Чем опасны операционные системы от Apple и Google

Вестник революции

В мире информационных технологий безопасность пользователей и защита конфиденциальности данных играют ключевую роль, которые во многом зависит от качества и устойчивости к уязвимостям программного обеспечения цифровых продуктов.

В настоящий момент на рынке гаджетов существует несколько различных операционных систем для мобильных устройств. США разработали iOS и Android, Китай — HarmonyOS, в России создана ОС «Аврора».

По объему продаж сегодня лидируют две ведущие системы: Google Android занимает более 70% доли рынка, в то время как доля Apple iOS составляет около 25%.

Код риска

Мобильные устройства используются повсеместно как в личных, так и рабочих целях. Поэтому, говоря о рисках компрометации персональных данных граждан, многие не понимают тех рисков, что связаны с их личными или рабочими устройствами. В руках и гражданина, и сотрудника организации устройство с одной из двух мировых мобильных операционных систем. Обе эти системы создают риски.

Известная большинству пользователей iOS от Apple представляет собой операционную систему с закрытым исходным кодом. Это означает, что устройства, работающие на iOS, полностью контролируются производителем. Уязвимости устройств данного производителя, а также многочисленные ситуации взломов с целью похищения личной или рабочей информации пользователей неоднократно выявлялись службами безопасности крупных компаний и профильными организациями. Еще одна разработка США — это Android, созданная Google аналогичная iOS по функционалу, но за счет отсутствия контроля за устройствами и их «прошивками», пользователи Android также подвержены рискам информационной безопасности не меньше, а может быть, даже больше, чем пользователи продукции Apple.

Операционная система Android базируется на AOSP (Android Open Source Project) — проекте с открытым исходным кодом, полностью контролируемом корпорацией Google. Проект формально является открытым, и любой желающий может ознакомиться с его кодом, однако изменения в репозиторий (хранилище данных) проекта могут вносить только инженеры Google, которые контролируют весь процесс разработки и направление развития проекта.

В последнее время на российском рынке стали появляться мобильные устройства, в которых установлена мобильная ОС, созданная, по заверениям разработчиков, на базе AOSP. Такая мобильная операционная система зачастую позиционируется как российская, поскольку она удовлетворяет формальным требованиям, которые предъявляются к программному обеспечению, претендующему на статус отечественной разработки. Однако «отечественность» таких систем не может не вызывать вопросы — насколько в этих системах решены проблемы с безопасностью «материнского проекта», насколько процесс создания таких систем соответствует российским стандартам безопасной разработки?

При использовании любой импортной ОС для мобильных устройств следует обратить внимание на потенциальные риски мошенничества, связанного с передачей и хранением личной и рабочей информацией на серверах за рубежом. В условиях, когда данные пользователей устройств хранятся на серверах компаний-разработчиков за пределами России, существует возможность злоупотребления этой информацией со стороны госорганов или специальных служб других стран.

Фактически владельцы иностранных программных продуктов имеют возможность продажи или использования этих данных в собственных интересах, к примеру, личные фотографии, видео и переписка пользователей могут попасть в руки третьих лиц и быть использованы мошенниками с разрешения владельцев ОС. Необходимо понимать, что возможности зарубежных компаний фактически безграничны для удаленного доступа к устройствам, вплоть до полного их отключения.

Российский реестр

Несмотря на это, вопрос о создании российской мобильной операционной системы на основе контролируемого корпорацией Google проекта AOSP, так называемого «российского Android», все еще остается открытым.

В октябре 2023 года при Минцифры прошло заседание экспертного совета по программному обеспечению, где обсуждались различные вопросы, в том числе о включении российского программного обеспечения «РЕД ОС М» в реестр. Это программное обеспечение разрабатывается на основе «открытого кода Android». По результатам заседания, «РЕД ОС М» была включена в реестр российского ПО.

Согласно мнению экспертов, данное решение Минцифры означает возможность обычной операционной системы Android с минимальными модификациями претендовать на статус российской операционной системы. Это позволит производителям таких устройств участвовать в государственных тендерах и закупках, продавать свои устройства государственным учреждениям и компаниям.

Такой подход кажется гораздо более экономически эффективным, поскольку не требуется переписывать приложения, уже созданные для Android, ведь они без особых усилий должны работать на «российском Android», а стоимость производства устройств с такой ОС будет ниже по сравнению с разработкой собственной полноценной ОС, ведь не нужна адаптация, в части поддержки «железа» новая версия Android ничем не отличается от оригинала.

