В сфере мобильной безопасности произошел огромный сдвиг: С выходом iOS 17.04 в марте 2024 года компания Apple разрешила пользователям загружать приложения с боковой стороны и использовать сторонние магазины приложений. Это было сделано в основном для того, чтобы соответствовать Закону ЕС о цифровых рынках (DMA). DMA был введен Европейской комиссией, чтобы помочь смягчить доминирование гигантов Кремниевой долины, которых DMA называет "привратниками", на цифровых рынках.
В частности, в DMA говорится, что привратники "должны разрешить и технически обеспечить установку и эффективное использование сторонних программных приложений или магазинов программных приложений, использующих или взаимодействующих с их операционной системой, и разрешить доступ к этим программным приложениям или магазинам программных приложений с помощью средств, отличных от соответствующих услуг основной платформы этого привратника".
С одной стороны, это обеспечивает гибкость для пользователей "яблока", которая, вероятно, будет приветствоваться. С другой стороны, это создает новые риски для этих пользователей, их устройств, а также организаций и частных лиц, к которым они подключены.
Apple уже отмечала, что в прошлом выступала против такой возможности. Компания даже подала иск в европейские суды. В 2021 году Тим Кук, нынешний генеральный директор Apple, отметил, что такой шаг "разрушит безопасность iPhone и многие инициативы по защите конфиденциальности, которые мы встроили в магазин приложений". Каковы бы ни были их опасения, эта возможность была включена в iOS 17.04 в результате принятия закона ЕС о цифровых рынках. Однако это не значит, что они не правы.
Безопасность мобильных приложений зависит от целой экосистемы мер безопасности, которые проходят путь от разработки до производства, от выпуска до магазинов приложений и телефонов клиентов. Боковая загрузка нарушает ключевую часть этой цепи: магазины приложений.
Легальные магазины приложений, такие как Google Play Store или Apple App store, проводят серьезную проверку, чтобы убедиться, что приложения в них безопасны для использования. Эта система не всегда была идеальной, и было несколько случаев, когда вредоносные приложения попадали в магазины приложений, но, тем не менее, она обеспечивает важный знак доверия к приложениям.
Боковая загрузка позволяет обойти эти меры безопасности. Ее могут предложить сторонние магазины приложений, размещающие приложения, которые предоставляют пользователям новые функции.
Однако при этом пользователи мобильных устройств вынуждены делать джейлбрейк своих телефонов, обходя вышеупомянутые меры защиты. Отсюда - целый ряд угроз.
Во-первых, они подвергают себя опасности заражения вредоносным ПО. Сторонние магазины приложений, как известно, наполнены вредоносными приложениями, содержащими вредоносное ПО. Без контроля безопасности магазина приложений и процессов проверки эти приложения могут легко попасть на телефоны ничего не подозревающих пользователей.
Угрозы не только вредоносные, но и совершенно случайные. Магазины приложений предоставляют автоматические официальные обновления, включая исправления безопасности, а приложения, загружаемые с боковой стороны, - нет. Это означает, что такие приложения могут стать вектором атаки, если пользователи не примут соответствующие меры. Учитывая тот факт, что люди часто не ставят исправления самостоятельно, мы должны считать это весьма вероятной возможностью.
Для предприятий отсутствие защиты означает увеличение поверхности атаки, которой могут воспользоваться злоумышленники. Кроме того, непроверенные приложения могут создавать целый ряд рисков для конфиденциальности, если они запрашивают чрезмерные разрешения на мобильном устройстве, что, в свою очередь, может привести к раскрытию конфиденциальных и личных данных. Кроме того, эти приложения могут быть не оптимизированы для устройства, что приведет к сбоям и проблемам с производительностью.
Сильные стороны магазина приложений зависят не только от процесса проверки, но и от способности краудсорсинга обеспечивать качество с помощью обзоров и рейтингов. Приложения с боковой загрузкой часто лишены этого важнейшего компонента магазина приложений.
Обход идет дальше, чем просто магазины приложений. Во многих случаях для установки приложения с боковой загрузкой пользователю приходится делать джейлбрейк своего телефона, изменяя настройки безопасности таким образом, чтобы приложение могло получить разрешения на телефоне. Это включает в себя разрешение на установку и модификацию из неизвестных, потенциально вредоносных источников. Как видите, все это в совокупности создает очень рискованную картину для пользователя мобильного устройства, не говоря уже об организациях и лицах, с которыми он связан.
Цель Закона о цифровых рынках - расширить выбор потребителей при использовании мобильных устройств. Он призван вернуть конкуренцию на европейские цифровые рынки, заставив технологических гигантов открыть свои платформы для более мелких конкурентов. В этом смысле он похож на PSD2 и другие правила открытого банковского обслуживания, которые призваны ослабить контроль крупных учреждений над банковской деятельностью, что позволит повысить конкуренцию и инновации в этом секторе. Открытое банковское обслуживание предоставило нам огромное количество новых продуктов и услуг, и закон о цифровых рынках может привести к такому же расцвету инноваций. Этот шаг, начатый с
82На прошлой неделе многие владельцы телефонов серии Google Pixel 6 (6, 6a, 6 Pro) сообщили, что их устройства "окирпичились" после сброса настроек к заводским.
42Первый портативный компьютер Lenovo наконец-то появился в Индии.
54В грядущей версии программного обеспечения появятся улучшенные функции настройки, Siri, которой вы действительно захотите пользоваться, и многое другое. Вот как протестировать ее до выхода.
46Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии