Впечатления, 28 фев 2014, 08:00

Более 80% приложений из App Store воруют данные пользователей

Наверное, пора уже принять тот факт, что смартфоны и планшеты являются гигантской библиотекой наших персональных данных. Эта информация является лакомым кусочком для различного рода злоумышленников или рекламщиков.
Читать в полной версии
Фото: depositphotos.com

Иногда мы сами виноваты в утечке данных, но в очень многих случаях приложения самостоятельно систематизируют их и посылают в чужие руки. Но самое страшное, что, если наши контакты, заметки и пароли попадают в ненадежные базы данных, мы становимся уязвимыми чуть ли не на всю оставшуюся жизнь.

Согласно сервису Appthority, 83 процента из топ-100 платных и аналогичного топа бесплатных приложений для Android, а также 91 процент «сотни» в App Store хотя бы раз вели подозрительную активность. Цифры довольно неприятные, но, к счастью, есть как минимум семь способов повысить уровень своей информационной безопасности.

1. Незашифрованные данные

Пожалуй, самое страшное, что могут сделать приложения по отношению к своим пользователям, это собрать почти всю персональную информацию (ФИО, домашний адрес и адрес электронной почты, номер телефона и кредитной карты) и выложить ее в открытый доступ в незашифрованном виде, что значит, что абсолютно любой человек может при желании ее узнать. Такая уязвимость была, например, обнаружена в WhatsApp пару лет назад.

Большой скандал разгорелся вокруг приложения Starbucks для iOS, когда выяснилось, что оно хранит пароли в виде обычного текста, без какой-либо шифровки.

Другая популярная программа, а точнее ее Android-версия, The Coupons, передавала информацию о пользователе (включая его геолокацию) каждый раз, когда он запускал и пользовался этим приложением.

Конечно, обе эти программы были обновлены, а уязвимость — устранена, но сколько вреда они успели нанести «счастливым» обладателям смартфонов? И ведь эти случаи произошли только за последний месяц.

Что можно сделать?

К сожалению, мало что. Единственный вариант — научиться «вручную» просматривать активность приложения, но для этого нужны определенные навыки (например, умение разбираться в строках кода) и время.

2. Геолокация

Некоторым приложениям необходимо знать точное местоположение пользователя, например, GPS-программам, выстраивающим на карте местности оптимальный маршрут. Но зачем подобные «знания» играм? Ответ прост — они нужны их рекламщикам для создания контекстной рекламы и потоков спама. Именно поэтому многие программы совершенно самостоятельно собирают данные с GPS-модулей смартфона и высылают их своим создателям. Некоторых людей подобная активность вполне устраивает, некоторых — нет. В любом случае, что потом происходит с нашими данными в цепких лапах рекламного отдела, неизвестно.

Что можно сделать?

В обеих iOS и Android OS приложение в специальном всплывающем окне запрашивает разрешение на сбор геоданных при запуске. В некоторых случаях можно нажать на «нет» — на работе программы это никак не скажется. Иногда придется идти ва-банк: либо соглашайся, либо приложение надменно откажется запускаться.

3. Реклама

Как она может навредить? В первую очередь на основе нашей информации создаются «рекламные профили», которые «кочуют» за нами, даже когда мы меняем телефон. И никто не может сказать, кому этот набор данных продадут или передадут завтра.

Кроме того, не так давно выяснилось, что Vulna, рекламная библиотека, собиравшая данные о пользователях, могла быть использована как инструмент для атаки Android-устройств. Исследователи выяснили, что приложения с Vulna «на борту» были скачены более 200 миллионов раз. Конечно, уязвимость уже закрыли, но осадок все равно остался.

Что можно сделать?

В первую очередь — скачивать приложения, не использующие рекламу. В основном они являются платными. Кроме того, в iOS 7 можно «ограничить трекинг рекламы», перейдя в настройки > приватность > реклама > «сбросить идентификатор», и для рекламных сетей выглядеть как «новый», другой, человек. Эквивалентов на Android пока нет, Google даже не разрешает блокировать рекламу в Google Play. Также можно заблокировать cookies с подозрительных сайтов в браузере.

