Тем, кто не уверен в собственной высокой цифровой грамотности, рекомендуем воздержаться от скачиваний

В канун новогодних праздников набирают популярность тематические приложения, создающие новогоднее настроение. Чем ближе заветная дата Нового года, тем больше загрузок имеют приложения развлекательного характера. Эксперты в ходе проверки установили — их скачивание может быть небезопасным. Специалисты Центра цифровой экспертизы Роскачества рассказывают, что им удалось обнаружить.

Пандемия стала одной из причин рекордного роста киберпреступности разных видов — от тематического фишинга до прямых кибератак на сайты и пользователей. По статистике МВД

[1]

, только в РФ количество киберпреступлений за 2020 год практически удвоилось. Загрузка приложений через интернет-магазины (даже официальные) остается одним из каналов попадания вирусов на телефоны пользователей. Согласно исследованию NortonLifeLock и IMDEA Software Institute

[2]

на 12 млн смартфонов на

Android

порядка 67,5% выявленных вредоносных приложений были взяты жертвами напрямую из Google Play Маркет, и только 10% — из других магазинов приложений. Это говорит о том, что в официальных магазинах приложений, при их кажущейся безопасности, легко скачать мошеннический продукт.

«Особые всплески активности злоумышленников обычно связаны с информационным и особенно календарным поводом. Накануне Нового года пользователям следует быть в два раза внимательнее — особенно при скачивании незнакомых приложений. Приложения, которые появляются перед Новым годом, быстро исчезают. К тому же их существует огромное количество. Пользователю сложно понять, какому приложению можно доверять, а от скачивания которого лучше воздержаться»,

— говорит Илья Лоевский, заместитель руководителя Роскачества.

Специалисты Центра цифровой экспертизы Роскачества проверили на безопасность 120 новогодних приложений из Google Play Маркета, некоторые из которых были «подняты с самого дна» магазинов. И даже это количество — капля в море, ведь у некоторых разработчиков — десятки новогодних приложений только в одной категории. Тем не менее, такая проверка позволила выявить тренды, характерные для программ такого рода, отследить мошеннические и составить основные правила цифровой безопасности для использования таких приложений.

Исследовались три основные категории приложений, создающих новогоднее настроение: счетчики времени до Нового года, «фоторамки» и приложения для создания новогодних видео, а также обои (например, елка и падающий на фоне снег).

В ходе проверки приложений анализировались доступы, которые запрашивает приложение.

Здесь

с

разу несколько приложений-таймеров вызвали подозрение у специалистов. Так,

New

Year

Countdown

2019:

New

Year

Countdown

Widget

,

New

Year

’

s

Countdown

2020 и

Happy

New

Year

Countdown

2021

запрашивают полный доступ к сети интернет, и одновременно с этим — доступ к управлению и изменению файлами на жестком диске. При этом реальная функциональность, связанная с загрузкой файлов (например, фото) в этих программах отсутствует. Напрашивается вывод: запрос такого разрешения — это потенциальная (а возможно, и намеренно оставленная) уязвимость, которую недобросовестные разработчики могут в любое время использовать для заражения устройств пользователей или кражи их персональных и платежных данных. Лучше не рисковать и не скачивать.

Но это еще не самое плохое. Наибольшее подозрение вызвало приложение-таймер New Year Countdown, которое получает не только полный доступ к сети и возможность показа информации поверх всех окон (что используется для навязчивой демонстрации рекламных баннеров), но еще и откровенно шпионит за пользователем: для работы приложения требуются доступы к точному местоположению, статусу телефона и его идентификаторам, а также данные о вызовах. Все это может использоваться для тайной слежки за устройством (

stalkerware

) и кражи информации. Еще два приложения-фоторамки

Happy

New

Year

Photo

Frame

2020 и 2021

New

Year

Photo

Frames

также запрашивают идентификаторы вызовов — их тоже стоит опасаться.

Некоторые приложения из категории «Обои» оказались весьма подозрительными. Логично предположить, что у таких простых по функциональности приложений должны запрашиваться разрешения максимум на установку обоев и доступ к жесткому диску устройства (для загрузки картинок). Однако приложения «Новогодние Обои», Christmas wallpaper и «Новогодний фейерверк Живые обои» хотят и доступ на определение местоположения — причем не только по

GPS

, но и по сети, а также доступ к номеру телефона устройства и полный доступ к управлению и изменению информации в памяти телефона, что явно является небезопасным.

В ходе тестирования у всех приложений было выявлено большое количество рекламы, которая в некоторых случаях всплывает на каждой странице приложения. В некоторых случаях (как с вышеупомянутым приложением-таймером New Year Countdown) приложение, получив разрешение на показ контента поверх всех окон, постоянно и навязчиво выводит рекламные баннеры, продавая рекламодателям ваши внимание и время. Такая практика не только доставляет неудобства пользователю, но и чревата случайными кликами на рекламный баннер, за которым может скрываться все, что угодно (так как обычно разработчики малоизвестных приложений не слишком разборчивы с рекламной интеграцией и могут сотрудничать в том числе и с откровенными мошенниками). Специалисты также проанализировали политики конфиденциальности приложений-фоторамок и программ, создающих новогодние видео. Особенно отличился разработчик Aloha Photo Frame с приложением Happy New Year Photo Frame 2020— в своей политике он указывает на сбор идентификационных данных устройств, а также просмотр входящих вызовов и чтение СМС. Звучит неприятно, не так ли?

Большинство остальных политик приложений-фоторамок составлено под «копирку» и отмечает сбор и передачу статичных данных (например, идентификатор устройства) как компании-разработчику, так и третьим лицам.

Если вы все равно хотите скачать приложение, создающее новогоднее настроение,

соблюдайте

следующие правила

:

●

Скачивайте приложения только из официальных магазинов (App Store, Google Play Маркет, Huawei AppGallery). Это не застрахует вас от вредоносного ПО, но снизит риски. Обращайте внимание на отзывы пользователей и оценки приложений, на ответы разработчиков. Если отзывы отрицательные, ответы редкие, а оценки низкие — лучше воздержаться от скачивания такого приложения.

●

Отдавайте предпочтение приложениям от известных разработчиков и с большим количеством скачиваний

●

Обращайте внимание на доступы, которые запрашивает новогоднее приложение. Лучше не рискуйте, если не понимаете, зачем приложению эти разрешения, не предоставляйте их.

●

В случае, если у вас

iPhone

под управлением

iOS

14, а приложение-фоторамка запрашивает доступ к фотогалерее (что само по себе нормально), предоставляйте доступ только к тем фотографиям или видео, которые собираетесь обрабатывать, а не ко всей медиатеке. На

Android

, к сожалению, разрешения пока запрашиваются и выдаются на все дисковое хранилище устройства.

●

Всегда используйте антивирус на устройствах, регулярно обновляйте его и проверяйте им скачанные файлы.

●

Не забывайте обновлять как сами приложения, так и мобильную операционную систему. Разработчики регулярно устраняют обнаруженные уязвимости и повышают качество приложений с каждым следующим обновлением.

Данные правила безопасности применимы к обоим магазинам —

Google

Play

и

App

Store

.

В погоне за новогодним настроением оставайтесь бдительными и не скачивайте первое понравившееся приложение, даже по рекомендациям знакомых. Так как данная категория приложений остается «темной», если вы не уверены в собственной цифровой грамотности, лучше вообще воздержаться от скачиваний данных приложений.

[1]

https://xakep.ru/2020/11/12/play-store-malware/

[2]

https://ria.ru/20200710/1574153408.html?utm_source=yxnews&utm_medium=desktop