■ Телефон. Чтение и изменение журнала вызовов, чтение телефонного номера, данных сотовой сети и получение сведений о статусе исходящих звонков; добавление услуг голосовой почты; доступ к IP-телефонии; просмотр вызываемого номера с возможностью завершить звонок или переадресовать его на другой номер; исходящие звонки на любые номера. Риск утечки сведений о том, кому звонил владелец устройства; запрет вызовов на определенные номера (например, экстренных служб); совершение вызовов, например на платные номера; перехват разговоров.
■ Датчики. Доступ к датчикам, например пульсометру. Риск определения состояния организма, например выявления болезней, о которых владелец устройства предпочел ли не сообщать. Получение сведений об активной деятельности (например, о посещении любовницы – в случае слежки жены за мужем).
■ SMS-сообщения. Отправка и прием SMS-сообщений, MMS– и push-сообщений, а также просмотр полученных сообщений в памяти устройства. Риск чтения имеющихся сообщений и перехвата поступающих, в том числе и из интернет-банков; отсылка спама, оформление платных подписок.
■ Память. Чтение файлов в памяти и запись во внутреннюю память или на SD-карту. Риск чтения конфиденциальных файлов или шифрования с требованием выкупа (так называемые вирусы-вымогатели). Риск атаки Man-in-the-Disk, в результате которой вредоносное приложение совершает «побег из „песочницы“»
[1025] и получает доступ к общему хранилищу – встроенной памяти или SD-карте, на которой заражает файлы других приложений, установленных на устройстве
[1026].
Настройка разрешений осуществляется при первом запуске приложения. Также настроить разрешения можно на экране Конфиденциальность
Управление разрешениями в Android (в разных версиях системы Android и различных моделях устройств название экрана может отличаться) и на экране Настройки
Конфиденциальность в iOS/iPadOS.
В операционной системе Android на экране Приложения и уведомления
Специальный доступ настраивается список специальных разрешений, и некоторые из них могут быть опасны:
■ Экономия заряда батареи. Это разрешение могут запрашивать вредоносные программы, фиксирующие в фоновом режиме местонахождение устройства.
■ Администраторы. Это разрешение выдается приложениям, обладающим расширенными полномочиями для доступа к системным ресурсам. Вредоносные приложения из этого списка могут изменять настройки телефона или даже удалять данные.
■ Поверх других приложений. Этим и другим похожим разрешением, Картинка в картинке, часто пользуются вредоносные приложения, чтобы скрыть от пользователя предупреждения или наложить фишинговый интерфейс на окно легитимной программы. Также с его помощью на передний план могут быть выведены рекламные баннеры или сообщения вирусов-вымогателей с требованием о выкупе.
■ Доступ к режиму «Не беспокоить». Вредоносное приложение может активировать режим «Не беспокоить», чтобы владелец устройства пропустил важные звонки или сообщения, например от службы безопасности банка в момент совершения подозрительной транзакции.
■ Доступ к уведомлениям. Разрешение, связанное с их обработкой, может использоваться вредоносными приложениями для кражи конфиденциальной информации из уведомлений.
■ Установка неизвестных приложений. Позволяет устанавливать приложения из неизвестных источников. Риск установки вредоносного приложения и последующей кражи данных. В исключительном случае, если требуется установка приложения из иного источника, кроме Google Play, следует после выдачи разрешения на установку вновь его заблокировать
[1027].
Множество приложений всячески пытаются заставить пользователя не только дать им системные разрешения, но и подключить к ним аккаунты социальных сетей или аутентифицироваться в соцсетях через эти приложения, обещая взамен различные бонусы например бесплатную виртуальную валюту в играх. Все это создает не только очевидные преимущества, такие как возможность сохранять с помощью аккаунта в соцсети прогресс игры или настройки приложения для восстановления после его переустановки или перехода на новое или дополнительное устройство, но и различные угрозы. Мы уже обсуждали их в главе, посвященной социальным сетям. Такие приложения не только получают возможность публиковать посты на вашей страничке от своего имени (зачастую заваливая их спамом), но и агрегируют данные, доступные в профиле, например фото, информацию о дате и месте рождения, реальные имя и фамилию (связывая с ником в игре/приложении), списки «друзей». В ряде случаев сбор этой информации может производиться для подготовки к хакерским атакам, например с применением методов социальной инженерии, если разработчик приложения преследует злонамеренные цели либо код программы был инфицирован вредоносными инъекциями (это также следует учитывать при установке взломанных версий приложений или программ неизвестных разработчиков).
КЕЙС В 2019 г. сотрудники компании «Лаборатория Касперского» обнаружили в магазине Google Play приложения, оформлявшие платные подписки втайне от пользователя. После установки такие приложения настойчиво требовали разрешения на доступ к уведомлениям. После его получения приложения собирали информацию (номер телефона, модель смартфона, размер экрана, название оператора сотовой связи и т. д.) и отправляли ее на сервер злоумышленников. В ответ приходил список веб-адресов, которые приводили на страницу оформления платной подписки в окне, невидимом для пользователя. Для заполнения нужных полей (например, с номером телефона) использовалась собранная ранее информация, а код подтверждения из SMS-сообщений перехватывался благодаря доступу к уведомлениям
[1028].
Помимо разрешений приложения получают согласие пользователей с их политикой конфиденциальности. Подавляющее большинство людей никогда не читает эти длинные тексты, сразу касаясь кнопки «Я согласен», хотя в них содержится вся информация о том, какие данные собирает и как их использует операционная система, приложение или веб-служба. К примеру, компания Apple может собирать такие данные, как имя и фамилия, почтовый адрес, номер телефона, адрес электронной почты, информация о предпочтительном способе связи, идентификаторы устройства, IP-адрес, информация о местоположении, данные банковской карты и информация из профиля с контактными данными в социальных сетях. В определенных случаях такая информация передается третьим сторонам, например сервисным центрам и органам государственной власти
[1029]. Операционная система Android тоже собирает информацию, но в существенно больших масштабах. Ее интересуют личные данные, сведения об устройствах и операторах сотовой связи, поисковые запросы, информация о просмотре контента и видео, записи команд голосового управления, данные о звонках и сообщениях в службах Google, точные данные о местоположении (об IP-адресах, GPS, Wi-Fi, Bluetooth, базовых станциях, показаниях датчиков
[1030] устройства), данные из общедоступных источников (к примеру, если имя пользователя упоминается в местной газете, Google может проиндексировать эту статью и показать ее пользователям, которые проведут поиск по его имени)
[1031].