Иногда мы сами виноваты в утечке данных, но в очень многих случаях приложения самостоятельно систематизируют их и посылают в чужие руки. Но самое страшное, что, если наши контакты, заметки и пароли попадают в ненадежные базы данных, мы становимся уязвимыми чуть ли не на всю оставшуюся жизнь.
Согласно сервису Appthority, 83 процента из топ-100 платных и аналогичного топа бесплатных приложений для Android, а также 91 процент «сотни» в App Store хотя бы раз вели подозрительную активность. Цифры довольно неприятные, но, к счастью, есть как минимум семь способов повысить уровень своей информационной безопасности.
1. Незашифрованные данные
Пожалуй, самое страшное, что могут сделать приложения по отношению к своим пользователям, это собрать почти всю персональную информацию (ФИО, домашний адрес и адрес электронной почты, номер телефона и кредитной карты) и выложить ее в открытый доступ в незашифрованном виде, что значит, что абсолютно любой человек может при желании ее узнать. Такая уязвимость была, например, обнаружена в WhatsApp пару лет назад.
Большой скандал разгорелся вокруг приложения Starbucks для iOS, когда выяснилось, что оно хранит пароли в виде обычного текста, без какой-либо шифровки.
Другая популярная программа, а точнее ее Android-версия, The Coupons, передавала информацию о пользователе (включая его геолокацию) каждый раз, когда он запускал и пользовался этим приложением.
Конечно, обе эти программы были обновлены, а уязвимость — устранена, но сколько вреда они успели нанести «счастливым» обладателям смартфонов? И ведь эти случаи произошли только за последний месяц.
Что можно сделать?
К сожалению, мало что. Единственный вариант — научиться «вручную» просматривать активность приложения, но для этого нужны определенные навыки (например, умение разбираться в строках кода) и время.
2. Геолокация
Некоторым приложениям необходимо знать точное местоположение пользователя, например, GPS-программам, выстраивающим на карте местности оптимальный маршрут. Но зачем подобные «знания» играм? Ответ прост — они нужны их рекламщикам для создания контекстной рекламы и потоков спама. Именно поэтому многие программы совершенно самостоятельно собирают данные с GPS-модулей смартфона и высылают их своим создателям. Некоторых людей подобная активность вполне устраивает, некоторых — нет. В любом случае, что потом происходит с нашими данными в цепких лапах рекламного отдела, неизвестно.
Что можно сделать?
В обеих iOS и Android OS приложение в специальном всплывающем окне запрашивает разрешение на сбор геоданных при запуске. В некоторых случаях можно нажать на «нет» — на работе программы это никак не скажется. Иногда придется идти ва-банк: либо соглашайся, либо приложение надменно откажется запускаться.
3. Реклама
Как она может навредить? В первую очередь на основе нашей информации создаются «рекламные профили», которые «кочуют» за нами, даже когда мы меняем телефон. И никто не может сказать, кому этот набор данных продадут или передадут завтра.
Кроме того, не так давно выяснилось, что Vulna, рекламная библиотека, собиравшая данные о пользователях, могла быть использована как инструмент для атаки Android-устройств. Исследователи выяснили, что приложения с Vulna «на борту» были скачены более 200 миллионов раз. Конечно, уязвимость уже закрыли, но осадок все равно остался.
Что можно сделать?
В первую очередь — скачивать приложения, не использующие рекламу. В основном они являются платными. Кроме того, в iOS 7 можно «ограничить трекинг рекламы», перейдя в настройки > приватность > реклама > «сбросить идентификатор», и для рекламных сетей выглядеть как «новый», другой, человек. Эквивалентов на Android пока нет, Google даже не разрешает блокировать рекламу в Google Play. Также можно заблокировать cookies с подозрительных сайтов в браузере.
4. Единый логин/пароль
Использовать одинаковые логин и пароль на всех ресурсах, требующих регистрации, — не самая лучшая идея. Конечно, это удобно — вряд ли забудешь такую важную комбинацию. Но, если в руки злоумышленника попадет эта информация, он получит мгновенный доступ к профилю и на Facebook, и «В контакте», и в Twitter — словом, везде, куда «ступала нога» жертвы.
Что можно сделать?
Очевидно — использовать разные комбинации логинов и паролей для каждого сайта. Также следует завести несколько почтовых ящиков.
5. Список контактов и календарь
Подобно геолокации, календари и списки контактов — золотая жила для всех рекламщиков. Поэтому множество приложений старается получить к ним доступ, вне зависимости от того, используют они их в работе или нет. Согласному тому же Appthority, 22 процента из топа платных и 31 бесплатных программ запрашивают доступ к контактам.
Что можно сделать?
Доступ к данным такого рода выдается только самим пользователям. В iOS начиная с шестой версии можно отозвать его в настройках приватности. К сожалению, в Android подобной функции не предусмотрено, можно закрыть эту лазейку лишь во время установки, а после — нет. Так что стоит хорошенько подумать, прежде чем соглашаться на все подряд.
6. «Встроенные покупки»
Многие программы, а особенно игры, доступны для скачивания бесплатно, но прибыль они получают, предлагая встроенные покупки (за реальную валюту, конечно же). Риск очевиден — речь ведь идет о деньгах! В интернете уже полно описанных случаев, когда ребенок тратил огромные суммы, постоянно что-то покупая себе в любимой «игрушке» на папином iPhone. Сам родитель, конечно, был не в курсе.
Забавно, что даже самые взрослые игроки иногда не в силе устоять перед очередной возможностью купить себе на виртуальную ферму новые семена баклажана.
Что можно сделать?
В iOs можно отключить встроенные покупки в определенном приложении в настройках. А пользователи Android могут поставить на эту функцию пароль: без его ввода купить ничего не удастся.
7. Уникальные идентификаторы устройств (UDID)
Один из способов «слежки» за пользователями смартфонов основывается на использовании уникальных идентификаторов устройств: персонального номера каждого. Одинаковых не бывает. Так как большинство гаджетов обычно используется только одним человеком, UDID позволит кому надо найти вас где угодно. А если этот номер становится известен, нет ни одного надежного способа его изменить — только купить новый телефон.
Apple запрещала разработчикам программ использовать UDID еще в 2012 году и теперь забраковывает те приложения, которые пытаются обойти запрет. Но иногда им это удается: согласно Appthority, самые популярные приложения по-прежнему собирают уникальные идентификаторы. На Android все несколько хуже: 55 процентов платных и 87 процентов бесплатных программ используют UDID, чтобы «следить» за пользователями. Как и все бесплатные игры для этой же системы.
Что можно сделать?
На iOS 7 Apple требует от приложений использовать другой номер, не заводской. И этот номер пользователь может самостоятельно изменить в настройках приватности. К тому же максимум, что «яблочная компания» разрешает сделать с его помощью, — использовать для рекламных целей. Google пробует что-то подобное с Google AdID, но огромное количество абсолютно разных Android-устройств делает этот процесс затруднительным. Иногда UDID может поменяться после «жесткой» перепрошивки устройства.
Вывод:
Конечно, вряд ли безобидная Angry Birds разрушит чью-то частную жизнь, но, прежде чем ставить себе на смартфон не самую с виду надежную программу, стоит несколько раз подумать, а также почитать в интернете отзывы — благо ресурсов масса. С уверенностью можно сказать только одно: спасение утопающих — дело рук самих утопающих, так что информационная безопасность пользователя зависит в первую очередь от его собственных действий.
