1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

24 000 приложений из Google Play подвергли риску данные пользователей

29 приложений из Google Play, которые воруют личные данные клиентов «Сбербанка»

Главная проблема операционной системы Android в слабой системе безопасности, которая создавалась с прицелом на 2008 год, когда данная ОС и вышла в свет. Тем не менее, с тех пор хакеры стали гораздо более продвинутыми, в результате чего сейчас их программное обеспечение со встроенными в него троянами попадает даже в магазин Google Play, хотя все наименования перед попаданием в него проходят проверку при помощи специальной системы защиты. Как оказалось, целых 29 приложений из плеймаркета воруют личные данные клиентов кредитной организации «Сбербанк», а также многих других.

Сегодня, 30 октября 2018 года, эксперт антивирусной компании ESET Лукас Стефанко рассказал о том, что за последние несколько дней в магазине программного обеспечения Google Play удалось обнаружить почти три десятка популярных приложений со встроенным в них вредоносным ПО. Оно воровало данные банковских карт и логинов/паролей для входа в онлайн-банки различных кредитных учреждений, в том числе в «Сбербанк», «ВТБ», «Альфа-Банк» и ряд других.

Сначала программное обеспечение запрашивало разрешение к различным действиям, которые пользователи охотно выдавали, потому как программа обещала «очистить» операционную систему от лишних файлов (мусора) и повысить скорость работы телефона. После этого вредоносное ПО активизировалось. На зараженных телефонах показывались поддельные окна авторизации, которые имитируют начальные страны популярных интернет-банков в различных странах мира.

Список приложений, ворующих банковские данные:

  • Astro Plus;
  • Power Manager;
  • Master Cleaner – CPU Booster;
  • Master Cleanser – Power Booster;
  • Super Boost Cleaner;
  • Super Fast Cleanet;
  • Daily Horoscope For All Zodiac Signs;
  • Daily Horoscope Free – Horoscope Compability;
  • Phone Booster – CPU Cooker;
  • Ultra Phone Booster;
  • Free Daily Horoscope 2019;
  • Free Daily Horoscope Plus – Astrology Online;
  • Phone Power Booster;
  • Ultra Cleaner – Power Boost;
  • Master Cleaner – CPU Booster;
  • Daily Horoscope – Astrological Forecast;
  • Speed Cleaner – CPU Cooler;
  • Horoscope 2018;
  • Meu Horoscopo;
  • Master Clean – Power Booster;
  • Boost Your Phone;
  • Phone Cleaner – Booster, Optimizer;
  • Clean Master Pro;
  • Clean Master – Booster Pro;
  • BoostFX;
  • Personal Horoscope.

Все эти программы уже удалены из Google Play, потому как компания ESET передала данные об их опасности для пользователей смартфонов на базе Android в руки «поискового гиганта», сотрудники которого быстро проверили информацию и произвести ряд необходимых действий. Если вдруг на вашем телефоне установлена какая-то программа из списка выше – ее следует как можно скорее удалить, а затем сменить логины и пароли от онлайн-банка. Также крайне желательно перевыпустить банковские карты, чтобы с них точно не украли деньги.

Ранее удалось выяснить, что компания Google создала совершенно новую операционную систему Android.

До 10 мая все желающие могут бесплатно получить спортивный браслет Xiaomi Mi Band 4, потратив на это всего 2 минуты.

Присоединяйтесь к нам в G o o g l e News , Twitter, Facebook, ВКонтакте, YouTube и RSS чтобы быть в курсе последних новостей из мира технологий будущего.

Как разработчики приложений из Google Play обманывают вас

Google никогда особенно не давалась защита пользователей Android. Да, компания старается доказать обратное, каждый месяц выпуская по обновлению безопасности с исправлением уязвимостей, но проблема в том, что у неё этих обновлений припасено на несколько месяцев вперёд, чтобы не нарушать план. Что и говорить про Google Play, который Google так и не удалось защитить от проникновения вредоносных приложений, то и дело ворующих данные пользователей, устраивающих за ними слежку или устанавливающих на инфицированные устройства сторонний софт. А тут ещё и недобросовестные разработчики масла в огонь подливают, против которых Google оказалась бессильна.

