У среднего пользователя на смартфоне установлено 26 приложений. Если судить по данным недавнего исследования HP, то все они имеют проблемы с конфиденциальностью и безопасностью.

Исследование HP фокусировалось на пользовательских приложениях, но нет никаких причин полагать, что проблема не распространяется на бизнес-приложения, размещаемые в Apple App Store или Google Play. Многие приложения для своей работы требуют доступ к данным или разрешения на выполнение функций, которые для работы не нужны.

Если вы захотите играть в игру, например, Angry Birds, то данному приложению не нужен доступ к вашим контактам. Приложению «Прогноз погоды», вероятно, не нужно уметь посылать электронное письмо от вашего имени. Кроме того, в приложениях существуют уязвимости. Есть проблемы в том, как приложения интегрируются с базовыми функциями мобильной операционной системы, как они взаимодействуют и делятся информацией друг с другом.

В исследовании HP 97% приложений содержали проблемы конфиденциальности, 86% испытывали недостаток в обеспечении основных функций безопасности и 75% не в состоянии должным образом зашифровать данные.

Примеры приложений, нарушающих вашу конфиденциальность.

Facebook

Это одно из самых популярных приложений социальных сетей в App Store.

Риски

  • Не использует шифрование для обмена данными (отправляет данные в открытом виде).
  • Имеет доступ к книге контактов пользователя и данным о его расположении (геоданным).
  • Отправляет координаты расположения в незашифрованном виде.
  • Включает пути к файлам исходного кода в отладочной информации. Эти пути содержат имя пользователя и информацию, связанную с разработчиком приложения.

Внимание! Приложение сегодня лучше обрабатывает пользовательскую аутентификацию при использовании учетной записи Facebook для регистрации на сторонних сайтах или службах. Аутентификационные маркеры истекают через час.

QR Pal

Это бесплатный сканер QR-кодов и штрих-кодов, приложение для iPhone. Позволяет сканировать штрих-код и сравнивать цены на продукт со значением, закодированным в штрих-коде.

Риски

  • Отправляет данные пользователей в открытом виде.
  • Получает доступ к расположению пользователя, календарю и книге контактов.
  • Включает пути к файлам исходного кода в отладочной информации. Эти пути содержат имя пользователя и информацию, связанную с разработчиком приложения.

iTorcia

Это популярное приложение фонарика.

Риски

  • Включает уникальный идентификатор устройства как строковый параметр запроса в URL, который отправляется незашифрованным через HTTP.
  • Получает доступ к геоданным, календарю и книге контактов.
  • Включает пути к файлам исходного кода в отладочной информации. Эти пути содержат имя пользователя и информацию, связанную с разработчиком приложения.
  • Собирает данные и аналитику для платформы сети рекламных объявлений.

Angry Birds Star Wars

Будьте внимательнее при использовании бесплатных или условно-бесплатных игровых приложений. Ведь на самом деле нет ничего бесплатного.

Риски

  • Получает доступ к геоданным, календарю и книге контактов.
  • Включает платформу сбора данных Flurry Analytics.
  • Включает пути к файлам исходного кода в отладочной информации. Эти пути содержат имя пользователя и информацию, связанную с разработчиком приложения.
  • Собирает данные и аналитику для нескольких сетей рекламных объявлений InMobi, AdMob, iAd, Google’s Double Click и Millennial Media.

WhatsApp Messenger

Популярное приложение обмена сообщениями, которое позволяет пользователям отправлять бесплатные мгновенные сообщения другим смартфонам, исчезло из App Store. Но одно является бесспорным: Это было опасное приложение.

Риски

  • Отправляет уязвимые данные в открытом виде (шифрование не применяется).
  • Получает доступ к расположению пользователя и книге контактов.
  • Имеет возможность считать SMS.
  • Имеет доступ к данным расположения от FourSquare и Google Maps.

Безусловно, есть и безопасные приложения, но с учетом того, что в хранилище находятся сотни тысяч приложений, вероятно, что и у вас есть проблемы с безопасностью.

Не стоит думать, что все приложения, содержащие проблемы с безопасностью, разработаны злоумышленниками. Отнюдь нет. В основном это ошибки программистов, связанные с ленью, желанием поскорее выставить продукт на рынок и т. д. В случае бесплатных приложений — это, безусловно, желание заработать деньги на рекламе.

Разработчики пишут приложения, которые получают доступ ко всему, потому что это легче, чем написание более безопасного кода, и потом гораздо легче писать какие-то необходимые улучшения. Так просто проще для разработчика, но сложнее для пользователя. Но кто думает о пользователе?

При использовании BYOD риски безопасности и конфиденциальности всегда будут выше как для работодателя, так и для сотрудника. В большинстве случаев провести точную границу между бизнесом и персональной информацией весьма сложно. Эта граница не определена и приложения могут легко размывать эту границу и поставить под угрозу как корпоративные, так и персональные данные. Проблема усиливается, потому что зачастую приобретение приложения — импульсивный поступок, в первую очередь мотивированный низкой ценой и легкостью установки приложения.

Мобильные ОС в части приложений требуют от пользователя внимательности и понимания основ информационной безопасности. Безусловно, лучшим решением для разработчиков было бы задумываться о безопасности и конфиденциальности еще на этапе постановки задачи. Разработчики должны понимать, как их приложение будет взаимодействовать с системой и другими приложениями. Но боюсь, это случится не сегодня и даже не завтра.

Автор статьи — MVP Consumer Security, Microsoft Security Trusted Advisor.