel отправляет в Google около 1 Мб данных, в то время как iPhone отправляет в Apple около 42 кб данных. Когда телефоны находятся в режиме ожидания, Pixel отправляет в Google примерно 1 Мб данных каждые 12 часов, в то время как iPhone отправляет в Apple 52 кб, т.е. Google собирает примерно в 20 раз больше данных о телефонах, чем Apple".
Со смартфонами из КНР ситуация ещё хуже: они передают данные не только в США, но и "к себе домой". В новом исследовании "" были изучены Android-прошивки смартфонов Redmi, OnePlus и Realme. С помощью комбинации методов статического и динамического анализа кода исследователи изучили данные, передаваемые предустановленными системными приложениями. Было обнаружено, что значительное количество предустановленных системных приложений, приложений производителей устройств и сторонних разработчиков имеют опасные привилегии. В результате анализа трафика было также установлено, что эти приложения передают ряду сторонних доменов конфиденциальную информацию, связанную с устройством пользователя (постоянные идентификаторы), геолокацией (GPS-координаты, сетевые идентификаторы), профилем пользователя (номер телефона, использование приложений) и социальными отношениями (например, историю звонков) без согласия или даже уведомления. Исследователи также сравнили предустановленные системные приложения в китайском (CN) и глобальном дистрибутивах ОС Android от одних и тех же производителей. Выяснилось, что количество предустановленных сторонних приложений значительно больше в локальных китайских дистрибутивах, чем в глобальной версии, при этом они имеют в 8–10 раз больше опасных разрешений. Конечно, с одной стороны, в локальном дистрибутиве для КНР отсутствуют Google Mobile Services, то есть данные не передаются в США, но, с другой стороны, количество собираемых и передаваемых в КНР данных, как показано в исследовании, значительно больше. Таким образом, использование смартфона с локальной прошивкой для КНР (а такие устройства в последнее время начали появляться в продаже) в принципе не даёт никаких преимуществ и является довольно рискованным.
Ещё один вариант "Android без Google" – смартфоны Huawei, где с 2020 года используются только собственные мобильные сервисы этого производителя из КНР. Однако такие смартфоны представлены на рынке в небольшом количестве. По данным аналитического отчёта GS Group, импорт Huawei в Россию составил всего 600 тысяч устройств в первом полугодии 2023 года из общего объёма в 15,6 миллиона штук, а парк активных смартфонов Huawei в России составляет всего лишь 4,8 миллиона штук. Достоверных данных о том, какую информацию собирают и передают смартфоны Huawei, на сегодняшний день нет.
Является ли атака действительно принципиально новой
Атаки, подобные zero click, происходят не в первый раз. Ещё в 2016–2017 годах были обнаружены множественные целевые атаки с использованием "продукта" израильской компании NSO Group. По некоторым данным, шпионские программы NSO Group использовались для преследования правозащитников и журналистов в различных странах, применялись для государственного шпионажа, для организации слежки израильской полиции за гражданами Израиля. Шпионское программное обеспечение получает полный доступ к данным смартфона, ко всей телеметрии, включая данные местоположения, без ведома пользователя может включать микрофон и камеру, записывать звонки. Шпионская программа Pegasus классифицируется Израилем как оружие, и любой экспорт этой технологии требует одобрения правительства.
В 2019 году компания WhatsApp обнаружила, что с помощью уязвимости нулевого дня программное обеспечение NSO было использовано для рассылки вредоносных программ на более чем 1400 телефонов. Просто на целевое устройство, можно было установить на него вредоносный код Pegasus, даже если пользователь не отвечал на звонок. В результате в США против NSO подан ряд судебных исков: в 2019 году это сделал WhatsApp, в 2021 году иск также а компания Apple. В ноябре 2021 года Бюро промышленности и безопасности Министерства торговли США включило израильские компании NSO Group и Candiru в санкционный список за осуществление деятельности, противоречащей интересам национальной безопасности или внешней политики США. Компании были добавлены в санкционный список за разработку и поставку иностранным правительствам шпионских программ, при помощи которых организовывалась слежка за государственными служащими, журналистами, бизнесменами, активистами, учёными и работниками посольств.
Самая ранняя версия Pegasus, обнаруженная исследователями в 2016 году, заражала телефоны с помощью текстовых сообщений или электронных писем, в которых предлагалось перейти по вредоносной ссылке. Более новые версии Pegasus использовали атаки zero click, не требующие никакого взаимодействия со стороны владельца телефона. В 2017 году исследователи обнаружили и версию Pegasus для Android, причём шпионское ПО не удалялось при сбросе к заводским настройкам.
В 2021 году была выявлена атака zero click на устройства Apple с использованием уязвимости в iMessage, очень похожая на почерк Pegasus. Аналогичный тип атаки был выявлен и 1 июня 2023 года в России. Кроме Pegasus, существуют и другие инструменты дистанционного "взлома" мобильных устройств, которыми пользуются правительства и спецслужбы.
Таким образом, "Триангуляция", безусловно, является крайне опасным типом атаки, но не принципиально новым.
И здесь важно сравнить угрозы и возможные векторы атак для мобильных операционных систем iOS и Android.
Насколько в Android больше возможных векторов атаки по сравнению с iOS
Как мы уже обсудили, фактически единственный вектор атаки на устройства Apple связан с уязвимостями "нулевого дня", которые используются злоумышленниками. После обнаружения таких уязвимостей Apple оперативно выпускает обновления своей операционной системы и централизованно их распространяет.
