Когда мы хотим установить программу в Windows, то чаще отправляемся на сайт разработчика. Мы скачиваем программу, запускаем «мастер установки», читаем лицензионное соглашение (да-да), следуем по шагам до самого конца. В любой момент можно нажать кнопку «Назад» или «Отмена».
Куда проще со смартфоном. Здесь все приложения удобно собраны в хранилище (Google Play Маркет для Android, App Store для iOS). Любое приложение можно установить одним щелчком. Но насколько это безопасно?
Люди хранят на смартфонах уйму данных: контакты, фотографии, важные документы, аудиозаписи и видеоролики, истории звонков и СМС. Люди общаются в мессенджерах и социальных сетях, читают почту, делают заказы в интернет-магазинах, проводят банковские платежи, прокладывают маршруты по городам и за их пределами. Современный мобильный телефон – многоводный источник полезной информации для злоумышленника. Владельцам смартфонов определенно есть что защищать.
iOS не способствует распространению вредоносного кода. Устанавливать приложения можно только из «фирменного» магазина App Store. Прежде чем туда попасть, каждое приложение проходит ручную проверку. В этой статье мы поговорим о мире Android – ярком, разнообразном и местами довольно диком.
Кажется, мы защищены?
Приложения не могут попасть в Google Play «с улицы». Помимо внушительного списка рекомендаций технического свойства и подробного описания «как опубликовать свой продукт», Google создала «Центр правил для разработчиков». На этом сайте можно видеть ограничения и гарантии безопасности данных пользователей. И это не только про вирусы и трояны.
- Приложение не должно скрытно отслеживать действия пользователя или тайно собирать о нем данные.
- Даже если данные собраны легально (с согласия пользователя), их нельзя продать или обнародовать.
- Приложение обязано запрашивать только те разрешения, которые необходимы для его работы.
- Разработчик не имеет права дезинформировать пользователей в описании приложения или выдавать себя за другое лицо.
- Нельзя показывать а-ля системные оповещения (типа «недостаточно места…»).
- Нельзя подсовывать такую рекламу, которая перекрывала бы само приложение и вынуждала пользователя кликать по баннеру.
- Нельзя дублировать уже размещенные в Google Play приложения.
- Нельзя спамить.
И еще много разумных «нельзя». Нарушителям правил грозят предупреждения, удаление приложения из Google Play, удаление аккаунта. Каждое новое приложение перед публикацией проверяется, эта проверка обычно занимает до недели. Кроме того, на устройствах Android по умолчанию включен инструмент Google Play Защита. Он поможет уберечься от самых разных угроз, даже если вредоносный код появился не из Google Play, а из другого источника, например, вы пытаетесь установить его с какого-либо сайта в Интернете. Google Play Защита ежедневно сканирует 50 миллиардов приложений на более чем 2 миллиардах устройств.
Добавьте к этому сотни различных приложений (в том числе именитых производителей) для защиты смартфонов от вредоносного кода и прочих напастей, а также десятки рекомендаций в духе «как избежать проблем на вашем смартфоне».
Или не совсем защищены?
В январе 2020 года компания Bitdefender (специализируется на борьбе с вирусами и прочим вредоносным кодом, известна благодаря одноименной программе) обнаружила в Google Play 17 приложений, качавших из Интернета рекламу. Все эти приложения сразу после установки вели себя совершенно предсказуемо – выполняли заявленные функции. Игры, обои, менеджеры файлов, считыватели QR-кодов, часы. Хитрое приложение вело себя примерно до двух суток, не возбуждая подозрений, а затем принималось скачивать из Сети и показывать владельцам смартфонов рекламу – не только картинки, но и видеоролики.
Приложения путали следы и усложняли их «поимку». Например, программа могла удалить свой значок, а промежутки между рекламными баннерами сделать случайными. Увидеть в этом какую-то систему и связать безобразия с недавней установкой «вот этой симпатичной игры» владельцу смартфона становилось непросто. Суммарное число скачиваний таких приложений составило около 550 тысяч. Эксперты сообщили о «находке» Google, и компания удалила приложения из Google Play. (См. также статью Daily Mail об этом инциденте.)
Команда CyberNews, в свою очередь, заинтересовалась приложениями, которые позволяют пользователям «улучшать» свои селфи: делаете обычный снимок, а приложение добавляет пышности вашим волосам, отбеливает зубы и придает глазам изумительный голубой оттенок, о котором вы всегда мечтали. По утверждениям CyberNews, даже лидеры в этом классе не гнушаются собирать данные о пользователях и отсылать их назад, в Китай, для продажи.
В октябре 2019 года интернет-издание The Bell опубликовало любопытное исследование: только 11 из 100 наиболее популярных приложений в российском Google Play ни с кем не делятся собранными пользовательскими данными. Остальные пересылают эти данные по многочисленным каналам, в том числе не зашифрованным (читай: в открытом виде). Приложения напичканы трекерами, отслеживающими действия пользователя (например, его местонахождение), и запрашивают изрядное количество разрешений. Публикация The Bell иллюстрирует аппетиты Android-приложений, которые могут привести к вторжению в частную жизнь пользователей.
Трудно представить более простое и нетребовательное приложение, чем фонарик. Компания Avast, известный производитель антивирусов, проанализировала 937 (!) приложений фонариков, которые в разное время публиковались в Google Play. Оказалось, что 262 таких приложения требовали свыше 50 разрешений. В частности, 180 фонарикам зачем-то понадобился доступ к списку контактов на смартфоне, а 77 фонариков хотели записывать звук.
Наконец, Android-устройство и его владелец могут стать жертвами вредоносного кода помимо Google Play. С такой историей можно познакомиться в материале компании Group-IB об Android-трояне Fanta. Этот вредонос нацелен на клиентов популярного в России интернет-магазина Avito. Приложение ворует деньги, используя приемы социальной инженерии, фишинговые страницы. Фактически пользователь сам открывает Fanta доступ к своему устройству.
Выходит, передача пользовательских данных или запрос разрешений – зло? Необязательно. Информация может передаваться в обезличенном виде, а разрешения – быть необходимыми для работы приложения. Каждый случай следует рассматривать индивидуально.
Почему возникают проблемы
Главная причина – человеческий фактор. Умная, самообучаемая, регулярно обновляемая антивирусная программа бессильна, если пользователь сам отключает защиту, например, подчиняясь фейковому «системному требованию».
Есть и фактор доверия. Google повторяет, что тщательно следит за безопасностью приложений Google Play, а приложение «Защита» включено и работает. У пользователя может возникнуть (не всегда оправданное) чувство защищенности: «Google уже позаботился о безопасности. Вперёд!». Как видно из приведенных выше примеров, жизнь бывает сложнее.
В тех организациях, где корпоративная безопасность что-то да значит, смартфоны нередко «проваливаются» между пунктами действующих политик безопасности. Люди покупают их за собственные деньги, стало быть, устройство не корпоративное, да и проконтролировать выполнение правил политики безопасности на чужом смартфоне бывает непросто.
Наконец, усилия «безопасников» часто сфокусированы на защите от вредоносного кода и фишинга. При этом стайка неприятностей пролетает «ниже радара». Таковы, например, fleeceware – приложения, которые пытаются (иногда за весьма приличные деньги) продать вам то, что у конкурентов можно получить за символическую плату или просто так. (Слово происходит от английского fleece, что в глагольной форме означает «стричь шерсть»). Например, вы установили себе чудесный планировщик семейного бюджета. Приложение на старте запросило данные банковской карты, чтобы «подтвердить регистрацию и оформить бесплатный семидневный тестовый период». Не отменили подписку до конца недели? Жадный планировщик снимет с вас 150 долларов «ежемесячной платы». Многие пользователи просто удаляют приложение и считают, что на этом все. Действительно, разработчик обычно воспринимает удаление как недвусмысленный отказ от пользования продуктом. Но есть и такие, кто использует формальность: удаление приложения не останавливает действие «подписки», а поэтому можно брать деньги, даже если приложение фактически удалено. Fleeceware не вирус и не троян, программы для отлавливания вредоносного кода пользователю не помогут. Эксперты компании Sophos провели собственное расследование, которое подтвердило: некоторые fleeceware по-прежнему доступны в Google Play.
Разрешения опасные и не очень
На какие разрешения стоит обратить внимание в первую очередь?
- Чтение и запись личных данных (календарь, контакты, история звонков).
- Доступ к файлам на устройстве.
- Отправка СМС и совершение звонков.
- Доступ к данным о местонахождении, менее точный и более точный (с использованием GPS).
- Доступ к аудио и видео (камере и микрофону).
Вы можете просмотреть общий список разрешений в настройках Android. На странице каждого приложения в Google Play есть пункт «Разрешения»: пролистайте страницу вниз, в разделе «Дополнительная информация» найдите «Разрешения» и нажмите ссылку «Подробнее…».
Google предлагает инструкцию о том, как управлять разрешениями.
Еще два обстоятельства.
- Конкретные «опасные» разрешения могут быть нужны для работы приложения. Прочтите описание: может быть, разработчик объяснил, зачем его детищу понадобился доступ к камере или микрофону.
- При выходе новой версии приложения набор разрешений может измениться (расшириться).
Что можно сделать для безопасности приложений
- Просмотреть установленные на смартфоне приложения. Удалить сомнительные и неиспользуемые.
- Посмотреть разрешения для оставшихся приложений. При необходимости отрегулировать/выключить.
- Убедиться, что все приложения в Google Play обновляются. Для этого нужно зайти в Google Play, нажать кнопку с настройками («гамбургер» – три полоски в левом верхнем углу), выбрать «Настройки» – «Автообновление приложений» – «Только через Wi-Fi»).
- Проверить, включена ли Google Play Защита. В том же «меню гамбургера» выбрать пункт «Play Защита» и убедиться, что защита включена.
- Отключить установку приложений из неизвестных источников. В моем смартфоне это «Настройки» – «Расширенные настройки» – «Конфиденциальность» – «Неизвестные источники», но на вашем устройстве путь может выглядеть иначе.
- Избегать установки приложений, когда в них нет реальной надобности. Не гнаться за модой («все установили, и я установил»).
- Устанавливать приложения надежных разработчиков, например, по рекомендации эксперта, которого хорошо знаете и кому доверяете.
- Перед установкой сверяться с официальным сайтом разработчика: сравнивать название приложения, имя разработчика, логотип приложения «с оригиналом». Случалось, что пользователь по ошибке устанавливал приложение с похожим названием и/или значком.
- Просматривать список разрешений каждого нового приложения.
- Обращать внимание на дату последнего обновления – в Google Play немало приложений, которые уже несколько лет фактически заброшены разработчиками назад, – и на отзывы пользователей. Будьте критичны к отзывам: среди них много эмоционального и бессодержательного «информационного шума». Иные отзывы показывают скорее ошибки самих пользователей и их неоправданно завышенные ожидания, чем реальные недостатки приложений. Свой прискорбный «вклад» вносят вредоносные приложения-боты, которые занимаются продвижением в Google Play через публикацию положительных отзывов. Но иногда отзывы полезны: по совокупному возмущению можно убедиться, что с приложением явно что-то не так и от его установки стоит воздержаться.
- Сравнивать приложения одного класса, выбирая те, которые сохраняют базовую функциональность и не требуют избыточных разрешений.
- Если вы работаете в организации, где существует политика безопасности, можно «примерить» эту политику на ваше мобильное устройство. Чаще всего политика пишется не из садистских соображений, а чтобы защитить сотрудников, их данные, устройства, коммуникации. Из этих правил можно извлечь пользу, даже если смартфон ваш личный и с работой не связан.