О массовом заражении умных устройств вредоносным программным обеспечением на производстве сообщила японская компания Trend Micro, которая занимается разработкой ПО для кибербезопасности. Как следует из отчета организации, вредоносное ПО попало в прошивку гаджетов на базе ОС Android, включая смартфоны. Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников говорит в беседе с «Известиями», что сама идея вшить «вредонос» в прошивку смартфона не нова — впервые такой случай зафиксировали в 2016 году.
— Тремя годами позднее, в 2019-м, компания Google подтвердила, что некоторые прошивки ОС Android изменены сторонними производителями, при этом они не уведомляли Google (основного владельца прошивок для ОС Android) о подобных манипуляциях, — рассказывает специалист.
По словам Дмитрия Овчинникова, современные телефоны на базе ОС Android выпускаются в двух основных вариантах. Суть первого в том, что поверх официальной прошивки производитель накатывает свой собственный, оригинальный интерфейс и некоторый набор партнерских программ. А второй вариант — это доработка оригинальной прошивки и ее модернизация под «железную» начинку смартфона. Так производитель повышает быстродействие и добавляет уникальные свойства в свой аппарат.
— Сторонние прошивки уже давно активно используются модерами и энтузиастами — есть целые сообщества, которые модернизируют прошивки для популярных моделей и убирают баги из прошивок, — рассказывает Дмитрий Овчинников. — Но в случае, о котором сообщили в Trend Micro, вместо новых возможностей пользователям смартфонов подсунули систему слежения и утечек пользовательских данных.
Между тем компания Trend Micro не уточняет, как именно вредоносное ПО попало в прошивку гаджетов на базе ОС Android. По мнению Дмитрия Овчинникова, наиболее вероятный способ проникновения — это атака на цепочку поставок. По всей видимости, сервера одной из компаний разработчиков ПО были взломаны, а затем вредоносный код был интегрирован в одну из библиотек в составе прошивки.
В то же время возможен и другой сценарий, полагает управляющий RTM Group, эксперт в области кибербезопасности и права в IT Евгений Царев. Дело в том, что мелкие производители нередко заказывают сборки Android на стороне, не имея своих разработчиков. Один из таких сборщиков мог быть успешно атакован (или вступил в сговор) хакерами из киберпреступной группировки Lemon Group, после чего вредоносная программа еще на заводе была установлена на целую серию устройств.
Как следует из оригинального отчета компании Trend Micro, большая часть зараженных умных устройств (55%) была продана в страны Азии, а на Европу пришлось лишь 3,8%. В рейтинге стран, куда поступило больше всего этих гаджетов, Россия занимает пятое место — но аналитики не приводят ни точное число зараженных гаджетов, ни их конкретные модели и бренды.
— В итоге невозможно сделать однозначный вывод о каналах распространения зараженных умных устройств: потенциально все их пользователи в России могут находиться под угрозой, — считает Дмитрий Овчинников.
Как объясняет операционный директор сервиса CosmoVisa Дмитрий Михайлов, потенциально использование зараженных гаджетов несет в себе целый ряд рисков для пользователей. В частности, на устройствах могут быть установлены фишинговые программы для считывания и последующей передачи злоумышленниками логинов, паролей и данных банковских карт. Последнее чревато хищением денег.
— Таким образом может считываться любая персональная информация пользователей, из которой потом формируются большие базы данных для продажи на черном рынке, — говорит собеседник «Известий». — Эти базы покупают теневые покупатели и используют их в самых разных целях.
Кроме того, гаджеты на базе ОС Android могут быть заражены программами-шпионами. Они используются киберпреступниками для того, чтобы получать доступ к перепискам из чатов, электронной почте и даже фотографиям с камеры устройства. Как объясняет Дмитрий Михайлов, зачастую именно так приватные снимки знаменитостей попадают в Сеть. Самым же безобидным следствием использования шпионского ПО может стать точечная настройка контекстной рекламы под конкретного пользователя.
— Риск столкнуться с зараженными гаджетами выше в том случае, если они принадлежат к малоизвестным китайским брендам, — рассказывает Евгений Царев. — Такая электроника в России в основном продается на маркетплейсах. Реализуют ее и мелкие торговые точки, которые, как правило, закупаются на тех же маркетплейсах.
Эксперты отмечают: понять без должных экспертных познаний, заражено ли конкретное умное устройство, весьма непросто. Однако есть ряд признаков, которые должны заставить пользователя насторожиться. К ним Дмитрий Овчинников относит быструю разрядку батареи, излишнее потребление устройством сетевого трафика, а также появление рекламы в неожиданных местах при использовании смартфона.
Если гаджет оказался заражен вредоносным ПО еще на производстве, вся сложность состоит в том, что в такой ситуации не поможет откат к заводским настройкам. По словам Евгения Царева, вылечить такое устройство можно двумя путями. Первый — это поиск и удаление вредоносных файлов из ОС в ручном режиме. Проблема в том, что это непростая задача даже для профессионалов. Второй путь — это полная перепрошивка гаджета, с которой также всё совсем не просто.
— Желательно использовать кастомную прошивку, поскольку оригинальные от данного производителя уже скомпрометированы и им нельзя доверять — по крайней мере, до появления официального релиза с признанием проблемы, — объясняет Дмитрий Овчинников.
Правда, полная перепрошивка умного устройства на низовом уровне не гарантирует, что новая прошивка будет работать стабильно и безопасно. Кроме того, после такой операции владелец гаджета потеряет гарантию от производителя. Возможен и такой вариант, что после перепрошивки устройство просто перестанет работать. Впрочем, по словам Дмитрия Овчинникова, беспокоиться по поводу перепрошивки гаджетов точно не стоит владельцам смарт-часов, умных телевизоров и компонентов для автомобилей на основе ОС Android.
— Производители этих устройств находятся под угрозой из-за использования библиотеки, инфицированной вредоносным ПО, — отмечает специалист. — Однако специалисты Trend Micro в случае с конкретно этими гаджетами не выявили явных опасностей для пользователей, исходящих от «вредоноса».
По мнению экспертов, история с заражением умных устройств на заводах в очередной раз показывает, насколько важна безопасная разработка ПО и прошивок с проверками на всех этапах. Она также служит напоминанием, что при защите инфраструктуры компаний необходим комплексный подход. Что же касается рядовых пользователей, то им Евгений Царев советует приобретать гаджеты с маркировкой ЕАС (евразийское соответствие). Она используется странами Таможенного союза: Россией, Арменией, Белоруссией, Казахстаном и Киргизией.
— Случаи заражения на заводах устройств, прошедших ЕАС, на данный момент не были зафиксированы, — резюмирует собеседник «Известий». — Такую маркировку получают довольно крупные производители, собирающие софт самостоятельно. Кроме того, не стоит забывать и про использование антивируса, который, к сожалению, установлен у крайне ограниченного числа пользователей.
Дмитрий Булгаков