Когда приложение интернет-магазина предлагает придумать сложный пароль, мы морщимся и всё равно вводим несложный. Год рождения. Хорошо, может, тот простой пароль, который мы используем везде.
Серьёзно, так ли велика опасность?
Здесь мог бы быть нравоучительный абзац о том, сколько времени современный человек проводит, копаясь в мобильном телефоне, и как устройства стали центром нашего информационного поля, и как мы теперь не представляем себя без них, хватаясь за карман каждые 3-5 минут.
Смартфон. Источник: AKKet
Но лучше поговорим о важном. Пока мы годами ставили лайки, “чекинились” в отпуске и проверяли рабочую почту в 11 вечера, наш девайс скопил ужасающее количество персональной информации и стал носителем целого информационного профиля. За его сохранность действительно стоит переживать.
Давайте проверим, насколько всё плохо. Сравним вид активности и персональные данные, необходимые для этого с вашей стороны. Отвечайте честно. Если “было всего один раз” - тоже считается.
1. Читаете/отправляете почту на телефоне?
Что о вас могут узнать: основная/рабочая электронная почта, её содержимое, один из паролей (возможно, тот самый “несложный”, которым вы запечатываете приложения средней важности).
2. Пользуетесь приложениями с подпиской (музыкальными сервисами, онлайн библиотеками, сервисами такси)?
Что о вас могут узнать: номер и срок действия карты, имя владельца (как на официальных документах), CVV-код.
3. Совершаете покупки онлайн?
Что о вас могут узнать: имя, фамилия, дата рождения, основной адрес (если заказываете доставку), список покупок.
4. Пишите текстовые сообщения?
Что о вас могут узнать: список контактов, время написания, создания и отправки сообщения, и конечно же всё, что вы написали и прочитали в ответ.
5. Делаете фотографии?
Что о вас могут узнать: фото, время и место съёмки. Фото остаются в памяти телефона, и скорей всего автоматически резервно копируются “в облако” (хранилище данных онлайн).
6. Заходите в интернет?
Что о вас могут узнать: логины и пароли в различные сервисы, включая интернет-банки, вся история браузера (когда и куда вы заходили онлайн), история действий в социальных сетях.
7. Заходите в интернет-банк?
Что о вас могут узнать: данные и список кредитных карт, номера и реквизиты банковских счетов, истории переводов, покупки и транзакции.
8. Бонус: геоположение
Ваш телефон всегда знает, где вы находитесь. А у вашего провайдера хранится приблизительная информация о том, где вы были год и более назад. Некоторые приложения хранят список мест, где вы часто бываете. Знают, сколько раз вы там были, во сколько приходили и уходили.
Сложно поверить, но все перечисленное действительно либо находится локально на вашем мобильном устройстве, либо сохранено в мобильных приложениях и может быть легко использовано против вас злоумышленниками.
Android. Источник: Root Nation
Об этом правда стоит волноваться?
Да. Часто мы сами виноваты в утечке персональных данных. В то же время мошенники активно ищут и используют “дыры” в безопасности операционных систем. А иногда эти факторы комбинируются.
Как можно всё испортить самому?
Легко. Самый простой (и частый!) способ - установить непроверенное приложение.
Например, Android (самая распространенная сейчас операционная система) является открытой платформой. Это значит, написать и выложить в сеть, скажем, приложение-фоторедактор для Android может любой мобильный разработчик и защита ваших персональных данных - только его ответственность.
Плохо защищенное приложение легко взломать. Не страшно, если это калькулятор, не требующий регистрации. Страшно, если это мобильная игра, с покупками внутри приложения, требующая регистрации и ввода данных кредитной карты.
Некоторые приложения не нужно взламывать, они намеренно несут в себе вредоносный код.
В 2018 году вредоносная программа RedDrop Malware маскировалась под служебные Android-приложения. После установки она похищала локально сохраненные данные пользователя, чтобы использовать их для показа рекламы. Само приложение дополнительно скачивало 7 других установочных вредоносных файлов.
В том же году Android-троян, замаскированный под приложение-агрегатор онлайн-банков, распространялся в официальном магазине Google Play. После установки он отправлял данные банковских карт и логины/пароли для входа в интернет-банкинг на сервер злоумышленникам. Деньги со счетов пользователей переводились мошенникам, SMS-подтверждения перехватывались, а сообщения о транзакциях блокировались.
Иногда атаке подвергаются даже официальные приложения Android. В марте 2019 года был найден способ атаковать официальный сервис Google Фото и получать данные о местоположении пользователя, доступ к файлам и другую персональную информацию из аккаунта.
А если ничего не скачивать?
Телефон всё равно могут взломать. Проблема заключается в самой философии открытости Android. С 2009 по 2018 год в операционной системе официально найдено 1,886 уязвимостей, который могли стать причиной утечки персональных данных.
К слову, у ближайшего конкурента c закрытой платформой за тот же период найдено на 22.6% меньше уязвимостей.
Android много. Слишком много
Мобильной операционной системы Android в 2019 году пользуются 2 млрд устройств от разных мобильных брендов. И разработчики каждого бренда сами решают, как адаптировать общедоступные драйвера или доработать системные приложения.
В итоге к топ проблемам Android относят и ошибки в драйверах и прошивках сторонних брендов.
Хакерам проще найти лазейки, а Google не может контролировать, получили ли все старые версии системы обновления ПО, “прикрывающие” дырки в безопасности. И в состоянии ли они их поддерживать?
Получается, можно не скачать ни одного стороннего приложения, но и те, что предустановлены в системе, не защитят ваши персональные данные на 100%.
Знает о вас всё и легко выдаст: о доверии к мобильному устройству и его коварстве. Источник: The Insider
Широкая линейка устройств Android только усложняет ситуацию. Когда в системе находится очередная уязвимость, дорогие девайсы обновляются практически сразу. На телефоны и планшеты более распространённых недорогих брендов, работающих на Android, необходимые обновления могут так и не появиться.
И что же делать?
Вы сами можете принять необходимый минимум мер безопасности.
Шаг 1. Пристально следите за персональной информацией на вашей мобильном устройстве, не храните то, что боитесь потерять (сканы документов). Устанавливайте сложные коды и пароли, не используйте один и тот же в нескольких приложениях.
Шаг 2. Если привыкли хранить на мобильном действительно чувствительную персональную информацию, обдумайте переход на закрытую от стороннего вмешательства операционную систему Apple - iOS. Среди разработчиков она считается более защищенной, уязвимости быстрее исправляются.
Шаг 3 - Обращайте внимания на новости об обнаруженных уязвимостях операционных систем, и вовремя обновляйтесь.