В Google Play масса приложений, чьи разработчики вас обманывают

Несмотря на то что многие разработчики в последнее время делают вид, что заботятся о безопасности пользователей, зачастую это попытка пустить пыль в глаза. Исследователи компании PrivacyLint проанализировали более 10 тысяч приложений из Google Play и выяснили, что политика конфиденциальности примерно 15% из них представляет собой нелогичный набор фраз, скомпонованных по неведомому принципу. Чаще всего это выражается в использовании конструкций, противоречащих друг другу, когда в одном абзаце утверждается, что приложение не собирает данные пользователей, а в другом содержится прямое опровержение сказанного ранее.

Что не так с приложениями из Google Play

Очень важно читать политику конфиденциальности приложений, чтобы потом не удивляться

По мнению экспертов PrivacyLint, цель, которую преследовали разработчики, состояла в том, чтобы создать видимость заботы о безопасности пользователей для тех, кто будет этим интересоваться и искать подтверждающую документацию. Но почему в таком случае нельзя было просто соврать? Ведь совершенно нелогично использовать противоположные постулаты в одном документе, где убедиться в их противоречивости сможет любой желающий. А причиной этого, как оказалось, стало использование разработчиками таких приложений онлайн-сервисов по автоматическому формированию политик конфиденциальности.

Читайте также: Google тестирует автозаполнение паролей на Android с помощью биометрии

Такие сервисы используют одни и те же шаблоны, которые по логике вещей не должны применяться для формирования одного и того же документа, но то ли в их работе происходит какой-то сбой, то ли их создателям совершенно наплевать на то, что они делают, но политика конфиденциальности некоторых программ оказывается совершенно бессмысленной. Впрочем, есть в этом и положительный момент. По крайней мере, так можно сразу определить степень ответственности разработчика и сделать вывод о надобности установки созданного им софта.

Зачем читать политику конфиденциальности

Как бы самонадеянно это ни звучало, но читать политику конфиденциальности – разумеется, при её наличии – лучше у всех приложений, которыми вы пользуетесь. Дело в том, что зачастую Google всё-таки проверяет содержащую их документацию и заставляет разработчиков писать правду. Из этих документов можно узнать много интересного о том, как работает приложение, какие данные оно собирает и кому их передаёт. Думаю, вы даже не думали о том, чтобы читать политику Samsung Pay, а зря. Ведь в описании принципов работы платёжного сервиса Samsung содержится прямое указание на то, что компания имеет право собирать данные пользователей и продавать их другим компаниям.

Читайте также: Как спрятать файлы на Android от посторонних

Лично я решил эту проблему довольно легко. Я просто перестал заморачиваться по этому поводу. В конце концов, какая разница, что Google, Samsung, Epic Games или любая другая компания знает обо мне. Ведь пользоваться их продукцией я всё равно не прекращу, потому что, во-первых, зачастую они предоставляют доступ к своим разработкам бесплатно, а, во-вторых, я банально не смогу найти им замену даже при всём желании. Ну, а если так, то зачем тратить попусту нервные клетки?

Как же неприятно, когда Wi-Fi работает плохо. Это просто ужасно и хочется быстрее все перезагрузить в надежде, что ситуация изменится. Вот только часто она не меняется и приходится делать это сново и сново, а потом просто мириться или покупать новый роутер в надежде, что это исправит положение дел. Все из-за того, что без Wi-Fi мы просто не можем. Если телефон еще как-то может выйти в Сеть через 3G или LTE, то у ноутбуков и компьютеров с этим намного сложнее. Тянуть провода не хочется, а беспроводная сеть не работает. Что же можно сделать в этом случае, чтобы сэкономить время и нервы?

Читать еще:  «Ростелеком» поможет Tele2 в строительстве и модернизации сотовой сети

Троянские программы – не такое уж привычное явление для Android, как принято считать. Несмотря на то что они действительно существуют и их явно больше, чем для iOS, большинство пользователей мобильной ОС от Google ни разу с ними не сталкивались. Это и немудрено. Всего-то и нужно, что скачивать софт только из Google Play и не пользоваться сторонними источниками, тем более если они не проверены. Ведь вероятность схлопотать какое-нибудь вредоносное приложение там гораздо выше, чем где-либо ещё. Но иногда бывает так, что основную опасность представляет даже не сам троян, а баг, который он эксплуатирует.

