Гергана Михайлова
През август в специализираните технологични издания излезе една доста притеснителна новина, която като че ли незаслужено остана неразвита по-подробно от медиите с широка читателска аудитория. Става дума за премахнати наведнъж над 500 приложения от електронния магазин на Google - Google Play, като сред тях са и участници в топ 1,000 на най-сваляните и ползвани от милиони потребители по цял свят програми. Причината за решението бяха засечени пропуски в системите за сигурност, които позволяват на хакерите лесно да "влязат" в нечий смартфон и така да се сдобият с лични данни и чувствителна информация. Сред изтритите програми бяха такива за съобщения, игри, почистване на паметта от излишни файлове и др. И макар Google, а и другите оператори (Microsoft и Apple Store) да полагат усилия да ограничат предлагането на програми с ниска степен на защита, такива се предлагат напълно свободно и безплатно в мрежата и е въпрос на потребителска "хигиена" и изграждането на допълнителен рефлекс за предпазване от злоупотреби. А след като епохата на романтизма за хакерите отмина, злоупотребите вече не изглеждат като танцуващи човечета на екрана, а имат вида на неусетно източени банкови сметки.
Голяма част от тези програми се пишат от стартъпи, които невинаги разполагат с необходимия финансов гръб и време, за да изпипат творбата си докрай, в това число и сигурността. "При тях процесът до излизане на пазара трябва да е много бърз. И понякога в стремежа да тръгнеш бързо се неглижират някои неща", коментира Христо Ласков от CENTIO Professional IT Security. Това прави потребителите уязвими, тъй като, за да ползват приложението, се съгласяват да предоставят чувствителна лична информация. Това води към втората причина, поради която програмите за телефон могат да бъдат опасни: разработчиците им много добре знаят колко скъпа валута са данните и затова се опитват да вземат максимума на възможното, дори и някои функционалности да не са необходими за самото приложение. Това е причината, поради която на екрана с отметките, на който трябва да се кликне с „Да" при инсталацията, обикновено са включени искания за достъп до всичко - снимки, бележки, телефонен указател и дори право на приложението автоматично да изпраща и чете SMS-и. Дори и разработчикът на приложението да не злоупотребява с тази информация (например като залива потребителя с таргетирана реклама), тези данни обикновено се копират и се съхраняват в облак. И когато съответното приложение и облакът му не са добре защитени, това се превръща във вход към злоупотреби от страна на компютърните хакери, които, атакувайки облака, биха могли да се сдобият с бази данни на едро. Домогвайки се до ключова информация за даден потребител, те могат неусетно да източат банковата му сметка например.
Достъпът до снимки и бележки в телефона е опасно разрешение. Особено ако потребителят има неразумния навик да си записва и да снима пароли и номера на банкови сметки, разчитайки, че е подсигурил достатъчно добре телефона си с ПИН код и някаква биометрична защита като пръстов отпечатък. По същия начин е рисковано да се записват пароли като телефонни номера заради често исканото от приложенията разрешение за достъп до телефонния указател. Затова препоръката на експертите е пароли и номера на сметки да се пазят единствено в приложения като Password Manager и една парола да не се използва за повече от един акаунт. Ако през приложение или по друг начин в телефона проникне вирус, хакерът би могъл да установи контрол над системи като четене и изпращане на съобщения, с което на практика получава достъп до комуникацията, с която потребителят извършва електронно банкиране (ако, естествено, ползва такова). Рискът е зложелателят да преодолее двуфакторната оторизация и ако ползвателят на телефона е абониран за SMS известия, да неутрализира и този щит. Това става чрез домогването до данни като имейл, трите имена, рождената дата и град, дори моминското име на майката (което често се иска от банките като първа опция за таен въпрос) - лесна задача, изпълнима понякога дори с преглед на профила във Facebook. Снабден с такава информация, хакерът може да влезе в електронното банкиране, да поиска подновяване на парола (което е автоматична услуга и може да се извърши по всяко време на денонощието). Потребителят няма да чуе получения SMS, но хакерът ще го прочете и ще използва кода, ще влезе в банковия акаунт и след това ще изтрие съобщението. Така може да минат дни, докато някой забележи, че от сметката му липсват пари.
Четете подробно информацията за приложението, което сваляте на телефона си. Ако тя е написана на развален английски, това би трябвало да е първата червена лампичка за „Внимание!". Преглеждайте старателно списъка с документи, до които приложението иска достъп, и не бързайте да давате автоматично разрешение анблок. Обикновено има опция да не се съгласявате с всичко от изброеното. Проявете доза критична мисъл, когато приложението иска достъп до твърде много информация. Ако инсталирате фенерче и то иска да му разрешите да вижда контактите в указателя ви или снимките, би трябвало веднага да се усъмните, че нещо не е съвсем наред.
В допълнение на повишената бдителност към приложенията не забравяйте и добрите стари правила за сигурност:
- винаги обновявайте операционната система на телефона си (може да е досадно упражнение, което задръства паметта, но актуализира защитата на телефона срещу последното поколение вируси);
- никога не влизайте в банкови акаунти и разплащателни системи като epay през безплатни WiFi мрежи, за които няма парола. Опасно е дори да ползвате Facebook през такава мрежа. Ако сте в чужбина, по летища и хотели и това е единственият начин за връзка, поне влизайте през VPN (virtual private network), който прекарва трафика ви през криптиран канал;
- не забравяйте включен Bluetooth-а на телефона си. Покрай безжичните слушалки, тонколонки, часовници често оставяме смартфона си в режим на Bluetooth, което го прави уязвим, тъй като има системи за проникване в чужди телефони през тази връзка, при което може да се направи бързо копиране на информацията или дори да се поеме контролът върху устройството с последващо изнудване за откуп.
