Знає про вас все і легко видасть: про довіру до мобільного пристрою і його підступність
Коли додаток інтернет-магазину пропонує придумати складний пароль, ми морщимося і все одно вводимо нескладний. Рік народження. Добре, може, той простий пароль, який ми використовуємо скрізь.
Серйозно, чи так велика небезпека?
Тут міг би бути повчальний абзац про те, скільки часу сучасна людина проводить, копаючись у мобільному телефоні, і як пристрої стали центром нашого інформаційного поля, і як ми тепер не уявляємо себе без них, хапаючись за кишеню кожні 3-5 хвилин.
Але краще поговоримо про важливе. Поки ми роками ставили лайки, "чекінились" у відпустці і перевіряли робочу пошту об 11 вечора, наш девайс зібрав страхітливу кількість персональної інформації і став носієм цілого інформаційного профілю. За його збереження дійсно варто переживати.
Давайте перевіримо, наскільки все погано. Порівняємо вид активності і персональні дані, необхідні для цього з вашого боку. Відповідайте чесно. Якщо "було всього один раз" - теж вважається.
1. Читаєте / відправляєте пошту на телефоні?
Що про вас можуть дізнатися: основна/робоча електронна пошта, її вміст, один з паролів (можливо, той самий "нескладний", яким ви запечатуєте додатки середньої важливості).
2. Чи користуєтеся додатками з підпискою (музичними сервісами, онлайн бібліотеками, сервісами таксі)?
Що про вас можуть дізнатися: номер і термін дії картки, ім'я власника (як на офіційних документах), CVV-код.
3. Робите покупки онлайн?
Що про вас можуть дізнатися: ім'я, прізвище, дата народження, основну адресу (якщо замовляєте доставку), список покупок.
4. Пишете текстові повідомлення?
Що про вас можуть дізнатися: список контактів, час написання, створення та надсилання, і звичайно ж все, що ви написали і прочитали у відповідь.
5. Робите фотографії?
Що про вас можуть дізнатися: фото, час і місце зйомки. Фото залишаються у пам'яті телефону, і скоріше за все автоматично резервно копіюються "в хмару" (сховище даних онлайн).
6. Заходите в інтернет?
Що про вас можуть дізнатися: логіни і паролі в різні сервіси, включаючи інтернет-банки, вся історія браузера (коли і куди ви заходили онлайн), історія дій в соціальних мережах.
7. Заходите в інтернет-банк?
Що про вас можуть дізнатися: дані і список кредитних карт, номери та реквізити банківських рахунків, історії перекладів, покупки і транзакції.
8. Бонус: георозташування
Ваш телефон завжди знає, де ви знаходитесь. А у вашого провайдера зберігається приблизна інформація про те, де ви були рік і більше тому. Деякі додатки зберігають список місць, де ви часто буваєте. Знають, скільки разів ви там були, у скільки приходили і йшли.
Складно повірити, але все перераховане дійсно або знаходиться локально на вашому мобільному пристрої, або збережено у мобільних додатках і може бути легко використано проти вас зловмисниками.
Про це правда варто хвилюватися?
Так. Часто ми самі винні у витоку персональних даних. У той же час шахраї активно шукають і використовують "дірки" в безпеці операційних систем. А іноді ці фактори комбінуються.
Як можна все зіпсувати самому?
Легко. Найпростіший (і частий!) спосіб - встановити неперевірений додаток.
Наприклад, Android (найпоширеніша зараз операційна система) є відкритою платформою. Це означає, написати і викласти в мережу, скажімо, додаток-фоторедактор для Android може будь-який мобільний розробник і захист ваших персональних даних - лише його відповідальність.
Погано захищений додаток легко зламати. Не страшно, якщо це калькулятор, який не потребує реєстрації. Страшно, якщо це мобільна гра, з покупками всередині програми, що вимагає реєстрації і введення даних кредитної картки.
Деякі додатки не потрібно зламувати, вони навмисно несуть у собі шкідливий код.
У 2018 році шкідлива програма RedDrop Malware маскувалася під службові Android-додатки. Після установки вона викрадала локально збережені дані користувача, щоб використовувати їх для показу реклами. Сам додаток додатково скачували 7 інших інсталяційних шкідливих файлів.
У тому ж році Android-троян, замаскований під додаток-агрегатор онлайн-банків, поширювався в офіційному магазині Google Play. Після установки він відправляв дані банківських карт і логіни/паролі для входу в інтернет-банкінг на сервер зловмисників. Гроші з рахунків користувачів переводилися шахраям, SMS-підтвердження перехоплювалися, а повідомлення про транзакції блокувалися.
Іноді атаці піддаються навіть офіційні додатки Android. У березні 2019 року було знайдено спосіб атакувати офіційний сервіс Google Фото і отримувати дані про місцезнаходження користувача, доступ до файлів і іншу персональну інформацію зі свого облікового запису.
А якщо нічого не скачувати?
Телефон все одно можуть зламати. Проблема полягає у самій філософії відкритості Android. З 2009 по 2018 рік у операційній системі офіційно знайдено 1,886 вразливостей, які могли стати причиною витоку персональних даних.
До слова, у найближчого конкурента із закритою платформою за той же період знайдено на 22.6% менше вразливостей.
Android багато. Занадто багато
Мобільною операційною системою Android у 2019 році користуються 2 млрд пристроїв від різних мобільних брендів. І розробники кожного бренду самі вирішують, як адаптувати загальнодоступні драйвера або доопрацювати системні програми.
У підсумку до топ проблем Android відносять і помилки у драйверах і прошивках сторонніх брендів.
Хакерам простіше знайти лазівки, а Google не може контролювати, чи отримали всі старі версії системи оновлення ПЗ, які "прикривають" дірки в безпеці. І чи в змозі вони їх підтримувати?
Виходить, можна не завантажити жодного стороннього додатка, а й ті, що встановлені в системі, не захистять ваші персональні дані на 100%.
Широка лінійка пристроїв Android тільки ускладнює ситуацію. Коли в системі знаходиться чергова вразливість, дорогі девайси оновлюються практично відразу. На телефони та планшети найбільш поширених недорогих брендів, що працюють на Android, необхідні оновлення можуть так і не з'явитися.
І що ж робити?
Ви самі можете прийняти необхідний мінімум заходів безпеки.
Крок 1. Уважно стежте за персональною інформацією на вашій мобільному пристрої, не зберігайте те, що боїтеся втратити (скани документів). Встановлюйте складні коди і паролі, не використовуйте один і той самий у кількох програмах.
Крок 2. Якщо звикли зберігати на мобільному дійсно чутливу персональну інформацію, обміркуйте перехід на закриту від стороннього втручання операційну систему Apple - iOS. Серед розробників вона вважається більш захищеною, уразливості швидше виправляються.
Крок 3 - Звертайте увагу на новини про виявлені вразливості операційних систем, і вчасно оновлюйтеся.