Есть люди, для которых работа с текстами перестает быть просто чем-то необходимым и рутинным, вроде написания служебной записки на работе, и становится настоящим хобби, которому они посвящают свободное время. Для кого-то текст и есть работа. Тем более, что сейчас на этом можно заработать неплохие деньги. Чем бы для вас не были последовательности букв на экране или бумажном носители, создатели приложений стараются сделать два вас что-то полезное и удобное. Сегодня поговорим о приложениях, которые помогут в любой работе с текстом — от подготовки делового письма до написания целой книги.

2 комментария Оставить свой

>> политика конфиденциальности примерно 15% из них представляет собой нелогичный набор фраз, скомпонованных по неведомому принципу

Похоже на описание статей на некоторых сайтах

Не так не только с приложениями, а с пользователями, видно же сразу, что качать нн надо.

Поддельные приложения Google Play 15 обманули пользователей Android

Ранее в этом месяце Google удалил вредоносное ПО 85 из магазина Google Play. В частности, нелегальное рекламное приложение имело форму симулятора приложения для удаленного управления игрой и миллионы раз выходило из 9 из Google Play Store. До сих пор, менее чем за месяц, был замечен новый набор приложений, которые нарушают правила Play Store.

Как именно эти приложения работали?

Хуже всего то, что приложения на базе 15 GPS работали на Play Маркет и использовал мобильную платформу компании, чтобы обмануть их Android пользователи и в то же время зарабатывать на них деньги. Эти приложения, включая GPS Route Finder, GPS Live Street Maps и Maps GPS Navigation, не предоставляли пользователям никаких дополнительных услуг. Вместо этого они использовали Google Maps или API для показа рекламы пользователям. Кроме того, некоторые из этих приложений искали разрешения на доступ к контактам своих пользователей, сообщениям и сведениям о вызовах.

Исследователь безопасности написал в твиттере, что все эти приложения являются навигационными приложениями, которые предоставляют все необходимые функции, но на самом деле все, что они делают, это создают бесполезный «слой» между пользователем и его приложением Google Maps, Проще говоря, как только пользователи загрузят эти приложения и нажмут на диск или перейдут или выберите другой вариант, откроется Google Карты, чтобы помочь пользователям. Однако, помимо отображения информации, связанной с навигацией, они обстреливали экраны смартфонов пользователей множеством рекламных объявлений! Также некоторые из них просили пользователей дать небольшую сумму, чтобы избавиться от рекламы. С самого начала целью было собрать деньги, обманывая. Сначала пользователи загружали приложения, затем отображали много рекламы и, наконец, должны были заплатить, чтобы избавиться от них.

Тем не менее, исследователи безопасности были ужасно впечатлены тем фактом, что из магазина Google Play было загружено около миллиона раз, поскольку некоторые из этих приложений даже не имели официального значка приложения! Google была немедленно проинформирована об этих событиях около месяца назад, но компания пока не объявила о каких-либо официальных действиях.

Как мошенники крадут деньги через приложения Google Play на Android

«Повелась на рекламу, установила приложение Gradient, которое определяет по фото, на кого из знаменитостей вы похожи. Приложение предложило бесплатный пробный период: три дня перед оформлением подписки. Ну, я посмотрела, попользовалась, приложение не понравилось, удалила через два часа после установки и забыла. А через три дня с карты списалось 1600 рублей».

Хотела бы написать, что эту душещипательную историю рассказала одна подруга моей подруги, но, увы, жертвой маркетинга стала сама автор этих строк. Такая вся умная и финансово грамотная, никогда не оформлявшая себе никаких платных подписок. Оказалось, удаление приложения не влечет за собой автоматическое удаление подписки на его платные сервисы. Беглый поиск по жалобам на приложения показал: я такая далеко не одна.

