Раскрытие исходников или глубинный аудит: как власти могут контролировать ИБ в смартфонах

Раскрытие исходного кода

В середине января 2026 года Reuters сообщил, что власти Индии предлагают ввести для производителей смартфонов вроде Apple и Samsung требования безопасности, в частности, обязав их тестировать и предоставлять проприетарный исходный код для проверки в правительственных лабораториях, «чтобы выявлять уязвимости в операционных системах смартфонов, которые могут быть использованы злоумышленниками». Reuters со ссылкой на оценку Counterpoint Research отмечает, что Xiaomi и Samsung занимают соответственно 19% и 15% доли индийского рынка, а Apple — 5%.

Министерство информационных технологий Индии почти сразу опровергло заявление о рассмотрении возможности получения исходного кода от производителей смартфонов, об этом написала газета The Times of India.

Однако эта тема провоцирует новую волну размышлений о выработке требований безопасности к смартфонам, в том числе в России. Напомним, в феврале 2025 года «Ведомости» писали, что «Лаборатория Касперского» нашла троян, крадущий данные с фото на зараженных телефонах, включая iPhone. Эксперт по кибербезопасности «Лаборатории Касперского» Сергей Пузан подчеркивал, что это первый известный случай интеграции вредоносной программы, крадущей данные пользователя, в приложениях в официальном AppStore. Вирус обнаружили как в AppStore, так и в Google Play в 20 поддельных приложениях мессенджеров, ИИ-ассистентов, приложениях для доставки еды и доступа к криптобиржам.

Основатель «Суверенной мобильной инициативы», экс-президент и соучредитель «Национальной компьютерной корпорации» (НКК) Александр Калинин объяснил SecPost, что часть исходного кода производители смартфонов в принципе не смогут передать, так как драйверы предоставляются производителями SOC (систем кибербезопасности) и компонентов устройства в бинарном виде (LTE-модем, видеодрайвер, камеры, сканеры отпечатка пальца и другие). «Создание мобильного устройства с компонентами, для которых будут доступны драйверы в исходных кодах – нетривиальная задача», — заключил Калинин.

Архитектор Web-разработки UserGate Олег Пименов и вовсе говорит о том, что доступ к проприетарному исходному коду сам по себе не является единственным или обязательным способом повысить безопасность, но при этом упрощает глубокий аудит (логика, криптография, драйверы, OEM-надстройки). «Большинство критичных уязвимостей находят и без исходников: через анализ прошивок, фаззинг, реверс-инжиниринг, сравнение патчей и эксплуатацию цепочек», — заявил Пименов.

По его мнению, производители смартфонов в случае требований Индии о раскрытии исходного кода будут добиваться альтернатив, в частности, аудит «на месте» без выноса кода, доверенный хранитель, доступ к ограниченным модулям, сертификация сборок и отчеты без передачи полного репозитория. Причинами для таких торгов со стороны вендоров могут быть коммерческая тайна, риск утечек, прецедент для других юрисдикций и конфликт с глобальными политиками безопасности. «Компромиссные модели возможны, но «полное раскрытие всего кода» для всех вендоров выглядит малореалистичным», — считает эксперт.

В компании Fplus (производитель электроники) согласны, что физически провести полную проверку исходного кода «крайне сложно и долго». «Если в качестве основы ОС будет использоваться инфраструктура Android и производителю достаточно будет предоставить протокол тестирования и отчет Google CTS – это возможно, но полная проверка занимает огромное количество ресурсов и нецелесообразна», — пояснил SecPost представитель компании.

Он добавил, что в рамках проверки CTS могут быть выявлены основные уязвимости, но более сложные механизмы безопасности может внедрить разработчик чипсета или платформы. То есть это не под силу обычному вендору смартфонов.

Нужно ли России идти по «индийскому сценарию»?

По мнению Пименова, сама идея усиления требований оправдана, но акцент нужно сделать не на попытки получить доступ к исходникам, а на «измеримые контролируемые практики»: изучение SBOM (всех компонентов ПО), минимальные сроки выпуска патчей и период поддержки, запрет небезопасных предустановок и требование их удаления, защита цепочки поставок, secure boot/anti-rollback, обязательный процесс disclosure (раскрытия информации) и независимые тесты (фаззинг/пентест) сертифицированных сборок. «Риски без аудита — скрытые уязвимости в драйверах/прошивках, слабый контроль предустановленного ПО, задержки с обновлениями. Но «полное раскрытие исходников в гослаборатории» также несет риск утечек и ухода части поставщиков», — подчеркнул Пименов.

Как объяснил SecPost Калинин, сейчас в России есть требования для мобильных устройств, обрабатывающих защищаемую информацию. Например, таким требованиям отвечают устройства на ОС «Аврора». При этом на продукты массового рынка требования информационной безопасности не распространяются. «Незащищенные устройства, в том числе не получающие обновления безопасности, которые работают в сетях общего пользования, несут угрозу не только своему владельцу, но и сетевой инфраструктуре и другим мобильным устройствам», — отметил он.

В Fplus считают, что сценарии уязвимостей, которые позволяют получить контроль над значимыми элементами устройства или ОС, появляются и изучаются постоянно, поэтому выпускаются патчи или дорабатывается аппаратная часть, а производители смартфонов агрегируют их в своей прошивке. «Учитывая, что в Россию обновления по найденным уязвимостям приходят с опозданием, то это создаёт определенные риски для тех, кто использует иностранную инфраструктуру для создания решений», — признал представитель компании.

Отметим, что в декабре 2025 года «Ведомости» писали, что в России «стремительно увеличилось» число заражений мобильных устройств. По данным «Билайна», около 460 тысяч абонентов пользуются смартфонами с высоким уровнем угрозы, когда вредоносные программы могут перехватывать sms или управлять действиями на устройстве. Еще примерно 1,5 млн человек попадают в зону ранних признаков заражения.

Патентный поверенный UserGate Александр Киселев также не видит перспектив у раскрытия исходного кода смартфонов. По его словам, производители любых смартфонов не могут представить исходный код для проверки в уполномоченных центрах даже при минимальной вероятности утечки исходного кода. В данном случае он видит риски как для производителей оригинального программного обеспечения, которые «опасаются прямого копирования проприетарного кода», так и для производителей контрафактного кода, которые «опасаются претензий со стороны производителей оригинального кода, юридических рисков со стороны Open Source». «Все они опасаются потери контроля над устройством и экосистемой после продажи, например, появления кастомных прошивок, снимающих ограничения, продления жизненного цикла устройств за пределами коммерческих интересов бренда, переноса ПО на «серое» или откровенно контрафактное железо», — подчеркнул он.

SecPost направил запрос в Минцифры РФ с просьбой прокомментировать, ведутся ли обсуждения о выработке новых требований безопасности для производителей смартфонов на территории России.