Стоит отметить, что коммерческая выгода будет иметь лишь краткосрочную перспективу, связанную в основном с текущими экспертизами и требованиями реестра. Если смотреть в будущее, то куда нас приводит такой подход к разработке отечественных продуктов? Какие мы внутри России создаем компетенции, какие растим кадры? Насколько наша отечественная электроника, оставаясь в экосистеме Android, будет суверенна и конкурентоспособна с китайской, тайваньской или индийской?  (В этих странах Google давно и прочно контролирует все производство устройств). Насколько все это снижает нашу технологическую зависимость? Мы остаемся внутри экосистемы Android, а вместо выхода из зависимости от зарубежных технологий только усугубляем ее, давая зеленый свет на российском рынке, прежде всего на рынке госзакупок, который ориентируется на реестр отечественного ПО.

Почему так происходит? По мнению экспертов рынка, в рамках требований, представляемых для попадания в реестр на сегодняшний день, при использовании продукта с открытым исходным кодом с «разрешительной» лицензией, такой как BSD, MIT или Apache 2.0 в качестве основы, можно просто внести небольшие изменения, например, изменить название и копирайт.

Далее достаточно издать документы, подтверждающие факт начала создания ПО, — приказ о начале разработки, ТЗ, служебное задание, затем в течение 6 месяцев оформить документы, подтверждающие факт завершения создания ПО — приказ о завершении разработки, приказ о запуске в эксплуатацию ПО и карточку учета нематериальных активов.

Затем следует подача заявки в реестр для правомерного введения продукта в гражданский оборот. В соответствии с действующими нормами законодательства, данный алгоритм попадания в реестр юридически допустим и не относится исключительно к сфере ответственности Минцифры России.

Важно отметить, что с момента признания отечественной «Ред ОС М» в реестре обнаружено достаточное количество вариаций Android, как уже включенных в Реестр, так в числе заявок, ожидающих рассмотрение экспертами. Результат такого рассмотрения при выполнении ряда формальных требований, как было сказано выше, фактически предрешен, и нас очень скоро ждут не просто десятки мобильных операционных систем в статусе отечественного ПО, мы увидим устройства на базе этой, уже российской ОС, в закупках госкомпаний и госорганов. Возможно, сейчас самое время изменить критерии, по которым такое ПО попадает в реестр, или сам реестр разделить на несколько категорий, введя дополнительные требования к процессу разработки, наличию сертификатов регуляторов, возможно, нам стоит подключить к этому вопросу и Роспатент, а также внести изменения в процесс подтверждения и оформления прав на интеллектуальную собственность модифицированного открытого ПО.

Как же суверенитет?

Решение этой проблемы является ключом разработки полноценной российской операционной системы и национальной мобильной среды вокруг нее.

Использование AOSP, на первый взгляд, представляется более безопасным в сравнении с другими разработками, как iOS и коммерческим Android, в который включены сервисы Google, однако оно сохраняет условия зависимости от иностранных технологий и может ограничивать контроль над защитой данных, а также отечественное инновационное развитие в мобильной отрасли.

Для достижения долгосрочной технологической и экономической независимости требуется развитие полноценной российской ОС, которая будет обеспечивать необходимый уровень безопасности и защиты, а также позволит создать в России основу для инновационного развития отрасли, не завтра, но в обозримом будущем.

Проверка Минцифры

«Ростелеком» направил в экспертный совет при Минцифры жалобу на включение в реестр отечественного ПО мобильной ОС «Ред ОС М» в связи с опасениями относительно использования «закладок» американских разработчиков в открытом коде AOSP, которые могут представлять угрозу безопасности устройств.

Минцифры подтвердило получение жалобы от Ростелекома, и она находится на рассмотрении. В настоящее время ведомство проводит проверку платформы для смартфонов «Ред ОС М» с целью обнаружения возможных «закладок» и угроз безопасности.

Отечественное решение

Серверы ОС «Аврора», на которых хранится основная информация для передачи данных, «прикреплены» к организациям-пользователям, в связи с чем есть понимание четкого физического контроля над ними.

Технологии «Авроры» обладают повышенной устойчивостью к угрозам и кибератакам. ОС разработана с учетом современных методов безопасности и обладает защитной системой для обмена и хранения данных.

Также операционная система создана с использованием внутренних отечественных технологий и профессиональных навыков российских разработчиков, что позволяет сформировать доверенную экосистему, основанную на национальных стандартах и решениях, способствующих укреплению национальной безопасности.

ОС «Аврора» является одним из немногих имеющихся на сегодняшний день отечественных решений, которая действительно может конкурировать на равных с западными разработками в корпоративном сегменте, а в будущем, возможно, и на потребительском рынке. Разработчики продолжают вести активную работу над функциональным развитием операционной системы.

В декабре этого года состоялась презентация пятой версии «Авроры», в ходе которой было представлено множество изменений, направленных на повышение удобства использования устройств, улучшение функций и возможностей ОС.

Обновленная версия учитывает необходимые доработки, отмеченные мной в ходе тестирования гаджетов на базе предыдущей ОС — представлена возможность установки мессенджеров, которые часто используются для общения, банковских приложений и других нужных социальных сервисов.