Głuchy telefon - kilka słów o aplikacjach mobilnych
Maciej Ziarek, ekspert ds. bezpieczeństwa z Kaspersky Lab Polska, zastanawia się, czy ogólnie dostępne aplikacje mobilne wystarczająco dbają o bezpieczeństwo i prywatne dane użytkowników.
Smartfony mają tę przewagę nad tradycyjnymi telefonami komórkowymi, że zainstalowanie kilku aplikacji może znacznie zwiększyć funkcjonalność telefonu. Mobilne systemy operacyjne oferują dostęp do oficjalnych sklepów, z których bezpłatnie lub po uiszczeniu odpowiedniej kwoty można pobrać odpowiedni program.
Użytkownicy najczęściej pobierają gry mobilne, aplikacje do robienia i modyfikowania zdjęć/filmów czy narzędzia takie jak elektroniczna poziomica, kompas lub latarka. Dla każdego coś miłego. Czy jednak każda aplikacja, nawet jeżeli została pobrana i sprawdzona przez setki tysięcy osób na całym świecie, dba o nasze bezpieczeństwo i należycie chroni poufne informacje?
Więcej niż SMS...
Nieodłączonym atrybutem telefonów komórkowych jest możliwość wysyłania krótkich wiadomości tekstowych. Na komputerze rolę SMS-ów spełniają komunikatory, z tą różnicą, że przekazywanie informacji i plików jest darmowe. Nie trzeba było długo czekać na mobilne odpowiedniki komunikatorów. Niestety, nie zawsze korzystanie z nich jest na tyle bezpieczne, by można było w sposób nieskrępowany prowadzić przy ich pomocy konwersacje, szczególnie takie, które wymagają poufności. Komunikatorów tworzonych z myślą o systemach mobilnych jest coraz więcej, jednak pewne z nich w żaden sposób nie szyfrują wysyłanych i odbieranych treści. Oznacza to, że wszystkie wiadomości użytkownika mogą być odczytane w bardzo prosty sposób przez każdego, kto przechwyci ruch sieciowy, co może być dodatkowo ułatwione przez niezabezpieczoną sieć Wi-Fi. Znane są także przypadki, gdzie loginem do komunikatora jest numer telefonu, a hasło stanowi prostą kombinację numeru IMEI, który posiada każdy telefon komórkowy. Pierwszą czynnością wykonywaną przez niektóre komunikatory mobilne jest przesłanie całej naszej książki telefonicznej na serwer twórcy aplikacji – niezależnie od tego, czy tego chcemy, czy nie. Warto zastanowić się, czy zależy nam na aż tak dużej integracji komunikatora internetowego z telefonem, szczególnie jeżeli jest to smartfon służbowy.
Wniosek jest jeden – przed rozpoczęciem korzystania z nowego komunikatora warto poświęcić chwilę i zapoznać się z metodami wykorzystywanymi przez twórcę aplikacji do ochrony naszych danych i komunikacji. Tradycyjnie, należy także zwrócić uwagę, do jakich zasobów chce mieć dostęp instalowana aplikacja.
Sprawdź, zanim zainstalujesz!
Innym zjawiskiem, jeszcze bardziej niebezpiecznym jest przypadkowe zainstalowanie aplikacji będącej w rzeczywistości trojanem lub innym szkodliwym programem. Do niedawna tego typu przypadki zdarzały się głównie osobom instalującym aplikacje z nieznanych źródeł. Niestety w sklepie Google Play regularnie pojawiają są programy udające jedynie funkcjonalne narzędzia i gry, a w rzeczywistości wykradają one dane lub wysyłają kosztowne SMS-y. Nawet Apple App Store z aplikacjami na system iOS nie uchronił się przed tym zagrożeniem. Przykładem jest program "Find & Call", który bardzo szybko zebrał wiele negatywnych ocen, a w komentarzach użytkownicy bardzo krytycznie odnieśli się do działania aplikacji. Nie chodziło bynajmniej o stabilność pracy. Aplikacja „Find and Call" wykradała książkę telefoniczną z numerami oraz wysyłała SMS-y ze spamem. Mimo szybkiej interwencji Google (aplikacja była także dostępna dla Androida) i Apple, sporo osób zdążyło pobrać program. Więcej informacji o trojanie „Find and Call” można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html?weblogid=804.
„Pamiętajmy, że nie zawsze wystarczy spojrzeć na oceny użytkowników odnoszące się jedynie do pracy z aplikacją, jej stabilności oraz użyteczności” – tłumaczy Maciej Ziarek, ekspert ds. bezpieczeństwa, Kaspersky Lab Polska. „W przypadku programów, które mają mieć dostęp do naszych danych lub pozwalają na komunikowanie się ze znajomymi, warto poświęcić dodatkowy czas i poszukać w internecie informacji na temat metod uwierzytelniania i zabezpieczania, jakie zastosowali autorzy aplikacji”.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.