среда, 12 ноября 2014 г.

7 способов защитить персональные данные на iOS и Android

Пора принять тот факт, что смартфоны и планшеты являются огромной библиотекой наших персональных данных. Эта информация является лакомым кусочком для различного рода злоумышленников или рекламщиков.

Иногда мы сами виноваты в утечке данных, но в очень многих случаях приложения самостоятельно систематизируют их и посылают в чужие руки. Но самое страшное, что, если наши контакты, заметки и пароли попадают в ненадежные базы данных, мы становимся уязвимыми чуть ли не на всю оставшуюся жизнь.

По данным сервиса Appthority, 91% из топ-100 платных и бесплатных приложений в App Store хотя бы раз вели подозрительную активность и 83% из «сотни» аналогичных топов приложений для Android. Цифры довольно неприятные, но, к счастью, есть как минимум семь способов повысить уровень своей информационной безопасности.

1. Незашифрованные данные

Пожалуй, самое страшное, что могут сделать приложения по отношению к своим пользователям, это собрать персональную информацию (ФИО, домашний адрес и адрес электронной почты, номер телефона и кредитной карты) и выложить ее в открытый доступ в незашифрованном виде, что значит, что абсолютно любой человек может при желании ее узнать. Такая уязвимость была, например, обнаружена в WhatsApp пару лет назад.

Большой скандал разгорелся вокруг приложения Starbucks для iOS, когда выяснилось, что оно хранит пароли в виде обычного текста, без какой-либо шифровки. Другая популярная программа, а точнее ее Android-версия, The Coupons, передавала информацию о пользователе (включая его геолокацию) каждый раз, когда он запускал и пользовался этим приложением.

Конечно, обе эти программы были обновлены, а уязвимость — устранена, но сколько вреда они успели нанести «счастливым» обладателям смартфонов? И ведь эти случаи произошли только за последний месяц.

Что можно сделать? К сожалению, мало что. Единственный вариант — научиться «вручную» просматривать активность приложения, но для этого нужны определенные навыки (например, умение разбираться в строках кода) и время.

2. Геолокация

Некоторым приложениям необходимо знать точное местоположение пользователя, например, GPS-программам, выстраивающим на карте местности оптимальный маршрут. Но зачем подобные «знания» играм? Ответ прост — они нужны их рекламщикам для создания контекстной рекламы и потоков спама. Именно поэтому многие программы совершенно самостоятельно собирают данные с GPS-модулей смартфона и высылают их своим создателям. Некоторых людей подобная активность вполне устраивает, некоторых — нет. В любом случае, что потом происходит с нашими данными в цепких лапах рекламного отдела, неизвестно.

В iOS и Android приложение в специальном всплывающем окне запрашивает разрешение на сбор геоданных при запуске. В некоторых случаях можно нажать на «нет» — на работе программы это никак не скажется. Иногда придется идти ва-банк: либо соглашайся, либо приложение надменно откажется запускаться.

3. Реклама

Как она может навредить? В первую очередь на основе нашей информации создаются «рекламные профили», которые «кочуют» за нами, даже когда мы меняем телефон. И никто не может сказать, кому этот набор данных продадут или передадут завтра.

Кроме того, не так давно выяснилось, что Vulna, рекламная библиотека, собиравшая данные о пользователях, могла быть использована как инструмент для атаки Android-устройств. Исследователи выяснили, что приложения с Vulna «на борту» были скачены более 200 миллионов раз. Конечно, уязвимость уже закрыли, но осадок все равно остался.
Что можно сделать? В первую очередь — скачивать приложения, не использующие рекламу. В основном они являются платными. Кроме того, в iOS 7 можно «ограничить трекинг рекламы», перейдя в меню Настройки – Приватность – Реклама, и для рекламных сетей выглядеть как «новый», другой, человек. Эквивалентов на Android нет, Google даже не разрешает блокировать рекламу в Google Play. Также можно заблокировать cookies с подозрительных сайтов в браузере.

4. Единый логин/пароль

Использовать одинаковые логин и пароль на всех ресурсах, требующих регистрации, — не самая лучшая идея. Конечно, это удобно — вряд ли забудешь такую важную комбинацию. Но, если в руки злоумышленника попадет эта информация, он получит мгновенный доступ к профилю и на Facebook, и «ВКонтакте», и в Twitter — словом, везде, куда «ступала нога» жертвы.

Что можно сделать? Очевидно — использовать разные комбинации логинов и паролей для каждого сайта. Также следует завести несколько почтовых ящиков.

5. Список контактов и календарь

Подобно геолокации, календари и списки контактов — золотая жила для всех рекламщиков. Поэтому множество приложений старается получить к ним доступ, вне зависимости от того, используют они их в работе или нет. Согласному тому же Appthority, 22% из топа платных и 31% бесплатных программ запрашивают доступ к контактам.

Что можно сделать? Доступ к данным такого рода выдается только самим пользователям. В iOS начиная с шестой версии можно отозвать его в настройках приватности. В Android подобной функции не предусмотрено, можно закрыть эту лазейку лишь во время установки, а после — нет. Так что стоит хорошенько подумать, прежде чем соглашаться на все подряд.

6. «Встроенные покупки»

Многие программы, а особенно игры, доступны для скачивания бесплатно, но прибыль они получают, предлагая встроенные покупки (за реальную валюту, конечно же). Риск очевиден — речь ведь идет о деньгах! В интернете уже полно описанных случаев, когда ребенок тратил огромные суммы, постоянно что-то покупая себе в любимой «игрушке» на папином iPhone. Сам родитель, конечно, был не в курсе.

Забавно, что даже самые взрослые игроки иногда не в силе устоять перед очередной возможностью купить себе на виртуальную ферму новые семена баклажана.

Что можно сделать? В iOS можно отключить встроенные покупки в определенном приложении в настройках. А пользователи Android могут поставить на эту функцию пароль: без его ввода купить ничего не удастся.

7. Уникальные идентификаторы устройств (UDID)

Один из способов «слежки» за пользователями смартфонов основывается на использовании уникальных идентификаторов устройств: персонального номера каждого. Одинаковых не бывает. Так как большинство гаджетов обычно используется только одним человеком, UDID позволит кому надо найти вас где угодно. А если этот номер становится известен, нет ни одного надежного способа его изменить — только купить новый телефон.

Apple запрещала разработчикам программ использовать UDID еще в 2012 году и теперь забраковывает те приложения, которые пытаются обойти запрет. Но иногда им это удается: согласно Appthority, самые популярные приложения по-прежнему собирают уникальные идентификаторы. На Android все несколько хуже: 55 процентов платных и 87 процентов бесплатных программ используют UDID, чтобы «следить» за пользователями. Как и все бесплатные игры для этой же системы.

Что можно сделать? На iOS 7 требует от разработчиков приложений использовать другой номер, не заводской. К тому же максимум, что «яблочная компания» разрешает сделать с его помощью, — использовать для рекламных целей. Сбросить идентификатор можно в любой момент, зайдя в меню Настройки – Приватность – Реклама. Google пробует что-то подобное с Google AdID, но огромное количество абсолютно разных Android-устройств делает этот процесс затруднительным. Иногда UDID может поменяться после «жесткой» перепрошивки устройства.


Комментариев нет:

Отправить комментарий