С точки зрения ИБ самым неприятным, на мой взгляд, в практике BYOD (использование персональных мобильных устройств на работе) является многообразие версий применяемых мобильных операционных систем.

Обновление Android

Недавно Google выпустила сентябрьский отчет об установленных версиях Android. Выглядит это следующим образом: 2.2 (Froyo) — 0,2%, 2.3.3–2.3.7 (Gingerbread) — 4,1%, 4.0.3–4.0.4 (Ice Cream Sandwich) — 3,7%, 4.1.x (Jelly Bean) −12,1%, 4.2.x — 15,2%, 4.3 — 4,5%, 4.4 (KitKat) — 39,2%, 5.0 (Lollipop) — 15,9%, 5.1 — 5,1%.

Как совсем не сложно заметить, процент устройств, работающих под устаревшими версиями Android, составляет 79% и только 21% работает под относительно новыми версиями ОС. Отсюда следует сделать вывод, что огромное количество Android-устройств просто не обновляется, а, следовательно, содержит ужасающее число уязвимостей, которыми успешно пользуются злоумышленники. Если посмотреть на статистику внимательнее, то можно увидеть, что все же положение начинает медленно исправляться. В апреле доля версии 5.0 Lollipop составляла 5,0%, а сегодня уже 15,9%. Это радует, хотя, безусловно, темпы распространения новых версий могли бы быть повыше.

Но может быть, работа на устаревших версиях ОС характерна только для Android? Ах, если б это было так.

Обновление iPhone

Как оказалось, эта же проблема характерна и для iOS. И если в Android это в большей степени вина производителей устройств, то в iPhone, пожалуй, больше всего виноваты владельцы устройств, ведь сообщения о наличии обновлений iOS они получают регулярно.

Согласно исследованию компании Labs Duo, проведенному в 150 странах мира, приблизительно половина пользователей iPhone сегодня используют устаревшие версии iOS на своих устройствах. Так, версия iOS 8.3, выпущенная в апреле 2015-го, и более младшие версии оставляют неисправленными несколько сотен уязвимостей, включая Ins0mnia, которую атакующие могут использовать для тайного хищения данных со смартфонов, на которых установлены скрытые приложения.

Несмотря на то, что выпуск iOS 8.4.1 закрыл более 70 задокументированных критических уязвимостей, включая Ins0mnia и Quicksand, только 9% устройств были обновлены до этой версии. 31% iPhone все еще используют iOS 8.2 или еще более старые версии iOS. Это означает, что на них до сих пор не установлены обновления, которые закрыли бы более 160 известных критических уязвимостей.

Согласно исследованию Labs Duo, из более чем 700 млн. iPhone, выпущенных Apple с 2008 г., около 20 млн. еще могут использоваться, но не могут быть обновлены до текущих версий iOS. А ведь это тысячи уязвимостей различной степени серьезности.

Необходимо понимать, что сегодня персональные смартфоны — это фактически корпоративные устройства, особенно в свете BYOD. А это означает, что несвоевременное обновление мобильных ОС может существенно увеличить ИБ-риски ваших компаний.

Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.

Версия для печати