Безопасность мобильных ОС.
На антивирусном портале новое онлайн-интервью.
Мы проводим беседу, посвященную вопросам безопасности мобильных операционных систем. На вопросы участников форума ответит специалист "Лаборатории Касперского", занимающийся исследованием угроз для мобильных ОС - Виктор Яблоков.
------------
Виктор Яблоков:
Родился 12 декабря 1977 в г. Вологда. В 2000 г. с отличием закончил Механико-математический факультет Московского Государственного Университета им. М.В. Ломоносова, в 2004 году защитил диссертацию на присвоение научной степени кандидата физико-математических наук, имеет ряд научных публикаций.
С 1999 года занимается разработкой прикладного ПО для мобильных платформ (Palm, Symbian, Windows Mobile, Brew, J2ME, Blackberry,Android и др.).
С 2004 года работает в "Лаборатории Касперского", возглавляя направление разработки антивирусного ПО для мобильных устройств.
Женат, имеет дочь.
__________________
08.02.2010
Прежде чем приступить к ответам, хотел бы поблагодарить администрацию портала за интерес к теме защиты мобильных устройств и организацию интервью, а всех участников форума - за интересные вопросы.
-----------
Вопрос:
Первый традиционный вопрос:
Общее количество зловредов в мобильных ОС по базе ЛК, с разбивкой по ним (Symbian, Windows Mobile, Android, J2ME) в настоящее время.
Ответ:
По состоянию на 7 февраля 2010 г. в базах "Лаборатории Касперского" насчитывается 1200 сигнатур, наложенных на 659 различных модификаций130 семейств вредоносных программ, для шести мобильных платформ - Symbian, WinCE, Java 2 Micro Edition (J2ME), Python, Siemens SGold, MSIL. Данные по количественному и процентному соотношению представлены на следующей диаграмме:
Несколько полезных комментариев:
1. Под вредоносными программами для Symbian OS понимаются зловреды на C++ под платформы Series 60 1st, 2nd, 3rd, 5th и UIQ2.
2. Практически все вредоносные программы на J2ME имеют тип SMS-Trojan и работают на устройствах с WMA API, к коим в настоящее время относится подавляющее большинство мобильных телефонов, в частности все смартфоны Symbian, устройства Blackberry и часть устройств Windows Mobile
3. На смартфонах Android вредоносные J2ME-мидлеты могут быть загружены через J2ME Runner
4. Платформа SGold установлена только на устройствах Siemens
5. Вредоносные программы для платформы Python работают на устройствах, имеющих интерпретатор этого языка. Интерпретатор может быть установлен на любое устройство Symbian.
********************
Вопрос:
Какова на Ваш взгляд тенденция развития зловредов по мобильным ОС и Ваш прогноз мобильных угроз на 2010 год.
Ответ:
1. Доля вредоносных программ на J2ME будет увеличиваться и к концу года превысит 60%
2. С ростом популярности Android (сейчас на эту платформу приходится около 4% всех смартфонов, но, по прогнозам IDC, к 2013 годуона выйдет на второе место по популярности) эта платформа будет привлекать все более пристальное внимание вирусописателей. Первые вредоносные программы под эту ОС скорее всего появятся именно в 2010 году.
3. В связи с продолжающимся падением рыночной доли Windows Mobile, ежемесячный приток новых зловредов под эту платформу останется на прежнем уровне, но ситуация может измениться после выхода долгожданной WM7
4. Новые случаи атак будут периодически фиксироваться и для взломанных iPhone
5. Публикация исходных кодов Symbian^n OS в перспективе может привести к росту числа новых зловредов под эту платформу
Если говорить об угрозах в целом, то в ближайший год нас ожидает рост СМС-спама и появление новых видов мошенничества.
********************
Вопрос:
Существуют ли вирусы на мобильную ОС UIQ3?
Ответ:
Вредоносных программ, написанных на С++, под UIQ3 пока нет, но на этих устройствах могут запускаться практически все вредоносные J2ME-мидлеты
********************
Вопрос:
Какова вероятность появления вируса на редкую мобильную ОС, к томуже уже "сошедшую с конвейера" - UIQ3?
