Каждое устанавливаемое в операционной системе iOS или Android приложение руководствуется собственной политикой конфиденциальности, согласие с которой пользователь подтверждает в процессе его установки или запуска. Недобросовестные приложения могут собирать избыточное количество данных, утечка которых даже в обезличенном виде может привести к раскрытию личности владельца по совокупности факторов (своеобразный фингерпринт мобильного девайса). Некоторые приложения могут передавать и личные сведения, такие как указанные в профиле имя и фамилия, либо уникальные идентификаторы, например IMEI. Это особенно важно учитывать при работе на мобильных устройствах (как и на компьютерах) с информацией, утечка которой крайне опасна. Для обеспечения безопасности следует внимательно читать уведомления о политике конфиденциальности в соглашениях об использовании любых устанавливаемых приложений. В настройках приложений редко можно с достаточной гибкостью установить, куда могут передаваться какие типы данных, – например, с целью отказа от вовлечения третьих лиц. Как правило, в случае отказа пользователя от какого-то пункта соглашения приложение не запустится или не будет предоставлять какие-то услуги.
КЕЙС Специалисты финской компании F-Secure, занимающейся вопросами ИБ, в качестве эксперимента создали публичную точку доступа, среди условий использования которой было такое: «В обмен на доступ к Wi-Fi-сети пользователь отказывается от своего первенца или любимого домашнего животного». За короткое время отображения этой страницы шесть человек, не читая данный документ, согласились с этим условием ради доступа к интернету
[1032].
Доступ приложений к профилям Apple и Google
Еще одна неочевидная угроза связана с доступом к аккаунтам Google и Apple. По аналогии с социальными сетями (вход через Facebook или «ВКонтакте») службы и приложения, в том числе и на мобильных устройствах, позволяют авторизоваться с помощью идентификаторов Apple и Google. В этом случае приложение или сервис (сайт), на котором осуществлена аутентификация, получает доступ к информации, сохраненной в профиле Google или Apple.
Google
В профиле Google это может быть основная информация, такая как имя, адрес электронной почты и фотография. Также приложения/службы могут просматривать и копировать другие данные, например список контактов, фотографии/видеозаписи из «Google Фото», плейлисты на YouTube и т. д. Некоторые сайты и приложения могут редактировать, загружать и создавать контент, например видеоредактор может монтировать и загружать видео на YouTube, а планировщик – создавать новые события в «Google Календаре». Службы и приложения с полным доступом к аккаунту Google могут просматривать, копировать, редактировать и удалять практически любые данные в аккаунте, а также добавлять новые сведения (при этом им запрещено менять пароль, удалять аккаунт и использовать Google Pay для транзакций).
Учитывая, что в аккаунте может содержаться конфиденциальная информация, прежде чем предоставить доступ к нему сайту или приложению, следует ознакомиться с уведомлением об их политике конфиденциальности, в котором указано, как будут использоваться и защищаться данные. Особенно это касается служб и приложений, запрашивающих доступ к электронным письмам Gmail, фотографиям в Google Фото, документам в «Google Диск», информации о событиях в «Google Календаре» и телефонам и адресам в «Google Контактах»
[1033].
Apple
При авторизации с помощью функции «Вход с Apple» конфиденциальность соблюдается строже. При таком методе аутентификации служба или приложение получает только имя или реальный адрес электронной почты пользователя, или случайно сгенерированный – наподобие dpdcnf87nu@privaterelay.appleid.com. В последнем случае все сообщения, отправленные разработчиком приложения или сайта, автоматически перенаправляются на реальный адрес электронной почты пользователя
[1034].
Иногда может понадобиться изменить список приложений и сайтов, на которых осуществлена аутентификация с помощью Google или Apple, например при удалении неиспользуемых или подозрительных программ. Как это сделать, мы расскажем в конце этой главы, в разделе, посвященном защите мобильных устройств.
Обновления
Своевременное закрытие брешей, обнаруженных в системах защиты, крайне важный фактор обеспечения безопасности при использовании мобильных устройств. Хотя выпуск актуальных патчей – прерогатива производителей устройств, пользователю тоже стоит заботиться о безопасности, выбирая девайсы с наилучшей поддержкой. К примеру, большинство устройств под управлением ОС iOS и iPadOS практически не имеют проблем с установкой обновлений благодаря долгому сроку технической поддержки (не менее 5 лет
[1035]). Риск хищения данных возрастает для старых устройств, поддержка которых прекращена. Лишь немногие производители оперативно выпускают патчи для обеспечения безопасности Android-девайсов, в частности это Nokia и разработчик ОС Android компания Google, производящая устройства Pixel. Обновлений для других моделей, даже флагманских (не говоря о бюджетных), можно ждать месяцами, а то и вовсе не получить их. Например, по данным 2019 г., довольно популярные в России производители Huawei, Oppo и Vivo выпускали собственные обновления спустя 7 месяцев после релиза
[1036]. К тому же техническая поддержка устройств под управлением операционной системы Android часто длится год-два, а затем производитель прекращает обновлять «устаревшие» модели (например, исходя из маркетинговых соображений
[1037]).
Хотя более новые версии мобильных операционных систем и обеспечивают более высокий уровень защиты данных пользователя, даже в современных версиях iOS и Android выявляются уязвимости. Например, в iOS 13 был обнаружен баг, позволяющий посредством голосового управления просмотреть адресную книгу на заблокированном смартфоне
[1038]. А для устройств под управлением операционной системы Android существует инструмент FRP Bypass, снимающий блокировку Google Factory Reset Protection. В некоторых случаях злоумышленник может получить доступ к данным, хранящимся на устройстве, без сброса всех настроек (hard reset) с помощью только лишь защищенной паролем SIM-карты
[1039]. Примером дистанционных атак может служить взлом с помощью SMS-сообщения, содержащего настройки для перенаправления интернет-трафика с телефона через прокси-сервер злоумышленников. Так как установить фишинговую природу такого SMS-сообщения невозможно, жертва считает его подлинным, отправленным оператором сотовой связи и принимает настройки, разрешая тем самым «прослушку». Потенциально опасность угрожает множеству устройств под управлением операционной системы Android, в частности Sony
[1040],
[1041]. Также в коде Android существует уязвимость, актуальная для версий Android с 8-й по 10-ю. Если на устройстве не установлены патчи безопасности, злоумышленник может получить дистанционный контроль над ним и даже полностью взломать. В зоне риска оказались такие смартфоны, как Google Pixel 2, Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Moto Z3, Oreo LG, Samsung Galaxy S7, Samsung Galaxy S8, Samsung Galaxy S9. По словам сотрудников компании Google, данным эксплойтом пользуется для слежки израильская компания NSO Group, которая разрабатывает шпионское программное обеспечение
[1042].