Несмотря на жаркие споры между фанатами iOS и Android, конфиденциальность - это не та война, в которой выигрывает Android. У Apple есть свои проблемы, но Google Play исторически был наводнен небезопасными приложениями. Открытый исходный код Android дал хакерам свободу действий для поиска лазеек в безопасности, и на платформе до сих пор нет приложения для шифровки сообщений по умолчанию. Кроме того, менее 10% пользователей Android обновились до последней версии ОС. Другими словами, почти все его пользователи используют устаревшее программное обеспечение, в котором наверняка есть ошибки и лазейки в безопасности.
Apple, тем временем, ставит в центр внимания ее конфиденциальность. Четко соблюдаемые правила App Store отсеяли миллионы небезопасных приложений, а регулярные обновления быстро устанавливаются большинством пользователей. Приложение Apple для обмена зашифрованными сообщениями iMessage теперь является символом статуса, а противодействие компании созданию секретного доступа для правоохранительных органов постоянно звучат в заголовках новостей, укрепляющих ее имидж как защитника вашей конфиденциальности.
Но все могло измениться. Изучая рынок эксплойтов нулевого дня (zero-day) для iOS и Android, мы получили хорошее представление о безопасности каждой платформы.
Рынок нулевого дня
Нулевой день (zero-day) это уязвимость в программном или аппаратном обеспечении, которая была обнаружена, но еще не исправлена. Это представляет серьезную угрозу, они могут использоваться для распространения вредоносных программ, кражи конфиденциальных данных, получения контроля над устройством и т.д..
Он получил свое название от того факта, что у разработчика не было дней на то, чтобы выпустить обновление для устранения уязвимости. Антивирус, брандмауэр и другие функции безопасности неэффективны против них, что делает их мощным оружием и прибыльным товаром.
«Рынок «нулевого дня» основан на спросе и предложении, всплеск предложения эксплойтов «нулевого дня» для конкретного продукта означает, что уровень безопасности этого продукта снижается. Об этом сайту SecurityWeek сообщил Чауки Бекрар, основатель известной платформы для сбора эксплойтов Zerodium. Очевидно, что мы не можем сделать окончательный вывод об общем уровне безопасности системы, основываясь только на количестве существующих эксплойтов, но это очень сильные индикаторы, которые нельзя игнорировать».
Изменение цен на iOS и Android эксплойты нулевого дня
Zerodium передлагает максимальные выплаты за различные типы эксплойтов на своем сайте . Исторически эксплойты iOS ценились намного выше, потому что их труднее найти. Например, в январе 2019 года Zerodium предложила до 2 миллионов долларов за эксплойт, который может привести к джейлбрейку iOS с нулевым кликом (без взаимодействия со стороны пользователя) и 1,5 миллиона долларов за эксплойт, который требует одного клика. Между тем, максимальная выплата за эксплойт для Android была ограничена 500 000 долларов.
Но в сентябре Zerodium сделала неожиданное объявление, в котором увеличила максимальную выплату за эксплойты для Android до 2,5 миллионов долларов. Впервые за взлом для Android они стали платить больше, чем за взлом iOS. Они также снизили выплаты за некоторые эксплойты iOS.
Это может означать либо то, что Android становится более безопасным и уязвимости становится все труднее находить, либо же большое внимание к эксплойтам iOS на протяжении многих лет увеличило предложение и снизило цены.
В сообщении Wired Бекрар подтвердил, и то и другое. «Безопасность Android улучшается с каждым новым выпуском ОС благодаря командам безопасности от Google и Samsung, поэтому разработка эксплойтов для Android стала очень трудоемкой, а еще труднее разрабатывать эксплойты с нулевым кликом. Но, с другой стороны, он пишет: «В течение последних нескольких месяцев мы наблюдали рост числа эксплойтов для iOS, в основном для Safari и iMessage, которые разрабатываются и продаются исследователями со всего мира. Рынок «нулевого дня» настолько наводнен эксплойтами iOS, что мы недавно начали отказываться от приобретения некоторых из них».
Маор Шварц, независимый исследователь уязвимостей, говорит, что большинство целей - это пользователи Android, но количество уязвимостей ниже, потому что многие из них были исправлены. «Каждому исследователю, с которым я разговаривал, я говорил, если вы хотите зарабатывать деньги, сосредоточьтесь на Android». Шварц также говорит, что уязвимости Android ценятся больше потому, что в браузере Chrome стало труднее найти уязвимость, чем в Safari. В сочетании с трудностью поиска так называемого «эксплойта локального повышения привилегий» , делает Android сложной целью. Раньше этот эксплойт было трудно найти только в iOS, но недавние улучшения безопасности сделали его редким и в Android.
На протяжении многих лет Google обновлял Android, добавляя новые системы шифрования, изменяя возможность доступа к ресурсам приложений, а также добавляя средства защиты, которые затрудняют взлом даже с использованием эксплойтов нулевого дня.
Избыток эксплойтов для iOS был вновь выявлен в этом году, когда Zerodium объявил в мае, что он временно прекращает покупку определенных эксплойтов для iOS и снижает цены за многие другие эксплойты для iOS из-за большого количества заявок. Генеральный директор Zerodium Бекрар написал в своем Твиттере : «Безопасность в iOS - отстой. . . Будем надеяться, что iOS 14 будет лучше ».
Однако Райан Нарайн, директор по стратегии безопасности в Intel, отклонил это заявление как «чистый пиар / маркетинговый ход», напомнив нам, что к заявлениям Zerodium следует отнестись с недоверием. Многое о компании до сих пор неизвестно, включая список покупателей, которым она продает, и точные цены, которые она платила за приобретение товаров нулевого дня в прошлом.
Тем не менее, есть и другие источники, подтверждающие наблюдения Zerodium . В интервью SecurityWeek Зук Авраам, основатель компании Zimperium, занимающейся мобильной безопасностью, также подтверждает снижение цен на эксплойты для iOS. Он добавляет: «Большие части кода iOS не затрагивались годами, и не секрет, что многие уязвимости все еще не исправлены, и в целом в iOS есть много уязвимостей - намного больше, чем большинство людей думают или знают... »
Многие из этих уязвимостей были обнаружены исследователями, работающими в Google Project Zero в августе 2019 года. Они обнаружили пять серьезных цепочек эксплойтов, которые затронули iPhone с версиями ПО от iOS 10 до iOS 12 последними на то время.
Другой исследователь, известный под именем axi0mX, обнаружил неустранимую уязвимость нулевого дня в bootrom iPhone. Результатом этого стал эксплойт под названием «checkm8», который позволяет взломать iPhone начиная с моделей от 4S до X.
Разработчики популярного инструмента для взлома UnC0ver пошли еще дальше и выпустили новый инструмент для взлома, который работает на iPhone под управлением iOS 13.5, последней версии.
Добавление в этот список - часто упускаемого из виду аспекта конфиденциальности iOS: отсутствие сквозного шифрования в iCloud . Это означает, что хоть Apple и может отказать правоохранительным органам в разблокировке телефона, потому что у нее нет средств для его расшифровки без создания лазейки, она не может сказать то же самое, когда ФБР запрашивает резервную копию iCloud. Apple обязана передавать данные из iCloud, если этого требуют правоохранительные органы. Между тем, последние версии Android поддерживают полностью зашифрованные резервные копии, что усложняет доступ к вашим данным.
Достижения в службах извлечения данных iOS
Компания Grayshift из Атланты и компания Cellebrite из Израиля продают правоохранительным органам по всему миру инструменты, для разблокировки и извлечения данных с телефонов, защищенных паролем.
Эти компании используют уязвимость нулевого дня , чтобы обойти ограничения на количество попыток ввода пароля, позволяя им пробовать разные комбинации паролей, не блокируя устройство. У них также есть эксплойты, позволяющие извлекать данные с этих телефонов.
ФБР недавно использовало продукт от Grayshift, чтобы разблокировать iPhone 11 Pro Max, самый продвинутый iPhone от Apple.
В серии тестов Национальный институт стандартов и технологий (NIST) сравнивает услуги, предлагаемые этими компаниями. По словам Vice , тесты показали, что инструмент UFED от Cellebrite способен полностью извлекать из iPhone X огромное количество информации, включая данные GPS, журналы вызовов, контакты и сообщения. Он также успешно извлекал данные из таких приложений, как Instagram, Snapchat, Twitter и многих других.
Но NIST обнаружил, что эти возможности не распространяются на новейшие устройства Android. На таких устройствах, как Google Pixel 2 и Samsung Galaxy S9, инструменты не смогли извлечь данные GPS, историю просмотров и данные социальных сетей. Они также не смогли извлечь какие-либо данные из Huawei P20 Pro.
«Прямо сейчас мы можем легко проникнуть в iPhone. Год назад мы не смогли попасть в iPhone, но могли войти во все Android. Сейчас же мы не можем получить доступ ко многим последним Android-устройствам», - сказал детектив Рекс Кайзер отвечающий за цифровую судебно-медицинскую экспертизу в полицейском управлении Форт-Уэрта.
Но после того, как эти тесты были проведены, Cellebrite обновила возможности своих инструментов, и теперь она лучше извлекает данные с новейших устройств Android. Существуют компании и федеральные агентства, которые могут найти способ взломать устройства iOS и Android; вопрос только в том, насколько это сложно. Cellebrite все лучше понимает Android, но это все еще сложная цель, а это означает, что теперь легче найти уязвимость нулевого дня в устройствах iOS, чем на устройствах Android.
P.S.
Может показаться, что Android становится безопаснее iOS, но большинство новых функций безопасности присутствует только в последних версиях Android, а у большинства пользователей Android нет последних версий программного обеспечения.
