В канун новогодних праздников набирают популярность тематические приложения, создающие новогоднее настроение. Чем ближе заветная дата Нового года, тем больше загрузок имеют приложения развлекательного характера. Эксперты в ходе проверки установили — их скачивание может быть небезопасным. Специалисты Центра цифровой экспертизы Роскачества рассказывают, что им удалось обнаружить.
НОВЫЙ ГОД – ВРЕМЯ КИБЕРАТАК
Пандемия стала одной из причин рекордного роста киберпреступности разных видов — от тематического фишинга до прямых кибератак на сайты и пользователей. По статистике МВД1, только в РФ количество киберпреступлений за 2020 год практически удвоилось. Загрузка приложений через интернет-магазины (даже официальные) остается одним из каналов попадания вирусов на телефоны пользователей. Согласно исследованию NortonLifeLock и IMDEA Software Institute2 на 12 млн смартфонов на Android порядка 67,5% выявленных вредоносных приложений были взяты жертвами напрямую из Google Play Маркет, и только 10% — из других магазинов приложений. Это говорит о том, что в официальных магазинах приложений, при их кажущейся безопасности, легко скачать мошеннический продукт.
Илья Лоевский, заместитель руководителя Роскачества.
«Особые всплески активности злоумышленников обычно связаны с информационным и особенно календарным поводом. Накануне Нового года пользователям следует быть в два раза внимательнее — особенно при скачивании незнакомых приложений. Приложения, которые появляются перед Новым годом, быстро исчезают. К тому же их существует огромное количество. Пользователю сложно понять, какому приложению можно доверять, а от скачивания которого лучше воздержаться»
НОВОГОДНИЕ ПРИЛОЖЕНИЯ: ЧТО ИСКАЛИ?
Специалисты Центра цифровой экспертизы Роскачества проверили на безопасность 120 новогодних приложений из Google Play Маркета, некоторые из которых были «подняты с самого дна» магазинов. И даже это количество — капля в море, ведь у некоторых разработчиков — десятки новогодних приложений только в одной категории. Тем не менее, такая проверка позволила выявить тренды, характерные для программ такого рода, отследить мошеннические и составить основные правила цифровой безопасности для использования таких приложений.
Исследовались три основные категории приложений, создающих новогоднее настроение: счетчики времени до Нового года, «фоторамки» и приложения для создания новогодних видео, а также обои (например, елка и падающий на фоне снег).
В ходе проверки приложений анализировались доступы, которые запрашивает приложение. Здесь сразу несколько приложений-таймеров вызвали подозрение у специалистов. Так, New Year Countdown 2019: New Year Countdown Widget, New Year’s Countdown 2020 и Happy New Year Countdown 2021 запрашивают полный доступ к сети интернет, и одновременно с этим – доступ к управлению и изменению файлами на жестком диске. При этом реальная функциональность, связанная с загрузкой файлов (например, фото) в этих программах отсутствует. Напрашивается вывод: запрос такого разрешения – это потенциальная (а возможно, и намеренно оставленная) уязвимость, которую недобросовестные разработчики могут в любое время использовать для заражения устройств пользователей или кражи их персональных и платежных данных. Лучше не рисковать и не скачивать.
Но это еще не самое плохое. Наибольшее подозрение вызвало приложение-таймер New Year Countdown, которое получает не только полный доступ к сети и возможность показа информации поверх всех окон (что используется для навязчивой демонстрации рекламных баннеров), но еще и откровенно шпионит за пользователем: для работы приложения требуются доступы к точному местоположению, статусу телефона и его идентификаторам, а также данные о вызовах. Все это может использоваться для тайной слежки за устройством (stalkerware) и кражи информации. Еще два приложения-фоторамки Happy New Year Photo Frame 2020 и 2021 New Year Photo Frames также запрашивают идентификаторы вызовов — их тоже стоит опасаться.
Некоторые приложения из категории «Обои» оказались весьма подозрительными. Логично предположить, что у таких простых по функциональности приложений должны запрашиваться разрешения максимум на установку обоев и доступ к жесткому диску устройства (для загрузки картинок). Однако приложения «Новогодние Обои», Christmas wallpaper и «Новогодний фейерверк Живые обои» хотят и доступ на определение местоположения — причем не только по GPS, но и по сети, а также доступ к номеру телефона устройства и полный доступ к управлению и изменению информации в памяти телефона, что явно является небезопасным.
В НОВЫЙ ГОД БЕЗ РЕКЛАМЫ
В ходе тестирования у всех приложений было выявлено большое количество рекламы, которая в некоторых случаях всплывает на каждой странице приложения. В некоторых случаях (как с вышеупомянутым приложением-таймером New Year Countdown) приложение, получив разрешение на показ контента поверх всех окон, постоянно и навязчиво выводит рекламные баннеры, продавая рекламодателям ваши внимание и время. Такая практика не только доставляет неудобства пользователю, но и чревата случайными кликами на рекламный баннер, за которым может скрываться все, что угодно (так как обычно разработчики малоизвестных приложений не слишком разборчивы с рекламной интеграцией и могут сотрудничать в том числе и с откровенными мошенниками).
Специалисты также проанализировали политики конфиденциальности приложений-фоторамок и программ, создающих новогодние видео. Особенно отличился разработчик Aloha Photo Frame с приложением Happy New Year Photo Frame 2020 – в своей политике он указывает на сбор идентификационных данных устройств, а также просмотр входящих вызовов и чтение СМС. Звучит неприятно, не так ли?
Большинство остальных политик приложений-фоторамок составлено под «копирку» и отмечает сбор и передачу статичных данных (например, идентификатор устройства) как компании-разработчику, так и третьим лицам.
ЕСЛИ ВЫ ВСЕ РАВНО ХОТИТЕ СКАЧАТЬ ПРИЛОЖЕНИЕ, СОЗДАЮЩЕЕ НОВОГОДНЕЕ НАСТРОЕНИЕ, СОБЛЮДАЙТЕ СЛЕДУЮЩИЕ ПРАВИЛА:
● Скачивайте приложения только из официальных магазинов (App Store, Google Play Маркет, Huawei AppGallery). Это не застрахует вас от вредоносного ПО, но снизит риски. Обращайте внимание на отзывы пользователей и оценки приложений, на ответы разработчиков. Если отзывы отрицательные, ответы редкие, а оценки низкие – лучше воздержаться от скачивания такого приложения.
● Отдавайте предпочтение приложениям от известных разработчиков и с большим количеством скачиваний
● Обращайте внимание на доступы, которые запрашивает новогоднее приложение. Лучше не рискуйте, если не понимаете, зачем приложению эти разрешения, не предоставляйте их.
● В случае, если у вас iPhone под управлением iOS 14, а приложение-фоторамка запрашивает доступ к фотогалерее (что само по себе нормально), предоставляйте доступ только к тем фотографиям или видео, которые собираетесь обрабатывать, а не ко всей медиатеке. На
Android, к сожалению, разрешения пока запрашиваются и выдаются на все дисковое хранилище устройства.
● Всегда используйте антивирус на устройствах, регулярно обновляйте его и проверяйте им скачанные файлы.
● Не забывайте обновлять как сами приложения, так и мобильную операционную систему. Разработчики регулярно устраняют обнаруженные уязвимости и повышают качество приложений с каждым следующим обновлением.
Данные правила безопасности применимы к обоим магазинам – Google Play и App Store.
В погоне за новогодним настроением оставайтесь бдительными и не скачивайте первое понравившееся приложение, даже по рекомендациям знакомых. Так как данная категория приложений остается «темной», если вы не уверены в собственной цифровой грамотности, лучше вообще воздержаться от скачиваний данных приложений.