Android — операционная система с открытым исходным кодом. По идее, это должно помогать специалистам по информационной безопасности, изготовителям устройств под этой ОС и поставщикам услуг своевременно разрабатывать и выпускать исправления выявленных уязвимостей ПО. На деле наоборот: в среде BYOD (пользование личными устройствами для работы) действует множество устройств с самыми разными уязвимостями, исправлению которых изготовители не уделяют достаточного внимания. Эксплуатируются устройства под устаревшими версиями Android 2.3, Android 4.2 и т. д. Из-за этого отделы ИТ вынуждены заниматься всевозможными моделями и версиями ПО.
Стоит отметить, что у Google нет опубликованной политики жизненного цикла для Android. Ни пользователи, ни отделы ИТ не знают, когда изготовители прекратят поддерживать их устройства и ПО. Более того, нет и графика обновлений ОС, так что никто не знает, будет ли в том или ином устройстве обновлена версия ОС, а если будет, то когда.
Самое безопасное для пользователей устаревших версий Android — обновить ОС до последней версии. Но это хорошо в теории. Большинство изготовителей предпочитают выпустить новое устройство и заработать на этом деньги, а не обновлять что-то в старых.
Более дешевое и довольно простое обходное решение — установить как обозреватель по умолчанию новейшую версию Google Chrome или Firefox из хранилища Google Play. Оба эти обозревателя обновляют достаточно часто.
Увы, но это решит только проблему обозревателя, все остальные останутся.
На сегодня не известен простой способ обновить ОС на устаревших устройствах Android. Соответственно, нужно заранее озаботиться тем, что делать с ними делать. «Жесткий» вариант: как только ОС на устройстве обновится дважды, дать владельцу полгода, чтобы установить обновления, и предупредить, что иначе устройство отключат от корпоративной сети. Думаю, многие будут протестовать против таких правил, но требования безопасности превыше всего. Вероятно, при таком подходе от выбора устройств под Android начнут отказываться, потому что Google выпускает новые версии ОС каждые шесть-девять месяцев.
Для организации может оказаться выгоднее побуждать сотрудников обновлять устройства, чем искать способы защиты старых версий ОС и ПО.
С другой стороны, если ресурсы позволяют, может быть, лучше выдавать сотрудникам мобильные устройства, принадлежащие организации, и периодически полностью заменять парк таких устройств?
Решения, устраивающего всех, нет. Пока ясно одно: обновление устройств под Android — огромная проблема.
Автор статьи — Microsoft Most Valuable Professional, Microsoft Security Trusted Advisor.