Image Image Image Image Image Image Image Image Image Image

Интересное о компьютерах | Сегодня: Понедельник, 18 декабря 2017 года

Scroll to top

Top

No Comments

Умеют ли смартфоны хранить секреты? - Интересное о компьютерах

Смартфон, который сейчас лежит у вас в кармане, зачастую содержит массу важной персональной информации: банковские реквизиты, учетные данные для различных интернет-сервисов, сообщения и контакты из электронной почты, логины и пароли для онлайн-шопинга, а также социальных сетей. Все чаще говорят о том, что телефон должен стать электронным кошельком, универсальным платежным средством для чего угодно — от покупок до кредитов. Активно развивается технология NFC, благодаря которой для оплаты покупки или прохода в метро нужно будет всего лишь поднести мобильник к бексконтактному терминалу. Постоянно появляются все новые и новые мобильные приложения, призванные сделать электронные платежи при помощи телефона еще более удобными и простыми для юзера…

Однако мобильный софт отличается от немобильного в первую очередь тем, что подавляющее большинство его написано не крупными софтверными компаниями, имена которых на слуху, а обычными людьми, умеющими использовать открытые программные средства от Google, Apple, Nokia и т. д. Любой человек, обладающий соответствующими навыками программирования, может написать, а затем без особого труда разместить свое приложение в Android Market, App Store и т. д.

И в результате, как это ни печально, в официальных электронных магазинах крупнейших мобильных брендов появляются программы, которые делают вашу конфиденциальную информацию легкодоступной для киберпреступников — порой невольно, а порой вполне осознанно! К примеру, недавно в Android Market были обнаружены приложения, которые описывались как дополнения или наборы кодов для популярной игры Angry Birds — эти программки незаметно для пользователя отсылали данные с его телефона на удаленный сервер злоумышленников…
Специалисты бьют тревогу и заявляют, что ситуация с безопасностью в мире мобильных приложений складывается критическая! Персональные данные, которые можно использовать во вред, шифруются из рук вон плохо — их можно извлечь из мобильного приложения как непосредственно (в случае кражи телефона), так и удаленно (при помощи вредоносного кода, заложенного в приложении)!
В подтверждение этого компания viaForensics, занимающаяся информационной безопасностью, обнародовала исследование, в котором выяснила, насколько эффективно приложения, загруженные с Android Market и App Store, шифруют личную информацию, которая вводится при их использовании. Для теста были выбраны 100 популярных приложений:
финансовые приложения (данные для онлайн-банкинга);
социальные сети (логины и пароли);
приложения для повышения продуктивности труда (календари, закладки, почтовые сервисы);
приложения для онлайн-шопинга (данные “Личных кабинетов” в онлайн-магазинах).
Приложения были установлены на телефоны, после чего специалисты пытались эти аппы взломать всеми подручными средствами для получения заранее введенных данных. И вот что получилось в итоге:

Финансовые приложения
44% — сохранили данные пользователя в неприкосновенности;
31% — удалось обнаружить информацию, но не расшифровать;
25% — провалили тест, информация была извлечена вплоть до получения истории всех платежей, номера кредитной карты и даже PIN-кода!

Социальные сети
Ни одно из приложений не прошло тест на отлично.
26% — удалось обнаружить информацию, но не расшифровать;
74% — провалили тест, из приложений были извлечены логины и пароли, все личные сообщения и скрытые части профайла (фотографии, дата рождения и прочее).

Приложения для повышения продуктивности труда
9% — сохранили данные пользователя в неприкосновенности;
49% — удалось обнаружить информацию, но не расшифровать;
43% — провалили тестирование.

Приложения для онлайн-шопинга
Ни одно из приложений не прошло тест на отлично.
88% — удалось обнаружить информацию, но не расшифровать;
12% — провалили тест, среди них были даже андроидная версия известного клиента коллективных скидок Groupon и официальное приложение от Starbucks для Android и iOS. Увы, даже крупные корпорации не всегда инвестируют достаточно средств для защиты данных своих клиентов…

Итог неутешителен: только 17% приложений из протестированных сохранили информацию о владельце, в то время как 83% выдали эти данные без особого сопротивления или продемонстрировали, что их можно получить впоследствии при более серьезном взломе… F5 попытался выяснить у специалистов: актуальны ли в нашей стране опасности, выявленные для американских смартфоновладельцев, для чего пообщался с Алексеем Деминым, специалистом российского представительства G Data Software — компании, занимающейся IT-безопасностью:

— Насколько это может быть актуальным в России?
— Многие виды угроз опасны для отечественных пользователей в не меньшей степени, чем для иностранных, — любой пользователь из России может скачать любое приложение. Если приложение не предлагается с русским интерфейсом, это, конечно, сокращает число его потенциальных пользователей у нас, но не делает его неинтересным в принципе. Кроме того, после выхода приложения, которому удалось завоевать определенную популярность, обязательно появляются его аналоги, предлагаемые другими разработчиками.
Наши пользователи с удовольствием используют мобильные версии AIM, Facebook, Gmail, Groupon, Skype, Twitter, YouTube и многих других программных продуктов. Естественно, не каждое из перечисленных приложений содержит в себе конфиденциальную информацию о владельце, но потенциально такую информацию содержать может или способно обеспечить доступ к ней. Для неглупых людей иной раз достаточно и косвенных данных, которые в совокупности с известными фактами дадут изрядно пищи для размышлений.

— Почему магазины приложений недостаточно проверяют контент разработчиков на безопасность — в частности, на защищенность конфиденциальной информации?
— Магазин приложений, к сожалению, практически лишен возможности проверять софт на защищенность конфиденциальной информации по объективным причинам. Во-первых, этот процесс занимает немало времени, во-вторых, требуется серьезный уровень технических знаний и навыков. Все это значительно повышает конечную стоимость приложения. А ведь не факт, что оно вообще будет иметь успех у пользователей и отобьет затраченные на его разработку и проверку средства!
Также (если говорить не о преднамеренных багах в приложениях, а просто об их недоработанности девелоперами) на руку преступникам играет «гонка вооружений» на рынке мобильного софта. Выпустить на рынок очередную версию аппа с новыми возможностями раньше конкурентов — цель номер один для многих разработчиков, но при этом в пылу этой гонки нередко упускаются малозначимые на первый взгляд детали, способные превратиться в очередную уязвимость.

Отсюда несколько советов. Если есть возможность не хранить критично важную информацию на мобильных устройствах, лучше этого не делать. Если уж решились на это, доверять конфиденциальную информацию следует только приложениям, созданным надежными разработчиками с хорошим реноме. И разумеется, нельзя забывать о системах защиты мобильных операционных систем.