О надежности менеджеров паролей
Эксперты Роскачества по тестированию цифровых продуктов проверили полсотни менеджеров паролей в Google Play Store, особенно уделяя внимание приложениям «со дна» рейтинга. Стратегия была выбрана осознанно, чтобы увеличить риск нарваться на вредоносную программу. Тогда появится резонный вопрос: почему в официальном магазине вообще оказались такие приложения?
Хотя, по заявлениям Google, количество вредоносного контента сокращается год от года, у пользователей Play Market все же остается высокая вероятность скачать и установить себе на смартфон троянскую программу.
Многие так называемые менеджеры паролей в Google Play Store на самом деле являются фишинговыми приложениями, предназначенными для кражи паролей людей.
Реклама в приложениях
И снова она. В приложениях ее присутствие давно никого не удивляет. Понять разработчиков можно: они таким способом монетизируют свой продукт и поддерживают его на бесплатной основе. Однако на этом позитивная сторона заканчивается.
Некоторые разработчики начинают откровенно злоупотреблять доверием пользователей, и рекламные баннеры переходят рамки навязчивости.
В том или ином виде реклама есть в 100% приложений. У двух из 50 рекламу можно отключить после платной подписки. Однако после ухода Visa и MasterCard оформить ее стало затруднительно.
Конечно, небольшие рекламные баннеры внизу экрана не являются помехой и демонстрируются они только при запущенном приложении. Основные кнопки приложения располагаются вверху, поэтому риск случайного нажатия на баннер сведен к минимуму.
Более ощутимое неудобство и даже опасность представляют баннеры, которые выскакивают при заполнении формы «логин-пароль» или при сохранении пароля. Их размер доходит до половины экрана в 11 из 50 исследованных приложений: PassLocker Password Manager; Simple Password Manager; My Simple Password Manager; Securden Password Manager и пр.
Опасность случайного нажатия на рекламный баннер в том, что содержимое последнего не проверено. Разработчики часто совершенно не в курсе, какая именно реклама будет демонстрироваться на их платформе. Известны случаи, когда рекламные баннеры в приложениях размещали мошенники. Таким образом, пользователи могут случайно нажать на баннер и перейти на фишинговые ресурсы. А вот как «обработают» пользователя, который случайно оказался на поддельной странице, уже вопрос социальной инженерии.
Излишние разрешения
Для работы менеджера паролей в мобильной операционной системе нужен минимум разрешений. Только 27% приложений от всех соблюдают это правило.
Загадкой для специалистов стал запрос на доступ к геолокации. Зачем? Ведь сохранять пароли можно вне зависимости от местоположения.
Однако доступ к карте попросили почти все приложения из списка, особенно отличились Simple Password Manager; Password Vault; «PassGen генератор паролей».
Запрос на разрешение к просмотру местной Wi-Fi-сети и всех устройств, подключенных к ней, от менеджера паролей также кажется странным. Такие «хотелки» обнаружены у Password Vault; ID Control Password Management; Password Generator; Simple Password Manager.
Просмотр этой информации не представляет угрозы, однако при наличии множества IoT-устройств, соединенных в единую Wi-Fi-сеть, появляется возможность сбора излишка данных о вас.
То есть если менеджер паролей окажется «нечист на руку», то кто-то посредством него сможет получить данные с IoT-устройств, сформировать о вас досье и использовать по своему усмотрению.
Программы-сталкеры
К откровенному stalkerware мы причислили те приложения, которые просят доступ к микрофону, осуществлению телефонных вызовов и получению данных о статусе телефона. Среди исследованных с таким обилием доступов попались следующие приложения: Simple Password Manager; Password Generator; Password Generator & Manager.
В худшем случае такая вседозволенность может привести к прослушке и записи телефонных разговоров.
Вывод
Таким образом, у проверенных нами 50 приложений есть проблемы с излишними доступами и рекламными баннерами различных размеров и разной частотой появления на экране.
Так как мы имеем дело с приложениями с бесплатной функциональностью, то реклама там будет присутствовать по умолчанию. Ведь разработчики «сдают» места под рекламу в целях монетизации. К сожалению, нельзя быть уверенными, что ссылка в баннере не ведет на сомнительные сайты или не является фишинговой. Конечно, вероятность невелика, но она есть, особенно если устанавливать малоизвестное приложение с низким рейтингом. Только премиум-доступ позволяет убрать рекламу.
По итогам проверки очевидно, что стоит устанавливать только те приложения, у которых высокий рейтинг скачивания и под которыми пользователи оставили много положительных комментариев в Google Play Store.
При выборе беспроигрышным вариантом будет отдать предпочтение известным разработчикам и крупным компаниям, зарекомендовавшим себя на рынке. От рекламы в приложениях вам, правда, все равно избавиться не удастся, зато риск скачать вредоносный код сводится к минимуму. Но действительно стопроцентной гарантии не может дать никто.
Следите за новостями, подписывайтесь на рассылку.
При цитировании данного материала активная ссылка на источник обязательна.
Есть нормальные менеджеры паролей с шифрованием, оффлайн и без рекламы. Лежат в опенсурс репозиториях типа f-droid. Тот же keepass dx или сейф+ . А тут какие-то абстрактные за некоторыми совсем уж неадекватными по разрешениям обозначенными исключениями. Конкретики мало и выборка небольшая. Вроде 50 а самые популярные не обозначены и какие 50 - не ясно.