39% приложений для iOS и Android сохраняют данные в открытом виде

39% приложений для iOS и Android сохраняют данные в открытом виде

Исследовательская компания viaForensics совместно с компанией appWatchdog решили выяснить насколько популярные приложения для платформ iOS и Android из различных категорий смогут обеспечить надлежащий уровень безопасности персональных данных пользователей. В результате оказалось, что 39% приложений не обеспечивают надлежащий уровень безопасности данных.

За последние несколько лет мобильные устройства стали неизбежной частью нашей жизни, делая возможным доступ к различным интернет-сервисам и службам не имея под рукой компьютера, подключенного к сети. На сегодняшний момент бесспорными лидерами этого рынка являются разработки компаний Apple и Google. Однако, эта популярность имеет и обратную сторону. Помимо обычных потребителей, она также привлекают и внимание киберпреступников. Их целью является добыча конфиденциальных данных пользователей.

В исследовании принимали участие 100 наиболее популярных приложений для обеих операционных систем iOS и Android. Все программы были разбиты по категориям: финансовые (приложения для доступа к онлайн банку и прочим сервисам), социальные сети (приложения для Facebook, Twitter и пр.), ретейл (онлайн магазины) и функциональные приложения (доступ к почтовым сервисам и пр.). Полный список всех протестированных программ приведен здесь.

Тестирование проводилось в течение месяца. Основная задача исследования состояла в том, чтобы выявить наиболее уязвимые приложения с точки зрения конфиденциальности данных и ответить на вопрос: сохраняются ли данные в открытом виде или они все-таки шифруются так, что их невозможно восстановить?

Все приложения были загружены на телефон через официальные торговые площадки производителей iTunes App Store и Android Market.

В результате оказалось, что 39% приложений не обеспечивают надлежащий уровень безопасности данных. То есть конфиденциальные данные, такие как логин, пароль, номера банковских счетов, конфиденциальная переписка, сохраняются в памяти устройства в открытом виде и могут быть без труда восстановлены заинтересованной стороной. Для них был установлен маркер – «тест не пройден». 44% прошли тест частично, то есть в случае использования данных программ пользователь должен тщательно следить за тем, какие данные он ввел, а также за журналом частной переписки, списком контактов. Эти записи были сохранены в открытом виде. И только в 17% приложениях можно быть уверенным, что в случае, кражи, утери или хакерской атаки никакая информация не будет доступна злоумышленнику. Эти программы надежно скрывают введенные данные шифруя их, либо вовсе не сохраняют в памяти устройства.

По мнению управляющего корпоративными продажами компании G Data Software в России и СНГ Алексея Демина, пользователи всегда сами решают, какую информацию они хотят вводить в приложение для смартфона, а какую нет. При этом они должны осознавать, что эти данные не могут находиться в полной безопасности, так как телефон может быть утерян или украден, атакован вирусам-шпионами или другой категорией вредоносов. «Меня особенно удивляет то, что пользователи социальных сетей рассчитывают на полную безопасность их личной переписки, фотографий и информации, которая «скрыта» в профайле. Подождите, но это все находится в открытом доступе, практически как те заветные «ключи от квартиры, где деньги лежат». Здесь уже никакое шифрование не поможет», - заметил он.

Г-н Демин также подчеркнул, что не стоит забывать, как каким бы высокотехнологичным ни было устройство, его создают обычные люди, а поэтому оно не совершенно.  Для элементарной защиты хорошо бы использовать не только обновленное решение для безопасности, но и главное оружие против преступников - собственную голову.

Android без лишнего контроля: LineageOS отказалась идти на поводу у Google

Пока Google готовится закрутить гайки для установки приложений на Android, команда LineageOS решила успокоить своих пользователей: на устройства с этой кастомной прошивкой новая система проверки разработчиков не повлияет.

Речь идёт об Android Developer Verification — механизме, который Google начнёт вводить с 30 сентября 2026 года.

Сначала правила заработают в Бразилии, Индонезии, Сингапуре и Таиланде, а в 2027 году распространятся глобально. Суть в следующем: приложения должны быть зарегистрированы на верифицированного разработчика; неважно, скачаны они из Google Play, стороннего магазина или установлены APK-файлом.

Для обычных сертифицированных Android-устройств с Google Mobile Services всё станет сложнее. Приложения от непроверенных разработчиков не заблокируют намертво, но пользователям придётся устанавливать их через новый продвинутый сценарий сторонней загрузки или через ADB.

LineageOS в эту схему не попадает. Проект не поставляется с Google Mobile Services, не проходит сертификацию Google и не включает компонент, через который будет работать новая проверка.

Даже если пользователь сам установит Google-приложения через GApps, команда LineageOS не ожидает, что такие пакеты начнут включать спорную функцию: кому вообще нужен GApps, который добровольно делает установку APK больнее?

Разработчики допускают, что Google однажды может перенести проверку в Play Services. Но и тут позиция LineageOS непоколебима: если такое случится, функцию просто отключат, как уже делают с некоторыми механизмами обновлений на базе Play Services.

При этом LineageOS не спорит с тем, что борьба с вредоносными приложениями нужна. Но проект разделяет опасения F-Droid, EFF и кампании Keep Android Open: под видом безопасности Google может получить ещё больше контроля над распространением приложений на Android. Поэтому LineageOS подписала петицию Keep Android Open вместе с другими опенсорс-организациями.

RSS: Новости на портале Anti-Malware.ru