Установить мобильное приложение на смартфон – дело нескольких минут. Затем вводим требуемые данные и начинаем поиск. Всё это дома, на диване, без очередей и передвижений по городу. Звучит удобно. Но любое использование персональных данных в Интернете вызывает вопрос, а безопасно ли это?
Про сайты-подделки, сайты-ловушки мы много раз слышали. Они похожи как близнецы на настоящие и лишь внимательность и бдительность помогут не попасть в лапы мошенников. Например, интернет-аналитики компании "Доктор Веб" в ноябре обратили внимание, что стало больше лжесайтов мировых нефтяных компаний. Аналитики компании "Доктор Веб" находили вредоносные программы в каталоге Google Play, которые могут украсть данные для входа в соцсети или подписать пользователя на платные мобильные услуги. Что касается, мобильных приложений именно для поиска и покупки недвижимости, то, как пишет "Коммерсант", эксперты при их проверке оценили защищённость данных в 2,2 балла из пяти. По школьным критериям это провал. Причём очевидно, что мобильное приложение, где на товарной карточке отмечено не 50 рублей, а несколько миллионов, может стать причиной многомиллионного ущерба для пользователей.
Как не поддаваться панике? За разъяснениями мы обратились к Виктору Чебышеву, эксперту по кибербезопасности в "Лаборатории Касперского".
Как уберечь смартфон от небезопасного мобильного приложения
– Внешне приложение, в котором содержится та или иная уязвимость, может ничем не выдавать себя. Поэтому наиболее правильный способ защитить свои данные – регулярно обновлять приложения (вместе с обновлениями разработчики выпускают исправления для уязвимостей и ошибок), – посоветовал Metro Виктору Чебышев. – Следить за новостями и установить защитное решение, в том числе и на мобильные устройства. Пожалуй, самые опасные на сегодняшний день уязвимости в мобильных приложениях – это так называемые Remote Code Execution (RCE) уязвимости, они приводят к тому, что у злоумышленника появляется возможность перехватить данные приложения или заставить это приложение выполнить произвольный код. Судя по данным исследования, среди обнаруженных проблем уязвимостей типа RCE обозначено не было.
Про охоту на уязвимости и ошибки в коде
– Ошибки в коде или уязвимости могут быть обнаружены в любых приложениях, ведь код пишет человек, а человеку свойственно ошибаться. Важнее то, насколько оперативно компания закрывает обнаруженные ошибки, как реагирует на них. Стоит сказать, что во многих компаниях есть bug bounty программы, в рамках которых компаниям можно отправить сведения об обнаруженной в их продуктах уязвимости и получить за это вознаграждение. За уязвимостями ведётся активная охота и с каждым днём их всё сложнее находить, в том числе благодаря таким bug bounty программам.
Если ошибки и угрозы можно записать в длинный список, то рецепт от эксперта будет один и короткий, зато и доступный каждому.
– Самое главное правило безопасности в данном контексте, – объяснил Виктор Чебышев, – обновлять приложения, как только выходят новые версии.