Ответ:
Единичные случаи появления вредоносных программ теоретически возможны, массовые - исключены: платформа действительно уже сошла сконвейера, так что гораздо более вероятен рост числа вредоносных программ для более распространенной ОС Series60. Вообще, платформы UIQ и Series60 имеют общее ядро, по большому счету они отличаются только пользовательским интерфейсом и рядом компонент. Поэтому в данном случае существование вредоносных программ определяется фактором популярности платформы.
****************
Вопрос:
Мой любимый вопрос
Начну немного с небольшой истории.
Ко мне подошла подруга с телефоном Нокия (Модель 5320 что-ли, не помню точно, в общем, новая, недавно вышедшая) и говорит: "А я антивирус Касперского купила и установила (и улыбается)."
На мой вопрос: "Зачем?", - ответила: "Не знаю, ну раз продают, значит есть вирусы".
Отсюда вопрос:Неужели под Symbian есть вирусные угрозы? И есть ли необходимость использовать антивирусный продукт под OpenSource, коим SymbianOS и является?(Проверял у себя на Нокиа 5800, прежде чем установить какую нибудь программу - система сто раз спросит:
1) "Вы точно уверены?"
2) "Приложение несовместимо с Вашим телефоном и может причинить вред"
3) "Отсутствует сертификат качества" (как-то так)
И вот, когда на все ответишь, тогда приложение установится, т.е. если что - сам виноват, мы же предупреждали). Спасибо.
Ответ:
1. Открытость исходных кодов платформы способствует созданию вирусов и ни в коей мере не является аргументом против необходимости использования антивирусных продуктов.
2. Подтверждение требуется при установке любого софта на Symbian, будь то вредоносная программа или проверенное сертифицированное ПО, - выявить трояна при установке нереально.
3. Ваше подруга приобрела не антивирус, а комплексное решение для защиты смартфонов от широкого спектра мобильных угроз, включающее такие модули как Anti-Theft, Anti-Virus, Anti-Spam, Firewall, Encryption и Parental Control. Антивирус - это один из компонентов продукта Kaspersky Mobile Security, и многие пользователи приобретают продукт отнюдь не ради него.
Касательно основного вопроса: вопреки существующему мнению, для Nokia 5800 (Symbian Series 60 5th) существуют вредоносные программы, написанные как на J2ME и Python, так и на C++. Примерами последних являются зловреды следующих семейств:
- Worm.SymbOS.Yxe: червь, распространяющийся с помощью SMS-сообщений. После попадания на устройство жертвы начинает рассылать ссылки на себя всем адресатам из контакт-листа;
- Trojan-SMS.SymbOS.Lopsoy: троянец, опустошающий счет жертвы путем отсылки платных SMS-сообщений;
- Trojan.SymbOS.Kinap: троян-вандал, подменяет системные шрифты, портит установленные программы, базы данных, пользовательские файлы, меняет иконки, добавляет логотипы.
Примечательно то, что представители первых двух семейств подписаны легальными сертификатами Symbian Signed
****************
Вопрос:
Как выявить наличие заражения на устройстве, работающем под Windows Mobile 6.1?
Ответ:
Единственный надежный способ - это установка антивируса. Если не хотите покупать, можете установить триальную версию и проверитьсвое устройство. Без антивируса вовремя выявить факт заражения довольно сложно, разве что по косвенным признакам, таким как:
- жалобы знакомых на подозрительные текстовые сообщения от вас;
- уменьшение времени работы смартфона без подзарядки;
- замедление работы телефона;
- увеличение счетов за мобильную связь;
- появление в журнале телефона записей о странных смс, звонках, подозрительном интернет-трафике;
- непонятная активность телефона (включение подсветки, нотификации об исходящих смс, звонках, мигающие индикаторы Bluetooth, GPS, GPRS и т.п.);
- появление приложений, которые вы не устанавливали, странных изображений, сообщений, звуков;
- периодически возникающие запросы на выход в интернет, отправку сообщений.
****************
Вопрос:
Что делают вирусы на мобильных устройствах?