В прошлом году СМИ сообщали о еще одной распространенной схеме мобильного воровства. Приложение-игрушка Pingu Cleans Up подписывало пользователей на дорогостоящий сервис, используя очень простую махинацию. После установки оно предлагало создать игрового персонажа. На двух этапах нужно было выбрать атрибут для героя и нажать на всплывающем окне кнопку «подтвердить». А третье всплывающее окно было как две капли воды похоже на предыдущие, только вместо «подтвердить» было написано «подписаться». Сразу после нажатия у пользователей списывалось 5,5 евро (почти 400 рублей) и оформлялась еженедельная подписка. То есть приложение могло списать до 20 000 рублей в год, если вовремя не обнаружить пропажу.

Схема безотказно действовала для всех пользователей, у которых к аккаунту Google Play была привязана банковская карта. Мошенники рассчитали, что большинство людей нажмут на любую кнопку, лишь бы всплывающее окно закрылось и не мешало игре. И их расчет полностью оправдался. Сотни жалоб на Pingu Cleans Up тому в доказательство. На данный момент программа уже удалена из магазина Google-приложений.

К сожалению, случай не единичный: всяких фейковых и мошеннических приложений даже в официальном сервисе Google Play постоянно появляется множество. Их регулярно удаляют, но все равно находятся те, кто успел скачать что-то не то. Например, вот такое фейковое приложение, маскирующееся под приложение сети магазинов Ашан: «Ашан Россия».

Такие приложения-клоны могут воровать данные с вашего телефона, подписывать вас на ненужные сервисы и переводить по рекламным ссылкам. Отличить их от официальных можно по количеству скачиваний и рейтингу — у официальных он выше.

Как отменить подписку

Чтобы проверить, подключены ли у вас какие-нибудь платные подписки на смартфоне, зайдите в приложение Play Маркет. Помните, что при удалении приложения подписка не перестает действовать.

  • Откройте «Play Маркет» Google Play на устройстве Android.
  • Убедитесь, что вы вошли в нужный аккаунт Google (например, в личный, а не рабочий, если у вас их больше одного).
  • Нажмите на значок «Меню», затем «Подписки».
  • Найдите подписку, которую нужно отменить.
  • Нажмите «Отменить подписку«.
  • Следуйте инструкции.
  • Если приложение, в котором оформлена подписка, удалено из Google Play, подписка будет автоматически отменена, но средства за предыдущие периоды, если уже списаны, — возвращены не будут.

Что происходит после отмены подписки

Если приложение предлагало вам бесплатный пробный период, он пока не истек, а приложением вы пользуетесь – можете продолжать наслаждаться всеми преимуществами пробного периода. Также приложение не исчезнет из списка ваших подписок, просто вместо кнопки «Отменить подписку» появится кнопка «Возобновить». Осторожно, не нажмите на нее случайно, а то деньги снова начнут исчезать.

Как вернуть деньги за подписку

Если с момента покупки еще не прошло 48 часов, в большинстве случаев средства можно вернуть. Подайте запрос, следуя этим официальным инструкциям.

Если прошло более 48 часов, свяжитесь с разработчиком. Возврат средств допустим в том случае, если это не противоречит правилам разработчика и действующим законам.

24 000 приложений из Google Play подвергли риску данные пользователей

В: Market исчез из списка установленных программ

В: Как запретить Маркету самообновляться?

Для всех версий: Использовать ® LuckyPatcher by ChelpuS, в нем есть возможность отключить автообновление Google Play.

Читать еще:  Intel работает с Facebook над созданием ИИ-чипа, который выйдет в этом году

Указанные ниже способы работают на версии Маркета 2.x
О1: Удалить MarketUpdater.apk. Требуются root-привилегии. Если не удается удалить, можно заморозить с помощью ® Titanium Backup
О2: (спасибо пользователю kirill0605)

Делал даунгрейд маркета с 3* на 2.* по инструкции в шапке:
Работают оба варианта (в любом случае рут необходим) (на двух SGS попробовал):
1: «Удалить MarketUpdater.apk.» с помощью root explorer или аналога
2: «через приложение root explorer заходим: system-apk-marketUpdater», включаем режим r/w, «(жмем и держим) — разрешения — оставляем одну галочку в верхнем левом углу — только права на чтение для пользователя (r— / — / —) — оК.»

