28.12.2022

Стоит ли доверять свои пароли менеджерам паролей на Android?

Добавить в закладки
Эксперты Центра цифровой экспертизы Роскачества протестировали 50 приложений из Google Play Store и выяснили, что бОльшая часть из них не заслуживает доверия. Рассказываем об особенно отличившихся и как случайно не скачать их.

О надежности менеджеров паролей

11046-750x500-3.jpg

Эксперты Роскачества по тестированию цифровых продуктов проверили полсотни менеджеров паролей в Google Play Store, особенно уделяя внимание приложениям «со дна» рейтинга. Стратегия была выбрана осознанно, чтобы увеличить риск нарваться на вредоносную программу. Тогда появится резонный вопрос: почему в официальном магазине вообще оказались такие приложения?

Хотя, по заявлениям Google, количество вредоносного контента сокращается год от года, у пользователей Play Market все же остается высокая вероятность скачать и установить себе на смартфон троянскую программу.

Многие так называемые менеджеры паролей в Google Play Store на самом деле являются фишинговыми приложениями, предназначенными для кражи паролей людей.

Реклама в приложениях

И снова она. В приложениях ее присутствие давно никого не удивляет. Понять разработчиков можно: они таким способом монетизируют свой продукт и поддерживают его на бесплатной основе. Однако на этом позитивная сторона заканчивается.

Важно

Некоторые разработчики начинают откровенно злоупотреблять доверием пользователей, и рекламные баннеры переходят рамки навязчивости.


В том или ином виде реклама есть в 100% приложений. У двух из 50 рекламу можно отключить после платной подписки. Однако после ухода Visa и MasterCard оформить ее стало затруднительно.

Конечно, небольшие рекламные баннеры внизу экрана не являются помехой и демонстрируются они только при запущенном приложении. Основные кнопки приложения располагаются вверху, поэтому риск случайного нажатия на баннер сведен к минимуму.

Более ощутимое неудобство и даже опасность представляют баннеры, которые выскакивают при заполнении формы «логин-пароль» или при сохранении пароля. Их размер доходит до половины экрана в 11 из 50 исследованных приложений: PassLocker Password Manager; Simple Password Manager; My Simple Password Manager; Securden Password Manager и пр.

кузьменко новая
Сергей Кузьменко
СТАРШИЙ СПЕЦИАЛИСТ РОСКАЧЕСТВА ПО ТЕСТИРОВАНИЮ ЦИФРОВЫХ ПРОДУКТОВ

Опасность случайного нажатия на рекламный баннер в том, что содержимое последнего не проверено. Разработчики часто совершенно не в курсе, какая именно реклама будет демонстрироваться на их платформе. Известны случаи, когда рекламные баннеры в приложениях размещали мошенники. Таким образом, пользователи могут случайно нажать на баннер и перейти на фишинговые ресурсы. А вот как «обработают» пользователя, который случайно оказался на поддельной странице, уже вопрос социальной инженерии.


Излишние разрешения

Для работы менеджера паролей в мобильной операционной системе нужен минимум разрешений. Только 27% приложений от всех соблюдают это правило.

Загадкой для специалистов стал запрос на доступ к геолокации. Зачем? Ведь сохранять пароли можно вне зависимости от местоположения.

Справочно

Однако доступ к карте попросили почти все приложения из списка, особенно отличились Simple Password Manager; Password Vault; «PassGen генератор паролей».


Запрос на разрешение к просмотру местной Wi-Fi-сети и всех устройств, подключенных к ней, от менеджера паролей также кажется странным. Такие «хотелки» обнаружены у Password Vault; ID Control Password Management; Password Generator; Simple Password Manager.

Просмотр этой информации не представляет угрозы, однако при наличии множества IoT-устройств, соединенных в единую Wi-Fi-сеть, появляется возможность сбора излишка данных о вас.

Важно

То есть если менеджер паролей окажется «нечист на руку», то кто-то посредством него сможет получить данные с IoT-устройств, сформировать о вас досье и использовать по своему усмотрению.


Программы-сталкеры

К откровенному stalkerware мы причислили те приложения, которые просят доступ к микрофону, осуществлению телефонных вызовов и получению данных о статусе телефона. Среди исследованных с таким обилием доступов попались следующие приложения: Simple Password Manager; Password Generator; Password Generator & Manager.

В худшем случае такая вседозволенность может привести к прослушке и записи телефонных разговоров.

Вывод

11046-750x500-2.jpg

Таким образом, у проверенных нами 50 приложений есть проблемы с излишними доступами и рекламными баннерами различных размеров и разной частотой появления на экране.

Так как мы имеем дело с приложениями с бесплатной функциональностью, то реклама там будет присутствовать по умолчанию. Ведь разработчики «сдают» места под рекламу в целях монетизации. К сожалению, нельзя быть уверенными, что ссылка в баннере не ведет на сомнительные сайты или не является фишинговой. Конечно, вероятность невелика, но она есть, особенно если устанавливать малоизвестное приложение с низким рейтингом. Только премиум-доступ позволяет убрать рекламу.

Совет

По итогам проверки очевидно, что стоит устанавливать только те приложения, у которых высокий рейтинг скачивания и под которыми пользователи оставили много положительных комментариев в Google Play Store.


При выборе беспроигрышным вариантом будет отдать предпочтение известным разработчикам и крупным компаниям, зарекомендовавшим себя на рынке. От рекламы в приложениях вам, правда, все равно избавиться не удастся, зато риск скачать вредоносный код сводится к минимуму. Но действительно стопроцентной гарантии не может дать никто.

Следите за новостями, подписывайтесь на рассылку.

При цитировании данного материала активная ссылка на источник обязательна.

Поделиться:
Вам понравилось наше исследование?
Оцените, пожалуйста, насколько исследование было для вас полезным:

Возможно, вам чего-то не хватило в исследовании?

1 комментарий
В том или ином виде реклама есть в 100% приложений.

Есть нормальные менеджеры паролей с шифрованием, оффлайн и без рекламы. Лежат в опенсурс репозиториях типа f-droid. Тот же keepass dx или сейф+ . А тут какие-то абстрактные за некоторыми совсем уж неадекватными по разрешениям обозначенными исключениями. Конкретики мало и выборка небольшая. Вроде 50 а самые популярные не обозначены и какие 50 - не ясно.
Читать дальше
17.01.2023 15:33
Наверх

Samsung Galaxy Note 8 (SM-N950F/DS) добавлен к сравнению Всего в списке 3 товара