Ответ:
В отличие от компьютеров, мобильные устройства обладают такими преимуществами, как наличие встроенного телефонного модуля, а также реальных денег, лежащих на счету владельца, что дает вирусописателям дополнительные возможности для творчества. В остальном же вредоносные программы для смартфонов мало чем отличаются от своих компьютерных собратьев, они:
- опустошают счет пользователя (совершают звонки и отправляют смс на платные номера);
- крадут и/или портят персональные данные;
- выводят телефон из строя, блокируют карты памяти;
- позволяют следить за владельцем инфицированного смартфона;
- заражают другие файлы;
- распространяются по Bluetooth, MMS, e-mail, через сменные носители, при синхронизации с PC;
- загружают другие вредоносные программы из Интернет;
- позволяют удаленно управлять телефоном;
- используют изощренные способы маскировки и методы социальной инженерии;
- используют полиморфизм (формируют код вируса "на лету");
- ищут пути обхода и способы борьбы с антивирусами.
****************
Вопрос:
Какой самый распространённый тип зловредов для мобильных?
(лично я чаще всего встречаю "backdoor")
Ответ:
На сегодняшний день наиболее распространенным типом вредоносных программ для различных мобильных платформ являются троянцы, которые осуществляют попытки несанкционированной отправки SMS-сообщений на короткие платные номера, что может привести к ощутимым финансовым потерям владельцев мобильных телефонов.
Основной платформой существования SMS-троянцев (Trojan-SMS в классификации "Лаборатории Касперского") является Java 2 Micro Edition (J2ME). SMS-троянцы, написанные для J2ME, опасны тем, что они могут запускаться практически на любом телефоне, имеющем Java-машину (именно в телефоне, не обязательно смартфоне). Исключение составляет лишь очень незначительное число устаревших моделей, Java-машина которых не поддерживает Wireless Messaging API.
Backdoor при этом занимают всего 1% от общего числа вредоносных программ:
****************
Вопрос:
Есть ли у ЛК статистика сколько людей (за какой либо период времени) воспользовались функцией "антивор" в KMS? Если да то любопытно увидеть
Ответ:
"Антивор" - одна из центральных функций Kaspersky Mobile Security: многие пользователи приобретают KMS именно ради нее. Если о реальности вирусных угроз для смартфонов можно говорить вечно, то угроза потери/кражи конфиденциальных данных под сомнение никем не ставится. Статистики по использованию "Антивора" у нас нет по объективным причинам. "Антивор" состоит из четырех компонент:
- SIM-Watch (не позволит злоумышленнику получить доступ к данным без исходной SIM-карты, а при замене SIM-карты на новую незаметно вышлет пользователю новый телефонный номер устройства),
- SMS-Block (в случае потери или кражи смартфона пользователь может отправить на него специальное SMS-сообщение, полностью блокирующее доступ к устройству до тех пор, пока не будет введен заранее заданный пароль),
- SMS-Clean (специальное отправленное SMS-сообщение удаляет со смартфона персональные данные и файлы),
- SMS-Find (пользователь может получить точные географические координаты украденного или потерянного телефона).
При этом наши сервисы используются только для e-mail уведомлений SIM-Watch и SMS-Find. В большинстве же случаев пользователи посылают команды и получают уведомления напрямую, в обход наших серверов.
****************
Вопрос:
Я бы хотел задать такой вопрос:
А насколько ваш продукт гибок под эти мобильные платформы?
Ответ:
Мы старались сделать его максимально гибким и удобным для использования, так чтобы он удовлетворял потребностям как рядовых пользователей, так и профессионалов. С одной стороны, продукт имеет гибкую систему настроек, позволяющую сконфигурировать его практически под любые потребности, с другой - не требует каких-либо усилий для настройки, идеально подходя для обычных пользователей.
****************
Вопрос:
Возможны ли скидки на покупку вашего продукта? Ведь в основном у студентов телефоны с мобильными платформами.
Ответ:
Лаборатория Касперского имеет различные программы скидок для образовательных учреждений. На сегодняшний день они распространяются на программы для защиты ПК. По мере роста популярности мобильных продуктов - уверен, они будут распространяться и на KMS. Также нельзя не отметить, что, будучи наиболее функциональным и многоцелевым, KMS является одним из самых доступных и недорогих продуктов на рынке: стоимость годовой лицензии составляет всего 720 руб. (для сравнения - годовая лицензия Eset Mobile, содержащего только Anti-Virus и Anti-Spam стоит 790 руб).
