Мобильные приложения: инструкция по применению

Полезная штука эти мобильные приложения: деньги «переводят», фотографии обрабатывают, еду «доставляют», калории считают, разные знакомства заводят, нужные даты помогают не пропустить. Вы не задумывались, какая цена у этой пользы?

Мы более-менее умеем защищать свои персональные данные в офлайне: не называем домашний адрес первому встречному, не оставляем кошелек с деньгами без присмотра, не показываем личные фотографии посторонним и подозрительным. Потому что остерегаемся и не хотим, чтобы кто-то чужой узнал о нас больше, чем ему надо знать.

Попадая в онлайн, чувство опасности нивелируется. И почти полностью исчезает, когда речь заходит о смартфонах/айфонах. Мы устанавливаем приложения и спокойно даем им доступ к нашим данным. Ну, а что такого?

Приложения будут развиваться, и все больше данных будут запрашивать. Рассчитывать на относительную безопасность и сохранение персональной информации, станет возможно, например, только при платной подписке или подключении платных функций. В будущем приватность станет роскошью, за которую придется приплачивать — только чтобы информация о вас не расходилась,

Иван Печищев, медиатренер, доцент Пермского университета, автор онлайн-курса для подростков «Информационная безопасность: как защитить себя и свои аккаунты».

Немного статистики, чтобы увидеть масштаб «такого»

Установлено приложений:

Источник: statista.com

  • 2016 год — 140,68 млн
  • 2018 год — 195,42 млн
  • 2019 год — 204 млн

В 2020 году юзеры по всему миру активнее устанавливали на смартфоны и айфоны приложения для бизнеса и образования. Скачок вызван пандемией и последовавшим режимом самоизоляции. Это отметили аналитики компании App Annie (мировой поставщик данных о мобильном рынке).

  • Игровые приложения на втором месте по популярности скачиваний.
  • Социальные сети и приложения для потокового видео — на третьем.
  • Далее идут приложения для доставки еды, с фитнес-тренировками, для отслеживания состояния здоровья, консультаций с врачами и приложения для финансов.

Аналитики компании App Annie также отмечают: время, которое пользователи проводят в приложениях, увеличивается.

Аналитики международной компаний Positive Technologies, специализирующейся на разработке программного обеспечения в области информационной безопасности, выяснили, что

уязвимости высокого уровня риска имеют:

  • 38% мобильных приложений для iOS
  • 43% мобильных приложений для Android

Небезопасное хранение данных — основной недостаток, он выявлен в 76% мобильных приложений. Под угрозу попадают пароли, финансовая информация, персональные данные и личная переписка. Хакеру редко требуется физический доступ к смартфону, чтобы украсть данные: 89% уязвимостей могут быть проэксплуатированы с использованием вредоносного программного обеспечения,

— отмечено в исследовании Positive Technologies.

Примеры, как приложения портят жизнь юзерам
Пример первый

С конца марта 2020 года москвичей, заразившихся ковидом, обязали установить приложение «Социальный мониторинг», которое отслеживало, как люди соблюдают предписанный им карантин. Выяснилось, что персональные данные горожан передаются в незашифрованном виде, а фотографии лиц отправляются на распознавание эстонской компании с серверами в Германии, что нарушает закон «О персональных данных». Вдобавок приложение получало фактически полный контроль над телефоном.

С середины апреля приложение «выписало» москвичам 54 тысячи штрафов на сумму более 200 млн рублей. Пользователи соцсетей ежедневно публиковали видеоролики, в которых рассказывали, как, сидя дома, получают штрафы за неотправленное утром в точно определенное программой время селфи. Или за то, что покинули дом, когда скорая увезла их на компьютерную томографию легких.

Пример второй

Исследователи компании Avast обнаружили в Google Play Store 47 приложений, которые маскировались под игры и содержали трояны семейства HiddenAds. В общей сложности их загрузили более 15 млн раз. Пользователи жаловались на постоянную рекламу, которая отражалась вне приложений. Избавиться от рекламы было невозможно и после того, как приложение удаляли с устройства.

Кроме того, эти программы скрывали свои значки на зараженном устройстве, а 7 из 47 приложений способны еще и открывать браузер на смартфоне для отображения дополнительных объявлений.

Пример третий

В начале 2019 года в китайских соцсетях прошли масштабные кампании, продвигающие приложение Xuexi Qiangguo («Изучай великую нацию»). Его установили на 100 миллионов устройств.

Исследование немецкой фирмы по кибербезопасности «Cure53» показало, что, помимо обучающей функции, приложение следит за пользователями. Оно после установки получает права суперпользователя на смартфоне и может следить за местоположением юзера, записывать и даже совершать звонки от его имени. Приложение получает root-права без каких-либо запросов, благодаря оставленным бэкдорам, а пользователь даже не подозревает, на какие операции оно способно.

Пример четвертый

Популярные приложения знакомств, в том числе Tinder, Grindr, OkCupid, а также специализированные программы для женщин Clue и MyDays, обмениваются интимными данными о потребителях с десятками компаний, занимающихся рекламным бизнесом. Подробная информация включает в себя данные, которые указывают на сексуальную ориентацию и религиозные убеждения пользователей, их дни рождения, данные GPS и идентификационные номера, связанные с отдельными смартфонами. Это выяснилось во время исследования, проведенного группой «Норвежский совет потребителей» (NCC).

Пример пятый

Самым популярным приложением в 2020 году стал Zoom — в марте его установили на 200 млн устройств. К апрелю выяснилось, что у Zoom проблемы с конфиденциальностью и приватностью, а также серьезные уязвимости. Например, было замечено, что приложение сливало Facebook информацию о геолокации устройства, его модель и размер экрана, тип и версию ОС, часовой пояс устройства, процессор, пространство на диске, ядро и тому подобное.

Кроме того, в списках контактов пользователей обнаруживались сотни незнакомцев, Windows-клиент Zoom преобразовывал в ссылки UNC-пути, а Zoom для MacOS позволял локальному злоумышленнику или малвари получить в системе root-права.

Пример шестой

Более четырёх тысяч приложений — игры, программы для образования, бизнеса и развлечений — для Android, использующих базы данных Google Firebase, сливали конфиденциальные данные пользователей: адреса электронной почты, имена пользователей, пароли, телефонные номера, ФИО, сообщения из чатов и информацию о местоположении. Уязвимые приложения были установлены 4,22 миллиарда раз пользователями Android.

Как регулируется работа приложений

В декабре 2019 года в России появился закон, который обязывает после 1 января 2021 года устанавливать на смартфоны и планшеты российский софт. Например, в числе обязательных навигаторы и поисковые системы. И это единственный закон в России, который касается мобильных приложений.

Специальных законов/нормативных актов, которые защищают права пользователей приложений, нет. Однако на пользователей приложений распространяются конституционные гарантии неприкосновенности частной жизни. Например, федеральный закон «О персональных данных», а также внутренние правила магазинов приложений. Кроме того, в июне 2020 года в ФЗ «Об информации, информационных технологиях и о защите информации» были внесены поправки, позволяющие ограничивать доступ к приложениям, с помощью которых распространяется «пиратский» контент,

Дамир Гайнутдинов, кандидат юридических наук, юрист, специализирующийся на делах, связанных с защитой свободы слова.

— Дамир, насколько законно, когда приложения «требуют» доступ к личным данным пользователя смартфона/айфона?

— Федеральный закон «О персональных данных» устанавливает, что по общему правилу обработка персональных данных осуществляется только с согласия гражданина. Тайна частной жизни (которая может охватывать в том числе и местоположение, и фотографии, и переписку, и сведения о здоровье) охраняется конституцией. Получение и обработка таких сведений без согласия гражданина незаконна. Однако, если доступ предварительно должен быть одобрен пользователем, то с точки зрения российского законодательства все нормально.

Политика крупнейших разработчиков мобильных операционных систем, как правило, требует прозрачности и обоснованности доступа к личным данным — если в приложении имеются явно не соответствующие описанию или тем более скрытые функции, оно скорее всего не пройдет модерацию.

— Если смотреть именно на ситуацию с приложением «Социальный мониторинг», насколько правомочно, что приложение «выписывает» штрафы людям? Как с этим бороться?

— Приложение «Социальный мониторинг» не само «выписывает» штрафы, а лишь формирует доказательную базу правонарушения, фиксируя факт отсутствия пользователя по назначенному для карантина адресу. Однако то, каким образом эти данные используются в сочетании с явным несовершенством приложения и многочисленными жалобами пользователей на сбои в его работе, позволяет говорить об обоснованных сомнениях в виновности пользователя, если отсутствуют иные доказательства (например, свидетельские показания).

Тем не менее, поскольку соответствующие статьи законодательства об административных правонарушениях нередко применяются формально (человек не сделал селфи, вопреки требованиям приложения, которым он согласился следовать, значит, он совершил правонарушение), возможностей для злоупотребления остается много. Бороться с этим можно, подавая жалобы на сбои в приложении разработчику, а также оспаривая вынесенные на основании данных приложения постановления об административном правонарушении.

— Могут ли госорганы обязать пользователей установить на свой смартфон/айфон определенное приложение? Может ли пользователь отказаться?

— Формально, обязать устанавливать приложения в настоящее время нельзя. Однако в случае с приложением «Социальный мониторинг» альтернативой является помещение в обсерватор. Поэтому можно говорить о том, что пользователей под угрозой наступления неблагоприятных последствий и явного ограничения свободы передвижения вынуждают устанавливать следящие приложения.

Рискованные разрешения для приложений

Пользователи Android перед установкой приложений увидят список запрашиваемых разрешений. В айфонах такое уведомление появляется только в последних моделях. Какие разрешения и чем опасны объясняет Иван Печищев (нажмите на «+»).

Доступ к геолокации

Если геолокация включена постоянно и разрешена приложениям, тогда все передвижения пользователя фиксируются: его домашний адрес, место работы, где он бывает. Эти данные легко отследить по постам в соцсетях, а приложения их могут слить. Важно понимать, данные о геолокации нужны службам такси, сервисам по доставке еды. Если информацию запрашивает записная книжка или фонарик, то стоит подумать — для чего им это знать?

Еще из минусов — постоянно запущенный GPS влияет на работу аккумулятора, он быстрее разряжается.

Доступ к контактам и смс

Если приложение получает доступ к контактам, то вся телефонная книга человека может быть загружена на какой-то сервер. Есть смысл давать разрешение к телефонной книге почтовым программам, банковским приложениям и самому телефону. Но не подпускать к ней, например, социальные сети.

Давая доступ к сообщениям, появляется риск, что приложение будет отправлять и принимать сообщения за пользователя. И пока человек пребывает в неведении, приложение может списывать с его банковских счетов деньги или совершать покупки.

Доступ к автозапуску системы

Мало приложений просят разрешить им самостоятельно запускать устройство. Такой доступ дает возможность активировать устройство без участия пользователя.

Доступ к фото и видео

Допуская приложение до своей медиатеки, человек позволяет ему выгружать из смартфона его личные фотографии и видео на сторонний сервер. Вы уверены, что хотите делится с миром ВСЕМИ своими фотографиями?

Доступ к камере и микрофону

Получая подобное разрешение, приложение может самостоятельно включать микрофон и камеру. То есть смартфон в любой момент сможет сфотографировать человека, записать его разговор и слить в неизвестном направлении.

Полный доступ к интернету, wi-fi-соединению

Это такая тонкая настройка, она предполагает, что приложение будет иметь выход в интернет. Есть приложения, которые работают и в оффлайновом режиме, условному фонарику, например, не нужно иметь доступ в сеть. Если вы точно знаете, что приложению для работы доступ в интернет не требуется, то его и не надо предоставлять.

Перед тем, как выдавать разрешения, нужно убедиться, действительно ли это требуется для работы приложения. Запретить доступ к данным можно в процессе работы, когда приложение само его запрашивает. В настройках смартфона также есть возможность разрешить или запретить доступ,

аналитики информационной безопасности Digital Security.

Если требуется геолокация, и она нужна пользователю, то разрешать. Если приложение просит геолокацию при старте, то, наверно, это приложение не стоит использовать. Приложения (в основном Android), которые просят доступ к контактам, чтению смс, и т.п. при установке и даже не запускаются без них, лучше удалить.

Запретить доступ можно, когда появляется экран разрешения ОС или в настройках смартфона,

разработчик приложения Club92.

Что нужно понимать о приложениях

Как устроены мобильные приложения, хорошо разбираются разработчики и специалисты по информационной безопасности. Мы поговорили с ними.

Есть две принципиально различные операционные системы — iOS и Android. Различия в них есть практически во всех аспектах — от используемых языков программирования до методов, направленных на увеличение уровня защищенности,

Роман Гинятуллин, руководитель направления информационной безопасности «Итерион».

Как понять, что скачиваешь надежное приложение? На что нужно обратить внимание? Когда приложение точно не нужно скачивать?

Роман Гинятуллин: Отмечу, что ниже буду говорить о приложениях, которые ставятся на телефоны без root (в Android) и jailbreak (в iOS).

Все приложения в AppStore проходят валидацию и проверяются работниками Apple, поэтому шансов подхватить там «ненадежное» приложение не так уж и много.

В случае с Android все несколько сложнее, поскольку разместить своё приложение в Google Store гораздо проще и критерии там не такие суровые, как в случае с iOS.

Разумеется, это не значит, что все, что есть в AppStore безопасно. Приложение всегда запрашивает доступ к данным, которые к нему не относятся (например, к галерее или геопозиции) — тут важно не дать разрешение «на автомате», а четко понять, действительно ли данному приложению в конкретной ситуации нужен доступ.

Аналитики информационной безопасности Digital Security: Помогает определенный уровень насмотренности, но он приходит только с опытом. Распознать зловредные приложения можно по недавней дате добавления и низкому рейтингу.

Приложения, ссылки на которые вам прислали по СМС, в мессенджере или соцсети не стоит устанавливать. Если вам звонят из банка и предлагают «очень удобное» приложение с целью, например, упростить или улучшить работу с финансами, то кладите трубку и, конечно же, не скачивайте и не ставьте ничего. Социальные инженеры работают именно таким образом, чтобы выудить конфиденциальные данные или получить удаленное управление вашим смартфоном, это нужно понимать и всегда об этом помнить.

Разработчик приложения Club92: Точно не нужно скачивать подозрительные приложения от неизвестных авторов, с несколькими однотипно-простыми комментариями, плохо оформленной страницей стора. Лучше найти популярный аналог.

Приложение не должно запрашивать больше прав, чем ему нужно (например, чтение смс, блютус, и т.п.) .

Есть фишинговые сайты, есть ли подобная проблема для приложений?

Роман Гинятуллин: Подобная проблема есть, но она не настолько явно выражена, как в случае с сайтами.

Аналитики информационной безопасности Digital Security: Такая проблема существует и для приложений. Они тщательно маскируются под настоящие и пытаются украсть данные пользователей. Как правило, вредоносные приложения копируют широко распространенные, такие как ВКонтакте.

Может ли рядовой пользователь выяснить, где приложение хранит данные, доступ к которым запрашивается при установке? Как узнать, насколько надежно хранятся эти данные? Например, можно ли быть уверенным, что установив приложение для вызова такси и привязав к нему свою банковскую карту, эта информация не попадет мошенникам, ее не украдут?

Роман Гинятуллин: Уверенным быть ни в чем нельзя. Важная информация обычно шифруется, но сам алгоритм шифрования может быть написан небезопасно, его могут взломать, а секретный ключ шифрования украсть.

Где приложение хранит данные не так уж и важно, поскольку, как правило, приложения существуют в своих собственных окружениях — «песочницах». Однако, это справедливо только до того момента, когда приложение не начнёт отправлять данные на сервер. Тут уже начинается много интересного — злоумышленник может перехватить данные во время отправки; сервера, где хранятся данные, могут не быть защищены и так далее. Застраховаться от этого рядовому пользователю достаточно сложно. Верный способ тут — использовать шифрование или VPN.

Аналитики информационной безопасности Digital Security: Быть уверенным на 100%, что информация не попадет мошенникам, невозможно, поэтому необходимо принимать меры по снижению этого риска. В случае с привязкой карт к каким-либо приложениям советуем выпускать электронные карты и переводить на них необходимую сумму денег. Сейчас многие банки имеют удобные мобильные приложения и дают такую возможность.

Разработчик приложения Club92: Любые данные, полученные в приложении, можно отправить на бэк и там хранить. Какие данные хранит приложение, можно посмотреть через приложения типа «Просмотр файловой системы». В случае оплаты в приложении, должен появиться экран операционной системы (iOS, Android) .

Возможны ли ситуации, когда эти данные используются против пользователей? Были ли такие случаи?

Роман Гинятуллин: Откровенно говоря, если вы не какой-нибудь супер олигарх, то маловероятна ситуация, когда лично вы становитесь целью злоумышленника. Скорее всего, вас будут взламывать «до кучи», чтобы получить информацию о вашем поведении, привычках и так далее. Это нужно, чтобы потом продать эту информацию разным крупным компаниям или использовать ее самостоятельно.

Аналитики информационной безопасности Digital Security: Если речь о данных карты, то да, могут быть украдены деньги или совершены покупки в интернет-магазинах. Данные о геолокации могут использоваться для таргетированной рекламы. Приложения могут вычислить место жительства и работы — адреса, где вы проводите бОльшую часть времени — и рекламировать заведения по соседству.

Разработчик приложения Club92: Одни приложения отправляют данные в рекламу, другие не соблюдают политику конфиденциальности. За сохранность своих данных отвечает сам пользователь. Случаев утечки данных очень много (например, ошибка ПО, физическое хищение).

Платные приложения надежнее бесплатных?

Роман Гинятуллин: Нет прямой зависимости, поскольку «бесплатные» приложения обычно просто реализуют другую модель монетизации, существуя за счёт апсейла внутри приложения.

Обобщая, сейчас достаточно сложно написать небезопасное приложение, используя стандартные библиотеки — разные обертки, которые при этом используются, делают все за программистов.

Аналитики информационной безопасности Digital Security: Нет, к сожалению, надежность приложения не зависит от цены.

Разработчик приложения Club92: Одинаково, бесплатных просто больше.

Как приложения влияют на работу смартфонов/айфонов? Например, пользователи приложения «Социальный мониторинг» жаловались, что телефон начинал нагреваться, зависать, удалить и переустановить приложение было проблематично. Чем подобная «работа» приложения чревата для смартфона/айфона?

Роман Гинятуллин: Такое возможно, когда приложение написано плохо, не оптимизировано, не протестировано. Опасности это для самого телефона особой не представляет (поскольку приложения существуют в своих песочницах и выбраться из неё достаточно проблематично), но аккумулятор может довольно быстро сесть.

Аналитики информационной безопасности Digital Security: Приложения влияют на работу смартфонов совершенно по-разному. Некоторые приложения работают в фоновом режиме, из-за чего телефон греется и зависает. У пользователя сразу должен возникнуть вопрос: «Не делает ли приложение ничего лишнего?» Если смартфон уже стар, то может не справляться с современными приложениями и их обновлениями. Активно работающие в фоновом режиме приложения в основном влияют на расход и последующий износ батареи смартфона.

Помогут ли сервисы AppCensus и Exodus проверить надежность приложений? Использовать их советуют в блоге Kaspersky.

Роман Гинятуллин: Они помогут понять, какие данные пользователя используют приложения. Непосредственно к надёжности это отношения не имеет. Это скорее про «предупрежден, значит вооружен», чем про надежность.

Разработчик приложения Club92: Я не пользуюсь AppCensus и Exodus Privacy. Интересное решение, чтобы посмотреть передаваемые данные, оценить надежность приложения. Наверное, безопаснее будет на отдельном телефоне прогонять через подобное, тестировать и уже потом устанавливать на свой.

Как понять, что приложению можно доверять?

Как в вашем смартфоне/айфоне появляются мобильные приложения? Обычно человек ищет «помощника» под свои потребности. Нужен инструмент для обработки или монтажа видео — ищет фото- или видеоредакторы. Захотел заняться спортом — ищет приложения с тренировками. Появилась необходимость вести семейный бюджет — в поисках «домашней бухгалтерии». Не стоит так делать.

Подход — искать приложение под свои нужды — не совсем верный. Через поиск даже в официальном магазине можно найти что-то вредоносное. Почитайте сначала обзоры и рекомендации, например, на «Лайфхакере» или «Теплице социальных технологий». В обзорах и рекомендациях, как правило, сообщают о тех приложениях, которые проверили или использовали.

Обязательно смотрите, кто разработал приложение — его данные указаны в магазинах. Там же можно посмотреть, какие еще приложения создал данный разработчик, просмотреть их рейтинги, почитать отзывы.

Если на компьютере вы используете фоторедактор от компании Adobe, то вы установите на смартфон приложение-фоторедактор этой компании,

Иван Печищев, медиатренер, доцент Пермского университета, автор онлайн-курса для подростков «Информационная безопасность: как защитить себя и свои аккаунты».

Над материалом работала
Ольга Бердецкая

Иллюстрации:
О. Бердецкая, созданы с помощью сервиса Vector Creator

Знаете похожие технологии? Расскажите о своем опыте, нам интересно!

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Больше медиаполезностей

Больше медиаполезностей

Еженедельная рассылка по средам для мультимедийных авторов

You have Successfully Subscribed!

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: