Безопасность «Смартфона за внимание»: архитектура, риски и честный разговор без маркетинга

Какие опасности угрожают мобильным устройствам сегодня

— Мы видим, что мобильные устройства работают в условиях постоянных внешних угроз. Уязвимости находят даже в экосистемах с репутацией защищенных. Чтобы понимать, от чего мы защищаем наши смартфоны, мы ориентируемся на реальные отраслевые кейсы.

В конце 2025 года произошла утечка документации компании Graykey — разработчика решений для доступа к смартфонам по запросу правоохранительных органов. Из этих материалов мы увидели, какие модели и версии ОС поддаются взлому. Для нас это наглядный сигнал: абсолютной защиты не существует, и безопасность — это всегда вопрос стоимости и целесообразности атаки на устройство.

Другой пример, который мы учитывали, — уязвимости на уровне чипов. У производителя Unisoc были похищены криптографические ключи, что позволило злоумышленникам разблокировать загрузчик устройств без ведома производителя — например, у моделей Realme и Infinix. В такой ситуации устройство может быть полностью перепрошито, а заводская защита — обойдена.

Наш вывод простой: стандартной заводской защиты недостаточно. Мы понимали, что потребуется кастомизация аппаратной части, собственное системное ПО и серверная проверка целостности. Именно поэтому мы выбрали путь полного контроля над цепочкой производства — чтобы минимизировать риски, которые угрожают устройству на каждом этапе его жизненного цикла.

СТО «Бюро цифровых проектов» Григорий Сизов
Фото: Бюро цифровых проектов

Как мы организовали производство и почему это важно для безопасности

— Наш проект работает с партнерами на всех этапах — от выбора аппаратной платформы до контроля на производственных площадках. Мы не занимаемся промышленным дизайном и используем готовую ODM-модель, что является стандартной отраслевой практикой. Для нас принципиально: это не контрактная сборка готового устройства с простой заменой логотипа. Мы самостоятельно собираем программную платформу на базе Android, проводим тестирование оборудования, настраиваем прошивку и обеспечиваем серверную интеграцию.

В чём отличие «Смартфона за внимание» от стандартных решений в сегменте? Наш смартфон выпускается под собственным брендом, и ключевым техническим отличием от аналогов становится наличие встроенной eSIM. Мы создаем устройство под конкретные задачи проекта — без универсальной базовой прошивки с драйверами под любое железо. Такие телефоны не попадают в открытую розницу, что снижает риск разборки на запчасти и появления контрафактных копий.

Характеристики нашего прототипа сбалансированы под задачи базового использования: ОС Android 16, процессор MediaTek G81, 128 ГБ встроенной памяти. Мы разрабатывали это устройство для звонков, мессенджеров, соцсетей и работы с веб-ресурсами. Но если функционал ограничен, где хранятся персональные данные пользователя?

Наша философия данных: устройство как терминал

— Мы спроектировали смартфон так, чтобы он практически не хранил персональные данные локально. Заявки, согласия и операционная логика обрабатываются на серверах внутри контура нашей организации — на корпоративных порталах и защищенных площадках. Пользователь работает через личный кабинет, который функционирует в соответствии с законодательством РФ, но не содержит критичных данных проекта на устройстве.

Такой подход, который мы заложили в архитектуру, снижает риски утечки при утере или краже телефона. При этом мы понимаем: само устройство и его операционная среда всё равно требуют многоуровневой защиты.

Как мы выстроили уровни защиты устройства

— Защита на уровне Android 16. С 2025 года Google внедрила обязательный механизм Remote Key Provisioning (RKP) для аппаратной верификации безопасности. Мы работаем в рамках этой инфраструктуры: система автоматически генерирует уникальные короткие ключи для каждого приложения и устройства. Это повышает общий уровень защиты, но, как мы видим, требует более внимательной работы при кастомизации и сборке системных компонентов.

Если загрузчик заблокирован, а системный образ изменён, устройство не пройдёт проверку целостности и не запустится. Этот механизм также усиливает работу стандартной защиты от сброса (Google FRP).

Защита от сброса настроек (FRP). Мы используем механизм Factory Reset Protection от Google: после сброса настроек телефон запрашивает учётные данные первого владельца. Это закрывает основные сценарии бытовой кражи или утери. Механизмы FRP существуют давно и продолжают итеративно развиваться в рамках стандартных обновлений безопасности Google, Android Enterprise и сервисов Play Protect. Мы исходим из того, что для массового злоумышленника устройство стоимостью 15-20 тыс. рублей становится сложной целью. При этом мы понимаем, что при целевой атаке с достаточными ресурсами обойти защиту возможно. Наша задача — максимально усложнить несанкционированный доступ и сделать устройство неудобной мишенью для автоматизированных угроз.

Управление парком устройств (MDM)

— Мы используем технологию MDM для контроля целостности системы на уровне парка устройств. Наше решение опирается на стандарты Android Enterprise (Device Owner / Profile Owner) и дополнено собственной надстройкой, которую мы развиваем поэтапно. Администратор может запретить установку приложений из непроверенных источников, а при серьезной угрозе — полностью отключить установку стороннего ПО, оставив только предустановленные компоненты. Также мы предусмотрели удаленную блокировку устройства при краже или подозрительной активности.

На рынке представлено множество корпоративных решений для управления крупными парками устройств. Мы сознательно выбрали путь постепенного развития нашего MDM-модуля: сначала обеспечим стабильную работу на большом количестве смартфонов, а уже затем будем расширять функционал, ориентируясь на реальные потребности безопасности.

Риски и ограничения: честный разговор

— Внутренний анализ безопасности, который мы провели, показал: наш проект не закрывает три категории угроз. Мы считаем важным говорить об этом открыто.

1. Перехват трафика. Данные из банковских приложений или средств криптографической защиты информации (СКЗИ) по-прежнему могут быть перехвачены на уровне сети. Мы признаем: защита в этом сценарии не превосходит возможности стандартного Android-устройства.

2. Сбор данных сторонними приложениями. Мы понимаем, что полностью исключить несанкционированный сбор информации технически невозможно. Пример: пользователь самостоятельно устанавливает стороннее приложение, которое передает данные за пределы контролируемого контура. Мы видим, что рынок развивается в двух направлениях: методы сбора данных усложняются, но и механизмы защиты в новых версиях Android демонстрируют прогресс — иногда за счёт ограничения пользовательской гибкости.

3. Риски от внешне безобидных приложений. Клавиатуры, VPN-клиенты, виджеты — такие приложения часто запрашивают доступ к чувствительной информации. Мы не можем контролировать, как именно производитель использует эти данные — это вопрос прозрачности, а не только технической защиты.

Мы убеждены: идеальной защиты не существует. Безопасность — это не состояние, а процесс управления рисками.

Как мы организовали безопасность внутри проекта

— Мы выстроили защиту «Смартфона за внимание» комплексно:

• кастомизировали аппаратную платформу под задачи проекта;
• внедрили контроль целостности системы на уровне загрузки и выполнения;
• ограничили установку стороннего ПО из непроверенных источников;
• вынесли все операции с персональными данными на защищённый серверный контур.

Мы не обещаем абсолютной защиты. Наш проект обеспечивает разумную достаточность: устройство защищено от массовых атак и автоматизированных сценариев компрометации. Для целевого, ресурсоемкого взлома оно становится экономически нецелесообразной мишенью.

Наша команда открыта к сотрудничеству с партнёрами в области мониторинга угроз — на всех этапах жизненного цикла устройства. Потому что мы видим безопасность не как финальную точку, а как непрерывную работу.

Автор: Григорий Сизов, CTO Бюро цифровых проектов