****************
Вопрос:
Я недавно общалась на другом форуме со специалистом из СЦ. По его словам 99% проблем создают не специфические мобильные вирусы, а обычные компьютерные, создающие *мусор* на карте памяти телефона. По его словам под свежий симбиан вирусов нет.
Хотелось бы услышать (в смысле почитать) ваше мнение.
Ответ:
Как говорится, каждый видит это мир со своей колокольни. Специалист сервисного центра в силу специфики своей работы сталкиваетсяобычно с "убитыми" смартфонами. Убить некоторые смартфоны путем копирования мусора на встроенные карты памяти при подключении смартфона к PC действительно можно, это факт. Я вполне допускаю, что в своей работе этот специалист сталкивается с подобными случаями довольно часто, но говорить о том, что именно они являются основной проблемой, я бы не стал, куда больший вред причиняют вредоносные программы, работающие непосредственно на мобильной платформе.
А вирусов в классическом их понимании (программы, внедряющие свой код в исполняемые файлы) действительно нет, есть вредоносные программы других типов (в основном трояны).
****************
Вопрос:
Что вы можете сказать относительно не-смартфонов, существующих реальных угроз для них и, соответственно, защиты.
Ответ:
Владельцы обычных мобильных телефонов сталкиваются с такими же угрозами, что и владельцы смартфонов - потеря, кража, несанкционированный доступ к личным данным, спам, вредоносное программное обеспечение. Но в отличие от владельцев смартфонов каких-либо программных средств защиты для обычных телефонов нет, впрочем и вирусная угроза для них существенно ниже.
****************
Вопрос:
Существуют ли вирусы на JAVA??? Если да,то их кол-во.
Ответ:
Классических вирусов для мобильных телефонов на J2ME нет, есть вредоносные программы других типов, основную часть которых составляют троянцы, опустошающие счета владельцев мобильных телефонов путем отправки смс-сообщений на платные телефонные номера. По состоянию на 7 февраля в нашей базе их насчитывалось 282 вредоносных программ, созданных специально под эту платформу.
****************
Вопрос:
Какие различия между компьютерными и мобильными вирусами??? Велика ли вероятность что мобильные вирусы станут такими же распространнеными как и их компьютерные "собратья"???
Ответ:
Я уже частично ответил на этот вопрос выше: к настоящему моменту вредоносные программы для смартфонов умеют практически то же, что и их компьютерные аналоги. Грань между компьютером и телефоном постепенно стирается, происходит взаимное сближение. Компьютеры, ноутбуки, нетбуки, смартбуки - с одной стороны, и телефоны, смартфоны, мультимедийные компьютеры - с другой. Появляются операционные системы, которые используются на нескольких типах устройств (например, нетбуки и смартфоны на Android), выпускаются компьютеры с GSM-модулями и смартфоны с большими экранами и полноценной клавиатурой. Пройдет несколько лет, и уже будет сложно понять, что перед вами - компьютер или телефон.
****************
Вопрос:
Нокиа е90, установлен kaspersky mobile security, Opera Mobile для symbian, весь устанволенный софт лицензионный.
Хотелось бы узнать, насколько безопасно мне работать в сети с кредитной картой через данный моб. телефон. Спасибо!
Ответ:
Однозначный ответ дать сложно: все зависит от того, какие операции и с помощью каких средств вы производите. Были случаи, когда некоторые банки предоставляли своим клиентам J2ME-мидлеты для мобильных телефонов, которые общались с сервером по http, и все данные легко перехватывались.
Сомневаться не приходится в одном: с ростом количества сервисов и приложений, которые доступны пользователям мобильных телефонови смартфонов, будут появляться и вредоносные программы, которые тем или иным образом будут атаковать такие сервисы и приложения. Для злоумышленников в первую очередь важна распространенность и популярность той или иной услуги, "завязанной" на деньги.
****************
Вопрос:
На современном рынке мобильных устройств нового поколения наблюдается следующая тенденция:
С одной стороны - производители стремятся снабдить устройство максимальным кол-вом сетевых подключений и протоколов. С другой стороны - множество мобильных операционных систем и отсутствие стандартизации протоколов удаленного доступа и управления - могут подвергнуть мобильное устройство таким опасностям, как взлом системы удаленного доступа и системы управления устройством посредством сетевого подключения.
В журнале "Хакер" описана подобная аттака для Apple IPhone:
ССЫЛКА
В связи с вышеописаным, вопрос:
Ожидается ли увеличение кол-ва аттак, базирующихся на использовании сетевых (беспроводных) подключений мобильного устройства? Разрабатываются ли производителями мобильного ПО системы защиты от такого рода аттак? И, наконец, кто именно считает своей непосредственной задачей обеспечить безопасность сетевых подключений: производители мобильных ОС или производители систем безопасности? Спасибо.
Ответ:
Возложить эту обязанность на кого-то одного - будь то разработчик ОС, производитель мобильного устройства или защитного ПО - неправильно. Каждый должен решать эту проблему на своем уровне. Увеличения числа атак ожидается, именно поэтоу сейчас активно разрабатываются средства защиты. И многие производители защитного ПО уже сегодня встраивают в свои продукты такие компоненты как Firewall.
****************
Вопрос:
В США завершен ввод в коммерческую эксплуатацию специального сервиса, который позволяет отслеживать действий пользователей смартфонов. Данный сервис называется Flurry. Суть услуги, которая предлагается на сайте, состоит в том, что разработчик приложения для мобильного телефона встраивает в файл дистрибутива с расширением .jad или .jar специальную закладку, которая может быть загружена с сайта или автоматически внедрена в продукт при загрузке файла дистрибутива на сайт системы Flurry. Закладка незаметно для пользователя передает на сайт системы Flurry следующие данные (согласно спецификации разработчика):
1. Геодезические координаты телефона (широта, долгота).
2. Номер зоны LAC и номер базовой станции BSC.
3. Силу сигнала трех базовых станций в зоне радиовидимости (по этим данным возможно определение местоположения абонента).
4. Номер IMEI мобильного телефона, реквизиты SIM или USIM карты.
5. Статистику набранных и принятых вызовов и SMS (MMS) сообщений с указанием номеров абонентов (вызывающего и вызываемого), сервисного центра сообщений, обработавшего сообщение.
6. Данные о включении передачи голосового трафика на УП СОРМ (параметр {X-LAES в протоколе SIP). Эта возможность реализована только в сетях UMTS. В GSM - сети определить активацию функции записи разговора на коммутаторе с телефона абонента невозможно.
Техническая площадка оператора связи, поддерживающего данный шпионский сайт, находится в США, в штате Калифорния. Внедряемую в программы мобильных телефонов закладку антивирус Касперского, как оказалось, не обнаруживает.
Обеспечивается ли удаление из телефона закладки при деинсталляции приложения-приманки, тоже неизвестно.
Будет ли обеспечена защита от троянца?
Ответ:
Пришлите, пожалуйста, программу и подробное описание на [email=newvirus@kaspersky.com:]newvirus@kaspersky.com:[/email] мы ее изучим и, возможно, внесем в наши базы. Если это действительно вредоносная программа, защита будет обеспечена. Без наличия сэмпла и предварительного детального изучения приложения заключение о его вредоносности я вам дать не могу.
****************
Вопрос:
Под какую платформу сейчас больше всего вредоносных программ?
Ответ:
Java 2 Micro Edition (J2ME). Cтатистика по всем платформам была представлена выше.
****************
Вопрос:
Появились ли уже вирусы под Android?
Ответ:
В 2009 году для Android была создана первая шпионская программа, а в начале января текущего года появилась информация о том, чтос Android Market были удалены несколько банкинг-приложений неизвестного разработчика 09Droid - судя по всему, это были троянские программы. Более подробную информацию по этому случаю можно найтиздесь.
Появления новых вредоносных программ для этой ОС стоит ожидать уже в этом году. Также стоит отметить, что пользователи смартфонов Android, запускающие на своих устройствах J2ME-программы, подвергаются дополнительной опасности со стороны вредоносных программ, написанных и под эту платформу
****************
Вопрос:
В новости об одном мобильном антивирусе от известной компании говорится, что "это единственное в России решение для мобильных устройств, использующее эвристические методы обнаружения мобильных угроз".
