Эксперты по безопасности нашли в каждом четвертом приложении на Android уязвимость. Она была обнаружена в библиотеке Android Jetpack, которая содержит инструменты для создания программ от Google. Разработчики, используя ее, выпускают уже продукты с брешью, не зная об этом. Уязвимость позволяет злоумышленникам открывать фрагменты внутри приложений и передать любые данные, установить прослушку, камеры слежения, а также завладеть личной информацией пользователей. Как распознать, что устройство заражено, и как обезопасить себя — в материале «Известий».
Новые уязвимости на Android
Эксперты по кибербезопасности нашли уязвимость в библиотеке для создания части приложений под названием Android Jetpack Navigation. С помощью нее разработчики могут создавать части пользовательского интерфейса приложений — так называемые фрагменты, каждый из которых имеет свой собственный макет.
Справка «Известий»
Библиотека Android Jetpack Navigation облегчает разработчикам работу с интерфейсом создаваемого приложения и помогает создать структуру навигации внутри программы.
По словам владельца «Стингрей Технолоджиз» Юрия Шабалина, уязвимость в Android Jetpack позволяет открывать фрагменты (экраны) внутри приложения и передать в него любые данные. При этом абсолютно не важно, что разработчик указывал в коде и какие ограничения устанавливал.
— Проблема есть в каждом четвертом приложении, — сказал эксперт.
Обнаружение уязвимости в этой библиотеке — это тревожный звонок, который должен заставить насторожиться не только разработчиков, но и пользователей. Если это затрагивает каждое четвертое приложение, то значит, что миллионы пользователей могут оказаться под угрозой, считает генеральный директор «Альфа системс» Игорь Смирнов.
— Разработчикам пора серьезно задуматься о безопасности своих приложений. Уязвимость может привести к манипуляциям с функционалом и даже к установке вредоносного ПО, — сказал он.
По словам руководителя киберхаба фонда «Сколково» (Группа ВЭБ.РФ) Игоря Бирюкова, принятие более сложных методик безопасности разработки приведет к замедлению выхода продукта на рынок и кратно увеличит стоимость проекта. Баланс между быстротой и безопасностью сложно выдержать, да и таких задач до последнего времени не стояло, пояснил он.
Однако сейчас наблюдается тенденция по усилению безопасности различных приложений не только механизмами защиты, например сканерами, но и безопасностью самого кода, подчеркнул эксперт.
Как распознать, что устройство заражено
Если программисты применяют техники безопасной разработки или хотя бы следят за уязвимостями, то они знают об этой проблеме, однако этим занимаются далеко не все, отметил генеральный директор «Акрибия» Сергей Иванов.
По его словам, из-за таких брешей злоумышленники могут подменить экран приложения своим и украсть все данные, которые вводит пользователь, — логин, пароль, реквизиты карты. Чтобы выявить проблему, важно обращать внимание на непривычное поведение программы: она не должна запускаться самостоятельно, а ее экраны должны выглядеть привычно, пояснил эксперт.
Также важно устанавливать приложения из проверенных источников. Все стандартные меры безопасности помогут снизить потенциальный ущерб от их эксплуатации: нужно регулярно обновлять ПО на своем смартфоне, иметь резервные копии, использовать двухфакторную аутентификацию, добавил он.
В «Стингрей Технолоджиз» считают, что российский магазин приложений RuStore тщательно подходит к вопросам безопасности. Однако и самим пользователям стоит внимательно отнестись к оценке источника скачивания программ, к тому, какие права доступа владелец устройства дает при установке и использовании и насколько может доверять создателю решения, заявил Юрий Шабалин.
Ведущий эксперт Kaspersky GReAT Татьяна Шишкова полагает, что в Google знали о проблеме. Однако изначально они только добавили предупреждение в документацию этой библиотеки о том, что следует использовать дополнительные проверки доступа к экранам приложения. И только в конце сентября выпустили версию 2.8.1 этой программы, где была исправлена возможность эксплуатации некорректной реализации навигации.
По ее словам, разработчикам, использующим эту библиотеку, для минимизации рисков эксплуатации их приложений необходимо использовать последнюю версию с исправленной уязвимостью либо отказаться от работы с этой библиотекой.
— Частным пользователям рекомендуется соблюдать ключевые правила цифровой безопасности: скачивать приложения только из официальных источников, не переходить по ссылкам из сомнительных сообщений и не скачивать подозрительные файлы, а также регулярно обновлять установленные программы, — посоветовала Татьяна Шишкова.
В «Альфа системс» внимание пользователей обращают на антивирусы — именно они могут существенно повысить безопасность смартфона. Также необходимо следить за любыми подозрительными действиями приложений — странные запросы, вылеты из программы могут быть признаком уязвимостей.