Google Play постоянно чистит свой магазин от мошеннических приложений, но полностью справиться с ними не может — хакеры находят новые способы обходить защиту Google в целом и Android в частности. Самое большое количество атак происходит через «разрешения приложениям» — механизм защиты, который позволяет пользователю решить, стоит ли давать приложению разрешение узнавать геолокацию, отправлять СМС и так далее. Поскольку Google свалил проблему безопасности на вас — вы обязательно должны знать, какие пути атаки хакерам открывают разрешения и как не стать жертвой фишинга или премиум-СМС.
Дочитайте до конца, и вы будете знать, какие разрешения нельзя давать вообще никому.
О разрешениях и хакерах в целом
Изначально приложение, которое было установлено на ваш смартфон, не имеет доступа вообще ни к чему — оно почти полностью изолировано от других сервисов и от ваших данных. «Почти» — потому что ряд неопасных сервисов, вроде Bluetooth и доступа к интернету, Android выдаёт приложению без вашего ведома. А вот чтобы приложение могло пользоваться вашими данными, ему нужно получить разрешение от вас — то есть вы должны нажать на «Принять» после того, как ознакомитесь со списком разрешений.
Для многих выдача разрешений приложению стала чем-то вроде подписания лицензионного соглашения — не вчитываются, просто соглашаются. Хакеры этим пользуются — они создают фишинговое или другое вредоносное приложение, размещают его в магазине и ждут, что кто-то скачает его и даст разрешение на определённые действия. Затем хакерское приложение либо терпеливо ждёт удобного момента, либо сразу ворует ваши деньги — зависит от алгоритма.
Основные способы кражи денег: фишинговые сайты, премиум-СМС и премиум-звонки. Фишинговые сайты воруют данные вашей карточки, после чего с неё исчезают деньги. Премиум-СМС и премиум-звонки (то есть платные) с вашего телефона начинают поступать практически сразу, воровство ограничивается балансом вашего счёта.
Разбираем конкретные разрешения
Календарь
Приложение может смотреть, какие события у вас назначены, может добавлять новые события в календарь, изменять и удалять старые.
Степень опасности: Низкая.
Чем могут навредить: если кто-то решил следить за вами, календарь будет хорошим источником информации — при условии, что вы им пользуетесь. Но хакеры обычно работают неизбирательно, конкретно за вами следить никто не будет.
Камера
Приложение получает полный доступ к вашей камере — может снимать видео и делать фотографии.
Степень опасности: Средняя.
Чем могут навредить: опять же, если следят конкретно за вами, камера будет бесценным источником информации. Когда речь идёт о неизбирательном хакинге, единственная опасность — камера может сфотографировать вашу банковскую карточку, если ей представится такая возможность.
Контакты
Приложение получает доступ к вашей книге контактов, может читать информацию о них, а также добавлять новые и редактировать/удалять имеющиеся. Важно: если даёте это разрешение — приложение получает доступ к вашим контактам в соцсетях, в том числе ВКонтакте, Одноклассники, контактам из Google-аккаунта.
Степень опасности: Средняя.
Чем могут навредить: спам с вашего аккаунта другим людям рассылать не могут, но могут собрать базу для дальнейших хакерских атак. Опасность возрастает, если хакеры нацелились конкретно на вас — у них будет больше информации, чтобы манипулировать вами.
Местоположение
Приложение может узнать, где вы находитесь.
Степень опасности: Низкая.
Чем могут навредить: полезный источник информации, если хакеры атакуют конкретно вас — например, медвежатники увидят, что вы уехали на работу, и попытаются ограбить вашу квартиру. В остальных случаях разрешение угрозы не представляет.
Микрофон
То же, что и камера — приложение может записывать звук с микрофона.
Степень опасности: Низкая.
Чем могут навредить: хакеры могут узнать ваши тайны, если сумеют записать звук в тот момент, когда вы будете их говорить. Полезно для прослушки, практически бесполезно для кражи денег с карточки (чем хакеры обычно и промышляют).
Телефон
Приложение может звонить куда-либо, узнавать всю информацию об устройстве и сим-карте, читать и менять список вызовов, ставить свою голосовую почту, пользоваться интернет-телефонией.
Степень опасности: Крайне высокая.
Чем могут навредить: в лучшем случае — позвонят на платный номер, после чего оператор спишет все деньги с вашего баланса. В худшем случае хакерское приложение ещё и поставит свою голосовую почту, предлагающую позвонить по платному номеру — тогда деньги потеряют доверчивые люди, которые будут звонить вам.
Сенсоры
Приложение может собирать информацию с дополнительных устройств вроде фитнес-браслета.
Степень опасности: Низкая.
Чем могут навредить: практически ничем — в худшем случае хакеры узнают, что вы уснули, для массового взлома эта информация бесполезна.
СМС
Приложение может смотреть СМС, принимать и отправлять их, получать и присылать пуш-уведомления через телефонную сеть (не через интернет).
Степень опасности: Крайне высокая.
Чем могут навредить: то же, что и с телефонными звонками — с вашего номера будут отправлять платные и/или спам-сообщения, баланс мгновенно улетит в 0.
Память
Приложение может копаться в ваших файлах на смартфоне, в том числе — в фотографиях.
Степень опасности: Высокая.
Чем могут навредить: самое частое использование — воровство фотографий и txt-файлов с паролями, если вы таковые создавали. И эту опасность многие недооценивают — хорошо написанный хакерский алгоритм может за пару секунд найти все «личные» фотографии на вашем устройстве и затем незаметно передать их куда-то в интернет.
Оверлэй
Относительно новое разрешение — приложение запрашивает разрешение на наложение своего интерфейса поверх экрана.
Степень опасности: Высокая.
Чем могут навредить: хакеры пользуются этим разрешением для воровства ваших денег редко, но последствия могут быть разрушительными. Приложение подменяет официальные сайты компаний своими, и когда вы, например, вводите данные о своей банковской карточке в интернет-магазине — эти данные попадают к мошенникам, следом за данными к ним попадают и деньги.
Как проверить свои текущие разрешения?
Это просто — зайдите в «Настройки» смартфона, выберите раздел «Приложения». Если хотите проверить разрешения конкретного приложения — выберите его и нажмите на «Разрешения». Если хотите проверить все разрешения всех приложений — нажмите на три точки или шестерёнку в меню «Приложения» и выберите «Разрешения приложений».
А вы даёте приложениям доступ к СМС и звонкам?