Программное обеспечение
При работе с мобильными устройствами, как и с компьютерами, нужно тщательно следить за устанавливаемыми приложениями и за выдаваемыми им разрешениями. Основное правило – установка только официальных версий (из официальных магазинов и сайтов разработчиков приложений) приложений крупных корпораций. Это не значит, что следует опасаться любых программ, разработанных небольшими компаниями или частными лицами, – далеко не все они вредоносны. Верно и то, что детища больших корпораций нередко собирают персональные данные. Например, голосовые помощники типа Apple Siri и Google Assistant записывают и передают на удаленные серверы команды, которые могут анализировать не только программы, но и люди. И если владелец говорит при включенном помощнике, может произойти утечка конфиденциальной информации
[972].
Если вы используете бесплатные приложения, то, вероятнее всего, предоставляете разработчикам свои персональные данные, такие как статистика использования и информация о реакции на рекламу, и другие сведения, позволяющие профилировать пользователей продукта. Даже если в приложении нет явной рекламы и инструментов для монетизации (формы для сбора пожертвований, платных функций и т. п.), связанные с ним сторонние сервисы, например с помощью трекеров, могут анализировать сведения о том, как вы используете его, а в некоторых случаях – и иные программы, сервисы и функции на устройстве
[973]. Как сказал когда-то безвестный остряк, если вы не платите за продукт, то, скорее всего, продукт – это вы сами
[974]. Так, приложения Maya и MIA (суммарно 6 млн скачиваний из Google Play), предназначенные для наблюдения за женским менструальным циклом и планирования беременности, без спроса отправляли Facebook и маркетинговым компаниям все введенные данные, в том числе адрес электронной почты и идентификатор телефона, что позволяло определить пользовательниц. Приложения стремились узнать как можно больше о самочувствии пользовательниц, вредных привычках, применении контрацептивов и т. п. и даже предлагали вести личные дневники. Утечка такой информации опасна. Она может повредить владелицам персональных данных гораздо больше, чем демонстрация назойливой тематической рекламы. Если женщина забеременеет, ее страховая компания может пересмотреть тарифы, а потенциальный работодатель – отказаться принять ее на службу, чтобы не платить ей во время декретного отпуска
[975].
Существуют специальные инструменты, позволяющие анализировать трафик, которым обмениваются приложения, и определять, какие разрешения они используют.
КЕЙС В 2018 г. в официальном магазине App Store были обнаружены вредоносные приложения для фитнеса. После запуска они предлагали отсканировать отпечаток пальца, обещая сгенерировать персональные рекомендации по питанию. Вместо этого пользователь отпечатком пальца с помощью Touch ID подтверждал платеж на сумму 8000–10 000 рублей
[976].
Установка вредоносных приложений более опасна для устройств под управлением операционной системы Android, но и владельцам iOS– и iPadOS-девайсов стоит быть начеку. Для смартфонов и планшетов компании Apple также существуют вредоносные приложения, в том числе способные покидать «песочницу» – изолированную среду, при запуске в которой одни приложения не влияют на другие и на систему в целом. Чаще всего такие программы попадают в систему с фишинговых сайтов (как правило, после джейлбрейка устройства) и воруют такие данные, как пароли и токены авторизации из связки ключей iCloud; сообщения в мессенджерах iMessage, Hangouts, Telegram, Skype, Voxer, Viber и WhatsApp; электронные письма; историю звонков и SMS-сообщений; данные о местонахождении устройства с включенным GPS-модулем в реальном времени; список контактов жертвы; фотографии пр. Как правило, разработчики Apple с помощью обновлений своевременно устраняют обнаруженные уязвимости, но многие старые модели, не поддерживающие современные версии операционной системы, по-прежнему остаются в зоне риска
[977].
КЕЙС Исследователи из компании Wandera протестировали два смартфона, iPhone и Samsung Galaxy, чтобы выяснить, «подслушивают» ли владельцев встроенные голосовые помощники, такие как Siri, – например для вывода релевантной рекламы. Для этого два устройства помещали на 30 минут в изолированную комнату, в которой воспроизводилась реклама корма для домашних животных, а еще два таких же устройства – в «тихую» комнату, где полчаса стояла тишина. Параллельно исследователи анализировали потребление заряда аккумулятора, запуск фоновых приложений и расход трафика, а также проверяли, появлялась ли реклама корма на устройствах. Через три дня, по окончании эксперимента, специалисты не обнаружили никаких свидетельств того, что смартфон активировал свой микрофон или передавал данные в ответ на звук. Расход заряда аккумулятора и трафика, в том числе через службы Siri и Google Assistant, практически не изменился. Реклама корма на смартфонах не появлялась
[978].
Для обеспечения безопасности пользователей компания Apple тщательно проверяет приложения, допускаемые в официальный магазин App Store. Несмотря на это, время от времени в магазине обнаруживаются вредоносные приложения, но обычно их единицы, а ущерб от их использования для конечного пользователя заключается в генерации дополнительного трафика или оформления платной подписки
[979].
КЕЙС Пользовательские данные собирают не только глобальные корпорации, но и относительно небольшие компании и сайты. В 2019 г. авторы интернет-издания The Bell проанализировали
[980] 100 самых популярных в то время приложений в магазине Google Play и выяснили, что 89 из них передают пользовательские данные на сторонние серверы. В числе самых склонных к шпионажу приложений на момент исследования были «Литрес», hh.ru, «Яндекс», Auto.ru, «Яндекс. Электрички», ivi, «Первый канал» и др. Полный список доступен по ссылке https://bit.ly/2HCpGiC. Важно отметить, что в ряде случаев передаваемые данные не шифруются, а значит, могут быть доступны не только разработчикам программ, но и третьим лицам. К примеру, по незашифрованным каналам могут передаваться идентификаторы Android ID и Android Ad ID (уникальный код устройства и код пользователя в рекламной сети Google соответственно), которые позволяют определять конкретного пользователя среди прочих и связывать в рекламной сети Google конкретное устройство с пользователем. Недостаточная защита передаваемых данных может позволить злоумышленникам получить данные об устройстве, в том числе о его стоимости, а также следить за конкретным устройством в любой доступной им публичной сети.