4. Единый логин/пароль

Использовать одинаковые логин и пароль на всех ресурсах, требующих регистрации, — не самая лучшая идея. Конечно, это удобно — вряд ли забудешь такую важную комбинацию. Но, если в руки злоумышленника попадет эта информация, он получит мгновенный доступ к профилю и на Facebook, и «В контакте», и в Twitter — словом, везде, куда «ступала нога» жертвы.

Что можно сделать?

Очевидно — использовать разные комбинации логинов и паролей для каждого сайта. Также следует завести несколько почтовых ящиков.

5. Список контактов и календарь

Подобно геолокации, календари и списки контактов — золотая жила для всех рекламщиков. Поэтому множество приложений старается получить к ним доступ, вне зависимости от того, используют они их в работе или нет. Согласному тому же Appthority, 22 процента из топа платных и 31 бесплатных программ запрашивают доступ к контактам.

Что можно сделать?

Доступ к данным такого рода выдается только самим пользователям. В iOS начиная с шестой версии можно отозвать его в настройках приватности. К сожалению, в Android подобной функции не предусмотрено, можно закрыть эту лазейку лишь во время установки, а после — нет. Так что стоит хорошенько подумать, прежде чем соглашаться на все подряд.

6. «Встроенные покупки»

Многие программы, а особенно игры, доступны для скачивания бесплатно, но прибыль они получают, предлагая встроенные покупки (за реальную валюту, конечно же). Риск очевиден — речь ведь идет о деньгах! В интернете уже полно описанных случаев, когда ребенок тратил огромные суммы, постоянно что-то покупая себе в любимой «игрушке» на папином iPhone. Сам родитель, конечно, был не в курсе.

Забавно, что даже самые взрослые игроки иногда не в силе устоять перед очередной возможностью купить себе на виртуальную ферму новые семена баклажана.

Что можно сделать?

В iOs можно отключить встроенные покупки в определенном приложении в настройках. А пользователи Android могут поставить на эту функцию пароль: без его ввода купить ничего не удастся.

7. Уникальные идентификаторы устройств (UDID)

Один из способов «слежки» за пользователями смартфонов основывается на использовании уникальных идентификаторов устройств: персонального номера каждого. Одинаковых не бывает. Так как большинство гаджетов обычно используется только одним человеком, UDID позволит кому надо найти вас где угодно. А если этот номер становится известен, нет ни одного надежного способа его изменить — только купить новый телефон.

Apple запрещала разработчикам программ использовать UDID еще в 2012 году и теперь забраковывает те приложения, которые пытаются обойти запрет. Но иногда им это удается: согласно Appthority, самые популярные приложения по-прежнему собирают уникальные идентификаторы. На Android все несколько хуже: 55 процентов платных и 87 процентов бесплатных программ используют UDID, чтобы «следить» за пользователями. Как и все бесплатные игры для этой же системы.

Что можно сделать?

На iOS 7 Apple требует от приложений использовать другой номер, не заводской. И этот номер пользователь может самостоятельно изменить в настройках приватности. К тому же максимум, что «яблочная компания» разрешает сделать с его помощью, — использовать для рекламных целей. Google пробует что-то подобное с Google AdID, но огромное количество абсолютно разных Android-устройств делает этот процесс затруднительным. Иногда UDID может поменяться после «жесткой» перепрошивки устройства.

Вывод:

Конечно, вряд ли безобидная Angry Birds разрушит чью-то частную жизнь, но, прежде чем ставить себе на смартфон не самую с виду надежную программу, стоит несколько раз подумать, а также почитать в интернете отзывы — благо ресурсов масса. С уверенностью можно сказать только одно: спасение утопающих — дело рук самих утопающих, так что информационная безопасность пользователя зависит в первую очередь от его собственных действий.