Блог им. positivetechnologies

Почему многие рекомендуют запретить обновления программного обеспечения

В начале марта после ухудшения геополитической ситуации некоторые компании стали рассылать своим сотрудникам письма с рекомендацией отключить функцию автоматического обновления программного обеспечения и приложений на смартфонах и планшетах.

Почему многие рекомендуют запретить обновления программного обеспечения

В частности, X5 Group отправила предупреждение, что в регулярные обновления устройств и приложений из-за санкций может быть включен функционал блокировки. К письму прилагались инструкции по отключению обновлений на соответствующих устройствах. Затем похожие рекомендации стали распространять пользователи в соцсетях.

Недавно история с отказом от обновлений получила неожиданное продолжение. Сбербанк порекомендовал россиянам временно не обновлять программное обеспечение в связи с возрастанием рисков заражения устройств. В заявлении банка говорится, что в последнее время участились случаи внедрения в свободно распространяемое программное обеспечение провокационного медиаконтента.

Представители Сбера утверждают, что в свободно распространяемые библиотеки, используемые для разработки программного обеспечения, может быть встроен сторонний контент, а также вредоносный код. Использование такого ПО способно привести к заражению личных и корпоративных компьютеров, а также ИТ-инфраструктуры.

Поэтому Сбербанк рекомендует пользователям не обновлять программное обеспечение, а разработчиков просит усилить контроль за использованием внешнего исходного кода. Если без обновления устройств никак не обойтись, Сбербанк советует проверять все скачанные файлы антивирусом.

Давайте разберемся, стоит ли отключать автоматические обновления, и спасут ли подобные действия ваши устройства от блокировки и заражения.

Напомним, что как в айфонах, так и в Android-смартфонах имеются возможности для удаленной блокировки украденных устройств. Функции «Find my iPhone» и «Найти мой телефон» позволяют заблокировать смартфоны по команде извне. К сожалению, отключение автоматических обновлений в данном случае пользователям не поможет, так как возможность удаленной блокировки устройства – это встроенный функционал, от обновлений не зависящий. Единственным выходом для пользователя, опасающегося блокировки, может стать полное отключение устройства от интернета. Хотя в некоторых случаях даже такое радикальное решение не спасет — у iPhone невозможно отключить Wi-Fi, через определенный интервал времени он включается самостоятельно.

Будем надеяться, что Apple и Google не решатся на блокировку смартфонов россиян, хотя такая техническая возможность у компаний имеется.

Не стоит также забывать, что вместе с обновлениями разработчики выпускают исправления для уязвимостей. Отказываясь от апгрейдов, вы подвергаете свое устройство риску заражения. В магазинах приложений обновления постоянно модерируются и вероятность того, что в магазин попадет приложение с вредоносной начинкой, относительно мала. Правда, иногда и такое случается.

На днях стало известно о нескольких случаях,  когда зарубежные разработчики встраивали в открытое программное обеспечение или через магазины App Store и Google Play, вредоносный функционал, который срабатывал, если программа запускалась на территории России или Белоруссии.

Тем не менее обычным пользователям отключать обновления ПО мы все-таки не рекомендуем. Риски заражения из-за неисправленных уязвимостей вследствие отсутствия обновлений значительно превышают риски заражения при установке “вредоносного” апгрейда.

Однако корпорациям, использующих иностранные ИТ-решения, к установке обновлений следует подойти с особой осторожностью. Как ранее сообщалось, из-за ухода иностранных поставщиков кибербез-продукции с российского рынка многие решения безопасности превратились в “кирпич”.

Например, все российские клиенты, доверившие защиту своего бизнеса продукции Cisco, были поставлены перед фактом, что через 24 часа их ИТ-инфраструктура может полностью или частично прекратить свое функционирование. В такой ситуации при полном запрете обновлений появлялся шанс продлить работу на период от 30 до 90 дней.

Также следует понимать, что блокировка обновлений — это лишь промежуточное решение, дающее возможность смягчить последствия и выиграть время, которое потребуется компаниям для перехода на российскую кибербез-продукцию.

★1
41 комментарий
Я обновления давно и везде отключил. Обычно ничего хорошего в них нет.
avatar
Султанбек, я в ручную обновляю.
если б знал заранее в какое Г превратит Альфа своё приложение, не обновлял бы с 2020го
Николай Помещенко, они за это время могли поменять протоколы и то приложение 2020го просто бы не работало. В теории.
avatar
Уже лет 10-15 отключаю все обновления везде. Но они, суки, лезут и лезут. Я уже ставлю файрволл на файрволл, чтоб они в обход себя не обновлялись.
avatar

Понакупят всякой ерунды...

На ноуте Linux, на телефоне — Symbian .

Ващепофиг.

Zhenya_Bazarov, Линукс — не панацея, к сожалению.
avatar

Максим, не панацея, конечно, но хотя бы контролируемая.

в отличии от.

 

Zhenya_Bazarov, вот иллюзия контроля только ослабляет бдительность. Вы же не проводили аудит всех исходников вашего софта? В статье ссылка как раз на довольно яркий свежий случай с node-ipc. Я чтоб хоть как-то понизить риски, прикрутил AppArmor. Пока не кастомизировал, правда 
avatar
Максим, все качают софт с одних и тех же репозиториев, как вы представляете себе возможность внедрить вредоносный код только для пользователей из РФ?
Причём для совсем уж осторожных можно настроить скачивание из репозиториев не в РФ и делать это через VPN, но как по мне так это уже глупость.
avatar
Eridanoy, видимо вы не читали вышеупомянутую ссылку и не в курсе ситуации с node-ipc. Рассказываю.

node-ipc www.npmjs.com/package/node-ipc — это пакет, который имеет миллион (миллион) скачиваний в неделю. Его автор единолично внёс изменения и выпустил релиз на npmjs. Суть изменений в следующем — обфусцированный код обращается к внешней службе, которая сообщает в какой стране находится обратившийся. Если страна Россия или Белоруссия, то от текущей директории, родительской и от корня содержимое файлов затирается на сердечко. Следом он видимо понял чего наделал и попытался замести следы, утверждал будто ничего такого не было, но интернет всё помнит. И тут VPN нужен будет не только на момент скачивания, но и при работе.
avatar
Максим, обнаружили и удалили эту версию пакета? Я допускаю подобные возможности, хотя нечто подобное на винде или яблоке сделать проще. С другой стороны зачем разработчику такое, после подобного не думаю что с ним будут сотрудничать.
avatar
Eridanoy, написал же — он сам удалил. Судя по обновлению в ридми, к нему и копы приходили. Теперь он весь хлам вынес в новый пакет peacenotwar, который хотя бы не деструктивный.

Зачем ему это — не знаю. Вряд ли он вообще хорошо подумал что делает. Эмоции.

Про сотрудничество только звучит просто, это ж должен кто-то взять и форкнуть его проекты, да ещё и развивать-поддерживать их потом. У этого перца не только node-ipc.

Я ответил на вопрос как можно внедрить в публичный репо вредонос только для РФ?
avatar
Максим, внедрить можно вредоносный код в любой пакет, вопрос зачем и всё равно это вылезет. Даже мелкомягким не думаю что выгодно как-то нас ограничивать потому что зачем нужна операционка которую тебе в любой момент могут заблокировать либо стереть все данные с компа? Зачем им увеличивать количество пользователей линукс или яблока?
avatar
Eridanoy, если (тьфу-тьфу-тьфу) какой-то зловред попортит ваши файлы, это именно те вопросы, которые вас будут интересовать? Ваше право. Мне больше интересно как снизить риски, признавая, что опенсорс вполне уязвим.
avatar
Максим, речь о том что менее подвержен политическим решениям чем продукция мелкомягких.
avatar
Без обновления труба становится весьма уязвимой.
avatar
Bazilius, откуда инфа?
avatar
Andrey, оттуда, что в новых версиях устраняются найденые уязвимости, а в старых они мало того что остаются, так ещё и зачастую публикуются и могут быть любым школьником использованы.
avatar
felidae, есть миллиард тв приставок, которые работают на стареньком андроиде 4+ и ничего с ними не происходит
avatar
Boober, это всё великолепно пока они сидят за роутерами и на них целенаправленно не производятся атаки. Судя по сливам данных из российских компаний, сейчас кокрастыке(sic) то самое время, когда количество атак может возрасти кратно и то, что не представляло финансового интереса раньше, будет использовано с другими целями.

Так-то можно сейчас себе поставить win95 и пользоваться спокойно, не боясь пингфлада, но стоит злоумышленнику узнать об этом — произойдёт DoS.
avatar
Andrey, потому что так и есть. Это все равно что на высказывание «существуют разнообразные вирусы для различных устройств» спросить «откуда инфа, что они есть?»
Дыры в безопасности и уязвимости есть даже в самых надежных системах, периодически их находят хакеры используют эти дыры в своих вирусах. Обновления на то и нужны, чтобы эти уязвимости прикрыть.
avatar
Andrey, от меня, 25 лет в информационной безопасности, кое что соображаю.
avatar
Bazilius, с чего это.
дадашов фархад, ну вот так получилось, Мало того, лет 20 раскрывал преступления в сфере информационных технологий))) Так сложилось. Первую программу написал на бейсике в 1986 году в 6 лет))). Комп у меня тогда появился — электроника МС5085
avatar

Джумлу на сайте приходилось обновлять. Взламывали, гады. Обновления закрывали уязвимости, нет сомнений.