Android, как и любая операционная система, уязвим и для атак zero click, но на самом деле, векторов атаки намного больше. Исследования показали, что устройства, работающие под управлением Android, подвергаются заражению вредоносными программами в десятки раз чаще, чем iPhone.
Магазин приложений Google Play
Хотя в последние годы Google существенно улучшил процедуры проверки приложений при публикации и контроль опубликованных приложений с использованием сервиса Play Protect, проверка приложений в магазине Google Play до сих пор намного менее строгая по сравнению с Apple App Store, и приложения с вредоносной "полезной нагрузкой" нередко проходят процедуру модерации. В 2021 году компания Google заблокировала 1,2 миллиона приложений в Play Store в связи с тем, что на рынке приложений для Android активно работают недобросовестные разработчики приложений и вредоносных программ. За последние несколько лет в Google Play были обнаружены вредоносные приложения, в том числе троянская программа Joker, которая был интегрирована в 24 приложения, загруженные в общей сложности более 500 тысяч раз. В другом случае приложения, которые использовались для кражи учётных данных Facebook, были загружены в общей сложности почти шесть миллионов раз, прежде чем Google удалил их. И таких примеров очень много. В 2023 году новая вредоносная программа для Android под названием Goldoson проникла в Google Play через 60 официально опубликованных приложений, которые в общей сложности имели 100 миллионов загрузок. Вредоносный компонент являлся частью сторонней библиотеки, используемой всеми приложениями. В августе 2023 года специалисты по безопасности Google Cloud отметили, что динамическая загрузка кода (DCL) может использоваться злоумышленниками для распространения вредоносных программ на устройствах под управлением ОС Android через обновления, после процесса проверки и контроля безопасности Google Play Store. И всё это происходит при том, что в Google Mobile Services есть средства контроля целостности ОС и приложений.
Сторонние магазины приложений и прямая загрузка приложений на устройство
В отличие от Apple, где распространение приложений жёстко централизовано, на Android можно установить приложения (apk-файлы) как из сторонних магазинов приложений (магазины производителей устройств и т.д.), так и просто скачав файл по ссылке. Сторонние магазины приложений не имеют ограничений, так как они не контролируются владельцем операционной системы. Качество контроля приложений в сторонних магазинах остаётся на совести операторов этих сервисов. Если мы видим проблемы с безопасностью даже в главном магазине Google, то что можно сказать о более "мелких" магазинах? Исследователи неоднократно выявляли сторонние магазины, где все приложения были заражены вредоносным ПО. Прямая загрузка приложения – вообще исключительно вопрос доверия к сайту, с которого приложение загружается. Правда, нет никакой гарантии, что приложение на этом сайте заранее не подменили злоумышленники.
Уязвимость устройств с Android в процессе производства
В 2017 году преступникам удалось встроить продвинутый бэкдор в прошивки устройств под управлением ОС Android на заводах производителей. Впервые о зловреде Triada стало известно в 2016 году из исследований "Лаборатории Касперского", где отмечалось, что эта вредоносная программа является "одним из самых продвинутых мобильных троянцев", использующих эксплойты для получения доступа к системе с правами суперпользователя, которые обходили встроенные в Android средства защиты, а также средства для модификации главного процесса Zygote в ОС Android, позволяя вредоносной программе напрямую вмешиваться в работу каждого установленного приложения. Злоумышленники использовали бэкдор для скрытной загрузки и установки модулей. Поскольку бэкдор был встроен в одну из библиотек ОС и располагался в системном разделе, его нельзя было удалить стандартными методами, включая сброс к заводским настройкам.
Чёрный рынок бэкдоров и троянцев для Android
Для Android существует обширный рынок вредоносного ПО, распространяемого в даркнете. В апреле 2023 года "Лаборатория Касперского" выпустила достаточно подробный на эту тему. Можно предположить, что в будущем количество угроз для Android будет расти, и они будут становиться всё более сложными. Очевидно, если в "свободной продаже" можно найти огромное количество вредоносного ПО для Android, то серьёзные злоумышленники и правительственные спецслужбы обладают ещё бо́льшим арсеналом средств класса "кибероружие" для получения полного контроля на Android-устройствами.
Уязвимости в мобильной ОС и драйверах устройств
В отличие от Apple, устройства с Android производятся большим количеством компаний, поэтому набор драйверов достаточно обширен, соответственно, количество уязвимостей потенциально намного больше. В конце 2022 – начале 2023 года исследователи Google из Project Zero сообщили о восемнадцати уязвимостях "нулевого дня" в модемах Exynos, произведённых компанией Samsung. Четыре наиболее серьёзные из них позволяют дистанционно исполнять код и удалённо скомпрометировать телефон на уровне прошивки модема без вмешательства пользователя, достаточно только знать номер телефона жертвы.
Подведём итоги
Массовый отказ от не идеальной, но сравнительно более безопасной мобильной ОС Apple iOS с рекомендацией переходить не на российские мобильные устройства и операционные системы, а на устройства производителей из КНР с Android, мягко говоря, не улучшает, а существенно ухудшает ситуацию с безопасностью. Большая часть устройств с Google Android будет более уязвимой и, скорее всего, останется без обновлений. Маловероятно, что в случае обнаружения критических уязвимостей производители будут оперативно выпускать новые версии. Вполне очевидно, что такой подход существенно увеличивает поверхность атаки, то есть количество уязвимых мест, через которые Android-устройства будут неизбежно взломаны как злоумышленниками, так и иностранными спецслужбами.
