Автор: Наталья Котелева
С помощью Exodus Privacy – инструмента, который показывает, что разрешено приложениям, установленным на вашем телефоне, вместе с Сергеем Горбачевым, основателем киберпроекта TECH.INSIDERS, взглянула на содержимое моего Android и не удержалась от наивных вопросов.
Первое неожиданное открытие нам преподносит интернет-банкинг. Абсолютно официальный, скачанный с Google Play.
— Зачем банковскому приложению снимать фото и видео, да еще и в любое время и без моего на то разрешения?
— Нужно спросить у разработчиков банка. Может, предусмотрели такую возможность просто на автомате без какой-либо логики, а может, это инструмент аудита службы безопасности банка, который позволяет удостовериться, тот ли человек пользуется приложением. Необходимость фотографирования не исключена и в функциональности приложения. В 2017 году был инцидент в Беларуси, после которого фотографирование клиентов некоторые банки стали практиковать для дополнительной перестраховки. Введение закона о персональных данных должно решить эту проблему. GDPR, например, запрещает использование избыточных персональных данных.
Далее на очереди Google Диск.
— Зачем приложению, функция которого сохранять, редактировать и создавать документы, понадобились все аккаунты на смартфоне?
— Скорее всего, чтобы поделиться документы. Я бы не ожидал сознательного криминала в приложении Google Диск. Риски гораздо больше в том, что найдутся уязвимости в ПО, чем сознательные закладки такого рода. Запрос токенов аутентификации нужен, чтобы пользователя распознать, если он уже вводил логин и пароль. Это стандартные механизмы работы. Право редактировать и сохранять документы — логично, ведь Google Диск работает с документами, может синхронизировать документы в облаке, чтобы при поломке телефона файлы не потерялись и их можно было восстановить.
— Что за слова и фразы, к которым приложение получает доступ?
— T9. При работе с документами в Google Docs оно будет подставлять слова, которые вы внесли в словарь. Вполне ожидаемое разрешение.
— Просмотр контактов и использование приложением этих данных в своих целях – это неизбежная плата за пользование бесплатным приложением?
— Вообще любого приложения, не зависимо от степени платности.
Facebook, кстати, точно так же пользуется моими контактами.
И не только.
— Фото и видео в любое время без уведомления мы встречали и в банковском приложении. А соцсети такие функции зачем? Значит ли это, что «о ужас, FB следит за мной денно и нощно»?
— Ну а как вы будете фотографии в соцсети выкладывать без этого разрешения? Это же самое важное, что есть в таком приложении 🙂 Фейсбуку более чем достаточно той информации, которую вы выкладываете в соцсетях по доброй воле. Я вам скажу, что и для проведения так называемой HUMINT киберразведки третьими лицами — более чем достаточно добровольно выложенной информации.
— Еще один наивный вопрос — для чего техногигант Google следит за тем, сижу я, еду или иду?
— Геотеги на фотографиях. Локализация рекламы под ваше местоположение и ваш вид деятельности.
— Зачем FB передает мои личные данные другим пользователям?
— Скорее всего, имеется в виду синхронизация вашей адресной книги с контактами в соцсетях. Есть такая функция, весьма удобно. Также, возможно, предложит вам упростить процедуру приглашения друзей в фейсбуке, сделав это за вас автоматически по адресной книге. Это будет сделано, скорее всего, только с вашего дополнительного согласия.
— Соцсеть может также «получать информацию о недавно запущенных и выполняемых задачах, а следовательно, и о приложениях, используемых на устройстве». Это действительно нужно для ее корректной работы или есть еще и другие цели?
— Затрудняюсь, ответить зачем им это.
Одноклассники работают еще интереснее. И отслеживать работу других приложений, и снимать фото и видео без уведомления, и даже «определять номера телефонов, и серийные номера моделей, состояние активности вызова и удаленные номера, с которыми установлено соединение» приложение тоже умеют. А еще — рассказывают о данных всем, кто может это прочитать?
— Возможно, специфика перевода, но это разрешение по-русски звучит очень странно. В мире кибербезопасности это выглядит как описание вредоносной программы — dropper, цель которой доставка полезной нагрузки на атакуемую систему. Не факт, что это действительно так, но звучит странно. Если убрать фактор паранойи, то возможно есть взаимодействующие друг с другом программы, либо части приложения.
Skype также интересуется вашим точным местоположением с помощью GPS и точек Wi-Fi, вашими контактами, списком всех аккаунтов на телефоне и пр.
— Изменять сведения о контактах на моем телефоне и изменять мои контактные данные — это тоже нужно для корректной работы приложения?
— Skype синхронизирует свои контакты с адресной книгой в обоих направлениях. Весьма удобная штука. Представьте, вы ввели телефон человека, а Skype добавил фото этого человека, имя и Skype-контакт. И все в вашу адресную книгу. Другие мессенджеры тоже такое делают.
— «Создавать аккаунты, получать и устанавливать пароли для них»? Что имеется в виду?
— Как этим пользуется Skype, сложно сказать. Если не быть параноиком, то здесь я бы не придирался. Работа с аккаунтами нужна как минимум самому приложению для аутентификации. Плюс, возможно, есть интеграция с партнерскими приложениями, например Skype for business, другими Microsoft аккаунтами. От такого социально значимого приложения я бы не ожидал функции воровства аккаунтов других приложений.
Instagram пользуется уже знакомыми нам правами.
— «Может запрашивать токены аутентификации» — это способ защитить аккаунт?
— Это для того, чтобы определить и запомнить, кто пользуется приложением, и не требовать у вас логин и пароль при каждом входе. Вместо этого создается временное уникальное большое число — токен, который знает только приложение вашего телефона и сервер. С помощью него оно понимает, кто им пользуется без запроса пароля.
— Зачем приложению удалять СМС-ки, даже не показывая их пользователю?
— Вот это правило выглядит странно. Здесь есть риск того, что приложение пошлет платную СМСку, а потом затрет ее. Вы уверены, что ваше приложение не завирусованно?
— Ну… Скачано из Google Play.
— Я бы проверил…. У меня когда-то прямо с магазина легального продавца в Минске была кажуальная игрушка — известная и мною любимая. Но оказалось, что эта версия игры обогащена вирусом, который попытался через СМС снять у меня порядка 200$ с аккаунта Google. Не получилось, потому что у меня нет привязки аккаунта к кошельку. Но ведь у кого-то ворует… Пришлось вручную удалять. Продавцу жалобу написал на сайте, но они ее успешно проигнорировали.
— А добавлять ярлыки «без вмешательства пользователя»?
— Быстрый доступ к приложению, либо его функциям. Не криминально.
Получается, хочешь, чтобы информация о тебе не уходила заинтересованным в ней сторонам, — не ставь приложение?
— Нельзя полностью защититься. Вы можете снизить риск. Существенно снизить риск можете только тем, что будете использовать кнопочные телефоны, не смартфоны. Но это не 100% гарантия. Даже такие можно трекать по местоположению, но такие технологические возможности есть только у особых организаций.
На смартфонах — не ставьте ничего лишнего. Только проверенные связи. Вместо приложений соцсетей лучше пользуйтесь вебсайт-версиями этих приложений. Там меньше возможностей, но и доступ к телефону ограничен правами браузера. Также вредоносную активность может обнаружить и обезвредить защита от оператора мобильной связи. У кого андроид-смартфоны, проверьте, нет ли в списке задач запущенной программы “Ok Google” — распознавателя команд. Это удобно, но я ловил свой телефон на том, что он слушал в фоне, что я говорю, а потом пытался подсунуть Google-рекламу.
Никогда не задавали себе вопрос: как он подсунул рекламу стиральной машины, если я об этом нигде не писал, а только на кухне с семейными разговаривал? Ответ прост: если телефон что-то услышит, объединит эту информацию с вашим аккаунтом, который охватывает много сервисов, и вы таргетированную рекламу можете увидеть по телевизору, в компьютере, а в скором будущем и на билборде по пути на работу.
Несмотря на выход законов о защите персональных данных, основной проблемой в этой самой защите я в большей степени нахожу самих пользователей, которые добровольно выкладывают свою личную информацию в социальные сети. Вы пытаетесь поделиться с друзьями своими радостями, успехами, увлечениями. А находит эту информацию ваш конкурент, продавцы разных товаров и услуг, киберпреступники, да и просто любопытные. Как воспользуются они этой информацией — вы уже не контролируете. А социальная сеть с помощью опытных юристов, знающих законы о персональных данных, защитит себя от вас.