Мы часто пишем о безопасности мобильных операционных систем, публикуем информацию о найденных уязвимостях, описываем слабые стороны защиты и способы взлома. Мы писали и о слежке за пользователями Android, и о зловредных приложениях, которые встраиваются прямо в прошивку, и о неконтролируемой утечке пользовательских данных в «облако» производителя. А как обстоят дела в стане старичков и аутсайдеров – мобильных ОС BlackBerry 10, мобильной версии Windows 10, Samsung Tizen, Sailfish и «Аврора»?

Безопасность: комплексный подход

Прежде, чем анализировать безопасность платформы, определимся с терминологией. С точки зрения обычного пользователя, если он вообще об этом задумывается, безопасность устройства зачастую приравнивается к физической безопасности данных, которые в нём хранятся. Такой подход в корне неверен. Физическая безопасность данных, безусловно, важна, но ей дело не ограничивается. Что имеется в виду под физической безопасностью данных – защита от низкоуровневого анализа с извлечением микросхемы памяти или же просто защита от любопытных, которые не знают пароля и не умеют обманывать сканер отпечатков пальцев? А что насчёт эффективности ограничений, разрешающих приложениям шпионить за пользователями, собирать и передавать о них информацию? Хранение данных в «облаке» — плюс это или минус с точки зрения безопасности? А в какое облако, кому и куда, каких именно данных, знает ли об этом пользователь и может ли отключить? А насколько вероятно на той или иной платформе получить зловредное приложение и расстаться не только с паролями, но и с деньгами на счёте?

Аспекты безопасности мобильных платформ невозможно рассматривать в отрыве друг от друга. Безопасность – это комплексное решение, охватывающее все аспекты использования устройства от коммуникаций и изоляции приложений до низкоуровневой защиты и шифрования данных.

Сегодня мы рассмотрим некоторые аспекты безопасности таких платформ, как BlackBerry 10, Windows 10 Mobile, ОС «Аврора» (в девичестве Sailfish) и Samsung Tizen.

Старички: BlackBerry 10

Прежде, чем приступать к описанию актуальных платформ, скажем пару слов о BlackBerry 10, которая уже сошла с дистанции. Почему BlackBerry 10? В своё время система активно продвигалась как «самая безопасная» мобильная ОС. В чём-то это было действительно так, что-то, как обычно, преувеличили, а что-то было актуальным несколько назад, но безнадёжно устарело сегодня. В целом нам нравился подход компании BlackBerry к безопасности; впрочем, не обошлось и без провалов.

Сильными сторонами системы являлись:

  • Микроядерная архитектура и система доверенной загрузки – это действительно безопасно. Возможность эскалации привилегий исключена. Прав суперпользователя за всё время существования системы не получил никто (пытались неоднократно, в том числе в серьёзных конторах – BlackBerry далеко не всегда была аутсайдером).
  • Пароль на разблокирование устройство обойти нельзя: спустя 10 неудачных попыток данные в устройстве полностью уничтожаются.
  • Нет никаких встроенных облачных сервисов и нет целенаправленной слежки за пользователем. Данные не передаются на сторону, если только пользователь не решит самостоятельно установить «облачное» приложение самостоятельно (опционально поддерживаются такие службы, как OneDrive, Box.com, Dropbox).
  • Образцовая реализация корпоративных политик безопасности и удалённого контроля через BES (BlackBerry Enterprise Services).
  • Надёжное (но опциональное) шифрование как встроенного накопителя, так и карт памяти.
  • «Облачных» резервных копий нет совсем, а локальные шифруются с помощью безопасного ключа, привязанного к BlackBerry ID.

Не обошлось в системе без слабых мест, на которые можно было закрыть глаза в 2015 году, но не сегодня.

  • Данные на устройстве по умолчанию не зашифрованы. Впрочем, компания может активировать обязательное шифрование на устройствах сотрудников, а обычные пользователи могут зашифровать информацию самостоятельно.
  • Шифрование данных блочное, одноранговое; отсутствует понятие классов защиты и что-либо, хотя бы отдалённо напоминающее keychain в iOS. Например, данные из приложения Wallet можно извлечь из резервной копии.
  • Ни в одной модели BlackBerry не было аппаратного ускорения шифрования: ОС просто не дожила до появления процессоров с набором инструкций, ускоряющих шифрование.
  • В учётную запись BlackBerry ID можно зайти просто с логином и паролем; двухфакторная аутентификация не поддерживается. На сегодня такой подход совершенно неприемлем. Кстати, если известен пароль от BlackBerry ID, можно извлечь ключ, с помощью которого расшифруется созданная пользователем данной учётной записи резервная копия данных.
  • Защита от сброса к заводским настройкам и защита от кражи очень слабая. Она обходится простой заменой приложения BlackBerry Protect при сборке автозагрузчика или (до BB 3.3) понижением версии прошивки.
  • Отсутствует рандомизация MAC адреса, что позволяет отслеживать конкретное устройство с помощью точек доступа Wi-Fi.

