Могут ли приложения для смартфонов воровать персональные данные

Обновлено: 05.01.2025

Куча приложений знает ваш номер телефона, имя, фамилию и адрес. Самым продвинутым нужно даже больше — например, данные вашего паспорта. Если приложение выпускает вам электронную подпись, связывает вас с каким-то государственным ведомством, помогает купить машину — логично, что ему нужны эти данные. Но безопасно ли их давать?

Кратко: не важно, отсканируете ли вы свой паспорт. Ваш телефон УЖЕ знает о вас слишком много. Единственный способ защитить себя — это соблюдать правила «цифровой гигиены»: скачивать приложения только из официальных магазинов, использовать двухфакторную аутентификацию и никогда не отвечать на подозрительные входящие звонки от «банков».

А теперь подробно.

Информацию о вас: ФИО, дату рождения, телефон и email, паспортные данные в альбоме вашего телефона. Если получить эти данные, можно: оформить на вас кредит, подписать вас на рекламные рассылки, и даже оформить себе КЭП и продать вашу квартиру.

Доступ к государственным сервисам: приложение Госуслуг.

Если вы ставите простейший логин/пароль и пренебрегаете двухфакторной аутентификацией — за вас могут получить любые государственные услуги, и не будет никакой гарантии, что это сделали именно вы.

Доступ к вашим деньгам: мобильные и интернет-банки, электронные кошельки, google pay/apple pay, данные карт.

Если его перехватить, можно: украсть ваши деньги, делать покупки за ваш счет, оформить на вас кредит и сразу похитить кредитные деньги.

Доступ к контактам и перепискам: телефонные номера, переписки в Whatsapp/Телеграме и соцсетях.Если его получить, можно: шантажировать вас содержимым ваших чатов, вымогать деньги у ваших близких, просить в долг от вашего имени.

Личные фото: фото в вашей квартире и во дворе, на работе, личные скриншоты, интимные фото. Если их получить, можно: найти материал для шантажа, опубликовать личные снимки в сети, использовать ваши фотографии для оформления аккаунтов мошенников.

Технологии помогли мошенникам создать несколько новых схем, но самые популярные из них по-прежнему основаны на обычном обмане, манипуляции и страхе.

Разберем все способы, которыми у вас могут украсть данные и как-то вам навредить, используя ваш смартфон.

Социальные способы: обмануть вас, чтобы вы сами предоставили нужные доступы или отдали деньги

Позвонить вам от имени банка. Даже в банках бывают утечки, и тогда вам начинают звонить якобы «сотрудники службы безопасности», которые знают ваше ФИО и где вы держите деньги.

Всё, что нужно знать об этом способе обмана — банки не решают такие вопросы по телефону. Если они заметят что-то подозрительное — они заблокируют счет и подождут, пока вы сами к ним придете.

Написать вам в мессенджерах/соцсетях и выманить деньги. Частый сценарий такой атаки — кто-то взламывает аккаунт вашего друга, пишет вам от его имени и просит срочно занять ему в долг.

Мошенники изучают переписку и используют личные факты, чтобы их обман выглядел убедительно — если друг жаловался вам на задержку зарплаты или неадекватного хозяина квартиры, мошенник использует эти темы как предлог для займа.

Технические способы: взломать ваш телефон и завладеть доступами

Мошенники заражают файл или приложение, и распространяют его под видом чего-то полезного. Ваш телефон может заразиться, когда вы:

Устанавливаете приложение из неофициальных магазинов.
Реже, но возможно — устанавливаете зараженное приложение из официальных магазинов. Как только служба безопасности магазина это выявит, вам предложат обновиться на безопасную версию.
Переходите по ссылкам из подозрительных смс и писем.
Скачиваете и просматриваете вложения из электронной почты.

Большинство исследовательских компаний выделяют следующие виды угроз:

Adware и кликеры. В основном они просто показывают вам неинтересную рекламу и генерируют искусственные переходы на сайты рекламодателей. Особой опасности они не представляют, просто бесят.

