24 Февраля 2025 17:11 24 Фев 2025 17:11 |

Поделиться

ФСТЭК выступила против использования AOSP-систем в государственном секторе из-за угроз кибербезопасности

Ограничить использование

Сотрудники Федеральной службы по техническому и экспортному контролю (ФСТЭК) сочли, что выстроенные на Android Open Source Project (AOSP) мобильные операционные системы (ОС) несут риски, если применять их в российских государственных корпорациях и на объектах критической информационной инфраструктуры (КИИ). Это следует из ответа ФСТЭК на запрос Ассоциации разработчиков программных продуктов «Отечественный софт».

Риски сотрудниками ФСТЭК объясняются уязвимостями AOSP-систем. Существует и ряд других причин. К примеру, отсутствие технической поддержки AOSP в России, недекларированные функции, а также открытый исходный код проекта.

«Учитывая изложенное, использование ОС на базе AOSP на объектах КИИ и в государственных корпорациях считаем нецелесообразным», — сказала начальник восьмого управления ФСТЭК России Елена Торбенко.

Федеральная служба по техническому и экспортному контролю (ФСТЭК) проводит процедуру сертификации при необходимости подтверждения соответствия разрабатываемого софта требованиям защиты персональных данных. Аттестация ФСТЭК регулирует работу не только разработчиков программного обеспечения, но и всех компаний, которые работают с конфиденциальной информацией.

AOSP представляет собой ОС с открытым исходным кодом, на ее основе создан ОС Android. Она может рассматриваться как «голая» версия ОС, без встроенных приложений и ИТ-сервисов Google, которые могут быть добавлены по лицензии. AOSP позволяет любому разрабатывать собственные версии Android, и на ее основе созданы популярные модификации, такие как HyperOS от Xiaomi и MIUI. Однако некоторые проекты, такие как новая ОС Huawei — HarmonyOS Next, больше не используют ИТ-компоненты от AOSP.

По информации ТАСС, развитие российских мобильных операционок надо ускорять - этот вывод в позиции ФСТЭК увидел глава комитета Ассоциации разработчиков программных продуктов (АРПП) по развитию экосистемы российских мобильных продуктов Олег Карпицкий. «Российским компаниям и государственным организациям важно не просто избегать уязвимых ИТ-решений, но и поддерживать развитие отечественных мобильных ИТ-платформ, способных обеспечить безопасность и соответствие регуляторным требованиям», — рассказал Карпицкий.

Ранее представители «Отечественного софта» предложили ФСТЭК описать критерии доверенности мобильных ОС на базе AOSP-систем и предназначенных для объектов КИИ и государственных корпораций, о чем писал РБК. ФСТЭК же в своем ответе сослалась на действующие требования по безопасности информации — использование ОС, согласно требованиям, должно соответствовать установленным уровням доверия.

Проблемы в безопасности

В 2024 г. эксперты по безопасности выявили уязвимость в каждом четвертом приложении на базе ОС Android, писали «Известия». Их нашли в библиотеке Android Jetpack, которая содержит ИТ-инструменты для создания программ от Google.

Библиотека Android Jetpack Navigation помогает разработчикам работать с интерфейсом приложения, а также облегчает процесс создания структуры навигации внутри программы. Найденная уязвимость позволяет открывать фрагменты внутри приложения и передать в него любые данные.

По словам генеральный директор «Альфа системс» Игоря Смирнова, подобная уязвимость может подвергнуть миллионы пользователей угрозе. «Разработчикам пора серьезно задуматься о безопасности своих приложений. Уязвимость может привести к манипуляциям с функционалом и даже к установке вредоносного ПО», — сказал он.

Универсальный Android

Проект AOSP, поддерживаемый Google, имеет открытый исходным код, его может скачать, скомпилировать и установить себе кто угодно, но в нем нет: синхронизации данных; возможностей тонкой настройки ИТ-системы; голосового поиска; некоторых дополнительных ИТ-сервисов. Программисты Google курирует его общее направление и основную часть разработки проекта. AOSP регулярно обновляется и включает в себя последние исправления ошибок и патчи безопасности для Android.

AOSP часто путают со стандартным Android, хотя на самом деле AOSP является лишь его основой. Все приложения в AOSP нужно ставить из сторонних источников или закачивать на телефон самостоятельно в виде файлов. А еще эта сборка не покажет самые быстрые результаты работы на телефоне — для этого нужно оптимизировать софт под конкретное железо.

В AOSP впервые появляется «лончер» т.е. программа, которая отвечает за графический интерфейс: иконки, рабочий стол, уведомления, панель настроек и переключение между приложениями.

Антон Денисенко

Поделиться

Подписаться на новости Короткая ссылка