Если до указанных манипуляций, маркет успел обновиться, то заходим «Настройки/Приложения/Управление приложениями/», там находим маркет (в зависимости от прошивки он будет в разделе «Сторонний» и/или «все» и делаем по очереди:
1. Принудительно остановить
2. Очистить кэш
3. Удаление данных
4. Удаление обновления

После чего словил ошибку «Старая версия su»
Решается так:
заходим «Настройки/Приложения/Управление приложениями/» там находим «Суперпользователь» / «Superuser» (в зависимости от прошивки он будет в разделе «Сторонний» и/или «все» и делаем по очереди:
1. Принудительно остановить
2. Очистить кэш
3. Удаление данных
4. Удаление обновления

В: Установил кастомную прошивку, а в ней нет маркета / Установил кастомную прошивку и маркет с сайта, но он не работает. Что делать?

В: Новый Маркет ужасно тормозит, что делать?

В: Что делать, если интернет есть, а Маркет либо не запускается, либо не качает, либо выглядит «как-то не так».

В: Если Google Play перестал работать после Freedom

О1: Необходимо проверить установленное в системе дату и время. Проблема возникает из-за несоответствия времени на устройстве с временем действия сертификатов Google (срок еще не наступил или уже закончился). Необходимо выставить правильный часовой пояс, дату и время.
О2:
Такая ошибка довольно часто возникает из-за некорректной работы DNS серверов провайдеров. Для изменения DNS сервера на девайсе можно установить ® Set DNS и выбрать в настройках GoogleDNS (в PRO версии root права не нужны, она также есть в указанной теме в разделе Скачать). Если выход в интернет осуществляется через WI-FI, то в настройках роутера укажите в качестве DNS сервера — 8.8.8.8
О3:
Проверить файл /etc/hosts, в нем должна быть только одна строка — 127.0.0.1 localhost. Если строк больше — удалить все остальные, сохранить и проверить работу маркета. Необходимы root права, сделать можно с помощью ® Root Explorer.
О4:
Попробуйте поменять способ подключения к интернету wi-fi 3G, а также использовать другие точки подключения. Довольно часто эта проблема возникает из-за неполадок в сети.
О5:
1. Выполните хард-резет (общий сброс) смартфона. При этом все данные с него удалятся, но станет возможным подключить аккаунт Google;
2. Установите программу Add Account для принудительного добавления аккаунта в систему, сделать это можно следующим образом:

— cкачайте программу Add Account по ссылке ниже;
— запишите apk-файл в корень карты памяти;
— откройте стандартный браузер и введите следующее: content://com.android.htmlfileprovider/sdcard/add_account.apk
— перейдите по ссылке — начнется установка программы;

3. Запустите программу Add Account и введите Ваш адрес gmail в поле Account;
4. Нажмите Add Account;
5. Теперь при попытке синхронизации с аккаунтом Google возникнет ошибка с сообщением о том, что Вы неправильно ввели пароль. Достаточно просто нажать на уведомление и ввести пароль, после чего синхронизация с аккаунтом будет работать.
Скачать программу
О6:
(спасибо пользователю igrikmc)
1. качаем GApps (см. спойлер -> полезные файлы)
2. грузимся в Recovery (должен быть установлен CWR)
3. Выбираем «install zip from sdcard» -> «chose zip from sdcad» -список файлов->выбираем скаченный файл *.zip. подтверждаем «Yes — install *update*.zip»
4. reboot system now
при первой же загрузке предложит добавить учетную запись, добавление проходит без проблем.
З.Ы. Если уже были установлены некоторые гугловские приложения и они вдруг перестали работать, то просто нужно их переустановить.
О7: Google Play — Технические проблемы (Пост #20472955) (развернутый ответ по изменению файла hosts от vitobars)
О8: Google Play — Технические проблемы (Пост #21909029)

В: Вход не выполнен не удалось связаться с серверами Google

В: Нет соединения с Маркетом, ошибка «подключение отсутствует» / «Время ожидания подключения истекло»

В: Как бороться с ошибкой «Неожиданная остановка процесса com.android.vending»?

В: Маркет просит добавить аккаунт Exchange на устройство

В: При входе в Google Play возникает ошибка: «Ошибка Сервера»

В: Появляется сообщение об ошибке: процесс com.google.process.gapps остановлен.

