23.12.2020

Роскачество проверило новогодние приложения

Добавить в закладки
Тем, кто не уверен в собственной высокой цифровой грамотности, рекомендуем воздержаться от скачиваний

Накануне новогодних праздников набирают популярность тематические приложения, создающие новогоднее настроение. Чем ближе заветная дата Нового года, тем больше загрузок имеют приложения развлекательного характера. Эксперты в ходе проверки установили, что их скачивание может быть небезопасным. Специалисты Центра цифровой экспертизы Роскачества рассказывают, что им удалось обнаружить.

Новый год – время кибератак

Пандемия принесла рекордный рост киберпреступности всех мастей – от тематического фишинга до прямых кибератак на сайты и пользователей. По статистике МВД, только в РФ количество киберпреступлений за 2020 год практически удвоилось. Загрузка приложений через интернет-магазины (даже официальные) остается одним из каналов попадания вирусов на телефоны пользователей. Согласно исследованию NortonLifeLock и IMDEA Software Institute на 12 млн смартфонов на Android, порядка 67,5% выявленных вредоносных приложений были взяты жертвами напрямую из Google Play, и только 10% – из других магазинов приложений. Это говорит о том, что в официальных магазинах приложений, при их кажущейся безопасности, легко скачать мошеннический продукт.

Лоевский Илья Роскачество.jpg
Илья Лоевский
заместитель руководителя Роскачества

Особые всплески активности злоумышленников обычно связаны с информационным и особенно календарным поводом. Накануне Нового года пользователям следует быть вдвойне настороже – особенно при скачивании незнакомых приложений. Приложения, которые появляются перед Новым годом, быстро исчезают, и это, вкупе с их изобилием, создает большие риски для пользователей: сложно понять, какому приложению можно доверять, а от скачивания которого лучше воздержаться.

Новогодние приложения: что искали?

Специалисты Центра цифровой экспертизы Роскачества проверили на безопасность 120 новогодних приложений из Google Play, некоторые из них были «подняты с самого дна» магазина. И даже это количество – капля в море, ведь у некоторых разработчиков десятки новогодних приложений только в одной категории. Тем не менее такая проверка позволила выявить тренды, характерные для программ такого рода, отследить мошеннические и составить основные правила цифровой безопасности для использования таких приложений.

Исследовались три основные категории приложений, создающих новогоднее настроение: счетчики времени до Нового года, фоторамки и приложения для создания новогодних видео, а также обои (например, елка и падающий на фоне снег).

В ходе проверки приложений анализировались доступы, которые запрашивает приложение. Здесь сразу несколько приложений-таймеров вызвали подозрение у специалистов. Так, New Year Countdown 2019: New Year Countdown Widget, New Year's Countdown 2020 и Happy New Year Countdown 2021 запрашивают полный доступ к сети интернет и одновременно с этим – доступ к управлению и изменению файлами на жестком диске. При этом реальная функциональность, связанная с загрузкой файлов (например, фото), в этих программах отсутствует. Напрашивается вывод: запрос такого разрешения – это потенциальная (а возможно, и намеренно оставленная) уязвимость, которую недобросовестные разработчики могут в любое время использовать для заражения устройств пользователей или кражи их персональных и платежных данных. Лучше не рисковать и не скачивать.

Но это еще не самое плохое. Наибольшее подозрение вызвало приложение-таймер New Year Countdown, которое получает не только полный доступ к сети и возможность показа информации поверх всех окон (что используется для навязчивой демонстрации рекламных баннеров), но еще и откровенно шпионит за пользователем: для работы приложения требуются доступы к точному местоположению, статусу телефона и его идентификаторам, а также данные о вызовах. Все это может использоваться для тайной слежки за устройством (stalkerware) и кражи информации. Еще два приложения-фоторамки Happy New Year Photo Frame 2020 и 2021 New Year Photo Frames также запрашивают идентификаторы вызовов – их тоже стоит опасаться.

Некоторые приложения из категории «Обои» оказались весьма подозрительными. Логично предположить, что такие простые по функциональности приложения должны запрашивать разрешение максимум на установку обоев и доступ к жесткому диску устройства (для загрузки картинок). Однако приложения «Новогодние Обои», Christmas wallpaper и «Новогодний фейерверк Живые обои» хотят и доступ на определение местоположения, причем не только по GPS, но и по сети, а также доступ к номеру телефона устройства и полный доступ к управлению и изменению информации в памяти телефона, что явно является небезопасным.

В Новый год без рекламы

В ходе тестирования у всех приложений было выявлено большое количество рекламы, которая в некоторых случаях всплывает на каждой странице приложения. В некоторых случаях (как с вышеупомянутым приложением-таймером New Year Countdown) приложение, получив разрешение на показ контента поверх всех окон, постоянно и навязчиво выводит рекламные баннеры, продавая рекламодателям ваши внимание и время. Такая практика не только доставляет неудобства пользователю, но и чревата случайными кликами на рекламный баннер, за которым может скрываться все что угодно (так как обычно разработчики малоизвестных приложений не слишком разборчивы в рекламной интеграции и могут сотрудничать в том числе и с откровенными мошенниками).

Специалисты также проанализировали политики конфиденциальности приложений-фоторамок и программ, создающих новогодние видео. Особенно отличился разработчик Aloha Photo Frame с приложением Happy New Year Photo Frame 2020: в своей политике он указывает на сбор идентификационных данных устройств, а также просмотр входящих вызовов и чтение СМС.

Большинство остальных политик приложений-фоторамок составлены «под копирку» и отмечают сбор и передачу статичных данных (например, идентификатор устройства) как компании-разработчику, так и третьим лицам.

Если вы все равно хотите скачать приложение, создающее новогоднее настроение, соблюдайте следующие правила:

  • Скачивайте приложения только из официальных магазинов (App Store, Google Play, Huawei AppGallery). Это не застрахует вас от вредоносного ПО, но снизит риски. Обращайте внимание на отзывы пользователей и оценки приложений, на ответы разработчиков. Если отзывы отрицательные, ответы редкие, а оценки низкие – лучше воздержаться от скачивания такого приложения.

  • Отдавайте предпочтение приложениям от известных разработчиков и с большим количеством скачиваний.

  • Обращайте внимание на доступы, которые запрашивает новогоднее приложение. Лучше не рискуйте, если не понимаете, зачем приложению эти разрешения, не предоставляйте их.

  • В случае если у вас iPhone под управлением iOS 14, а приложение-фоторамка запрашивает доступ к фотогалерее (что само по себе нормально), предоставляйте доступ только к тем фотографиям или видео, которые собираетесь обрабатывать, а не ко всей медиатеке. На Android, к сожалению, разрешения пока запрашиваются и выдаются на все дисковое хранилище устройства.

  • Всегда используйте антивирус на устройствах, регулярно обновляйте его и проверяйте им скачанные файлы.

  • Не забывайте обновлять как сами приложения, так и мобильную операционную систему. Разработчики регулярно устраняют обнаруженные уязвимости и повышают качество приложений с каждым следующим обновлением.

Данные правила безопасности применимы к обоим магазинам – Google Play и App Store.

В погоне за новогодним настроением оставайтесь бдительными и не скачивайте первое понравившееся приложение, даже по рекомендациям знакомых. Так как данная категория приложений остается «темной», если вы не уверены в собственной цифровой грамотности, лучше вообще воздержаться от скачивания данных приложений.


Поделиться:
0 комментариев
Наверх

Samsung Galaxy Note 8 (SM-N950F/DS) добавлен к сравнению Всего в списке 3 товара