Внедрение DMA ослабляет защиту мобильных платформ и увеличивает риски вторжений

Центр политики и права в области кибербезопасности опубликовал аналитический документ, в котором рассматриваются последствия вступления в силу Закона ЕС о цифровых рынках (DMA) для мобильной безопасности. Авторы отчета говорят, что открытие внутренних функций операционных систем, продвигаемое европейским законодательством, может нарушить архитектурные основы защиты мобильных устройств и спровоцировать рост уязвимостей.

По требованиям DMA, крупнейшие поставщики мобильных платформ должны предоставить сторонним разработчикам равный доступ к функциональности, ранее зарезервированной для собственных системных компонентов.

Это затрагивает аппаратные элементы, низкоуровневые интерфейсы и сервисы управления, которые были изначально встроены в операционные системы без расчёта на внешний доступ. Документ фиксирует, что подобное расширение доступа создаёт условия для появления новых точек входа и потенциального обхода защитных механизмов.

Одной из наиболее серьёзных угроз в отчёте названы риски, связанные с целостностью доверенной среды.

Мобильные ОС, как правило, ограничивают прямое взаимодействие с памятью и аппаратными компонентами, поскольку эти области используются для выполнения критических операций — например, верификации команд, обработки биометрии, защиты ключей. Расширение доступа к этим сегментам, даже при соблюдении формальных разрешений, повышает вероятность утечек и несанкционированного вмешательства.

Примеры, приведённые в документе, демонстрируют, как скрытые интерфейсы и слабые места в проектировании могут использоваться для установки шпионского ПО. В частности, упоминается использование скрытых API и функций доступности в Android, которые в прошлом уже применялись для перехвата сообщений, сбора паролей и обхода контроля. В случае, если DMA приведёт к ослаблению или обходу текущих систем разрешений, аналогичные сценарии могут повториться на более широком уровне.

Особую тревогу вызывает возможность расширенного доступа к уведомлениям, журналам активности и историям подключений. Авторы подчёркивают, что даже легитимные запросы на интеграцию могут оказаться потенциальным каналом утечки — особенно если гранулярность разрешений не позволит ограничить доступ к чувствительной информации. Подобные угрозы, как показано в документе, могут реализовываться незаметно для пользователей и администраторов.

Системный риск заключается не только в отдельных уязвимостях, но и в постепенном снижении уровня изоляции между компонентами системы. В условиях, когда одна и та же мобильная среда должна одновременно поддерживать несколько типов приложений с доступом к системным функциям, возрастает вероятность конфликта интересов и эксплуатации сбоев в логике разграничения прав.