Дырявая реклама

18 апреля 2018

Мы неоднократно рассказывали, что программы неизвестного происхождения таят в себе опасность. Но приложениям от надежных разработчиков мы привыкли доверять. Положительные рейтинги, миллионы загрузок, известные компании и распространение через официальные магазины вроде Google Play — залог безопасности. Но, к сожалению, не ее гарантия.

Сегодня речь пойдет не о троянах, а о вполне добропорядочных приложениях, из-за которых, тем не менее, ваши данные все равно могут уплыть в Сеть. Наши эксперты изучили в общей сложности 13 млн APK (установочных пакетов приложений для Android) и выяснили, что около четверти из них передают через Интернет незашифрованные данные. Причем среди этих приложений некоторые насчитывают сотни миллионов скачиваний, а иногда — более полумиллиарда! Представляете себе масштаб проблемы?

В некоторых случаях информация сливается в Сеть из-за ошибок, допущенных разработчиками, однако чаще всего в рамках своих основных функций приложения если и отправляют данные пользователя на сервер, то используют для этого защищенный протокол HTTPS, который не позволяет кому попало их перехватывать. А причиной проблем становятся сторонние сервисы, которые разработчики подключают, не разбираясь. Например, аналитика или реклама: они тоже передают информацию через Интернет, но используют для этого незащищенный протокол HTTP.

Какая информация может пострадать?

Основная масса утекающих сведений касалась модели устройства и его технических характеристик, данных о сети или провайдере и имени пакета приложения (то есть названия, по которому его опознает система), а многие сервисы сливали в Интернет еще и координаты смартфона или планшета.

В отдельных случаях через протокол HTTP пересылались сведения об использовании той программы, в которую был встроен сторонний сервис, то есть, о лайках, постах, посещенных страничках и так далее, а также информация о владельце гаджета – имя, номер телефона, дата рождения. Нередко незащищенными оказывались и уникальные ключи, которые каждый раз создаются при авторизации. По счастью, большинство сервисов не передают в открытом виде логины и пароли, хотя нашлись такие, которые делали и это.

В чем опасность?

Через протокол HTTP информация передается как обычный текст, поэтому ее может прочитать практически кто угодно. Доступ к незащищенным данным есть, например, у провайдера. Кроме того, на пути от вашего приложения к серверу сторонней службы найдется еще несколько «перевалочных пунктов» — устройств, которые принимают и какое-то время хранят сведения.

Любое сетевое оборудование, включая ваш домашний роутер, может оказаться уязвимым, и если злоумышленник его взломает, он получит доступ и к вашей информации. Провайдер, как вы помните, может ее просматривать, даже ничего не взламывая. А подробных сведений о гаджете – номеров IMEI и IMSI – уже достаточно, чтобы отслеживать ваши действия. Более полная информация вообще делает вас «открытой книгой» для посторонних — от рекламодателей до желающих выдать себя за вашего приятеля и предложить скачать вредоносный файл.

Впрочем, утечка сведений об устройстве и его пользователе — это еще полбеды, ведь незашифрованную информацию можно еще и подменить. В ответ на HTTP-запрос сервер возвращает приложению, скажем, рекламный ролик, вместо которого злоумышленник вполне может подсунуть вам свой, не такой безобидный. А можно, например, в убедительной рекламе какого-нибудь приложения подменить только ссылку — и вот уже вместо симпатичной игрушки или агрегатора скидок пользователь рискует скачать на свой смартфон что-то уж совсем зловредное.

Что делать?

Вообще, заниматься такими проблемами следует разработчикам приложений. Однако, к сожалению, полностью довериться им мы не можем. Поэтому есть пара простых советов, которые помогут вам лучше защитить себя и свои данные.

  • Никогда не будет лишним проверить, каких разрешений требует приложение, даже если у него миллионы скачиваний. Если, скажем, очередной мессенджер хочет знать, где вы находитесь, смело говорите ему, что он обойдется. Подробнее о том, какие бывают разрешения под Android, вы можете почитать вот в этом посте.
  • Если средства позволяют, покупайте платные версии приложений. Они не показывают рекламу, а значит, и риск утечки данных меньше. Впрочем, они все еще могут использовать сторонние аналитические модули, которые зачастую ведут себя не лучше.
  • Используйте VPN — это защищенное соединение обезопасит ваши данные, если разработчики с этой задачей не справились. Например, для таких целей подходит Kaspersky Secure Connection.