Написать нам
Приложения портят жизнь юзерам. Что советуют эксперты
С конца марта 2020 года москвичей, заразившихся ковидом, обязали установить приложение «Социальный мониторинг», которое отслеживало, как люди соблюдают предписанный им карантин. Выяснилось, что персональные данные горожан передаются в незашифрованном виде, а фотографии лиц отправляются на распознавание эстонской компании с серверами в Германии, что нарушает закон «О персональных данных». Вдобавок приложение получало фактически полный контроль над телефоном.
С середины апреля приложение «выписало» москвичам 54 тысячи штрафов на сумму более 200 млн рублей. Пользователи соцсетей ежедневно публиковали видеоролики, в которых рассказывали, как, сидя дома, получают штрафы за неотправленное утром в точно определенное программой время селфи. Или за то, что покинули дом, когда скорая увезла их на компьютерную томографию легких.
Пример второй
Исследователи компании Avast обнаружили в Google Play Store 47 приложений, которые маскировались под игры и содержали трояны семейства HiddenAds. В общей сложности их загрузили более 15 млн раз. Пользователи жаловались на постоянную рекламу, которая отражалась вне приложений. Избавиться от рекламы было невозможно и после того, как приложение удаляли с устройства.
Кроме того, эти программы скрывали свои значки на зараженном устройстве, а 7 из 47 приложений способны еще и открывать браузер на смартфоне для отображения дополнительных объявлений.
Пример третий
В начале 2019 года в китайских соцсетях прошли масштабные кампании, продвигающие приложение Xuexi Qiangguo («Изучай великую нацию»). Его установили на 100 миллионов устройств.
Исследование немецкой фирмы по кибербезопасности «Cure53» показало, что, помимо обучающей функции, приложение следит за пользователями. Оно после установки получает права суперпользователя на смартфоне и может следить за местоположением юзера, записывать и даже совершать звонки от его имени. Приложение получает root-права без каких-либо запросов, благодаря оставленным бэкдорам, а пользователь даже не подозревает, на какие операции оно способно.
Пример четвертый
Популярные приложения знакомств, в том числе Tinder, Grindr, OkCupid, а также специализированные программы для женщин Clue и MyDays, обмениваются интимными данными о потребителях с десятками компаний, занимающихся рекламным бизнесом. Подробная информация включает в себя данные, которые указывают на сексуальную ориентацию и религиозные убеждения пользователей, их дни рождения, данные GPS и идентификационные номера, связанные с отдельными смартфонами. Это выяснилось во время исследования, проведенного группой «Норвежский совет потребителей» (NCC).
Пример пятый
Самым популярным приложением в 2020 году стал Zoom — в марте его установили на 200 млн устройств. К апрелю выяснилось, что у Zoom проблемы с конфиденциальностью и приватностью, а также серьезные уязвимости. Например, было замечено, что приложение сливало Facebook информацию о геолокации устройства, его модель и размер экрана, тип и версию ОС, часовой пояс устройства, процессор, пространство на диске, ядро и тому подобное.
Кроме того, в списках контактов пользователей обнаруживались сотни незнакомцев, Windows-клиент Zoom преобразовывал в ссылки UNC-пути, а Zoom для MacOS позволял локальному злоумышленнику или малвари получить в системе root-права.
Пример шестой
Более четырёх тысяч приложений — игры, программы для образования, бизнеса и развлечений — для Android, использующих базы данных Google Firebase, сливали конфиденциальные данные пользователей: адреса электронной почты, имена пользователей, пароли, телефонные номера, ФИО, сообщения из чатов и информацию о местоположении. Уязвимые приложения были установлены 4,22 миллиарда раз пользователями Android.
Как узнать, насколько надежно хранятся эти данные? Например, можно ли быть уверенным, что, установив приложение для вызова такси и привязав к нему свою банковскую карту, эта информация не попадет мошенникам, ее не украдут?
Роман Гинятуллин, руководитель направления информационной безопасности «Итерион»:
— Уверенным быть ни в чем нельзя. Важная информация обычно шифруется, но сам алгоритм шифрования может быть написан небезопасно, его могут взломать, а секретный ключ шифрования украсть.
Где приложение хранит данные не так уж и важно, поскольку, как правило, приложения существуют в своих собственных окружениях — «песочницах». Однако, это справедливо только до того момента, когда приложение не начнёт отправлять данные на сервер. Тут уже начинается много интересного — злоумышленник может перехватить данные во время отправки; сервера, где хранятся данные, могут не быть защищены и так далее. Застраховаться от этого рядовому пользователю достаточно сложно. Верный способ тут — использовать шифрование или VPN.
Аналитики информационной безопасности Digital Security:
— Быть уверенным на 100%, что информация не попадет мошенникам, невозможно, поэтому необходимо принимать меры по снижению этого риска. В случае с привязкой карт к каким-либо приложениям советуем выпускать электронные карты и переводить на них необходимую сумму денег. Сейчас многие банки имеют удобные мобильные приложения и дают такую возможность.
Разработчик приложения Club92:
— Любые данные, полученные в приложении, можно отправить на бэк и там хранить. Какие данные хранит приложение, можно посмотреть через приложения типа «Просмотр файловой системы». В случае оплаты в приложении, должен появиться экран операционной системы (iOS, Android) .
Возможны ли ситуации, когда эти данные используются против пользователей? Были ли такие случаи?
Роман Гинятуллин:
— Откровенно говоря, если вы не какой-нибудь суперолигарх, то маловероятна ситуация, когда лично вы становитесь целью злоумышленника. Скорее всего, вас будут взламывать «до кучи», чтобы получить информацию о вашем поведении, привычках и так далее. Это нужно, чтобы потом продать эту информацию разным крупным компаниям или использовать ее самостоятельно.
Аналитики информационной безопасности Digital Security:
— Если речь о данных карты, то да, могут быть украдены деньги или совершены покупки в интернет-магазинах. Данные о геолокации могут использоваться для таргетированной рекламы. Приложения могут вычислить место жительства и работы — адреса, где вы проводите бОльшую часть времени — и рекламировать заведения по соседству.
Разработчик приложения Club92:
— Одни приложения отправляют данные в рекламу, другие не соблюдают политику конфиденциальности. За сохранность своих данных отвечает сам пользователь. Случаев утечки данных очень много (например, ошибка ПО, физическое хищение).
Платные приложения надежнее бесплатных?
Роман Гинятуллин: Нет прямой зависимости, поскольку «бесплатные» приложения обычно просто реализуют другую модель монетизации, существуя за счёт апсейла внутри приложения.
— Обобщая, сейчас достаточно сложно написать небезопасное приложение, используя стандартные библиотеки — разные обертки, которые при этом используются, делают все за программистов.
Аналитики информационной безопасности Digital Security:
— Нет, к сожалению, надежность приложения не зависит от цены.
Разработчик приложения Club92:
— Одинаково, бесплатных просто больше.
Все новостиСхемы угона Telegram: как защитить свой аккаунт?
9 февраля 2023Подробнее
Все новостиТворческие задания и реальные примеры: создан воркбук по антибуллингу для детей и подростков
14 сентября 2022Подробнее
Все новости«Четкий месседж». Молодежная онлайн-конференция пройдет 21-25 мая на youngsters.top
13 мая 2022Подробнее
Все новостиКак стать лидером мнений: бесплатный молодежный онлайн-курс для белорусов
17 марта 2022Подробнее
Наши партнеры
