Последствия безопасности Windows Phone 7

Введение

Новая мобильная операционная система Microsoft, Windows Phone 7, уже здесь. Выпущенный с большой помпой, он получил похвалу за свой инновационный интерфейс — но как насчет безопасности? Очевидно, что Microsoft рассчитывает, что телефон понравится бизнес-рынку и легко интегрируется в корпоративные сети. Отвечает ли он строгим требованиям безопасности корпоративных сетей?

Проблемы с безопасностью

Устройства Windows Phone 7 имеют те же проблемы с безопасностью, что и большинство современных мобильных устройств. По мере того, как смартфоны становятся все более распространенными, злоумышленники начинают использовать их как средство доступа к данным, хранящимся на самих телефонах, и как вектор для получения доступа к корпоративной сети и/или внедрения в нее вирусов и вредоносных программ. Телефоны должны быть защищены как от вторжения через сеть (включая сети 3G/4G, сети Wi-Fi и даже Bluetooth-подключения на короткие расстояния), так и от прямого доступа к данным на устройстве, если оно утеряны или украдены или иным образом попали в чужие руки.

Одна проблема, которая более уникальна для WP7, заключается в том, что, хотя существует множество сторонних приложений безопасности для старых Windows Mobile, iPhone, Android и Blackberry — операционных систем для смартфонов, которые существуют уже некоторое время — WP7 настолько нов, что еще не было Тем не менее, пришло время для разработки сторонней экосистемы безопасности для платформы. Это означает, что для первых пользователей безопасность, встроенная Microsoft в WP7, еще важнее.

Проверка приложений

Преимущество всех приложений, которые должны пройти через Windows Marketplace, заключается в том, что они были протестированы и подписаны цифровой подписью, и вы можете быть уверены, что они не были подделаны до того, как будут доставлены вам. Это, конечно же, та же модель, что и в Apple App Store. «Боковая загрузка» приложений из-за пределов Marketplace не допускается, что устраняет или, по крайней мере, значительно снижает вероятность установки небезопасных приложений, которые подвергают риску ваш телефон и сети, к которым он подключается.

Изоляция приложений

Разработчики используют платформу Silverlight для написания приложений для устройств Windows Phone 7. Windows Phone 7 включает в себя множество функций, таких как аппаратное ускорение видео, мультитач, определение местоположения, датчик движения (акселерометр), камера и микрофон и т. д., которые могут быть использованы вредоносным кодом. К счастью, Silverlight разработан с учетом требований безопасности. Концепция песочницы используется для создания среды, в которой приложения имеют ограниченные привилегии и не имеют доступа к файловой системе, другим приложениям и системным ресурсам, которые могут быть использованы злоумышленниками.

Каждое приложение работает в своей индивидуальной песочнице. Когда для работы приложения требуется доступ к функциям телефона, разработчики не могут вызывать их напрямую, а должны использовать API, которые называются средствами запуска и выбора. Средства запуска вызывают встроенные приложения, которые не возвращают никаких данных вызывающему их приложению. Селекторы вызывают встроенные приложения, которые возвращают данные вызывающему приложению. Подробнее о лаунчерах и селекторах можно прочитать здесь.

Новая мобильная версия Internet Explorer также изолирована от приложений и не может запускать код с веб-сайтов, что сводит к минимуму риск веб-вредоносного ПО.

Изоляция хранилища

Изоляция хранилища — это то, что уже было частью Silverlight. Каждое приложение также имеет свою собственную локальную область хранения на телефоне, которая полностью изолирована от данных, хранящихся в других приложениях. Приложение хранит свои настройки и пользовательские данные в этой «огороженной» области, и приложениям не разрешается сохранять данные в любом другом месте файловой системы.

Шифрование данных

Хотя изоляция хранилища теоретически защищает данные, хранящиеся в приложении WP7, от доступа любого другого приложения (включая вредоносные программы), безопасность всегда должна быть многоуровневой, а любые конфиденциальные данные, которые вы храните на телефоне, должны быть зашифрованы. Операционная система Windows Phone 7 поддерживает множество криптографических методов, включая AES, SHA1 и SHA256, HMACSHA1 и HMACSHA256 и другие. К сожалению, в ОС нет встроенного автоматического управления ключами или способа безопасного хранения ваших паролей. Это означает, что вы не должны хранить свои пароли на телефоне, вместо этого вам нужно будет вводить их каждый раз, когда вы шифруете или расшифровываете данные.

В этом сообщении блога (предназначенном для разработчиков) объясняется, как шифровать данные на устройстве Windows Phone 7.

Конечно, еще один способ защитить данные — хранить их не на самом телефоне, а на защищенном сервере, к которому вы можете получить доступ с телефона. Однако это подвергает данные угрозам безопасности во время их передачи. Таким образом, также важно защитить данные во время их передачи. Windows Phone 7 защищает данные при передаче с помощью SSL как при передаче данных через Интернет с помощью телефонной версии Internet Explorer, так и при вызове веб-служб из приложения Silverlight. Используется 128-битное или 256-битное шифрование в зависимости от подключения к серверу.

Инструменты безопасности Silverlight

В дополнение к механизмам безопасности, встроенным в ОС Windows Phone 7, разработчики могут использовать инструменты безопасности Silverlight, предоставляемые Microsoft, для создания безопасных приложений. К ним относятся пространства имен System.Security, управляющие системой безопасности.NET и разрешениями. Эти пространства имен.NET включают:

• System.Security.Principal: определяет основной объект, представляющий код контекста безопасности, в котором выполняется.
  
• System.Security.Permissions: классы обеспечивают управление доступом к операциям и ресурсам на основе политик.
  
• System.Security.Cryptography: предоставляет криптографические услуги, такие как хеширование, генерация случайных чисел, аутентификация сообщений, а также шифрование и дешифрование данных.

Подробнее о защите приложений на базе Silverlight можно узнать здесь.

Безопасность Exchange ActiveSync

Интеграция Windows Phone 7 с Exchange — основная причина, по которой предприятия рассматривают возможность ее внедрения. WP7 включает Exchange ActiveSync (EAS) версии 14.0, который позволяет администраторам контролировать аспекты безопасности устройств Windows Phone 7 в своих сетях, применяя политики безопасности. Например:

• Вы можете потребовать, чтобы пользователи устанавливали PIN-код, который необходимо вводить для синхронизации почты, контактов и календаря с сервером Exchange.
  
• Вы можете установить политику, в соответствии с которой срок действия ПИН-кода истечет через указанный период.
  
• Вы можете установить политику, запрещающую повторное использование одного и того же PIN-кода или использование простого PIN-кода, например 1111.
  
• Вы можете указать минимальное количество символов для PIN-кода.
  
• Вы можете установить политику, определяющую продолжительность периода простоя, по истечении которого телефон автоматически блокируется.
  
• Вы можете установить количество неправильных PIN-кодов, которые можно ввести подряд, после чего телефон сотрет свои данные и вернется к заводским настройкам по умолчанию.

В дополнение к автоматической очистке администратор Exchange или сам пользователь может удаленно стереть данные с устройства с помощью Outlook Web App.

Синхронизация Zune

Помимо синхронизации данных Exchange через ActiveSync, пользователи могут синхронизировать свои медиафайлы (музыку, фотографии и видео) с помощью программного обеспечения Zune, установленного на их ПК. Microsoft считает это функцией безопасности, поскольку приложение Zune не предоставляет доступ к файловой системе (как это делает Центр устройств Windows Mobile для телефонов Windows Mobile).

Тем не менее, это также сильно раздражает бывших пользователей WinMo, которые хотят иметь возможность просматривать файловую систему телефона в проводнике Windows и перетаскивать файлы, как они привыкли делать, и в течение нескольких дней после запуска WP7, инструкции были доступны в Интернете для редактирования реестра на вашем компьютере, что позволит вам смонтировать телефон, чтобы он отображался как портативное запоминающее устройство (как это делает телефон Android), когда вы подключаете его к компьютеру через USB. Вы можете найти эти инструкции здесь.

Отсутствие поддержки съемных носителей

Еще одним серьезным неудобством для поклонников WinMo и Android, которое Microsoft позиционирует как средство безопасности, является отсутствие в WP7 поддержки съемных карт памяти. В некоторых устройствах используются карты microSD; однако WP7 «привязывает» карту к телефону с помощью 128-битного ключа, так что доступ к содержимому карты будет невозможен, если вы извлечете карту из телефона. Таким образом, карту нельзя использовать в другом телефоне, ПК или мультимедийном ридере.

Резюме

Windows Phone 7 была разработана как для обычных, так и для бизнес-пользователей, и поэтому должна балансировать между удобством использования и безопасностью. Microsoft включила ряд встроенных функций безопасности и упростила для разработчиков встраивание дополнительной безопасности в приложения, которые они разрабатывают для WP7, с помощью инструментов безопасности Silverlight. В настоящее время нет поддержки защиты буквенно-цифровым паролем или полного шифрования устройства хранимых данных, но это версия 1, и ожидается, что функции безопасности, наряду с другими функциями, будут добавлены в будущих версиях. Между тем, пользователи обнаружат, что некоторые из «функций безопасности» мешают производительности и/или удобству использования, а некоторые из них могут быть довольно легко преодолены знающим пользователем. Тем не менее, Microsoft сделала хороший старт в создании телефона, достаточно простого для потребителей и достаточно безопасного для бизнеса.