ФСТЭК России не рекомендовала использовать AOSP на объектах КИИ

Яков Шпунт 24 Февраля 2025 - 14:13

Корпорации

Государство

Android

Защита критически важных объектов

Соответствие требованиям регуляторов

Соответствие законодательству РФ

...

ФСТЭК России не рекомендовала использовать AOSP на объектах КИИ

ФСТЭК России в ответ на запрос Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» сообщила, что мобильные операционные системы, основанные на Android Open Source Project (AOSP), несут потенциальные риски при использовании в российских госкорпорациях и на объектах критической информационной инфраструктуры (КИИ).

AOSP представляет собой версию ОС Android с открытым кодом, но без сервисов Google. На ее основе разработаны мобильные операционные системы многих вендоров, включая российские.

В частности, на базе AOSP создана kvadraOS, установленная на планшеты KVADRA_T производства холдинга KVADRA, а также Ред ОС М, код которой, как заявляли разработчики, был существенно переработан.

По мнению ФСТЭК, использование AOSP связано с рядом рисков:

наличие большого количества уязвимостей,
отсутствие технической поддержки AOSP в России,
потенциальные недекларированные возможности,
открытый исходный код проекта.

«Учитывая изложенное, использование операционных систем на базе Android Open Source Project (AOSP) на объектах критической информационной инфраструктуры и в государственных корпорациях считаем нецелесообразным», — говорится в письме, подписанном начальником 8-го управления ФСТЭК России Еленой Торбенко. Текст документа оказался в распоряжении ТАСС.

Глава комитета АРПП по развитию экосистемы российских мобильных продуктов Олег Карпицкий прокомментировал ответ ФСТЭК России:

«Российским компаниям и государственным организациям важно не только избегать уязвимых решений, но и поддерживать развитие отечественных мобильных платформ, способных обеспечить безопасность и соответствие регуляторным требованиям».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 21 Апреля 2025 - 16:49

Android Домашние пользователи Менеджеры паролей Системы аутентификации Парольная защита (пароли)

Телефоны Samsung Galaxy хранят пароли в буфере обмена в открытом виде

В американском сообществе Samsung подняли важную тему: пароли, скопированные из менеджера, сохраняются в буфере обмена в открытом виде, притом навсегда. Отсутствие опции автоудаления истории копипаста создает риски в отношении безопасности данных.

Угроза актуальна для устройств с One UI (на базе Android 9 и выше) — интерфейсом, который Samsung специально разработала для смартфонов и планшетов Galaxy.

Примечательно, что при использовании сторонней клавиатуры вроде Gboard с включенной автоочисткой буфера обмена все, что вы копируете, все равно останется в телефоне.

В ответ на замечание представитель Samsung признал наличие проблемы и пообещал направить фидбэк соответствующей команде разработчиков. В отсутствие адекватного решения пользователям посоветовали удалять содержимое буфера обмена вручную либо использовать безопасный ввод непосредственно из менеджера паролей.

В противном случае злоумышленник, украв разблокированный телефон или заразив его трояном с модулем-клиппером, получит настоящий подарок — собранные в одном месте ключи доступа, банковские данные, адреса криптокошельков, личные сообщения в незашифрованном виде.

Конфиденциальная информация также будет слита разработчикам легитимных приложений, которые в фоне считывают содержимое буфера обмена и отсылают его на свои серверы. Такие случаи нарушения приватности изредка встречаются; в частности, этим некогда грешили соцсети — Reddit, linkedIn, TikTok.