Как все устроено
Загружая очередное приложение на телефон, вы задерживаете взгляд на сообщении «Разрешить программе доступ…» — а дальше длинный список того, что программа хочет получить. Как правило, это контакты, фотогалерея, геолокация, сообщения. Реже сервисы хотят получать доступ к камере, памяти, звонкам, микрофону, календарю.
Это нужно разработчику, чтобы приложение выполняло те функции, для которых его и устанавливали. Например, доступ к микрофону нужен мессенджеру, чтобы вы могли передавать аудиосообщения. Это полезно, но быть уверенным, что микрофон используется только по делу и не прослушивает вас, нельзя. Убедиться в этом можно, увидев исходный код программы, а он охраняется как коммерческая тайна.
Запрос информации, не связанной, на первый взгляд, с работой приложения, разработчики объясняют тем, что с помощью нее делают сервис лучше: минимизируют количество ошибок, выявляют проблемы интерфейса, отслеживают популярные или ненужные функции.
Звучит неплохо. На практике данные зачастую используются не для оптимизации приложения, а для более эффективной подачи рекламы. И это в лучшем случае. О том, собирается ли приложение перепродавать информацию о пользователе третьей стороне, должно быть написано в лицензионном соглашении.
В чем опасность
Даже если разработчик действует в рамках разумного и собирает данные исключительно в рабочих целях, всегда остается риск, что в приложении есть уязвимости, которыми могут воспользоваться злоумышленники. Как?
- Доступ к камере. Выдается не на один снимок, для приложения доступ открыт раз и навсегда. Если приложение «захочет» сделать несанкционированное фото или записать видео, оно не будет спрашивать дополнительного разрешения.
- Доступ к геолокации. Смартфон знает, где вы находитесь сейчас, и отслеживает историю передвижений. Приложения определяют местоположение не только, когда запущены.
- Доступ к телефону. Приложение может совершать звонки. Сделать запись звонков сложнее, но посмотреть историю ваших переговоров с таким разрешением — проще простого.
- Доступ к контактам. Приложение может использовать чужие контакты из адресной книги и получает доступ к вашим учетным записям.
- Доступ к СМС. Приложение, запросившее доступ к СМС, может читать все текстовые сообщения. Для личной переписки этот способ связи сейчас используется редко, но именно СМС до сих пор остается главным инструментом двойной авторизации, например, при оплате в клиент-банке или соцсетях. Узнать данные о подтверждаемом аккаунте несложно, если ранее вы выдали приложению доступ к контактам.
- Доступ к памяти. Приложение может читать, изменять и удалять любые файлы, хранящиеся в памяти устройства.
Таким образом, любое приложение с несколькими подобными допусками становится потенциальным шпионом в вашем собственном телефоне. А теперь задумайтесь, сколько рабочей информации хранится в памяти смартфона, как часто вы ведете конфиденциальные переговоры с клиентами или партнерами по своему мобильному. Поэтому будьте предельно внимательны, устанавливая очередное приложение, например «Запись звонков» или «Оптимизатор системы». Звонки оно, конечно, запишет, но не отправит ли при этом данные в непонятном направлении?
Как оградить себя от мобильного «шпиона»
Безусловно, отказываться от сотовой связи сегодня абсурдно. Но восемь простых правил помогут минимизировать риски доступа злоумышленников к данным на вашем смартфоне:
- Скачивайте приложения только из официальных магазинов. AppStore и GooglePlay не гарантируют полной безопасности, тем не менее риск скачать зловредное ПО снижается.
- Проверьте разрешения уже установленных приложений и удалите те, которые хотят подозрительно много. Внимательно относитесь не только к установке нового ПО, но и к обновлению текущего — новая версия может требовать новых разрешений.
- Проверяйте авторство приложений и устанавливайте только официальные программы: с качественным описанием, большим количеством скачиваний и высокой оценкой.
- Покупайте приложения. Платное ПО лучше защищено и имеет меньше соблазнов монетизироваться за счет ваших данных.
- Отключите автосинхронизацию с облачными сервисами — кроме случаев, когда она действительно необходима.
- Не включайте root-режим (права суперпользователя) и не проводите jailbreak («взлом»). Это инструменты для разработчиков, а не способ бесплатной установки платных программ. Обычным пользователям эти режимы только навредят, сделав их устройства уязвимыми.
- Используйте антивирус.
- Задействуйте системные средства повышения безопасности. Они есть как в виде отдельного ПО, так и в виде эксклюзивного контента для отдельных моделей телефонов (например, DTEK для Blackberry).
Просто будьте внимательны. Критически рассматривайте приложения и сервисы и приучайте к этому коллективы в своих компаниях. А если в вашем телефоне хранится по-настоящему важная информация — сделайте его «стерильным» и избавьте от любых сторонних приложений.
Что делать работодателю
Для работодателя «мобильность» сотрудников — это и благо, и большая головная боль. Запретить использовать личные устройства на рабочем месте могут позволить себе только режимные, военные объекты. Для них гаджеты работников и служащих — слишком большой риск.
В некоторых компаниях выбирают промежуточный вариант — снабжают сотрудников корпоративными устройствами с установленными инструментами защиты, например Mobile Device Management. Это набор сервисов и технологий, которые позволяют назначать правила для устройств: можно ли пользоваться камерами, устанавливать приложения, на какие ресурсы заходить и т.д.
Для большинства бизнесов и эта модель не очень реалистична. Поэтому приходится решать вопрос административными и управленческими мерами. Имеет смысл подписать с сотрудниками дополнительное соглашение к трудовому договору о работе с конфиденциальной информацией, где должны быть прописаны правила использования личных устройств в рабочих целях. Безопасно, когда личные устройства изолированы от рабочей инфраструктуры. Это значит, что сотрудникам нельзя использовать телефон для переноса файлов, заходить с него на сервер компании, в ряде случаев — вести переговоры с личного мобильника и пр.
Чтобы подписанное соглашение не осталось бумажкой, а требования не казались сотрудникам лишней бюрократией, важно регулярно освежать в памяти правила безопасности. Крупные корпорации организуют для этих целей киберучения. Но даже если вы просто будете время от времени информировать сотрудников о новых угрозах — это уже сослужит большую службу повышению уровню их ИБ-грамотности.
Об авторе — Алексей Парфентьев, ведущий аналитик ООО «СёрчИнформ»
Читайте также: