Устройства новые — угрозы старые

Новые мобильные и в особенности носимые устройства предлагают нам новые функции и недоступные до сих пор возможности, но зачастую пасуют перед традиционными угрозами.

Словосочетание «носимое устройство» появилось в нашем обиходе не так давно, и хотя по сути оно имеет тот же смысл, что и слово «мобильный», оно относится не просто к портативным девайсам, а лишь к тем, которые мы можем носить на теле, например, в качестве аксессуара. И если до некоторых пор об этом классе устройств знали далеко не все, то теперь о таких вещах, как смарт-часы, узнали даже самые отдаленные от темы современных гаджетов люди. Причем, что интересно, поспособствовали этому не Google и ее проект Google Glass, а Apple с устройством Apple Watch. Это значит, что подобными гаджетами совсем скоро будут пользоваться множество людей, подавляющее большинство которых даже не подозревают о том, каким угрозам они себя подвергают.

Мой коллега Александр Савицкий в одном из недавних постов довольно метко разделил всех так или иначе интересовавшихся последними новинками пользователей на три группы, однако я бы предложил несколько иной принцип группирования:
— те, кто принципиально не хочет иметь дело с продукцией Apple, будто их обидел сам покойный Стив Джобс;
— те, кто постоянно язвит в твиттере и блогах на тему того, что Apple катится известно куда;
— те, кто готов купить даже землю, на банке с которой красуется надкусанное яблочко, а потом яростно набрасываться на всех, кто начинает рассказывать ему про то, что это «такая же обыкновенная земля, только с понтами»;
— те, кто просто интересуется новинками, без фанатизма оценивая их достоинства и недостатки.

Есть и еще одна когорта: люди, которые готовы приобретать каждую появившуюся новинку, будь то Apple Watch, Google Glass или даже посудомоечная машина, способную ежедневно задавать хозяину вопрос: «Ну че, как дела на работе?» и часами выслушивать жалобы на начальника-придурка и идиотов-коллег.

Имея в своей основе ОС Android, смарт-очки Google Glass будут подвержены тем же рискам, что и любые другие устройства, работающие под управлением этой операционки

Но вот проблема: все эти новые девайсы подвержены все тем же традиционным угрозам, что и привычные нам устройства, но, что еще хуже, однажды инновационные гаджеты могут стать не менее инновационной угрозой. И есть мнение, что пресловутые Apple Watch и их владельцы совсем скоро станут частью реальности, которую много лет назад описывал Оруэлл: все эти устройства будут непрерывно собирать информацию о нас и отправлять ее энному количеству заинтересованных компаний.

Роберт Мартинез (Robert Martinez), вирусный аналитик «Лаборатории Касперского», совсем недавно касался этой темы в своей статье на сайте Securelist, исследуя вопрос на примере Google Glass: «Только что появившиеся и уже существующие устройства имеют очень много общего: они используют одни и те же протоколы и коммуницируют с другими девайсами, используя одни и те же приложения. По-другому не получится. Традиционные атаки в то же время в основном используют принцип «человек посередине», а также нацелены на уязвимости в операционных системах и работающих в них программах. Имея в своей основе ОС Android, смарт-очки Google Glass будут подвержены тем же рискам, что и любое другое основанное на той же операционке устройство».

В качестве примера Мартинез приводит элементарную атаку, которую в свое время отследили специалисты из компании Lookout. Одним из способов подключения Google Glass к Интернету является распознавание специально подготовленных QR-кодов: как только камера в очках фиксирует такой код, устройство тут же автоматически подключается к Сети. Все, что сделали в Lookout, — это просто сгенерировали подобный код самостоятельно и продемонстрировали его очкам, после чего те мгновенно оказались в местной беспроводной сети, фактически под полным контролем ее владельцев. Прекрасный пример того, как старый трюк сработал на совершенно новом типе устройств.

«Потенциальный риск состоит в том, что, в отличие от компьютера или обычного мобильного устройства, Google Glass имеет принципиально иной интерфейс, подразумевающий автоматизацию многих функций и ограниченные возможности ручного ввода данных со стороны пользователя, в частности, в случае подключения к беспроводной сети или обмена информацией, — пишет Мартинез. — Такая автоматизация открывает двери для злоумышленников и способствует нарушению конфиденциальности».

В рамках другой, технически чуть более сложной атаки, проведенной в лабораторных условиях, исследователь использовал специальную программу, при помощи которой удалось заставить Google Glass подключиться к потенциально опасной сети в то время, как само устройство «думало», что сеть полностью защищена. Подобное, по мнению Мартинеза, вполне может произойти и в реальных условиях, когда девайс окажется в зоне действия публичного хотспота.

Во время теста выяснилось, что часть информации, проходящей через Google Glass, была в виде незашифрованного, пригодного для чтения текста. Они смогли перехватить достаточно информации, чтобы сложить из нее примерную картину того, где был пользователь и каким образом устройство подключалось к Сети. Там, конечно, не было чего-то совсем конфиденциального, но в некоторых случаях подобные данные вполне сгодятся для шпионажа.

В итоге Мартинез заметил, что к безопасности стоит относиться как к чему-то, что состоит из слоев, каждый из которых требует тщательной проработки. Кроме того, он выразил уверенность в том, что в ближайшие месяцы все мы станем свидетелями атак на носимые устройства и наконец поймем, насколько важна защита как самих устройств, так и того, что они хранят.

Советы