Spyware. ПО крадёт персональные данные и следит за своим носителем. Может перехватывать смс или push-коды подтверждения операций.

Дроппер. Загрузчик других вредоносных приложений. Может завезти к вам на устройство любой вирус, троянец и прочую гадость.

Вирус. Выводит из строя конкретное приложение или одну из функций устройства, шифрует девайс или вешает на главный экран порнобаннер и просит выкуп в биткоинах.

Используйте VPN при подключении к общедоступным сетям Wi-FI.

Скачивайте приложения только из официальных магазинов.

Используйте двухфакторную аутентификацию. Это защита, в которой вы для входа в систему сначала вводите логин и пароль, а потом еще подтверждаете кодом из смс или push-уведомления, что это правда вы. Приложения сами предложат вам ее подключить.

Не давайте телефон в руки незнакомым людям и неофициальным экспертам, не предоставляйте удаленный доступ к телефону недоверенному источнику, например, сотруднику банка по телефону.

И, конечно, всегда оставайтесь осмотрительным. Мошенники создают иллюзию срочности и не дают подумать — сделайте паузу, минута на размышления может вас уберечь.

Когда вам звонят из банка или пишут от чьего-то имени — просто перестаньте с ними разговаривать. Позвоните в банк сами по номеру на сайте, и если подозреваете, что угроза реальна — сходите в ближайшее отделение. Также и с другом — если кто-то просит у вас в долг, позвоните ему или напишите в другой чат.

Что касается данных внутри приложения — чтобы понять, стоит ли доверять сервису какую-то информацию, вам нужно понимать, зачем он ее запрашивает.

Если вы хотите поиграть в Angry Birds, а у вас просят телефон, адрес и номер банковской карточки — это странно. Вы не приглашаете их к вам прийти, вы не просите их вам звонить, и игра бесплатная. А вот если вы делаете заказ в приложении H&M — то это нормально. Все это нужно, чтобы доставить заказ и прислать вам чеки.

Если вы пытаетесь создать электронную подпись, работать с документами, заключить договор или связаться с каким-то государственным ведомством — логично, что вам потребуется паспорт.

Например, в Nopaper. Если бы мы предлагали вам выпустить усиленную электронную подпись и обещали, что вы сможете подписывать документы, что все это будет юридически значимо и безопасно, и при этом не попросили ваш паспорт — мы были бы очень странными ребятами. Тогда вам бы стоило держаться от нас подальше.

Мы обязаны идентифицировать человека, которому выдаем электронную подпись.

Для этого мы проверяем паспорт — мы же не просто просим скан и кладем его в архив. Мы проверяем его по базе МВД — что такой человек правда существует, это настоящий действующий паспорт, он не украден и не утерян. Еще мы проверяем самого человека — просим пройти Liveness-тест. Он позволяет определить, что перед камерой находится живой человек, а не видео, манекен или маска. И что это тот самый человек, что и в паспорте.

Это требование и закона, и здравого смысла. Иначе электронные подписи ничего бы не значили.

Как Nopaper защищает ваши данные от других приложений, вирусов и утечек

Мы шифруем все ваши данные и передаем их на сервер по защищенному каналу. Сам процесс подписания документов построен на базе мобильной электронной подписи, без использования уязвимых каналов вроде СМС или push-уведомлений. Это безопаснее, потому что никто не может обмануть вас и выманить какой-нибудь код, чтобы использовать вашу подпись.

Само фото вашего паспорта Nopaper нигде не хранит — ни в памяти телефона, ни внутри приложения. Мы используем его только для подтверждения вашей личности, когда идентификация пройдена — фото удаляется.

Безопасность начинается с проектирования всех процессов в nopaper, продолжается в практиках безопасной разработки и внутреннего тестирования и подтверждается периодическим внешним аудитом, включая тесты на проникновение, в том числе методом "белого ящика", проверку соответствия требованиям регуляторов и применением тех же технологий в сертифицированных решениях

Как верить этой статье, ведь Nopaper — тоже приложение. Вдруг именно мы и хотим вас обмануть?

Этой статьей мы пытались объяснить, что если бы мы хотели вас обмануть — мы нашли бы путь куда проще.

Мы разработали криптографическую технологию мобильной подписи, создали сервис обмена документами, продумали сотни сценариев, чтобы Nopaper работал и у корпораций, и у предпринимателей, и у обычных людей. Изучили всю законодательную базу, собрали команду. Слишком много усилий, чтобы получить скан паспорта.

Ведь если посмотреть правде в глаза, данные наших с вами паспортов есть у кого угодно: у операторов, провайдеров, стоматологий, риелторов, вокзалов, отелей и магазинов.

Их нет в интернете, потому что мы все соблюдаем требования ФЗ 152 «О персональных данных». Если мы его нарушим и по нашей вине произойдет утечка — нам грозит штраф в несколько миллионов рублей, уголовные дела и сроки для отдельных сотрудников. Это совсем не смешно.

Мир никогда не будет безопасен на все 100%. Но не позволяйте страху и мошенникам лишить вас удобных приложений. Соблюдайте правила цифровой гигиены, будьте внимательны и все у вас будет хорошо.

Жизнь современного человека уже нельзя себе представить без гаджетов, но даже популярные приложения могут оказаться опасными, не говоря уже о малоизвестных и скачанных из неофициальных источников. Уязвимости, которые в себе таят приложения, приводят к тому, что ваши личные данные и даже деньги могут попасть в руки мошенников. В этой статье разбираемся, что может грозить владельцам смартфонов и как себя обезопасить.

Уязвимости легальных приложений

Есть такая категория приложений, как фальшивые. Они представляют собой не то, чем кажутся. Скачивают их обычно, принимая за другие сервисы, потому что визуально они очень похожи на оригинал. Такие «фэйки» бывают относительно безобидными, то есть они не воруют данные, а зарабатывают, например, на рекламных показах. В начале 2019 года было выявлено несколько приложений, которые хотели показаться «Гугл-картами». Они использовали официальное приложение от google, но при активации создавали дополнительный слой, на котором демонстрировали рекламные ролики.

Самое грустное, что подобные фальшивки были скачаны более 50 миллионов раз. Доверие вызывали скриншоты оригинальных приложений и высокие оценки, которые были поставлены пользователями, не до конца разобравшимися в продукте.

Еще более печальный вариант — когда приложения крадут личные данные или деньги. Мошенники создают клоны программ, которые могут получить доступ к вашим картам и счетам. Это могут быть «как бы» приложения банков, онлайн-магазинов или программы для оплаты штрафов и налогов. Так, например, даже в Эпсторе появилось приложение под названием «Мой налог», через который предлагалось подать декларацию о доходах и оплатить налог. Только вот деньги шли не в ФНС, а к преступникам в карман.

Как защититься. Если вы хотите себя обезопасить, будьте внимательнее. Скачивайте мобильные сервисы только с официальных сайтов, смотрите на рейтинг, количество загрузок и читайте отзывы. Часто иконка фальшивого приложения чем-то, но все же отличается от оригинальной.

Уязвимости находят даже в популярных приложениях, что уж говорить о малоизвестных и скачанных из неофициальных магазинов. Благодаря этим уязвимостям ваши личные данные и деньги могут попасть в руки разных нехороших ребят, которые обязательно используют полученное в своих целях: будут шантажировать приватными переписками и фото, следить за вашими передвижениями, выведут деньги с карт.

Вот что угрожает пользователям смартфонов.

Фальшивые приложения

Такие приложения изначально не то, чем кажутся. Они попадают на телефоны жертв под видом других сервисов и превращаются в бомбы замедленного действия.

Одни из них относительно безобидны: они не воруют данные, а только зарабатывают на показах рекламы. В начале 2019 года разработчики антивируса «Эсет» обнаружили 19 приложений, которые маскировались под «Гугл-карты». Они использовали официальное приложение Гугла, но создавали дополнительный слой, на котором крутили рекламу. Некоторые предлагали купить платную версию без рекламы.

В сумме эти приложения скачали 50 миллионов раз. Доверие вызывали скриншоты оригинального приложения и высокие оценки, которые ставили неразобравшиеся пользователи

Вариант похуже — когда приложения воруют данные или деньги. Для этого злоумышленники выпускают клоны программ, которые получают доступ к картам и счетам. Это могут быть банковские сервисы, онлайн-магазины или программы для оплаты штрафов и налогов. Мы уже писали про фальшивое приложение «Мой налог» для самозанятых, которое предлагало задекларировать доход и уплатить его с выгодной ставкой. Все бы хорошо, но был нюанс: деньги уходили не в налоговую, а в карман мошенников.

Фальшивые приложения «Мой налог» появлялись в Эпсторе — это доказывает, что под прицелом не только пользователи устройств на Андроиде

Как защититься. Скачивать приложения по прямым ссылкам с официальных сайтов, смотреть на рейтинг, количество загрузок и проверять отзывы. Часто иконка фальшивых приложений отличается от оригинала.

Уязвимости известных приложений

В официальных приложениях тоже появляются уязвимости. Например, весной 2019 года стало известно о проблеме в Вотсапе: после звонка злоумышленника в телефоне появлялся вирус. Причем пользователь мог даже не отвечать на звонок, а информация о пропущенном вызове удалялась из истории.

Подпишитесь на нашу рассылку: расскажем, как уберечься от мошенников из интернета и реальной жизни

Если уязвимость Вотсапа использовали для атаки на небольшую группу людей, то ошибка в коде Фейсбука поставила под угрозу 50 миллионов аккаунтов. Осенью 2018 года злоумышленники похитили данные входа, и компании пришлось принудительно разлогинить пользователей со всех устройств.

Из недавних уязвимостей: мошенники могли использовать приложение «Зум» для подключения любого пользователя к видеозвонку без его ведома. Похожая ошибка ранее возникала в «Фэйстайм»: звонивший видел запись с фронтальной камеры другого абонента до того, как он возьмет трубку.

Как защититься. Следовать примеру Марка Цукерберга и заклеивать камеру. Скачивать последние версии приложений: после выявления бага разработчики обычно быстро выпускают обновление — можно успеть защитить данные.

Приложения-трояны

Иногда для взлома банковских сервисов используют приложения, которые не имеют отношения к банкам. Программы-трояны встраивают в приложения из популярных категорий: гороскопы, накрутка лайков, VPN или удаление однотипных фото. После установки такие приложения выдают ошибку и якобы пропадают с устройства. На деле исчезает только ярлык, а троян начинает искать уязвимости.

Вредоносное ПО создает окно авторизации якобы банковского приложения и крадет данные карты или пароль, а также перехватывает смс для прохождения двухфакторной аутентификации.

Приложения-трояны, которые выявили специалисты «Эсет» осенью 2018 года. Здесь гороскопы, приложения для экономии заряда и для улучшения производительности

Как защититься. Скачивать приложения только из Гугл-плея и Эпстора. Обращать внимание на отзывы и использовать антивирусы.

Слежка приложений

После установки приложение просит доступ к геолокации, фотографиям, камере, микрофону, файлам и контактам. С одной стороны, каждый пункт объясним: вы не позвоните друзьям без микрофона и не выложите селфи без камеры, но невольно возникает чувство, что за вами кто-то следит.

Все разрешения, которые мы даем приложениям, можно использовать для других целей: с помощью геоданных, истории поиска, записей с микрофона и информации о пульсе можно настроить таргетированные рекламные кампании.

Еще один инструмент слежки: скрипт Glassbox, который записывает каждое движение пальца и введенные данные. Этот инструмент запрещен в Эпсторе, но вычислить злоумышленников можно только если покопаться в коде приложения. Такой скандал произошел с приложением «Бургер-кинг» : их заподозрили в записи всех данных с экранов пользователей, в том числе и информации банковских карт.

Сведения могут использоваться для улучшения работы приложения и настройки рекламы. А еще их могут продать злоумышленникам, которых больше интересуют деньги пользователя, а не идеально подобранный рекламный баннер.

Иногда мы сами виноваты в утечке данных, но в очень многих случаях приложения самостоятельно систематизируют их и посылают в чужие руки. Но самое страшное, что, если наши контакты, заметки и пароли попадают в ненадежные базы данных, мы становимся уязвимыми чуть ли не на всю оставшуюся жизнь.

Согласно сервису Appthority, 83 процента из топ-100 платных и аналогичного топа бесплатных приложений для Android, а также 91 процент «сотни» в App Store хотя бы раз вели подозрительную активность. Цифры довольно неприятные, но, к счастью, есть как минимум семь способов повысить уровень своей информационной безопасности.

1. Незашифрованные данные

Пожалуй, самое страшное, что могут сделать приложения по отношению к своим пользователям, это собрать почти всю персональную информацию (ФИО, домашний адрес и адрес электронной почты, номер телефона и кредитной карты) и выложить ее в открытый доступ в незашифрованном виде, что значит, что абсолютно любой человек может при желании ее узнать. Такая уязвимость была, например, обнаружена в WhatsApp пару лет назад.

Большой скандал разгорелся вокруг приложения Starbucks для iOS, когда выяснилось, что оно хранит пароли в виде обычного текста, без какой-либо шифровки.

Другая популярная программа, а точнее ее Android-версия, The Coupons, передавала информацию о пользователе (включая его геолокацию) каждый раз, когда он запускал и пользовался этим приложением.

Конечно, обе эти программы были обновлены, а уязвимость — устранена, но сколько вреда они успели нанести «счастливым» обладателям смартфонов? И ведь эти случаи произошли только за последний месяц.

Что можно сделать?

К сожалению, мало что. Единственный вариант — научиться «вручную» просматривать активность приложения, но для этого нужны определенные навыки (например, умение разбираться в строках кода) и время.

Некоторым приложениям необходимо знать точное местоположение пользователя, например, GPS-программам, выстраивающим на карте местности оптимальный маршрут. Но зачем подобные «знания» играм? Ответ прост — они нужны их рекламщикам для создания контекстной рекламы и потоков спама. Именно поэтому многие программы совершенно самостоятельно собирают данные с GPS-модулей смартфона и высылают их своим создателям. Некоторых людей подобная активность вполне устраивает, некоторых — нет. В любом случае, что потом происходит с нашими данными в цепких лапах рекламного отдела, неизвестно.

Что можно сделать?

В обеих iOS и Android OS приложение в специальном всплывающем окне запрашивает разрешение на сбор геоданных при запуске. В некоторых случаях можно нажать на «нет» — на работе программы это никак не скажется. Иногда придется идти ва-банк: либо соглашайся, либо приложение надменно откажется запускаться.

Как она может навредить? В первую очередь на основе нашей информации создаются «рекламные профили», которые «кочуют» за нами, даже когда мы меняем телефон. И никто не может сказать, кому этот набор данных продадут или передадут завтра.

Кроме того, не так давно выяснилось, что Vulna, рекламная библиотека, собиравшая данные о пользователях, могла быть использована как инструмент для атаки Android-устройств. Исследователи выяснили, что приложения с Vulna «на борту» были скачены более 200 миллионов раз. Конечно, уязвимость уже закрыли, но осадок все равно остался.

Что можно сделать?

4. Единый логин/пароль

Использовать одинаковые логин и пароль на всех ресурсах, требующих регистрации, — не самая лучшая идея. Конечно, это удобно — вряд ли забудешь такую важную комбинацию. Но, если в руки злоумышленника попадет эта информация, он получит мгновенный доступ к профилю и на Facebook, и «В контакте», и в Twitter — словом, везде, куда «ступала нога» жертвы.

Что можно сделать?

Очевидно — использовать разные комбинации логинов и паролей для каждого сайта. Также следует завести несколько почтовых ящиков.

5. Список контактов и календарь

Подобно геолокации, календари и списки контактов — золотая жила для всех рекламщиков. Поэтому множество приложений старается получить к ним доступ, вне зависимости от того, используют они их в работе или нет. Согласному тому же Appthority, 22 процента из топа платных и 31 бесплатных программ запрашивают доступ к контактам.

Что можно сделать?

Доступ к данным такого рода выдается только самим пользователям. В iOS начиная с шестой версии можно отозвать его в настройках приватности. К сожалению, в Android подобной функции не предусмотрено, можно закрыть эту лазейку лишь во время установки, а после — нет. Так что стоит хорошенько подумать, прежде чем соглашаться на все подряд.

6. «Встроенные покупки»

Многие программы, а особенно игры, доступны для скачивания бесплатно, но прибыль они получают, предлагая встроенные покупки (за реальную валюту, конечно же). Риск очевиден — речь ведь идет о деньгах! В интернете уже полно описанных случаев, когда ребенок тратил огромные суммы, постоянно что-то покупая себе в любимой «игрушке» на папином iPhone. Сам родитель, конечно, был не в курсе.

Забавно, что даже самые взрослые игроки иногда не в силе устоять перед очередной возможностью купить себе на виртуальную ферму новые семена баклажана.

Что можно сделать?

В iOs можно отключить встроенные покупки в определенном приложении в настройках. А пользователи Android могут поставить на эту функцию пароль: без его ввода купить ничего не удастся.

7. Уникальные идентификаторы устройств (UDID)

Один из способов «слежки» за пользователями смартфонов основывается на использовании уникальных идентификаторов устройств: персонального номера каждого. Одинаковых не бывает. Так как большинство гаджетов обычно используется только одним человеком, UDID позволит кому надо найти вас где угодно. А если этот номер становится известен, нет ни одного надежного способа его изменить — только купить новый телефон.

Apple запрещала разработчикам программ использовать UDID еще в 2012 году и теперь забраковывает те приложения, которые пытаются обойти запрет. Но иногда им это удается: согласно Appthority, самые популярные приложения по-прежнему собирают уникальные идентификаторы. На Android все несколько хуже: 55 процентов платных и 87 процентов бесплатных программ используют UDID, чтобы «следить» за пользователями. Как и все бесплатные игры для этой же системы.

Что можно сделать?

На iOS 7 Apple требует от приложений использовать другой номер, не заводской. И этот номер пользователь может самостоятельно изменить в настройках приватности. К тому же максимум, что «яблочная компания» разрешает сделать с его помощью, — использовать для рекламных целей. Google пробует что-то подобное с Google AdID, но огромное количество абсолютно разных Android-устройств делает этот процесс затруднительным. Иногда UDID может поменяться после «жесткой» перепрошивки устройства.

Вывод:

Конечно, вряд ли безобидная Angry Birds разрушит чью-то частную жизнь, но, прежде чем ставить себе на смартфон не самую с виду надежную программу, стоит несколько раз подумать, а также почитать в интернете отзывы — благо ресурсов масса. С уверенностью можно сказать только одно: спасение утопающих — дело рук самих утопающих, так что информационная безопасность пользователя зависит в первую очередь от его собственных действий.

Вот что угрожает пользователям смартфонов.

Фальшивые приложения

Уязвимости известных приложений

Приложения-трояны

Слежка приложений

Еще один инструмент слежки: скрипт Glassbox, который записывает каждое движение пальца и введенные данные. Этот инструмент запрещен в Эпсторе, но вычислить злоумышленников можно только если покопаться в коде приложения. Такой скандал произошел с приложением «Бургер-кинг»: их заподозрили в записи всех данных с экранов пользователей, в том числе и информации банковских карт.

Как защититься. Скачивать официальные приложения в официальных магазинах. Не давать доступ к функциям, которыми не планируете пользоваться. Отключить рекламный трекинг в настройках Айфона и проверить, к каким функциям приложение имеет доступ.

Читайте также: