Как утекают данные в мобильных приложениях
Соколова
партнер агентства Digital Guru
Россия входит в тройку стран-лидеров по количеству утечек конфиденциальной информации пользователей различных сервисов. Более чем в 80% случаев в свободном доступе оказываются персональные данные и платежная информация. Ольга Соколова, партнер агентства Digital Guru, рассказала, как данные из мобильных приложений просачиваются в Сеть, чем это грозит и как себя обезопасить от действий мошенников.
Как происходит утечка данных в мобильных приложениях
Личные данные пользователей "утекают" в сеть по причине уязвимости мобильных приложений и хранения информации в плохо зашифрованном виде.
В начале августа сервис электронных и аудиокниг "ЛитРес" сообщил об утечке 3 млн строк с данными, среди которых около 600 тыс. e-mail-адресов пользователей. Миллионы клиентских данных "Лукойла", "Леруа Мерлен", "Буквоеда", онлайн-магазинов "Твое", "Подружка" и еще более 10 компаний и сервисов просочились в Сеть.
Практически все запускаемые на смартфоне мобильные приложения собирают какую-либо информацию о пользователях. Часто программам, наряду с доступом к техническим ресурсам (диктофону, камере и др.), необходимо разрешение на использование тех или иных данных, хранящихся на устройстве (список контактов, фото и видео).
Но иногда разработчики анонимно собирают информацию, никак не связанную с функциональностью программы, и персональные данные (пол, возраст, день рождения, местонахождение и др.) передаются сторонним компаниям, причем нередко по открытым каналам.
Наши данные нужны как самим разработчикам (для улучшения сервиса и анализа источников трафика), так и их партнерам, то есть сторонним компаниям. Это не противоречит действующему законодательству (152-ФЗ "О персональных данных"), тем более что такая информация зачастую обезличена и добавляется в большой массив данных для анализа. В таком случае почему номера телефонов, e-mail-адреса и пароли к различным учетным записям оказываются в руках мошенников?
Дело в том, что сведения о пользователях мобильных приложений хранятся на серверах. Программный интерфейс АPI (Application Programming Interface), который является составляющей сервера, получает запросы и отправляет ответы, то есть создает цепочку взаимодействия между сайтом, ПО, приложением и сервером и заставляет их синхронизировать данные через Сеть: так мы можем, например, совершать онлайн-платежи на сайте.
Разработчики не всегда заботятся о безопасности данных, из-за чего можно легко вытащить персональную информацию пользователей из цепочки "сайт/ПО/приложение - сервер", например, e-mail, пароли, телефоны, историю заказов/покупок, выбранные способы оплаты и т.д.
По данным исследования Positive Technologies, в половине случаев серверная часть приложений уязвима в плане кибербезопасности. В частности, эксперты оценили уровень защищенности мобильных банковских приложений и пришли к выводу, что в каждом втором из них возможны мошеннические операции и хищение средств. Серверная часть мобильных банков содержит в среднем 23 уязвимости, а в трех из семи есть ошибки бизнес-логики, что грозит утечкой конфиденциальных данных.
Атакуя серверную часть или рассылая вредоносное ПО, мошенники получают доступ к данным веб-приложений.
Чем для пользователя опасна утечка персональных данных
Если утечка фрагментарная, например, в сети оказался логин сервиса доставки, то это не представляет никакой опасности. Другое дело, когда взламывается целый ряд учетных записей в мобильных приложениях. В этом случае мошенники могут сопоставить email-адреса и их пароли и получить доступ к резервным копиям приложений, хранящихся в "облаке", (и соответственно, пин-кодам, паспортным данным, паролям и другой конфиденциальной информации, которая, как правило, не защищена должным образом).
Компании, в которых произошла утечка, обязаны сообщить об этом публично. Самостоятельно проверить информацию о "сливе" своих данных в сеть можно только с помощью проверенных специализированных сервисов, например, MailSearchBout в Telegram или Have I been pwned. Если начали поступать звонки от "сотрудников службы поддержки банка" или якобы правоохранительных органов, странные письма на электронную почту или кто-то попытался использовать ваш номер телефона для авторизации, узнайте, где произошла очередная утечка данных - об этом есть публикации в крупных СМИ и на сайте пострадавшей компании. В случае наличия факта попадания данных пользователей в свободный доступ рекомендуется сменить пароль доступа к сервису, а также все совпадающие пароли.
С начала 2023 года Роскомнадзор зафиксировал около 75 утечек персональных данных, принадлежавших крупным финансовым и страховым организациям, компаниям из IT-отрасли и госсектора.
Обычному пользователю бороться с этим довольно сложно - здесь все зависит от мастерства технических специалистов на стороне компании-владельца приложения — насколько они могут защитить данные от взлома. Однако 100-процентной гарантии сохранности данных ждать не стоит — от утечек страдают даже крупные компании, которые вкладывают много денег в кибербезопасность.
Как распознать фейковое или пиратское приложение
Причиной "взлома" персональных данных может стать установка вредоносного программного обеспечения под видом мобильного приложения.
Пользователь устанавливает игру, гороскоп или приложение-фейк, а кастомная клавиатура считывает и запоминает нажатие клавиш — и таким образом мошенники получают пароли, паспортные данные и другую личную информацию. Чтобы эти "лазейки" с данными открылись, пользователю направляется рассылка вредоносного спама со ссылками на скачивание или QR-код.
Вредоносное программное обеспечение может распространяться под видом государственных сервисов. Так, ФНС России предупредила граждан о появлении фейкового приложения "Мой налог", которое пользователям Android предлагается скачать по ссылке в сообщении. При установке программа запрашивает номер телефона и банковской карты. После ввода и "запуска" программы данные карты и СМС могут оказаться в руках злоумышленников, по сообщению ведомства.
Внимательность и хотя бы минимальная IT-грамотность помогут избежать неприятностей, связанных с незаконным присвоением данных с помощью вредоносных программ.
Вот несколько советов, как убедиться, что приложение, которое вы пытаетесь установить, - подлинное:
-
Найти на сайте разработчика прямую ссылку на скачивание приложения в магазине (в первую очередь, это касается пользователей Android) - не рекомендуется ничего устанавливать на подозрительных площадках. В AppStore довольно строгая система модерации приложений, поэтому вероятность появления вредоносных программ там минимальна. А вот при работе с операционной системой Android такое может случаться - особенно если пользователь для установки приложения прибегает к сомнительным сайтам. Несмотря на это, риск уязвимости Android-приложений оценивают в 43%, iOS-приложений немногим отстают - всего на 38%, по данным Positive Technologies.
-
Изучить отзывы других пользователей о работе с приложением: какие разрешения запрашивает, какие данные просит указать, вносит ли нежелательные изменения в настройки и т.д. Иногда бывает так, что приложение не имеет официального сайта, но это не означает, что оно мошенническое: просто создано независимым разработчиком.
-
Обратить внимание на внешний вид приложения: иконка фальшивых приложений может отличаться от оригинала.
-
Воспользоваться мобильным браузером и открыть сайт нужного сервиса. Это самый простой шаг - вовсе отказаться от загрузки и установки приложения.
Утечки происходят довольно часто, и обеспечить полную конфиденциальность своих персональных данных на сторонних сервисах бывает сложно. Личная или платежная информация может попасть в руки мошенникам. Однако если соблюдать самые элементарные правила цифровой гигиены (не скачивать приложения из неофициальных сторов, не переходить по ссылкам и QR-кодам с предложениями что-то установить на свой смартфон, не спешить вводить платежные данные на непроверенных сервисах и сайтах), можно уберечь себя от многих неприятностей, связанных с утечкой данных.
