Старший брат следит за тобой. Как защитить себя в цифровом мире - читать онлайн книгу. Автор: Михаил Райтман cтр.№ 129

Страница

Примечание. Еще одна брешь, через которую злоумышленники могут украсть персональные данные, – неконтролируемый доступ приложений к буферу обмена. Так, скопировав конфиденциальную информацию, например фотографию с метаданными, приложение, запущенное следом (или в фоне), может получить доступ к содержимому буфера обмена (т. е. фотографии) и считать данные о геопозиции из метаданных файла. Если такое приложение обменивается данными с удаленным серверами (злоумышленником), может произойти утечка персональных данных. Проблема актуальна для всех мобильных операционных систем, в том числе и iOS/iPadOS ^[981].

Безопасность Android-устройств зачастую обеспечивается существенно хуже, так как пользователи могут устанавливать приложения не только из Google Play, официального магазина, но и из любых других источников, самостоятельно выдав необходимые разрешения (например, браузеру Chrome, чтобы допустить загрузку и инсталляцию программ из APK-пакетов). Владельцы мобильных устройств часто прибегают к этому способу установки, чтобы избежать ограничений, например, чтобы бесплатно воспользоваться платным приложением (взломанным) или накрутить ресурсы в игре. Установленные таким образом приложения могут стать причиной перехвата пользовательских данных и передачи их на серверы злоумышленников (например, при запуске банковского приложения поверх может выводиться поддельный фишинговый интерфейс, копирующий легитимный). В значительной степени такая ситуация стала результатом монопольного положения корпорации Google на рынке мобильных устройств. Не все пользователи смартфонов хотят привязывать свои устройства к аккаунтам в Gmail. Между тем ОС Android начиная с 7-й версии позволяет устанавливать приложения из Google Play только в случае привязки устройства к аккаунту в Gmail. Такая политика Google явно не делает установку приложений из Google Play более безопасной, зато она позволяет корпорации получать больше персональных данных пользователей. Более того. Казалось бы, любой разработчик в состоянии выложить на свой официальный сайт APK-пакеты приложений и их контрольные суммы, и тогда любой более-менее квалифицированный пользователь мог бы устанавливать программы сам и под свою ответственность. Но нет. Судя по всему, этому препятствует Google, который хочет знать все о владельцах мобильных устройств. В результате некоторые пользователи на свой страх и риск устанавливают APK-пакеты из посторонних источников и при этом не имеют возможности убедиться в подлинности файлов, проверив контрольную сумму.

Но данные на Android-устройствах могут быть скомпрометированы не только из-за возможности установки приложений из посторонних источников. Даже публикуемые в официальном магазине Google Play приложения могут содержать вредоносный код. Часто это происходит из-за того, что код публикуемых программ проверяют менее тщательно, чем в компании Apple (в App Store вредоносные приложения появляются, но редко – как, например, в случае, отмеченном в 2015 г. ^[982]). Так, написав первоначально «добропорядочное» приложение и получив допуск в Google Play, разработчик вскоре может выпустить обновление, наделяющее программу вредоносными функциями. Кроме того, в арсенале приложений, доступных в официальном Google Play, постоянно появляются клоны официальных программ либо приложения, расширяющие их функциональность. Например, в 2015 г. приложение «Музыка „ВКонтакте“» позволяло пользователям не только слушать музыку из популярной соцсети, но и заодно воровало логины и пароли ^[983]. Выпущенные недобросовестными разработчиками приложения могут собирать излишнюю (не требующуюся для работы самого приложения) информацию о пользователе и анализировать. Например, приложение-фоторедактор может запросить разрешение на доступ к фотографиям, мгновенно проанализировать метаданные (место и дату/время съемки) всех имеющихся фотографий и выстроить маршруты перемещений пользователя за последние годы ^[984].

Пользователям обеих мобильных платформ угрожает утечка финансовых средств, связанная с выманиванием их персональных данных так называемыми fleeceware-приложениями. Такие программы вполне легитимны, но подобны скрытым вымогателям. В Google Play или App Store публикуется приложение с дорогостоящей подпиской, например 10 000 рублей в год, и предлагается бесплатный демонстрационный период, который продолжается, скажем, три дня. Пользователь, для которого высокая цена ассоциируется с качеством и уникальностью продукта, хочет бесплатно пользоваться программой в течение этого периода, скачивает приложение и для активации триала вводит реквизиты своей карты. Когда бесплатный период истекает, пользователь удаляет приложение, но с его счета начинают списываться деньги. Так происходит потому, что при активации бесплатного периода пользователь активировал и саму платную подписку (о чем, как обычно, было написано мелким шрифтом или сообщалось на странице, куда надо перейти по отдельной ссылке), а перед удалением приложения не отменил ее – по забывчивости или по незнанию. Для решения этой проблемы замеченные в fleeceware-поведении приложения удаляются из официальных магазинов (не особенно активно, так как вендоры мобильных операционных систем, по словам британской антивирусной компании Sophos, получают процент с абонентских платежей разработчикам fleeceware-приложений ^[987]), а владельцы iOS-устройств теперь оповещаются при удалении приложений с активной подпиской. Но тем не менее эта угроза сохраняется ^[988]. В 2019 г. было обнаружено не менее 50 Android-приложений (около 600 млн загрузок) и 32 iOS-приложения (3,5 млн загрузок) с fleeceware-функционалом ^[989]. Об отключении платных подписок поговорим в разделе о защите мобильных устройств в конце этой главы.

Страница