В: Ошибка при получении данных с сервера [RH-01]

В: В процессе установки неизвестная ошибка: (24)

В: В процессе установки неизвестная ошибка: (2526)

В: Не удается загрузить/обновить приложение «Название приложения» из-за ошибки (101)

В: Неизвестный код ошибки во время установки приложения (-110)

В: Не удалось загрузить/обновить приложение из-за ошибки (194)

В: Не удалось скачать приложение. Повторите попытку. Если проблема не исчезнет, попробуйте устранить ее самостоятельно. Код ошибки: (0)

В: Не удалось загрузить/обновить приложение из-за ошибки (403)

В: Не удалось загрузить/обновить приложение из-за ошибки (406)

В: Не удалось загрузить/обновить приложение из-за ошибки (489)

В: Не удается загрузить/обновить приложение «Название приложения» из-за ошибки (491)

В: Не удается загрузить/обновить приложение «Название приложения» из-за ошибки (492)

О1: Данная ошибка обычно связана с проблемами в разделе, предназначенном под кэш google play. Можно воспользоваться приложением Сache Fixer для очистки/увеличения (переноса) кэша на sd карту (кэш переносится до следующей перезагрузки устройства, после перезагрузки кэш опять будет в памяти телефона).tk.rede.cacheFixer-1.apk ( 136,6 КБ )
Для переноса кэша на постоянной основе можно воспользоваться утилитой MarketFix marketfix.apk ( 15,69 КБ )

Это значит, что отсутствует доступ к разделу cache, из-за чего приложение не может скачаться/обновиться из Маркета.

Решение: Скачиваем и устанавливаем эмулятор терминала (требуются права root).
В эмуляторе набираем следующее:
su
ls -la /cache
Смотрим, выдаст что-то типа этого:
drwxrwx— 1 1000 2001 2048 Jul 8 11:39 .
drwxr-xr-x 14 0 0 0 Jul 8 11:39 ..
drwxrwx—x 1 1000 1000 2048 Jul 7 13:12 dalvik-cache
lrwxrwxrwx 1 0 0 23 Jul 8 11:39 download -> /sdcard/dow nload-market
drwxrwx— 1 0 0 2048 Jul 7 13:12 lost+found

Набираем chmod 777 /cache -R
Проверяем ls -la /cache

Должно быть что-то типа этого:
drwxrwxrwx 1 1000 2001 2048 Jul 8 11:39 .
drwxr-xr-x 14 0 0 0 Jul 8 11:39 ..
drwxrwxrwx 1 1000 1000 2048 Jul 7 13:12 dalvik-cache
lrwxrwxrwx 1 0 0 23 Jul 8 11:39 download -> /sdcard/download-market
drwxrwxrwx 1 0 0 2048 Jul 7 13:12 lost+found

Как видите, права полностью восстановились и с Маркета качает :happy:

О3: Еще одно решение от пользователя Spectrall

Провел ряд экспериментов на своем планшете. Делюсь информацией.

При установке приложения с Маркета в папке cache появляется файл downloadfile.apk.

Ранее предполагалось, что ошибка 492 может возникать из-за отсутстия прав на изменение/удаление этого файла, либо на запись в другие папки, находящиеся внутри cache (у меня там расположены lost+found с правами rwxrwx— и recovery с rwxrwxrwx).

Поверив на слово автору этого поста, я создал у себя в cache недостающие папки dalvik-cache и download, а также закинул в нее левый файл с названием downloadfile.apk. Получил следующее дерево:

/cache/
-dalvik-cache/
-download/
-lost+found/
-recovery/
-downloadfile.apk

Затем у всех объектов внутри cache забрал права (выставил ———).

Далее очень удивился, поскольку после запуска Маркета файл downloadfile.apk и папки dalvik-cache и download просто исчезли, хотя у оставшихся lost+found и recovery права (точнее, их отсутствие) не изменились. Повторил эксперимент с уже запущенным Маркетом, непосредственно перед нажатием кнопки «Принять и загрузить» — результат оказался тем же.

Пробовал создавать другие объекты, помещать файлы большого размера — без толку, Маркет и их убивал молча и не задумываясь. Естественно, приложения скачивались, устанавливались, обновлялись. Кроме того, после перезагрузки аппарата две незатрагиваемые Маркетом папки (lost+found и recovery) как будто создавались заново: им возвращались первоначальные права. Естественно, перезагрузка также удаляла из cache весь мусор, который я туда помещал, абсолютно не напрягаясь по поводу наложенных запретов.