 

Винду, с тех пор как перестал пользоваться пиратскими, обновлял. Ничего плохого не было до появления 10-й. Там через обновления попер настырный, непрерывный спам этой самой «10-ки». Я тогда приXYел маленько. Такого наглого напора себе ни Герболайфы, ни пылесосы, ни чудо-ножи себе не позволяли. «Мы хотим Вам установить Windows 10, уже скачали 10 гиг, хотите установить сейчас (Да/Есть/Так точно)

 

Сейчас на всех трех компах дома — «Семерка», обновления к ней уже давно не работают. Живу, горя не знаю, тьфу-тьфу-тьфу. На телефоне, кстати, обновления тоже перестали работать года 3-4 назад (Lenovo, покупал в 2016-м, кажется). Там другая история: купил совершенно официально, в салоне («Связной», кажется). Через пару месяцев выяснилось, что аппарат китайский б/ушный, затрояненный. Пролечил в СЦ, но обновления перестали устанавливаться. И хрен с ними. Тоже, тьфу-тьфу-тьфу, все ОК.

avatar
боюсь обновлять Brawl Stars, ведь Supercell заявил, что россиянам в их стрелялки не положено играть((
Николай Помещенко, правильно боитесь. Известны случаи, когда уже оплаченные игры удалялись с устройств пользователей https://gamemag.ru/news/165376/ghostwire-ps5-russia

Советуем не только не обновлять, но и перекрыть доступ в интернет к играм, которые могут быть заблокированы

avatar
positivetechnologies, так это онлайн игра:)
Была история, когда гугл раздали разработчикам еще не вышедшие модели пикселей. Украинские разработчики продали их российским блоггерам, те начали пилить видосики и статьи разные про новый пиксель… ну и гугл заблокировал их все, без каких либо обновлений и пр… Так что пока телефон коннектится к инету, его могут залочить.
avatar
Алексей, да, все верно. Для удаленной блокировки телефона можно обойтись без обновлений. Apple и Google достаточно активировать встроенную функцию  и любой подключенный к интернету телефон будет заблокирован.
avatar
Вот я бы еще задумался, если бы не Сбер это заявлял. Его приложения, как и сам сбер еще те вирусные вредоносные коды… только от одного веса сбер банка можно задуматься, какого вы туда напихали то плять??? и ведь с каждым обновлением он всё больше и больше весит, а при распаковке так вообще я молчу (и нет, я не жадный на телефон или память. нет меры у сбера)
avatar
Sheronoff, потому что молодым программерам по всему миру сказали что всякие эти новомодные языки и фреймворки это круто а на самом деле црушники через гуглятину разных видов продавили в массу по сути программные закладки. Это как у нас агрохолдинги вроде отечественные а семенной материал весь импортный.
avatar
не понимаю почему российские разработчики просят не обновлять свое же ПО. Может им просто тупо не выпускать обновления тогда? Никто обновляться и не сможет.
avatar
Алексей Андреев, пользователей просят не обновлять приложения, в которые иностранные разработчики могут внедрить вредоносный код. Российских разработчиков просят проверять исходный код, взятый из открытых библиотек, который потенциально могли заразить иностранные разработчики 
avatar
>>были поставлены перед фактом, что через 24 часа их ИТ-инфраструктура может полностью или частично прекратить свое функционирование.

Ничего такого не было.
Валерий Крылов, к сожалению, было( Все российские клиенты Cisco были проинформированы, что в  течении 24 часов будут отключены от смарт-аккаунтов. После отключения переставала работать та часть инфраструктуры, которая была них завязана. https://t.me/true_secator/2699 Ростелеком срочно выпустил инструкции по продлению работы оборудования Cisco https://t.me/SecLabNews/11697
avatar
Они заблокировали учетки CSA. Не все оборудование их использует. Т.е. это коснется только того оборудования, которому нужен онлайн доступ к CSA (типа обновления баз, онлайн лицензирования и тп.).
Лучший друг твоей девушки, мы тоже надеемся, что Apple и Google не пойдут на блокировку смартфонов россиян, но такой риск существует, и мы должны быть к нему готовы.
avatar
Яблоко с гуглом решили часть своего рынка китайским производителям подарить и это в условиях кризиса? Гениальное решение, впрочем после того что делает Европа я уже ничему не удивлюсь.
avatar

теги блога positivetechnologies

....все тэги



UPDONW
Новый дизайн