Android-приложения: советы по безопасности

Android-приложения: советы по безопасности
При­ло­же­ния для Android: чего опа­сать­ся? Иллю­стра­ция: Ната­лья Ямщи­ко­ва.

Когда мы хотим уста­но­вить про­грам­му в Windows, то чаще отправ­ля­ем­ся на сайт раз­ра­бот­чи­ка. Мы ска­чи­ва­ем про­грам­му, запус­ка­ем «мастер уста­нов­ки», чита­ем лицен­зи­он­ное согла­ше­ние (да-да), сле­ду­ем по шагам до само­го кон­ца. В любой момент мож­но нажать кноп­ку «Назад» или «Отме­на».

Куда про­ще со смарт­фо­ном. Здесь все при­ло­же­ния удоб­но собра­ны в хра­ни­ли­ще (Google Play Мар­кет для Android, App Store для iOS). Любое при­ло­же­ние мож­но уста­но­вить одним щелч­ком. Но насколь­ко это без­опас­но? 

Люди хра­нят на смарт­фо­нах уйму дан­ных: кон­так­ты, фото­гра­фии, важ­ные доку­мен­ты, ауди­о­за­пи­си и видео­ро­ли­ки, исто­рии звон­ков и СМС. Люди обща­ют­ся в мес­сен­дже­рах и соци­аль­ных сетях, чита­ют почту, дела­ют зака­зы в интер­нет-мага­зи­нах, про­во­дят бан­ков­ские пла­те­жи, про­кла­ды­ва­ют марш­ру­ты по горо­дам и за их пре­де­ла­ми. Совре­мен­ный мобиль­ный теле­фон – мно­го­вод­ный источ­ник полез­ной инфор­ма­ции для зло­умыш­лен­ни­ка. Вла­дель­цам смарт­фо­нов опре­де­лен­но есть что защи­щать.

iOS не спо­соб­ству­ет рас­про­стра­не­нию вре­до­нос­но­го кода. Уста­нав­ли­вать при­ло­же­ния мож­но толь­ко из «фир­мен­но­го» мага­зи­на App Store. Преж­де чем туда попасть, каж­дое при­ло­же­ние про­хо­дит руч­ную про­вер­ку. В этой ста­тье мы пого­во­рим о мире Android – ярком, раз­но­об­раз­ном и места­ми доволь­но диком.

Кажется, мы защищены?

При­ло­же­ния не могут попасть в Google Play «с ули­цы». Поми­мо вну­ши­тель­но­го спис­ка реко­мен­да­ций тех­ни­че­ско­го свой­ства и подроб­но­го опи­са­ния «как опуб­ли­ко­вать свой про­дукт», Google созда­ла «Центр пра­вил для раз­ра­бот­чи­ков». На этом сай­те мож­но видеть огра­ни­че­ния и гаран­тии без­опас­но­сти дан­ных поль­зо­ва­те­лей. И это не толь­ко про виру­сы и тро­я­ны.

  • При­ло­же­ние не долж­но скрыт­но отсле­жи­вать дей­ствия поль­зо­ва­те­ля или тай­но соби­рать о нем дан­ные.
  • Даже если дан­ные собра­ны легаль­но (с согла­сия поль­зо­ва­те­ля), их нель­зя про­дать или обна­ро­до­вать.
  • При­ло­же­ние обя­за­но запра­ши­вать толь­ко те раз­ре­ше­ния, кото­рые необ­хо­ди­мы для его рабо­ты.
  • Раз­ра­бот­чик не име­ет пра­ва дез­ин­фор­ми­ро­вать поль­зо­ва­те­лей в опи­са­нии при­ло­же­ния или выда­вать себя за дру­гое лицо.
  • Нель­зя пока­зы­вать а‑ля систем­ные опо­ве­ще­ния (типа «недо­ста­точ­но места…»).
  • Нель­зя под­со­вы­вать такую рекла­му, кото­рая пере­кры­ва­ла бы само при­ло­же­ние и вынуж­да­ла поль­зо­ва­те­ля кли­кать по бан­не­ру.
  • Нель­зя дуб­ли­ро­вать уже раз­ме­щен­ные в Google Play при­ло­же­ния.
  • Нель­зя спа­мить.

И еще мно­го разум­ных «нель­зя». Нару­ши­те­лям пра­вил гро­зят пре­ду­пре­жде­ния, уда­ле­ние при­ло­же­ния из Google Play, уда­ле­ние акка­ун­та. Каж­дое новое при­ло­же­ние перед пуб­ли­ка­ци­ей про­ве­ря­ет­ся, эта про­вер­ка обыч­но зани­ма­ет до неде­ли. Кро­ме того, на устрой­ствах Android по умол­ча­нию вклю­чен инстру­мент Google Play Защи­та. Он помо­жет убе­речь­ся от самых раз­ных угроз, даже если вре­до­нос­ный код появил­ся не из Google Play, а из дру­го­го источ­ни­ка, напри­мер, вы пыта­е­тесь уста­но­вить его с како­го-либо сай­та в Интер­не­те. Google Play Защи­та еже­днев­но ска­ни­ру­ет 50 мил­ли­ар­дов при­ло­же­ний на более чем 2 мил­ли­ар­дах устройств.

Добавь­те к это­му сот­ни раз­лич­ных при­ло­же­ний (в том чис­ле име­ни­тых про­из­во­ди­те­лей) для защи­ты смарт­фо­нов от вре­до­нос­но­го кода и про­чих напа­стей, а так­же десят­ки реко­мен­да­ций в духе «как избе­жать про­блем на вашем смарт­фоне».

Или не совсем защищены?

В янва­ре 2020 года ком­па­ния Bitdefender (спе­ци­а­ли­зи­ру­ет­ся на борь­бе с виру­са­ми и про­чим вре­до­нос­ным кодом, извест­на бла­го­да­ря одно­имен­ной про­грам­ме) обна­ру­жи­ла в Google Play 17 при­ло­же­ний, качав­ших из Интер­не­та рекла­му. Все эти при­ло­же­ния сра­зу после уста­нов­ки вели себя совер­шен­но пред­ска­зу­е­мо – выпол­ня­ли заяв­лен­ные функ­ции. Игры, обои, мене­дже­ры фай­лов, счи­ты­ва­те­ли QR-кодов, часы. Хит­рое при­ло­же­ние вело себя при­мер­но до двух суток, не воз­буж­дая подо­зре­ний, а затем при­ни­ма­лось ска­чи­вать из Сети и пока­зы­вать вла­дель­цам смарт­фо­нов рекла­му – не толь­ко кар­тин­ки, но и видео­ро­ли­ки.

При­ло­же­ния пута­ли сле­ды и услож­ня­ли их «поим­ку». Напри­мер, про­грам­ма мог­ла уда­лить свой зна­чок, а про­ме­жут­ки меж­ду реклам­ны­ми бан­не­ра­ми сде­лать слу­чай­ны­ми. Уви­деть в этом какую-то систе­му и свя­зать без­об­ра­зия с недав­ней уста­нов­кой «вот этой сим­па­тич­ной игры» вла­дель­цу смарт­фо­на ста­но­ви­лось непро­сто. Сум­мар­ное чис­ло ска­чи­ва­ний таких при­ло­же­ний соста­ви­ло око­ло 550 тысяч. Экс­пер­ты сооб­щи­ли о «наход­ке» Google, и ком­па­ния уда­ли­ла при­ло­же­ния из Google Play. (См. так­же ста­тью Daily Mail об этом инци­ден­те.)

Коман­да CyberNews, в свою оче­редь, заин­те­ре­со­ва­лась при­ло­же­ни­я­ми, кото­рые поз­во­ля­ют поль­зо­ва­те­лям «улуч­шать» свои сел­фи: дела­е­те обыч­ный сни­мок, а при­ло­же­ние добав­ля­ет пыш­но­сти вашим воло­сам, отбе­ли­ва­ет зубы и при­да­ет гла­зам изу­ми­тель­ный голу­бой отте­нок, о кото­ром вы все­гда меч­та­ли. По утвер­жде­ни­ям CyberNews, даже лиде­ры в этом клас­се не гну­ша­ют­ся соби­рать дан­ные о поль­зо­ва­те­лях и отсы­лать их назад, в Китай, для про­да­жи.

В октяб­ре 2019 года интер­нет-изда­ние The Bell опуб­ли­ко­ва­ло любо­пыт­ное иссле­до­ва­ние: толь­ко 11 из 100 наи­бо­лее попу­ляр­ных при­ло­же­ний в рос­сий­ском Google Play ни с кем не делят­ся собран­ны­ми поль­зо­ва­тель­ски­ми дан­ны­ми. Осталь­ные пере­сы­ла­ют эти дан­ные по мно­го­чис­лен­ным кана­лам, в том чис­ле не зашиф­ро­ван­ным (читай: в откры­том виде). При­ло­же­ния напич­ка­ны тре­ке­ра­ми, отсле­жи­ва­ю­щи­ми дей­ствия поль­зо­ва­те­ля (напри­мер, его место­на­хож­де­ние), и запра­ши­ва­ют изряд­ное коли­че­ство раз­ре­ше­ний. Пуб­ли­ка­ция The Bell иллю­стри­ру­ет аппе­ти­ты Android-при­ло­же­ний, кото­рые могут при­ве­сти к втор­же­нию в част­ную жизнь поль­зо­ва­те­лей.

Труд­но пред­ста­вить более про­стое и нетре­бо­ва­тель­ное при­ло­же­ние, чем фона­рик. Ком­па­ния Avast, извест­ный про­из­во­ди­тель анти­ви­ру­сов, про­ана­ли­зи­ро­ва­ла 937 (!) при­ло­же­ний фона­ри­ков, кото­рые в раз­ное вре­мя пуб­ли­ко­ва­лись в Google Play. Ока­за­лось, что 262 таких при­ло­же­ния тре­бо­ва­ли свы­ше 50 раз­ре­ше­ний. В част­но­сти, 180 фона­ри­кам зачем-то пона­до­бил­ся доступ к спис­ку кон­так­тов на смарт­фоне, а 77 фона­ри­ков хоте­ли запи­сы­вать звук.

Приложениие Super LED Flashlight из Google Play
Так ли нужен фона­ри­ку доступ к кон­так­там, место­по­ло­же­нию и фай­лам на смарт­фоне? Скрин­шот из Google Play.

Нако­нец, Android-устрой­ство и его вла­де­лец могут стать жерт­ва­ми вре­до­нос­но­го кода поми­мо Google Play. С такой исто­ри­ей мож­но позна­ко­мить­ся в мате­ри­а­ле ком­па­нии Group-IB об Android-тро­яне Fanta. Этот вре­до­нос наце­лен на кли­ен­тов попу­ляр­но­го в Рос­сии интер­нет-мага­зи­на Avito. При­ло­же­ние вору­ет день­ги, исполь­зуя при­е­мы соци­аль­ной инже­не­рии, фишин­го­вые стра­ни­цы. Фак­ти­че­ски поль­зо­ва­тель сам откры­ва­ет Fanta доступ к сво­е­му устрой­ству.

Выхо­дит, пере­да­ча поль­зо­ва­тель­ских дан­ных или запрос раз­ре­ше­ний – зло? Необя­за­тель­но. Инфор­ма­ция может пере­да­вать­ся в обез­ли­чен­ном виде, а раз­ре­ше­ния – быть необ­хо­ди­мы­ми для рабо­ты при­ло­же­ния. Каж­дый слу­чай сле­ду­ет рас­смат­ри­вать инди­ви­ду­аль­но.

Почему возникают проблемы

Глав­ная при­чи­на – чело­ве­че­ский фак­тор. Умная, само­обу­ча­е­мая, регу­ляр­но обнов­ля­е­мая анти­ви­рус­ная про­грам­ма бес­силь­на, если поль­зо­ва­тель сам отклю­ча­ет защи­ту, напри­мер, под­чи­ня­ясь фей­ко­во­му «систем­но­му тре­бо­ва­нию».

Есть и фак­тор дове­рия. Google повто­ря­ет, что тща­тель­но сле­дит за без­опас­но­стью при­ло­же­ний Google Play, а при­ло­же­ние «Защи­та» вклю­че­но и рабо­та­ет. У поль­зо­ва­те­ля может воз­ник­нуть (не все­гда оправ­дан­ное) чув­ство защи­щен­но­сти: «Google уже поза­бо­тил­ся о без­опас­но­сти. Впе­рёд!». Как вид­но из при­ве­ден­ных выше при­ме­ров, жизнь быва­ет слож­нее.

В тех орга­ни­за­ци­ях, где кор­по­ра­тив­ная без­опас­ность что-то да зна­чит, смарт­фо­ны неред­ко «про­ва­ли­ва­ют­ся» меж­ду пунк­та­ми дей­ству­ю­щих поли­тик без­опас­но­сти. Люди поку­па­ют их за соб­ствен­ные день­ги, ста­ло быть, устрой­ство не кор­по­ра­тив­ное, да и про­кон­тро­ли­ро­вать выпол­не­ние пра­вил поли­ти­ки без­опас­но­сти на чужом смарт­фоне быва­ет непро­сто.

Нако­нец, уси­лия «без­опас­ни­ков» часто сфо­ку­си­ро­ва­ны на защи­те от вре­до­нос­но­го кода и фишин­га. При этом стай­ка непри­ят­но­стей про­ле­та­ет «ниже рада­ра». Тако­вы, напри­мер, fleeceware – при­ло­же­ния, кото­рые пыта­ют­ся (ино­гда за весь­ма при­лич­ные день­ги) про­дать вам то, что у кон­ку­рен­тов мож­но полу­чить за сим­во­ли­че­скую пла­ту или про­сто так. (Сло­во про­ис­хо­дит от англий­ско­го fleece, что в гла­голь­ной фор­ме озна­ча­ет «стричь шерсть»). Напри­мер, вы уста­но­ви­ли себе чудес­ный пла­ни­ров­щик семей­но­го бюд­же­та. При­ло­же­ние на стар­те запро­си­ло дан­ные бан­ков­ской кар­ты, что­бы «под­твер­дить реги­стра­цию и офор­мить бес­плат­ный семи­днев­ный тесто­вый пери­од». Не отме­ни­ли под­пис­ку до кон­ца неде­ли? Жад­ный пла­ни­ров­щик сни­мет с вас 150 дол­ла­ров «еже­ме­сяч­ной пла­ты». Мно­гие поль­зо­ва­те­ли про­сто уда­ля­ют при­ло­же­ние и счи­та­ют, что на этом все. Дей­стви­тель­но, раз­ра­бот­чик обыч­но вос­при­ни­ма­ет уда­ле­ние как недву­смыс­лен­ный отказ от поль­зо­ва­ния про­дук­том. Но есть и такие, кто исполь­зу­ет фор­маль­ность: уда­ле­ние при­ло­же­ния не оста­нав­ли­ва­ет дей­ствие «под­пис­ки», а поэто­му мож­но брать день­ги, даже если при­ло­же­ние фак­ти­че­ски уда­ле­но. Fleeceware не вирус и не тро­ян, про­грам­мы для отлав­ли­ва­ния вре­до­нос­но­го кода поль­зо­ва­те­лю не помо­гут. Экс­пер­ты ком­па­нии Sophos про­ве­ли соб­ствен­ное рас­сле­до­ва­ние, кото­рое под­твер­ди­ло: неко­то­рые fleeceware по-преж­не­му доступ­ны в Google Play.

Приложение Fortunemirror из Google Play
Клас­си­че­ский пред­ста­ви­тель fleeceware: три дня тесто­во­го пери­о­да, а потом 70 дол­ла­ров еже­не­дель­но за «пред­ска­за­ния судь­бы». Скрин­шот из Google Play.

Разрешения опасные и не очень

На какие раз­ре­ше­ния сто­ит обра­тить вни­ма­ние в первую оче­редь?

  • Чте­ние и запись лич­ных дан­ных (кален­дарь, кон­так­ты, исто­рия звон­ков).
  • Доступ к фай­лам на устрой­стве.
  • Отправ­ка СМС и совер­ше­ние звон­ков.
  • Доступ к дан­ным о место­на­хож­де­нии, менее точ­ный и более точ­ный (с исполь­зо­ва­ни­ем GPS).
  • Доступ к аудио и видео (каме­ре и мик­ро­фо­ну).

Вы може­те про­смот­реть общий спи­сок раз­ре­ше­ний в настрой­ках Android. На стра­ни­це каж­до­го при­ло­же­ния в Google Play есть пункт «Раз­ре­ше­ния»: про­ли­стай­те стра­ни­цу вниз, в раз­де­ле «Допол­ни­тель­ная инфор­ма­ция» най­ди­те «Раз­ре­ше­ния» и нажми­те ссыл­ку «Подроб­нее…».

Google пред­ла­га­ет инструк­цию о том, как управ­лять раз­ре­ше­ни­я­ми.

Еще два обсто­я­тель­ства.

  • Кон­крет­ные «опас­ные» раз­ре­ше­ния могут быть нуж­ны для рабо­ты при­ло­же­ния. Про­чти­те опи­са­ние: может быть, раз­ра­бот­чик объ­яс­нил, зачем его дети­щу пона­до­бил­ся доступ к каме­ре или мик­ро­фо­ну. 
  • При выхо­де новой вер­сии при­ло­же­ния набор раз­ре­ше­ний может изме­нить­ся (рас­ши­рить­ся).

Что можно сделать для безопасности приложений

  • Про­смот­реть уста­нов­лен­ные на смарт­фоне при­ло­же­ния. Уда­лить сомни­тель­ные и неис­поль­зу­е­мые. 
  • Посмот­реть раз­ре­ше­ния для остав­ших­ся при­ло­же­ний. При необ­хо­ди­мо­сти отрегулировать/выключить.
  • Убе­дить­ся, что все при­ло­же­ния в Google Play обнов­ля­ют­ся. Для это­го нуж­но зай­ти в Google Play, нажать кноп­ку с настрой­ка­ми («гам­бур­гер» – три полос­ки в левом верх­нем углу), выбрать «Настрой­ки» – «Авто­об­нов­ле­ние при­ло­же­ний» – «Толь­ко через Wi-Fi»).
  • Про­ве­рить, вклю­че­на ли Google Play Защи­та. В том же «меню гам­бур­ге­ра» выбрать пункт «Play Защи­та» и убе­дить­ся, что защи­та вклю­че­на.
  • Отклю­чить уста­нов­ку при­ло­же­ний из неиз­вест­ных источ­ни­ков. В моем смарт­фоне это «Настрой­ки» – «Рас­ши­рен­ные настрой­ки» – «Кон­фи­ден­ци­аль­ность» – «Неиз­вест­ные источ­ни­ки», но на вашем устрой­стве путь может выгля­деть ина­че.
  • Избе­гать уста­нов­ки при­ло­же­ний, когда в них нет реаль­ной надоб­но­сти. Не гнать­ся за модой («все уста­но­ви­ли, и я уста­но­вил»).
  • Уста­нав­ли­вать при­ло­же­ния надеж­ных раз­ра­бот­чи­ков, напри­мер, по реко­мен­да­ции экс­пер­та, кото­ро­го хоро­шо зна­е­те и кому дове­ря­е­те. 
  • Перед уста­нов­кой све­рять­ся с офи­ци­аль­ным сай­том раз­ра­бот­чи­ка: срав­ни­вать назва­ние при­ло­же­ния, имя раз­ра­бот­чи­ка, лого­тип при­ло­же­ния «с ори­ги­на­лом». Слу­ча­лось, что поль­зо­ва­тель по ошиб­ке уста­нав­ли­вал при­ло­же­ние с похо­жим назва­ни­ем и/или знач­ком.
  • Про­смат­ри­вать спи­сок раз­ре­ше­ний каж­до­го ново­го при­ло­же­ния.
  • Обра­щать вни­ма­ние на дату послед­не­го обнов­ле­ния – в Google Play нема­ло при­ло­же­ний, кото­рые уже несколь­ко лет фак­ти­че­ски забро­ше­ны раз­ра­бот­чи­ка­ми назад, – и на отзы­вы поль­зо­ва­те­лей. Будь­те кри­тич­ны к отзы­вам: сре­ди них мно­го эмо­ци­о­наль­но­го и бес­со­дер­жа­тель­но­го «инфор­ма­ци­он­но­го шума». Иные отзы­вы пока­зы­ва­ют ско­рее ошиб­ки самих поль­зо­ва­те­лей и их неоправ­дан­но завы­шен­ные ожи­да­ния, чем реаль­ные недо­стат­ки при­ло­же­ний. Свой при­скорб­ный «вклад» вно­сят вре­до­нос­ные при­ло­же­ния-боты, кото­рые зани­ма­ют­ся про­дви­же­ни­ем в Google Play через пуб­ли­ка­цию поло­жи­тель­ных отзы­вов. Но ино­гда отзы­вы полез­ны: по сово­куп­но­му воз­му­ще­нию мож­но убе­дить­ся, что с при­ло­же­ни­ем явно что-то не так и от его уста­нов­ки сто­ит воз­дер­жать­ся.
  • Срав­ни­вать при­ло­же­ния одно­го клас­са, выби­рая те, кото­рые сохра­ня­ют базо­вую функ­ци­о­наль­ность и не тре­бу­ют избы­точ­ных раз­ре­ше­ний.
  • Если вы рабо­та­е­те в орга­ни­за­ции, где суще­ству­ет поли­ти­ка без­опас­но­сти, мож­но «при­ме­рить» эту поли­ти­ку на ваше мобиль­ное устрой­ство. Чаще все­го поли­ти­ка пишет­ся не из садист­ских сооб­ра­же­ний, а что­бы защи­тить сотруд­ни­ков, их дан­ные, устрой­ства, ком­му­ни­ка­ции. Из этих пра­вил мож­но извлечь поль­зу, даже если смарт­фон ваш лич­ный и с рабо­той не свя­зан.

Еще по теме: