«Черная пятница» — это словосочетание для каждого американца, да и для многих граждан других стран, знакомых с покупками в США, звучит как настоящая музыка, которая приведет в волшебный мир супердешевых товаров, могучих скидок, в рай для шопоголика. Но даже в столь знаменательный день «дешево», не всегда означает вкусную цену на хороший товар. Зачастую под видом акций и распродаж народу очень дешево предлагается соответствующий такой цене продукт не первой свежести и не лучшего качества. В особенности это касается популярных мобильных устройств, в данном случае — планшетов.
В частности, работающая в сфере сетевой безопасности компания Bluebox Labs проверила продающиеся в рамках «Черной пятницы» планшеты в таких магазинах как Amazon, Best Buy, Kmart, Kohl’s, Staples, Target и Walmart. Итоги теста оказались интересными и сочно сдобренными дефектами защиты ОС и вирусами в новых устройствах. Вот он — дикий оскал «Зеленого робота».
Во всех представленных в рамках акции планшетах, изученных Bluebox, есть те или иные уязвимости в ОС Android, включая Masterkey, FakeID, Heartbleed и Futex. Более половины из них были проданы с неверными конфигурациями настроек безопасности или с установленными на них активными вирусами.
Именно ребята из Bluebox выявили в прошлом году уязвимость Masterkey, которая превращает Android-планшет в зомби-бот, и этим летом обнаружили дыру FakeID в безопасности платформы.
Конечно, Google уже выпустила патчи для обеих проблем, а также для багов Heartbleed и Futex. Но поражает именно тот факт, что популярные магазины активно продвигают такие планшеты, в которых уязвимости не только не исправлены, но и активно функционируют. Некоторые планшеты также поставляются с активными эксплойтами, управляемыми удаленно. На таких гаджетах заблокирован доступ к Google Play и деактивирован ряд функций системы безопасности, которые Google реализовала в Android.
В BestBuy творится ад
Среди самых слабых в плане защиты устройств — планшет DigiLand, который можно купить в BestBuy. В нем установлена версия Android, подписанная тестовым ключом Android Open Source Project. По словам исследователей, этого ключа не должно быть в ПО выставленных на продажу устройств. Ведь его легко используют злоумышленники для внедрения троянских программ под видом стандартного обновления ОС.
Этот же планшет поставляется и с включенной опцией USB-отладки, да еще и с root-правами. Гикам-то классно — не надо заморачиваться со взломом устройства, оно уже взломано изначально, но ведь такие люди и прекрасно знают как защитить свой гаджет от потенциальных проблем, чего не скажешь о большинстве охотников за скидками. Такие фактически покупают себе серьезную проблему, способную передать злоумышленникам массу личных данных, включая пароли от учетных записей в социальных сетях, от почты, данные кредитных карт и т. п.
Реклама гаджета тоже под стать. Весьма устаревшее по характеристикам устройство с дисплеем с разрешением 1024х600 точек (меньше, чем в iPad mini первого поколения и оригинальном iPad вышедшем четыре года назад) позиционируется как планшет, который отображает контент «во всех мельчайших деталях». Еще там говорится о могучем 4-ядерном процессоре MediaTek и GPU ARM Mail 450, но их «могучесть» весьма условна. А еще в описании упоминается, что 92% (!) покупателей рекомендовали бы этот продукт своим друзьям. Я бы точно не рекомендовал.
В Target, Kmart, Kohl’s, Staples, Walgreen тоже «палятся»
Планшеты RCA Mercury на базе Android, которые можно увидеть в Target, поставляются с двумя известными уязвимостями, также как и устройство Mach Speed Xtreme в Kmart. Во втором планшетнике, кстати, защита, не позволяющая устанавливать на нем вредоносные приложения из сторонних источников, отключена изначально.
Мобильный Android-гаджет Zeki, который продается в Kohl, оказался самым плохим из всех предложенных в рамках распродаж устройств. Он открыт перед четырьмя основными уязвимостями в системе безопасности платформы Android. В нем по умолчанию включена функция USB-отладки, нет никакой защиты от троянов класса Android.Backdoor, прошивка подписана ключом для тестирования AOSP, а также заблокирован доступ к Google Play, что заставляет пользователя обращаться к сторонним магазинам приложений, где зачастую ПО вообще никак не контролируется и есть масса зараженных экземпляров.
На страничке Kohl планшет Zeki изображен с приветливо машущим нам зеленым роботом, а в описании говорится, что на устройстве есть поддержка Google Play и некоторых других фирменных сервисов Google, несмотря на то, что Zeki является AOSP-планшетом, независимым от Google.
В магазине Staple продается гаджет Mach Speed JLab Pro–7. Это планшет с Android 4.4.2 на борту. Но в данном случае, по словам исследователей из Bluebox, ОС изменена таким образом, чтобы отключить все интегрированные Google в прошивку 4.4.2 защитные функции (включая и патч, который не позволяет воровать пользовательские данные с помощью подключения к планшету через USB-порт). В этом дешевом устройстве также активирован режим разработчика (с возможностью модифицировать прошивку) и по умолчанию включена опция USB-отладки.
Еще одно специальное предложение для этой «Черной пятницы», планшет Polaroid A7, продающийся в Walgreen, это та же модель, что предлагается и на Amazon. Как и описанный выше, данный гаджет уязвим перед всеми четырьмя основными багами системы безопасности Android. Ему исследователи присвоили самый низкий показатель Trust Score в рейтинге доверия среди всех рассмотренных планшетных компьютеров.
По словам представителей Bluebox, в нем уже установлены Root-права и приложение Superuser, что позволяет злоумышленнику получить неограниченный доступ к системе даже без необходимости устанавливать в Polaroid A7 нужный эксплойт. К тому же по умолчанию в этом устройстве отключены настройки приватности, которые защищают планшет от установки вредоносных программ со сторонних магазинов приложений.
На Amazon и Walmart самый широкий выбор «плохих» планшетов
На сайте Walmart ребята из Bluebox купили несколько планшетных компьютеров, включая и предложение дня, Pioneer. Он поставляется покупателям с двумя известными, но не исправленными уязвимостями. Аналогичная история с планшетами Ematic и RCA, в которых обнаружены три упомянутые уязвимости, а также с Nextbook с двумя уязвимостями. Последний, кстати, получил звание «одного из лучших устройств в списке худших».
Планшетник Worryfree Gadgets Zeepad, который также можно купить в Walmart, продается с двумя самыми серьезными уязвимостями в системе безопасности платформы Android — с активированной функцией USB-отладки и с установленным сервисом для обхода защиты от Blackdoor-атак.
Ко всему, команда Bluebox обнаружила, что некоторые из рассмотренных планшетов поставляются и с установленными на них потенциально опасными приложениями и вредоносным рекламным ПО, включая пиратскую версию Angry Birds, модифицированную производителем самих планшетов.
Это значит, что сам производитель мог модифицировать приложение Angry Birds так, что оно собирало больше данных о пользователе, чем входило в намерения разработчика игры. Данная модификация также не позволяла пользователям получать обновления от настоящего разработчика, поскольку ключи подписи уже были другими.
Представители Bluebox
Bluebox Labs предлагает сканер безопасности для «плохих» Android-планшетов
Компания Bluebox предлагает в Google Play свое приложение Trustable. С его помощью пользователь может оценить проблемы с безопасностью и настройками своего устройства. Ребята также предлагают систему помощи Android User Security Guide для Android 4.0 и более поздних версий прошивки. В ней описаны возможные решения потенциальных проблем с безопасностью, включая работу с NFC или DLNA, а также с функцией зеркалирование экрана в устройствах Samsung.
По словам представителей компании, более дорогие Android-планшеты защищены от упомянутых уязвимостей. Среди наиболее надежных устройств они назвали недорогой Samsung Galaxy Tab3 и новинку Nexus 9 от HTC.
Однако большая часть поставляемых на рынок Android-планшетов — это именно дешевые устройства, зачастую с AOSP-прошивкой, ориентированные на использование приложений из сторонних магазинов ПО. А некоторые из них и вовсе предназначены именно для того, чтобы воровать данные у ничего не подозревающих пользователей.
А что с iPad и каковы выводы?
Вывод исследователей из Bluebox Labs прост:
Стоит помнить, что не все устройства одинаково безопасны. В Bluebox Labs нередко сталкиваются с дешевыми Android-гаджетами с низким уровнем защиты от вредоносного ПО. Мы рекомендуем избегать таких продуктов, если это возможно. В противном случае мы советуем использовать их исключительно для малоопасных действий, таких как простые игры, медиа-развлечения и посещение безопасных сайтов. Владельцам стоит воздержаться от использования услуг онлайнового банкинга, покупок и хранения информации на подобных устройствах. Если вы все же делаете это, вы подвергаете свои личные данные риску.
Представители Bluebox
Также компания предлагает краткий справочник по безопасности iOS, использованию NFC в продуктах Apple, коллективному доступу к файлам через AirDrop и функции дублирования экрана AirPlay. Все эти особенности команда Bluebox считает достаточно надежными и не настаивает на их отключении в целях безопасности пользовательских данных.
Также у Bluebox нет сканера уязвимостей для iOS, так как он в данном случае не нужен. Этой платформе не грозят такие уязвимости как Masterkey, FakeID, Heartbleed или Futex. Более того, Apple не лицензирует iOS сторонним компаниям и регулярно выпускает обновления системы безопасности для платформы. [ai]
Как видите, даже в «Черную пятницу» дешево не значит — хорошо. В данном случае может сработать правило, что «скупой платит дважды». Ладно если люди покупают дешевый планшет ребенку для игрушек, но когда такие устройства используются для оплаты покупок в Сети, входа в личный почтовый ящик, учетные записи в социальных сетях, к чему удивляться, что с карточек деньги пропадают и творится странное? О качестве работы дешевых Android-устройств я вообще молчу. Кто-то жалуется на «тормоза» в iOS 8 на iPad mini первого поколения или же iPad 3Gen, так вот они работают просто божественно на фоне большинства дешевых и безымянных планшетов из Поднебесной. Первые три дня радуешься, что за копейки купил многофункциональное устройство, а потом понимаешь простую вещь — ты просто зря выбросил деньги.
17 комментариев