Компания BlackBerry охотно сотрудничает с правоохранительными органами, оказывая максимально возможную помощь в поимке преступников, которые пользуются смартфонами компании.

В целом при грамотной настройке (а пользователи, выбравшие BlackBerry 10, как правило, настраивали свои устройства вполне грамотно) система была способна обеспечить как приемлемый уровень безопасности, так и высокий уровень приватности. Впрочем, пользователи всегда могли свести все преимущества на нет, установив на смартфон взломанную версию Google Play Services и получив все прелести присмотра «большого брата».

На сегодняшний день мы не считаем смартфоны BlackBerry отвечающими комплексным требованиям безопасности. Разработка ОС прекращена, магазин приложений закрыт, а самое свежее «железо» датируется 2014 годом.

Экзотика: Tizen и Sailfish (ОС «Аврора»)

Несмотря на то, что Samsung старается использовать собственную операционную систему Tizen везде, где это возможно, Tizen и Sailfish были и остаются аутсайдерами на рынке смартфонов. Их безопасность – это безопасность «неуловимого Джо»; о ней мало что известно лишь потому, что они мало кому интересны.

Насколько оправдан такой подход, можно судить по недавно опубликованному исследованию, в котором обнаружено порядка 40 критических уязвимостей в Tizen. Здесь можно подытожить давно известное.

  • Если не проводились серьёзные независимые исследования, то говорить о безопасности платформы нельзя. Критические уязвимости вскроются не раньше, чем платформа получит распространение. Но будет поздно.
  • Зловредного ПО нет лишь в силу слабой распространённости платформы. Тоже в каком-то роде защита.
  • Механизмы безопасности недостаточны, отсутствуют или описаны лишь на бумаге.
  • Любые сертификации говорят лишь о том, что устройство прошло сертификацию, но ровным счётом ничего не говорят о фактическом уровне безопасности.

Sailfish и «Аврора»

С операционной системой Sailfish ситуация странная и неоднозначная. С одной стороны, система вроде бы жива: на её основе время от времени анонсируются какие-то устройства, а русскоязычную версию (кстати, с вырезанной подсистемой Android Runtime) переименовали в ОС «Аврора». «Аврора» получила ряд сертификатов: сертификат соответствия ФСБ России АК1/КС1 и сертификат соответствия требованиям обеспечения безопасности информации к операционным системам типа «А» шестого класса, которых, кстати, нет ни у одного устройства с ОС Android или iOS. Означает ли это, что «Аврора» более безопасна, чем Android или iOS? Нет: это означает лишь то, что «Аврора» получила сертификаты, не имеющие прямого отношения к фактической безопасности системы. О безопасности ОС «Аврора» действительно квалифицированным специалистам ничего не известно. Впрочем, сам факт наличия сертификатов позволит пользователям устройств с «Авророй» переложить ответственность в случае взлома или утечки данных.

Наличие официальных сертификатов не даёт гарантии безопасности точно так же, как её не даёт сам факт наличия открытого исходного кода. К примеру, уязвимость Heartbeat была обнаружена в прошивках роутеров, исходный код для которых был в открытом доступе более десяти лет. В операционной системе Android, которая также обладает открытым исходным кодом, новые уязвимости обнаруживаются регулярно и в массовом порядке.

Экзотические ОС – это отсутствие инфраструктуры, крайне ограниченный набор устройств и приложений, недоразвитые средства управления корпоративными политиками безопасности и более чем сомнительная безопасность.

Samsung Tizen

Несколько особняком от остальных «экзотических» платформ стоит Samsung Tizen. В отличие от Sailfish, Tizen имеет достаточно широкое распространение, хоть и не на смартфонах или планшетах. Под её управлением работают десятки (если не сотни) моделей телевизоров Samsung, а также часы компании (линейки Gear, Gear S). Samsung не оставляет попыток выпустить на этой ОС и смартфон, позиционируя его для корпоративного рынка.

Как только Tizen получила заметное распространение, за систему взялись независимые исследователи. Результат неутешителен: в первые же месяцы было найдено более сорока критических уязвимостей. Процитируем слова Амихая Нейдермана, который провёл исследование безопасности Tizen:

Возможно, это худший код из тех, что мне довелось видеть. Все ошибки, которые можно было допустить, были допущены. Очевидно, что код писал или проверял кто-то, кто ничего не понимает в безопасности. Это все равно, что попросить школьника написать для вас программное обеспечение.

В целом вывод понятен: использовать экзотическую, малораспространённую систему в корпоративной среде – открытое приглашение для хакеров.

Windows 10 Mobile

Говоря об аутсайдерах мобильного рынка, нельзя не рассказать о смартфонах под управлением Windows 10 Mobile. В первую очередь нам интересны, конечно же, флагманы производства самой Microsoft – это Lumia 950, 950XL образца 2015 года. Именно эти устройства изначально разрабатывалась именно для нужд корпоративных потребителей, и именно они стали последними флагманами Microsoft.

Интереснейшая особенность Windows 10 Mobile в том, что это – единственная мобильная ОС, не основанная на той или иной версии UNIX. Собственный подход к проектированию ядра и самой системы, отличная оптимизация ОС и программного обеспечения под ограниченный список поддерживаемых аппаратных платформ помещают Windows 10 Mobile где-то посередине между полностью закрытой iOS и полностью открытым Android.

