Какую информацию о нас получают приложения, установленные на наших смартфонах? Что знает о нас Google? И, главное, как некие темные силы могут распорядиться всеми этими данными? Спойлер — практически никак.
Мы рассказываем в Facebook* (*Meta Platforms Inc. (Facebook, Instagram* (*Meta Platforms Inc. (Facebook, Instagram) — организация, деятельность которой признана экстремистской, запрещена на территории Российской Федерации)) — организация, деятельность которой признана экстремистской, запрещена на территории Российской Федерации), о чем думаем, в Instagram* (*Meta Platforms Inc. (Facebook, Instagram) — организация, деятельность которой признана экстремистской, запрещена на территории Российской Федерации) показываем, что едим, Uber знает, где мы находимся, а Google вскоре будет анализировать наши онлайн-покупки. Дошли ли мы до края пропасти? Спрашиваем эксперта «Лаборатории Касперского» Виктора Чебышева.
Всё не так плохо
Олеся Репкина: Мысль о том, что наши смартфоны за нами следят, — небезосновательна или это паранойя?
Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского»: Вопросы по поводу слежки и мониторинга звучат все чаще и все громче. Ситуация обострена и бурлит, но акценты расставляются совершенно не корректно.
— Вы мне сразу скажите: следят за нами или нет?
— Смотря кто. ЦРУ — нет. Компании, которые хотят продавать вам свои товары или услуги, — да. Стоит ли этого бояться? Нет.
— Почему?
— Потому что их единственное желание — это эффективное размещение рекламы. Есть очень-очень много мобильных приложений. Как на них заработать деньги? Есть два основных варианта. Первый — продавать приложения за деньги. Второй путь монетизации — реклама. Во время работы приложения показывается баннер — это таргетированная реклама, то есть та, которая актуальна конкретно этому пользователю. Чтобы понять, что ему интересно, нужно собрать некоторые данные — они обезличены, в них нет никакой конфиденциальной информации. Рекламодателю полезно знать, где бывает пользователь, рядом с чем он проходит, какая у него модель смартфона и т.д. Но для каких бы то ни было других целей в такой информации нет ничего ценного. Смартфонов миллионы: еще один добавят в базу — ничего страшного для его владельца не произойдет.
— То есть речь только о том, чтобы форсировать монетизацию?
— Да, так это устроено. Все крупные игроки на рынке, в том числе Google, работают по этому же принципу — их задача помочь пользователю что-то сделать, куда-то пойти, купить какой-то товар или заехать на заправку. Так что в этом контексте понятие «за нами следят» весьма условно и не имеет никакого конспирологического оттенка. Я бы не стал относиться к этому столь серьезно.
— Зачем тогда, например, «Уберу» доступ к моей геолокации, когда я не работаю с приложением?
— В пользовательском соглашении, которое вы подписываете, устанавливая приложение, прописаны все условия. Читать эти мелкие буквы никому не хочется. Но, если потратить чуть больше времени, найдутся многие ответы, и они окажутся простыми. В любом случае, вы сами выбираете, к чему вы открываете дверь для приложения. И только вы решаете, когда тот же Uber имеет доступ к вашим координатам: никогда, во время работы или всегда.
— А вы пользуетесь Uber?
— Да, и не скрываю от него свое местоположение, поскольку это делает работу с приложением более удобной. Если вас что-то смущает, вы можете в любой момент проверить свои настройки приложения и снять лишние, на ваш взгляд, галочки. Сейчас на самом деле сознательность пользователей растет, и они более внимательно читают пользовательское соглашение и отбирают, пусть даже постфактум, на что соглашаться, на что нет.
iOS vs Android
— Допустим, мы доверяем условному «уберу». Но если хранящаяся у него информация о нас попадет в руки какой-то третьей стороне?
— Мы не знаем точно, как устроена инфраструктура тех или иных приложений, мы знаем только конечную часть, которая находится у пользователя, да и то не всегда. Но я думаю, что все данные обезличены. Даже попав внутрь инфраструктуры, злоумышленник скорее всего извлечет для себя мало ценной информации — никаких личных данных, явно олицетворяющих пользователя, там не будет. Никто не хранит данные в открытом виде. Соответственно тут риски для нас минимальны.
— Но всё же они есть?
— Единственный более-менее реальный риск — это так называемая атака man-in-the-middle, когда кто-то встраивается между вашим устройством и базовой станцией сигнала (Wi-Fi или GSM), если канал плохо зашифрован. Тогда есть шанс, что какие-то данные утекут в рамках сессии. Но все популярные приложения пишутся хорошими разработчиками и хорошо шифруются.
— То есть мы более-менее в безопасности?
— Да, но только до тех пор, пока в смартфон не проникло вредоносное приложение. А это уже совсем другая история. Если «вредонос» попал в телефон, он «сливает» все, что есть — имя, фамилию, почтовый адрес, логин и пароль, координаты и даже базовые станции, к которым вы подключаетесь по Wi-Fi, — все, до чего только можно дотянуться. Чаще всего пользователь даже не знает, что его смартфон заражен. А самые злобные приложения невозможно удалить самостоятельно. Сейчас пошли настолько высокотехнологичные атаки, что можно заразиться, просто зайдя в Интернет. И ничто этому не противодействует, кроме защитного решения, например, нашего Kaspersky Internet Security для Android.
— А iPhone нужно защищать?
