Как распознать опасное мобильное приложение

Сегодня в официальных онлайновых магазинах и на сторонних сайтах размещены сотни тысяч приложений для iOS, Android, Windows Phone и Blackberry. Далеко не все эти приложения безопасны и уж тем более далеко не все из них стоят вашего внимания и ваших денег. Давайте попробуем разобраться, существуют ли общие признаки, по которым приложение можно признать небезопасным.

Чрезмерные полномочия

Наверное, самая распространенная жалоба на мобильные приложения, независимо от того, под управлением какой ОС они работают — требование слишком большого количества полномочий для загрузки и запуска приложения.

Примером приложения, требования которого чрезмерны, является бесплатное приложение «фонарик». На мой взгляд, не существует причины, по которой данному приложению требуется доступ к базовому функционалу устройства.

Вспомним нашумевшую игру Angry Birds. Кто-то может пояснить, зачем игрушке доступ к вашим геоданным? Да еще не забудьте, что даже если игра была выключена, данные о вашем местоположении все же регулярно куда-то отправлялись. Зачем? Ответ очевиден — для продажи поставщикам рекламы, чтобы вам могли выдавать рекламу близлежащих коммерческих заведений.

Чем это опасно? Ну, во-первых, вы никогда не знаете, защищается ли ваша информация, как она будет использоваться и кому продаваться. Ведь наиболее вероятно, что собранные таким образом данные будут проданы поставщикам рекламы и аналитическим компаниям — опять-таки, скорее всего для рекламы. А может и не только для рекламы, кто знает?

Такое ПО внушает беспокойство экспертам по безопасности, ведь используя информацию о вашем местоположении, преступники, в частности, могут узнать, уехали ли вы из дома и как далеко.

Большинство мобильных приложений бесплатные. Но ведь все мы прекрасно понимаем, что никто и никогда не делает приложения из чистого альтруизма. Так или иначе все произведенное разработчиками должно принести выгоду.

Поэтому не удивительно, что все чаще мобильные приложения содержат явную рекламу. В принципе, это не сильно раздражает и это можно терпеть. Однако уже были случаи, когда рекламные сети, используемые для того чтобы вставить соответствующие объявления в приложения, были просто взломаны. Пример: библиотека всплывающих объявлений Vulna, собиравшая персональные данные пользователей для атаки на устройства под управлением Android. По оценке исследователей, приложение Vulna было загружено в фоновом режиме более 200 млн. раз.

Имена приложений подобны популярным приложениям

Приложения, распространяемые через официальные хранилища, как правило, гораздо безопаснее. Пользователи в поисках бесплатного подвергают себя огромному риску, загружая приложения из сторонних источников. Именно в этих сторонних хранилищах приложений вы должны быть особенно бдительными, чтобы не допустить загрузки вредоносного программного обеспечения, замаскированного под законные приложения. Ведь это ПО может быть взломано и повторно переупаковано злоумышленниками и содержать вредоносный код.

Покупки в приложении

Покупки в приложениях — риск, но скорее даже не с точки зрения безопасности. Скорее проблема в том, что пользователи могут бессознательно потратить гораздо больше денег, чем рассчитывали. Особенно это актуально для игр. Пользователи Android, войдя в настройки приложения, могут установить PIN для подтверждения покупок в приложениях.

Аутентификация

Аутентификация, увы, это всегда проблема. Пароли вскрываются, ими сложно управлять, в то время как у биометрии существуют дефекты.

Биометрия весьма ненадежна, если нет резервного метода аутентификации: недавно исследователи показали, как клонировать цифровой отпечаток на Samsung Galaxy S5. То же самое, увы, характерно и для iOS.

Что делать? Использовать двухфакторную аутентификацию.

Незашифрованные данные

Печальный факт. Разработчики приложений настолько срочно отправляют свое ПО на рынок, что иногда просто не уделяют внимания безопасности конфиденциальных данных, которые будут обрабатываться данным ПО.

Требование для таких приложений — шифрование ваших конфиденциальных данных как на устройстве, так и при передаче. Однако такие приложения, как WhatsApp, Viber и многие другие, используют нестойкое шифрование, позволяя хакерам украсть все данные о пользователе, включая имя, адрес электронной почты, номер телефона, домашний адрес, информацию кредитной карты.

Самое печальное, что нет никакого непосредственного способа узнать, защищены ли ваши данные или нет, как при их хранении, так и передаче. Единственное что вы можете сделать — проверить полномочия и прочесть отзывы о приложении. Контролировать передачу и хранение конфиденциальных данных намного сложнее.

Автор статьи — MVP Consumer Security, Microsoft Security Trusted Advisor.