В ОС от Microsoft есть возможность шифрования раздела данных посредством BitLocker (впрочем, в отличие от Apple iOS, многоуровневая защита данных здесь отсутствует). Шифрование можно включать и выключать по желанию пользователя, если иное не предусмотрено корпоративной политикой безопасности. Также можно включить шифрование данных на внешних носителях (microSD, если они используются).

Ключ шифрования генерируется на основе кода блокировки смартфона. И если ранние версии Windows 10 Mobile предлагали воспользоваться паролем из 4 цифр, который при помощи специализированного «железа» можно перебрать за несколько десятков минут, то в последние годы это ограничение перестало быть актуальным: теперь в поле ввода кода блокировки нет очевидного ограничения по длине. Таким образом, пользователь может выбрать код из четырёх цифр, шести, семи и более.

Разблокировка телефона возможна как с помощью традиционного PIN-кода, так и по биометрическому датчику – сканеру радужной оболочки глаза (только для моделей Lumia 950, 950 XL). По скорости и удобству работу сканер радужки заметно уступает как сканеру лица в iPhone X/Xs/Xr, так и аналогам в современных смартфонах Android. Безопасность, впрочем, на уровне. В отличие от Android, в Windows 10 Mobile не предусмотрены и недопустимы небезопасные способы аутентификации.

Гранулярный контроль за разрешениями приложений присутствует: есть возможность ограничивать доступ приложений к местоположению пользователя и возможность запретить работу в фоне.

Изоляция приложений в «песочнице» присутствует; степень изоляции меньше, чем в iOS (есть доступ к областям памяти, доступным для всех приложений), но сильнее, чем в Android. Возможность установки приложений из сторонних источников по умолчанию закрыта и может быть дополнительно усилена с помощью корпоративной политики безопасности, запрещающей пользователю включать возможность установки неподписанных приложений.

Для Windows 10 Mobile существует аналог jailbreak, позволяющий получить эскалацию привилегий, доступ к редактированию реестра (он, к слову, практически не отличается от реестра «большой» Windows 10) и файловой системе. Установить его достаточно просто, всё делается с помощью штатных средств из режима для разработчиков: ни о какой эксплуатации уязвимостей речи не идёт, способ известен и сохраняет работоспособность во всех версиях Windows 10 Mobile, включая последние обновления. Плюс это или минус с точки зрения безопасности – сказать сложно; в конце концов, на возможность разблокировки телефона такой «взлом» не влияет.

Так же, как и Apple, Microsoft собирает информацию о пользователях своих устройств. По объёму данных и масштабу «слежки» компания занимает промежуточное положение между Apple и Google. В «облаке» Microsoft OneDrive телефоны создают резервные копии (в том числе данные приложений), синхронизируют звонки и сохраняют SMS. Также синхронизируются пароли и история браузера Edge.

Как и в случае с iOS, все эти возможности достаточно легко отключить как в настройках устройства, так и с помощью корпоративной политики безопасности.

Microsoft так же, как и Apple, регулярно обновляет свои устройства и оперативно исправляет найденные уязвимости. Смартфонам Lumia 950 и 950 XL скоро исполнится четыре года, но обновления безопасности продолжают поступать несмотря на то, что развитие мобильной ветки Windows 10 прекращено. Более того, компания продолжает улучшать безопасность уже официально «мёртвой» системы. Так, во все устройства Lumia была добавлена функция Find My Phone, изначально присутствовшая только для моделей, предназначенных для американского рынка; было снято ограничение на 4 цифры для кода блокировки экрана.

Так насколько же всё-таки безопасна мобильная ОС от Microsoft? С учётом утечки ключей от Secure Boot и отсутствия новых устройств под управлением Windows 10 Mobile на физической безопасности устройств можно поставить крест. А вот в области безопасности облачных данных компания Microsoft чувствует себя вполне уверенно: онлайновые сервисы Microsoft живы, процветают и развиваются.

Выводы

Стоит ли полагаться на безопасность в стиле «Неуловимого Джо»? Операционные системы Sailfish, «Аврора» и Tizen не могут считаться безопасными до тех пор, пока не будет доказано обратное. По отношению к Tizen выводы уже сделаны, Sailfish – на очереди.

Можно ли продолжать пользоваться устройствами под управлением Windows 10 Mobile? Пока ещё вполне можно, если не требовать от устройства слишком многого. Если зашифровать хранилище устройства посредством встроенного механизма BitLocker, то для получения доступа к данным потребуется как минимум взломать код блокировки смартфона, а это – работа минимум на полчаса для кода из 4 цифр при условии использования специализированного оборудования, доступного далеко не каждому. Пароль из 6 цифр будет перебираться несколько дней, а 7 и более цифр дадут достаточно стойкую защиту.

Автор: Oleg Afonin

Источник: ElcomSoft Co. Ltd.

ССЫЛКА НА ИСТОЧНИК