Читать еще:  Новые детали Godfall: источники вдохновения, классы, трассировка лучей и прочие технические особенности

Единственным способом, заставившим Маркет капитулировать и выдать ошибку 492, стало снятие прав на запись с самой папки cache (я выставил на ней r—r—r—).

Думаю, дальше объяснять не нужно.

Могу лишь добавить, что не имею ни малейшего представления относительно того, как будут вести себя в подобных условиях другие аппараты и прошивки.

О4: И еще одно решение от пользователя typa.blade

В: Не удалось загрузить/обновить приложение из-за ошибки (498)

В: При попытке установить приложения возникает ошибка (499)

Более 80% приложений из App Store воруют данные пользователей

Иногда мы сами виноваты в утечке данных, но в очень многих случаях приложения самостоятельно систематизируют их и посылают в чужие руки. Но самое страшное, что, если наши контакты, заметки и пароли попадают в ненадежные базы данных, мы становимся уязвимыми чуть ли не на всю оставшуюся жизнь.

Согласно сервису Appthority, 83 процента из топ-100 платных и аналогичного топа бесплатных приложений для Android, а также 91 процент «сотни» в App Store хотя бы раз вели подозрительную активность. Цифры довольно неприятные, но, к счастью, есть как минимум семь способов повысить уровень своей информационной безопасности.

1. Незашифрованные данные

Пожалуй, самое страшное, что могут сделать приложения по отношению к своим пользователям, это собрать почти всю персональную информацию (ФИО, домашний адрес и адрес электронной почты, номер телефона и кредитной карты) и выложить ее в открытый доступ в незашифрованном виде, что значит, что абсолютно любой человек может при желании ее узнать. Такая уязвимость была, например, обнаружена в WhatsApp пару лет назад.

Большой скандал разгорелся вокруг приложения Starbucks для iOS, когда выяснилось, что оно хранит пароли в виде обычного текста, без какой-либо шифровки.

Другая популярная программа, а точнее ее Android-версия, The Coupons, передавала информацию о пользователе (включая его геолокацию) каждый раз, когда он запускал и пользовался этим приложением.

Конечно, обе эти программы были обновлены, а уязвимость — устранена, но сколько вреда они успели нанести «счастливым» обладателям смартфонов? И ведь эти случаи произошли только за последний месяц.

Что можно сделать?

К сожалению, мало что. Единственный вариант — научиться «вручную» просматривать активность приложения, но для этого нужны определенные навыки (например, умение разбираться в строках кода) и время.

Некоторым приложениям необходимо знать точное местоположение пользователя, например, GPS-программам, выстраивающим на карте местности оптимальный маршрут. Но зачем подобные «знания» играм? Ответ прост — они нужны их рекламщикам для создания контекстной рекламы и потоков спама. Именно поэтому многие программы совершенно самостоятельно собирают данные с GPS-модулей смартфона и высылают их своим создателям. Некоторых людей подобная активность вполне устраивает, некоторых — нет. В любом случае, что потом происходит с нашими данными в цепких лапах рекламного отдела, неизвестно.

Что можно сделать?

В обеих iOS и Android OS приложение в специальном всплывающем окне запрашивает разрешение на сбор геоданных при запуске. В некоторых случаях можно нажать на «нет» — на работе программы это никак не скажется. Иногда придется идти ва-банк: либо соглашайся, либо приложение надменно откажется запускаться.

Как она может навредить? В первую очередь на основе нашей информации создаются «рекламные профили», которые «кочуют» за нами, даже когда мы меняем телефон. И никто не может сказать, кому этот набор данных продадут или передадут завтра.

Кроме того, не так давно выяснилось, что Vulna, рекламная библиотека, собиравшая данные о пользователях, могла быть использована как инструмент для атаки Android-устройств. Исследователи выяснили, что приложения с Vulna «на борту» были скачены более 200 миллионов раз. Конечно, уязвимость уже закрыли, но осадок все равно остался.

Что можно сделать?

В первую очередь — скачивать приложения, не использующие рекламу. В основном они являются платными. Кроме того, в iOS 7 можно «ограничить трекинг рекламы», перейдя в настройки > приватность > реклама > «сбросить идентификатор», и для рекламных сетей выглядеть как «новый», другой, человек. Эквивалентов на Android пока нет, Google даже не разрешает блокировать рекламу в Google Play. Также можно заблокировать cookies с подозрительных сайтов в браузере.

4. Единый логин/пароль

Использовать одинаковые логин и пароль на всех ресурсах, требующих регистрации, — не самая лучшая идея. Конечно, это удобно — вряд ли забудешь такую важную комбинацию. Но, если в руки злоумышленника попадет эта информация, он получит мгновенный доступ к профилю и на Facebook, и «В контакте», и в Twitter — словом, везде, куда «ступала нога» жертвы.

Что можно сделать?

Очевидно — использовать разные комбинации логинов и паролей для каждого сайта. Также следует завести несколько почтовых ящиков.

5. Список контактов и календарь

Подобно геолокации, календари и списки контактов — золотая жила для всех рекламщиков. Поэтому множество приложений старается получить к ним доступ, вне зависимости от того, используют они их в работе или нет. Согласному тому же Appthority, 22 процента из топа платных и 31 бесплатных программ запрашивают доступ к контактам.

Что можно сделать?

Доступ к данным такого рода выдается только самим пользователям. В iOS начиная с шестой версии можно отозвать его в настройках приватности. К сожалению, в Android подобной функции не предусмотрено, можно закрыть эту лазейку лишь во время установки, а после — нет. Так что стоит хорошенько подумать, прежде чем соглашаться на все подряд.

6. «Встроенные покупки»

Многие программы, а особенно игры, доступны для скачивания бесплатно, но прибыль они получают, предлагая встроенные покупки (за реальную валюту, конечно же). Риск очевиден — речь ведь идет о деньгах! В интернете уже полно описанных случаев, когда ребенок тратил огромные суммы, постоянно что-то покупая себе в любимой «игрушке» на папином iPhone. Сам родитель, конечно, был не в курсе.

Забавно, что даже самые взрослые игроки иногда не в силе устоять перед очередной возможностью купить себе на виртуальную ферму новые семена баклажана.

Что можно сделать?

В iOs можно отключить встроенные покупки в определенном приложении в настройках. А пользователи Android могут поставить на эту функцию пароль: без его ввода купить ничего не удастся.

7. Уникальные идентификаторы устройств (UDID)

Один из способов «слежки» за пользователями смартфонов основывается на использовании уникальных идентификаторов устройств: персонального номера каждого. Одинаковых не бывает. Так как большинство гаджетов обычно используется только одним человеком, UDID позволит кому надо найти вас где угодно. А если этот номер становится известен, нет ни одного надежного способа его изменить — только купить новый телефон.

Apple запрещала разработчикам программ использовать UDID еще в 2012 году и теперь забраковывает те приложения, которые пытаются обойти запрет. Но иногда им это удается: согласно Appthority, самые популярные приложения по-прежнему собирают уникальные идентификаторы. На Android все несколько хуже: 55 процентов платных и 87 процентов бесплатных программ используют UDID, чтобы «следить» за пользователями. Как и все бесплатные игры для этой же системы.

Что можно сделать?

На iOS 7 Apple требует от приложений использовать другой номер, не заводской. И этот номер пользователь может самостоятельно изменить в настройках приватности. К тому же максимум, что «яблочная компания» разрешает сделать с его помощью, — использовать для рекламных целей. Google пробует что-то подобное с Google AdID, но огромное количество абсолютно разных Android-устройств делает этот процесс затруднительным. Иногда UDID может поменяться после «жесткой» перепрошивки устройства.

Вывод:

Конечно, вряд ли безобидная Angry Birds разрушит чью-то частную жизнь, но, прежде чем ставить себе на смартфон не самую с виду надежную программу, стоит несколько раз подумать, а также почитать в интернете отзывы — благо ресурсов масса. С уверенностью можно сказать только одно: спасение утопающих — дело рук самих утопающих, так что информационная безопасность пользователя зависит в первую очередь от его собственных действий.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector