Армия США при боевых действиях годами использует «дырявые» приложения для Android. Видео
В двух навигационных приложениях, которые используются американскими военными для выполнения миссий, обнаружены серьезные уязвимости. Приложения отображают спутниковые снимки близлежащих объектов и военных частей. Через них можно связаться с другим подразделениям или вызвать удар с воздуха. Все эти данные несколько месяцев были доступны противникам США.
«Дырявые» приложения
Два Android-приложения, которые используются в армии США для отработки сценариев военных операций, содержат серьезные уязвимости. Об этом сообщается в докладе генерального инспектора Военно-морского флота США, пишет ресурс ZDNet.
Речь идет о приложениях KILSWITCH (Kinetic Integrated Low-Cost Software Integrated Tactical Combat Handheld) и APASS (Android Precision Assault Strike Suite). Оба приложения работают как навигаторы, отображая спутниковые снимки близлежащих объектов. В том числе они показывают объекты, которые являются целью той или иной операции, а также расположение вражеских и союзных частей.
Кроме того, в приложениях есть мессенджеры, которые позволяют пользователям общаться в реальном времени, чтобы скоординировать действия различных подразделений. Также через приложения всего несколькими кликами можно вызвать поддержку с воздуха — информация об этом содержится в пресс-релизе Управления перспективных исследовательских проектов Министерства обороны США (DARPA) и сопутствующем видео.
Разработка KILSWITCH и APASS началась в 2012 г., а в 2015 г. они стали доступны всем военным подразделениям США в магазине приложений, которым управляет Национальное агентство геопространственной разведки.
Беззащитная армия
Согласно отчету генерального инспектора ВМС, оба приложения содержат уязвимости, которые дают возможность врагу получить доступ к данным американских военных подразделений. Отчет был подготовлен в марте 2018 г., но обнародован только теперь.
Поскольку документ был отредактирован, в нем не осталось подробностей об уязвимостях. Однако профильные СМИ отмечают, что несомненно одно — ВМС не смогли проконтролировать качество KILSWITCH и APASS, а потом просто не сообщил всей американской армии, в какой опасности она находится как минимум с марта месяца.
Одновременно в отчете предпринимается попытка до некоторой степени оправдать разработчиков приложений. Информационная безопасность не была их основным приоритетом, потому что KILSWITCH и APASS изначально должны были использоваться только для тренировочных военных операций.
Однако, как отмечает генеральный инспектор ВМС, руководство флота не проинструктировало кадровый состав, что эти приложения нельзя использовать в зонах боевых действий, и что вместо них в горячих точках нужно пользоваться тщательно протестированным и одобренным Министерством обороны приложением ATAK (Android Tactical Assault Kit). Такое предупреждение было разослано по армии только в июне 2018 г. К этому следует добавить, что благодаря простому интерфейсу и «быстрым» функциям KILSWITCH и APASS стали очень популярны как в американской армии, так и в дружественных иностранных войсках.
Как были найдены уязвимости
Уязвимости были обнаружены разработчиком Энтони Кимом (Anthony Kim), который ранее принимал участие в создании KILSWITCH, когда работал аналитиком в Научно-исследовательском центре боевого применения морской авиации (NAWCWD). Он нашел уязвимости в марте 2017 г., после чего сразу же обратился к своему непосредственному руководству, но его сообщение было проигнорировано.
Когда аналитик вновь заговорил об уязвимостях, ему прямым текстом посоветовали не бросать тень на частного подрядчика DPSS, который совместно с NAWCWD разрабатывал приложения. Затем, по словам юриста Кима, разработчику уменьшили выплаты, поскольку он продолжил привлекать внимание к проблеме.
Ким не сдался и сообщил об уязвимостях высшему руководству ВМФ по программе информаторов, которая существует в Пентагоне. После этого и была запущена проверка под руководством генерального инспектора. Через месяц после начала проверки руководство Кима отправило аналитика в отпуск, приостановило выплату вознаграждения и закрыло ему доступ к секретной информации. В своем отчете генеральный инспектор ВМФ выражает благодарность осведомителю, своевременные действия которого помогли защитить армию.