Просто интересный блог :)

Ежедневно пользователи устанавливают на свои смартфоны миллионы приложений, однако мало задумываются о безопасности. А ведь многие приложения применяют для работы наши персональные данные… Насколько прочно они защищены?

Смартфон, который теперь лежит у вас в кармане, чаще всего содержит массу важной персональной информации: банковские реквизиты, учетные данные для разных интернет-сервисов, сообщения и контакты из электронной почты, логины и пароли для он-лайн-шопинга, и общественных сетей. Все чаще говорят о том, что телефон должен стать электронным кошельком, универсальным платежным средством для чего угодно – от покупок до кредитов. Активно развивается технология NFC, благодаря которой для оплаты покупки или прохода в метро необходимо будет лишь толькоподнести телефон к бексконтактному терминалу. Всегда возникают все новые и новые мобильные приложения, призванные сделать электронные платежи с помощью телефона еще более удобными и простыми для юзера…

Хотя мобильный софт отличается от немобильного прежде всего тем, что большинство его написано не крупными софтверными компаниями, имена которых на слуху, а обычными людьми, умеющими применять открытые программные средства от Google, Apple, Nokia и т. д. Каждый человек, обладающий соответствующими навыками программирования, может написать, а после без особого усилий расположить свое приложение в Android Market, App Store и т. д.

И в итоге, как это ни печально, в официальных электронных магазинах крупнейших мобильных брендов возникаютутилиты, которые делают вашу конфиденциальную информацию легкодоступной для киберпреступников - иногда невольно, а иногда весьма осознанно! Например, не слишком давно в Android Market были обнаружены приложения, которые описывались как дополнения или наборы кодов для популярной игры Angry Birds – эти программы незаметно для пользователя отсылали данные с его телефона на удаленный сервер злоумышленников…

Эксперты бьют тревогу и заявляют, что ситуация с безопасностью в мире мобильных приложений складывается критическая! Персональные данные, которые возможно применять во вред, шифруются из рук вон плохо – их возможно достать из мобильного приложения как именно (в случае кражи телефона), так и удаленно (с помощью вредоносного кода, заложенного в приложении)!

В доказательство этого компания Viaforensics, занимающаяся информационной безопасностью, обнародовала исследование, в коем узнала, насколько эффективно приложения, загруженные с Android Market и App Store, шифруют личную информацию, которая вводится при их использовании. Для теста были выбраны 100 популярных приложений:

• финансовые приложения (данные для он-лайн-банкинга);
• социальные сети (логины и пароли);
• приложения для повышения продуктивности усилий (календари, закладки, почтовые сервисы);
• приложения для он-лайн-шопинга (данные «Индивидуальных кабинетов» в он-лайн-магазинах).

Приложения были установлены на телефоны, затем эксперты пробовали эти аппы взломать всеми подручными средствами дляприобретения заблаговременно введенных данных. И тут что получилось в результате:

Финансовые приложения

44% – сохранили данные пользователя в неприкосновенности;
31% – удалось обнаружить информацию, однако не расшифровать;
25% – провалили тест, информация была извлечена вплоть до приобретения истории всех платежей, номера кредитной карты и даже PIN-кода!

Социальные сети

Ни одно из приложений не прошло тест на ура.

26% – удалось обнаружить информацию, однако не расшифровать;
74% – провалили тест, из приложений были извлечены логины и пароли, все личные сообщения и скрытые части профайла (фото, дата рождения и прочее).

Приложения для повышения продуктивности усилий

9% – сохранили данные пользователя в неприкосновенности;
49% – удалось обнаружить информацию, однако не расшифровать;
43% – провалили тестирование.

Приложения для он-лайн-шопинга

Ни одно из приложений не прошло тест на ура.

88% – удалось обнаружить информацию, однако не расшифровать;
12% – провалили тест, из них были даже андроидная версия известного клиента коллективных скидок Groupon и официальное приложение от Starbucks для Android и IOS. Увы, даже большие компании не во всех случаях инвестируютдовольно средств для защиты данных своих клиентов…

Конец неутешителен: лишь 17 процентов приложений из протестированных сохранили информацию о владельце, в то время как 83 процента выдали эти данные без особого сопротивления или продемонстрировали, что их возможно получить впоследствии при более серьезном взломе… F5 попытался узнать у специалистов: актуальны ли в россии опасности, выявленные для американских смартфоновладельцев, для чего пообщался с Алексеем Деминым, специалистом русскогопредставительства G Data Software – компании, занимающейся IT-безопасностью:

- Насколько это может оказаться актуальным в РФ?
- Многие виды угроз опасны для российских пользователей в не меньшей степени, чем для иностранных, - каждыйпользователь из РФ может скачать каждое приложение. Если приложение не предлагается с русским интерфейсом,естественно, это, сокращает количество его потенциальных пользователей у нас, однако не делает его неинтересным в принципе. К тому же, после выхода приложения, которому удалось завоевать определенную популярность, непременновозникают его аналоги, предлагаемые другими разработчиками.
Наши пользователи с удовольствием применяют мобильные версии AIM, Facebook, Gmail, Groupon, Skype, Twitter, YOUTUBE ипрочих программных продуктов. Конечно, не любое из перечисленных приложений содержит в себе конфиденциальную информацию о владельце, однако потенциально такую информацию содержать может или способно обеспечить доступ к ней. Для неглупых людей другой раз довольно и косвенных данных, которые в совокупности с известными фактами дадут изрядно пищи для раздумий.

- По какой причине магазины приложений недостаточно проверяют контент девелоперов на безопасность - в т.ч., на защищенность конфиденциальной информации?
- Магазин приложений, к несчастью, почти лишен возможности проверять софт на защищенность конфиденциальной информации по объективным причинам. В первую очередь, этот процесс занимает много времени, во-вторых, требуется серьезный ур. технических познаний и знаний. Все это существенно повышает конечную стоимость приложения. А ведь не факт, что оно вообще будет иметь удача у пользователей и отобьет затраченные на его разработку и проверку средства!
К тому же (если говорить не о преднамеренных багах в приложениях, а просто об их недоработанности девелоперами) на руку преступникам играет «гонка вооружений» на рынке мобильного софта. Отпустить на рынок очередную версию аппа с новыми возможностями ранее конкурентов – цель номер 1 для массы девелоперов, однако при этом в пылу этой гонки частоупускаются малозначимые с первого взгляда элементы, способные превратиться в очередную уязвимость.

Отсюда несколько советов. Если есть возможность не хранить критично важную информацию на мобильных устройствах, лучше этого не делать. Если уж решились на это, доверять конфиденциальную информацию нужно лишь приложениям, созданным надежными разработчиками с хорошим реноме. И конечно же, нельзя забывать о системах защиты мобильных операционных систем.