О проблемах обновления мобильных устройств говорят давно и долго. Но, увы, смартфоны, особенно под управлением Android, обновляются производителями весьма и весьма неохотно. Или вообще не обновляются.
Обратимся к статистике. Опубликованные в январе результаты анализа Security Duo показывают, что не менее 90% устройств на базе Android сегодня работают под управлением устаревших версий ОС, что влечет за собой значительные потенциальные риски для корпоративных и частных пользователей. Приблизительно 70% устройств работают под управлением Android 4.4 и более старых версий. Получается, они восприимчивы к таким уязвимостям, как Stagefright. Данная уязвимость открывает злоумышленнику доступ к устройству и далее к корпоративной сети через MMS, например, фото или видео.
По оценке Duo, более 20 млн. Android-устройств, подключаемых к корпоративным сетям, более не поддерживаются производителями и потому они не могут быть обновлены до последних версий ПО, что позволило бы устранять их уязвимости.
Позиция производителей известна. Так, Google официально заявила, что не будет выпускать обновления для устройств старше двух лет. Однако такая позиция не защищает производителя. Так, иск за отсутствие своевременных обновлений ПО смартфонов на базе Android компании Samsung предъявляет ассоциация Dutch Consumers’ Association (DCA). Согласно исследованию DCA, по крайней мере 82% смартфонов Samsung, доступных на голландском рынке, не получили обновлений до последней версии Android за два года. Это привело к тому, что большинство из этих устройств содержат уязвимости. Сотрудники DCA сообщили, что агентство связывалось с Samsung, но достичь соглашения не удалось и поэтому решено обратиться в суд.
Однако не стоит думать, что даже если суд обяжет Samsung принять необходимые меры, то ситуация с безопасностью на рынке смартфонов на Android существенно улучшится. Сегодня не существует стандарта этой операционной системы и каждый производитель смартфонов выпускает свою версию прошивки для своего смартфона, поэтому обновление требует существенных усилий. А ведь таких уникальных устройств на базе Android, по результатам исследований, сегодня выпущено более 10 000.
Таким образом, проблема обновлений, ввиду отсутствия единого стандарта, на сегодняшний день практически не имеет решения.
Что делать?
Duo рекомендует ИТ специалистам реализовывать следующие меры для снижения рисков:
- Создайте политику безопасности мобильных устройств.
- Все сотрудники должны использовать PIN-коды для блокировки устройств.
- Запретите использовать смартфоны с root.
- Обязательно обновляйте мобильные устройства.
- Обновите или замените устаревшие смартфоны, которые более не обновляются производителем.
- Рекомендуйте сотрудникам использовать смартфоны с более частыми обновлениями от производителя.
Автор статьи — Microsoft Security Trusted Advisor, MVP Consumer Security.