— Массовые атаки на них обычно не проходят. Платформы iOS, Windows Phone и старую Blackberry можно считать относительно защищенными. У компании Apple централизованное хранение приложений, куда просто так не пробиться. К тому же приложения модерируются, и за счет этого они более-менее защищены. У Android все наоборот. Во-первых, это самая популярная платформа, и она открыта. Во-вторых, для нее достаточно просто что-либо написать, к тому же на языке Java, тоже самом распространенном в мире. На смартфон на «Андроиде», сняв соответствующую галочку, можно закачать приложение откуда угодно, — хоть из смс-спама. А в худшем случае установка вредоносного приложения произойдет и без вашего ведома. Поэтому на все смартфоны, работающие на «Андроиде», обязательно ставить защиту, и кто этого не делает, очень рискует. Впрочем, Google в свою очередь тоже трудится над решением этой проблемы, и основные уязвимые места теперь остаются в основном на старых версиях девайсов со старыми ПО.
— То есть при появлении обновленного ПО нужно его устанавливать как можно скорее?
— Это крайне желательно. Лучше всегда иметь самую новую операционную систему и последние обновления всех установленных приложений. Для «айфонов» есть обновления и для самых старых моделей, а для «Андроида» ситуация раньше и в этом была намного хуже, поскольку каждый, кто выпускает приложения, сам решает, что и когда ему обновлять. Для дешевых устройств обновления вообще никогда не выходили — только для флагманских. А тем временем миллионы покупают бюджетные девайсы и ходят с ними годами, пока с этими устройствами становится вообще невозможно работать. Это грозит широкими массовыми атаками, которые легко провести, используя хорошо известные уязвимости. В какой-то момент компания Google поняла, что нужно радикально менять ситуацию и придумывать схему, в рамках которой последние версии Android в важных, критических элементах системы будут обновляться централизованно, хоть и частично, независимо от изготовителя устройства. Это абсолютно правильно и в перспективе поможет защититься от гигантских массовых атак.
Техника безопасности
— Какие есть риски при использовании Apple и Google Pay?
— Насколько я могу судить, в этой системе все сделано грамотно: авторизация по отпечатку пальца, а соединение только с очень близкого расстояния — просто так его не инициируешь, ходить рядом с «ридером» и пытаться считать сигнал бесполезно. Гораздо проще устроить атаку на смартфон, нежели на PayPass, и провернуть всё изнутри. Злоумышленники, скорее, нарисуют какое-то красивое окошечко, куда ничего не подозревающий пользователь сам введет логин и пароль банка. Это очень простая атака, она не требует сверхзнаний, а пробиться на незащищенный девайс легко — достаточно послать ссылку.
— Как относиться к файлам Cookies?
— Ко всему нужно относиться с опаской, особенно, если нет защитного решения. Если оно есть, то в принципе Cookies можно довериться. Но в целом нужно быть очень внимательным: какой адрес, откуда пришел запрос, насколько безопасен сам сайт. В большинстве случаев, когда идет авторизация такого типа, используется шифрование. И опасность эти файлы начинают представлять только когда на устройстве есть «вредонос», тогда он может сделать с вами всё, что угодно. Но кража через Cookies — это примитивный способ, и он редко используется. Бывают намного более изощренные ситуации, в том числе, когда вас приводят на нужный сайт, показывают вам экран банка, вы в нем авторизуетесь, проводите якобы свой платеж, на телефон приходит подтверждающее смс, и в этот момент информация перехватывается и уходит злоумышленникам, и они «с вашего ведома» осуществляют совершенно другой платеж совершенно в другую сторону.
— А можно ли доверять VPN?
— Не только можно, но и нужно. VPN (Virtual Private Network) — это защищенное соединение, позволяющее обезопасить свой трафик, вне зависимости от того, какая несущая используется — GPS или Wi-Fi. Если вы подозреваете, что находитесь в небезопасном месте, лучше защитить свой трафик с помощью VPN.
— А заодно попасть на заблокированные в России ресурсы, LinkedIn в частности.
— Это правда. Но все же это побочная функция VPN, а не основная. Насколько легально заходить на нужные вам серверы в США, находящиеся в российском черном списке? С точки зрения законодательства, — наверное, не очень, но пока еще делать это прямо не запрещено. Хотя, недавно в Госдуме как раз был предложен законопроект о запрете VPN.
— Резюмируя все сказанное, каким мерам безопасности мы должны следовать, чтобы защитить свой смартфон и хранящиеся в нем данные?
— На «Андроид» необходимо поставить защиту и очень внимательно относиться к тому, что вы скачиваете и откуда. Нужно пользоваться официальным источником приложения, смотреть на его популярность и отзывы. Не открывая, удалять спам в мессенджерах — как правило именно в них распространяются вредоносные коды. Был яркий пример с платформой объявлений «Авито». По сути, это самая большая база данных актуальных телефонов, ведь если вы там даете объявление, вы раскрываете свой номер — на него приходят смс, потенциально интересные вам, например, с предложением обмена на ваш товар, и вы, нажимая на эту ссылку, моментально заражаетесь. Социальный инжиниринг, то есть обман пользователя с целью привести его в нужное место и заставить выполнять какие-то действия, хорошо развит. Если, пытаясь установить приложение, вы видите некую инструкцию, как обойти защиту «Андроида», где снять нужные галочки, стоит очень сильно насторожиться. Для чистых случаев такого не бывает — только для грязных.
Лучшие антивирусные программы для смартфонов на базе Android по последней версии авторитетной немецкой независимой лаборатории AV-TEST:
|