Сейчас количество вредоносных программ под мобильные платформы относительно мало и все они, я так понимаю, известны. Но их становится все больше и больше. Строятся ли планы по введению эвристики в KMS? А если да, то не исключено ли, что мобильные антивирусные решения через некоторое время по функциональности могут догнать своих старших братьев?
Ответ:
По мере роста числа вредоносных программ для мобильных устройств средства защиты будут становиться все более функциональными, современем может возникнуть потребность и в серьезных эвристических методах детектирования, но пока - это не более чем пиар. За модным словом должны стоять работающие технологии, приносящие реальную просьбу. Даже если бы эвристика и была реализована для смартфонов, то на данный момент от нее было бы больше вреда, чем пользы.
****************
Вопрос:
Viкtor,как Руководителя проекта, поздравляю Вас с техническим релизом Kaspersky Mobile Security 9.0. Финальными сборками которого сталисборка 9.0.49 для Symbian и 9.0.0.48 для Windows Mobile.
Kaspersky Mobile Security многофункциональная программа, включающая такие модули, как антивирус, анти-спам, анти-вор и фаервол. К трем вышеуказанным модулям вопросов нет, все понятно. Интересует модуль фаервола, а именно его необходимость для мобильных осей, учитывая их специфику, отличимую от "Большого брата". Именно в качестве классического фаервола, в функции контроля приложенийлично я не вижу никакого смысла, хотя возможно и ошибаюсь.
Ответ:
Справедливости ради хочется отметить, я являюсь всего лишь руководителем одной из команд, участвовавших в этом проекте - командыразработчиков (программистов), а не руководителем всего проекта.
Действительно, так уж совпало, что в понедельник "Лаборатория Касперского" выпустила технический релиз нового решения для комплексной защиты смартфонов - Kaspersky Mobile Security 9.0, ключевой фичей которого стала функция Личные контакты (Privacy Protection), позволяющая надежно скрывать от посторонних глаз такую личную информацию, как записи в книге контактов, SMS, информацию о звонках.
Переходя к ответу на ваш вопрос, хотел бы отметить, что роль таких компонент, как Application Control и Firewall, пока сильно недооценена. Владельцам мобильных телефонов психологически тяжело свыкнуться с мыслью о том, что им вообще что-либо может угрожать, большинство из них пока не осознают реальности угроз и не готовы к использованию секьюрити-решений . Тем не менее, потенциал компонент Application Control и Firewall довольно высок - по мере роста числа мобильных приложений, сервисов и услуг их роль будет возрастать. С другой стороны, их полезность очевидна уже сейчас. Например, потенциальная возможность ограничения прав приложений на отправку SMS-сообщений могла бы полностью защитить пользователей смартфонов от SMS-троянов. Другой пример - удаленный контроль над устройством злоумышленник может получить по TCP/IP, Bluetooth, Wap-Push, и выстроить защиту в каждом из этих случаев поможет именно Firewall.
****************
Вопрос:
За последнее время, как всем известно, очень активно используется мошенничество (+возможность инфицировать систему при посещенииданных сайтов) гласящее «Хочешь читать все отправленные и полученные смс своей половинки и прослушивать все разговоры? Уникальная технология перехвата! Для более полной информации заходи наhttps://ххххх.хх»
Возьмем идею из данной сомнительной рекламы. С смс сообщениями все довольно понятно, зараженный определенным вирусом смартфон может пересылать данные сообщения, а вот существуют ли в природе вредоносные программы которые каким-либо образом могут передаватьзаписи телефонных переговоров? Вопрос сформировался, потому что нет понимания того, как же это могут реализовать.
Каким образом может вестись запись и передача разговора? С повсеместным внедрением 3G в России проблема передачи, как мне представляется отпадает, а вот записи и хранения вызывает вопрос.
Вариант с параллельной передачей разговора на другой телефон, как мне кажется сразу отпадает. Это же не конференц связь.
Были ли зафиксированы подобные зловреды ЛК или на данный момент данный вариант остается из области фантастики?
Ответ:
Подобные вредоносные программы уже существуют. Примером является Monitor.SymbOS.Caneo.
****************
Источник новости: virusinfo.info
больше похоже на рекламу каспера. На 9ку вирусов не встречал до сих пор. Один раз неприятную штуку схватил и это была прога live tema. Антивири в топку!
0 ответить