Смоделируем ситуацию: вы скачиваете приложение из доверенного источника Google Play на смартфон и теряете деньги со счета. Что пошло не так?
В этой статье мы расскажем, как не стать жертвой мошенников и что нужно знать перед тем, как скачивать и устанавливать приложение на свой телефон — даже из, казалось бы, проверенного и безопасного магазина Google Play.
Почему нельзя необдуманно раздавать разрешение на доступ для приложений?
Магазин приложений Google Play (ранее Android Market) регулярно чистит свои базы от непроверенных, подозрительных игр и программ. Тем не менее, киберпреступники находят все новые и новые способы обходить защиту Google — и операционных систем Android в целом.
Сегодня через разрешения приложениям совершается большинство атак.
Разрешения на доступ — это механизм защиты, он позволяет вам решать, какие данные могут использовать приложения. Фактически, таким образом Google переложил заботу о безопасности на плечи пользователей, поэтому важно знать, как себя обезопасить. Например, как избежать фишинга или ненужных расходов на премиум-SMS.
Прочтите статью до конца, и вы узнаете, какие разрешения лучше не давать ни одному приложению.
При первом запуске приложение, установленное на ваш смартфон, не имеет доступа к вашим данным и другим сервисам — оно работает в изолированной среде. Однако некоторые базовые функции, такие как Bluetooth и доступ в интернет, Android предоставляет приложению автоматически. Чтобы приложение могло использовать ваши данные, вам нужно будет подтвердить соответствующие разрешения — то есть дать доступ.
Сегодня практически каждое приложение при установке запрашивает 3-4 доступа к компонентам системы, поэтому выдача разрешений приложениям превратилась для многих в формальность — пользователи, как и при подписании лицензионных соглашений, часто не вчитываются и просто соглашаются. Этим активно пользуются хакеры: они разрабатывают фишинговые и другие вредоносные приложения, публикуют их в магазинах и ждут, пока кто-то их скачает и даст необходимые разрешения. Далее приложение может действовать по-разному: терпеливо ждать или сразу приступать к краже денег.
Как найти информацию о текущих разрешениях приложений на вашем устройстве?
Узнать, какие разрешения предоставлены приложениям на вашем смартфоне, можно через «Настройки». Откройте их, перейдите в раздел «Приложения». Выберите приложение для просмотра его разрешений или нажмите на три точки или шестеренку, чтобы открыть «Разрешения приложений» и увидеть все разрешения.
Разберем разрешения по степени опасности
🟢 Низкая
Календарь. Получив доступ к вашему календарю, приложение может вносить и удалять события и встречи. Казалось бы, некритично. При этом важно понимать: если кто-либо следит за вами, заполненный календарь станет отличным источником информации.
Местоположение. Получив доступ к геолокации, приложение будет точно знать, где вы находитесь. Как правило, атаки через магазин приложений не носят точечный характер. Тем не менее, если злоумышленники следят за вами, данные о местоположении, перемещениях по городу в течение дня будут для них чрезвычайно полезны.
Микрофон. Все разговоры и звуки рядом с телефоном смогут услышать и злоумышленники. Используя микрофон, мошенники не смогут похитить деньги с вашей карточки. Тем не менее, все равно стоит задуматься, а стоит ли выдавать разрешение к микрофону. Чаще всего прослушка используется при точечной слежке для сбора компрометирующих данных и последующего шантажа. При этом лично вас не будут слушать — обработкой собранных звуковых данных займется нейросеть, которая среагирует на ключевые слова, заданные мошенниками, и передаст ваши секреты заинтересованным лицам.
Сенсоры. Информацию с сенсоров с трудом можно назвать полезной для мошенников. Считав данные с вашего фитнес-браслета, хакеры в лучшем случае узнают, когда вы были физически активны, а когда спали. Тем не менее, неизвестно, какие уязвимости для вашей безопасности имеют сенсоры и какие способы их использования существуют.
🟡Средняя
Камера. Получив разрешение на использование камеры, приложение сможет делать снимки и записывать видео. И снова: если за вами следят, камера станет отличным источником данных. Также снятые фото и видео злоумышленники могут использовать для сбора компромата и шантажа. При неизбирательном хакинге приложение может сфотографировать вашу карту, если ей представится такая возможность.
Список контактов. Если приложение получит доступ к списку контактов, оно сможет удалять, изменять и добавлять новые контакты. Стоит также знать, что при выдаче такого доступа вы открываете и списки контактов из соцсетей (VK, Одноклассников и проч.) и вашего Google-контакта. Чем это опасно? Первостепенно тем, что приложение может передать базу ваших контактов мошенникам, которые, в свою очередь, будут рассылать фишинговые письма. Кроме того, если атака мошенников точечная, то есть направленная конкретно на вас, людей из списка контактов могут использовать для манипуляций и угроз.
🟠Высокая
Телефон. Получив разрешение к телефону, приложение получит всю информацию об устройстве, данные сим-карты, а также сможет осуществлять звонки, читать и изменять список контактов, пользоваться IP-телефонией и голосовой почтой.
Чем это опасно? Самый распространенный сценарий — приложение может позвонить на платную линию, после чего оператор связи спишет деньги с вашего счета.
SMS. С доступом к SMS приложение может читать и отправлять сообщения. Степень опасности крайне высокая:
- доступ к SMS-кодам подтверждения позволит мошенникам авторизоваться в различных сервисах, в том числе мобильном банкинге;
- приложение может отправлять платные сообщения;
- приложение может проводить спам-рассылку от вашего имени.
Оверлей. Достаточно новый тип доступа. Приложение запрашивает разрешение на наложение своего интерфейса поверх основного экрана. Чем это опасно?
В основном тем, что с использованием оверлея мошенники могут «накладывать» фишинговые интерфейсы поверх браузеров и приложений. Например, страницы для ввода данных банковской карты в интернет-магазинах.
В заключение
В заключение важно подчеркнуть, что предоставление разрешений приложениям должно быть осознанным и обдуманным процессом. Бездумная раздача прав доступа может привести к серьезным последствиям, включая потерю денег и утечку конфиденциальной информации.
Будьте внимательны и осторожны при предоставлении разрешений приложениям. Регулярно проверяйте и пересматривайте предоставленные разрешения, удаляйте или ограничивайте доступ для тех приложений, которые больше не используются или которые запрашивают слишком много прав. Помните, что ваша безопасность и конфиденциальность в ваших руках.