Как утекают данные в мобильных приложениях

Россия входит в тройку стран-лидеров по количеству утечек конфиденциальной информации пользователей различных сервисов. Более чем в 80% случаев в свободном доступе оказываются персональные данные и платежная информация. Ольга Соколова, партнер агентства Digital Guru, рассказала о том, как данные из мобильных приложений просачиваются в сеть, чем это грозит и как себя обезопасить от действий мошенников. Как происходит утечка данных в мобильных приложениях Личные данные пользователей "утекают" в сеть по причине уязвимости мобильных приложений и хранением информации в плохо зашифрованном виде. В начале августа сервис электронных и аудиокниг ЛитРес сообщил об утечке 3 млн строк с данными, среди которых — около 600 тыс. e-mail адресов пользователей. Миллионы клиентских данных "Лукойла", "Леруа Мерлен", "Буквоеда", онлайн-магазинов "Твое", "Подружка" и еще более десяти компаний и сервисов просочились в сеть. Практически все запускаемые на смартфоне мобильные приложения собирают какую-либо информацию о пользователях. Часто программам, наряду с доступом к техническим ресурсам (диктофону, камере и др.) необходимо разрешение на использование тех или иных данных, хранящееся на устройстве (список контактов, фото и видео). Но иногда разработчики анонимно собирают информацию, никак не связанную с функциональностью программы, и персональные данные (пол, возраст, день рождения, местонахождение и др.) передаются сторонним компаниям, причем нередко по открытым каналам. Наши данные нужны как самим разработчикам (для улучшения сервиса и анализа источников трафика), так и их партнерам, то есть сторонним компаниям. Это не противоречит действующему законодательству (152-ФЗ "О персональных данных"), тем более, что такая информация зачастую обезличена и добавляется в большой массив данных для анализа. В таком случае, почему номера телефонов, e-mail-адреса и пароли к различным учетным записям оказываются в руках мошенников? Дело в том, что сведения о пользователях мобильных приложений хранятся на серверах. Программный интерфейс АPI (Application Programming Interface), который является составляющей сервера, получает запросы и отправляет ответы, то есть создает цепочку взаимодействия между сайтом, ПО, приложением и сервером и заставляет их синхронизировать данные через сеть: так мы можем, например, совершать онлайн-платежи на сайте. Разработчики не всегда заботятся о безопасности данных, из-за чего можно легко вытащить персональную информацию пользователей из цепочки "сайт/ПО/приложение — сервер", например, e-mail, пароли, телефоны, историю заказов/покупок, выбранные способы оплаты и т.д. По данным исследования Positive Technologies, в половине случаев серверная часть приложений уязвима в плане кибербезопасности. В частности, эксперты оценили уровень защищенности мобильных банковских приложений и пришли к выводу, что в каждом втором из них возможны мошеннические операции и хищение средств. Серверная часть мобильных банков содержит в среднем 23 уязвимости, а в трех из семи есть ошибки бизнес-логики, что грозит утечкой конфиденциальных данных. Атакуя серверную часть или рассылая вредоносное ПО, мошенники получают доступ к данным веб-приложений. Чем для пользователя опасна утечка персональных данных Если утечка фрагментарная, например, в сети оказался логин сервиса доставки, то это не представляет никакой опасности. Другое дело, когда взламывается целый ряд учетных записей в мобильных приложениях. В этом случае мошенники могут сопоставить email-адреса и их пароли и получить доступ к резервным копиям приложений, хранящихся в "облаке", (и соответственно, пин-кодам, паспортным данным, паролям и другой конфиденциальной информации, которая, как правило, не защищена должным образом). Компании, в которых произошла утечка, обязаны сообщить об этом публично. Самостоятельно проверить информацию о "сливе" своих данных в сеть можно только с помощью проверенных специализированных сервисов, например, MailSearchBout в Telegram или Have I been pwned. Если начали поступать звонки от "сотрудников службы поддержки банка" или якобы правоохранительных органов, странные письма на электронную почту или кто-то попытался использовать ваш номер телефона для авторизации, узнайте, где произошла очередная утечка данных — об этом есть публикации в крупных СМИ и на сайте пострадавшей компании. В случае наличия факта попадания данных пользователей в свободный доступ рекомендуется сменить пароль доступа к сервису, а также все совпадающие пароли. С начала 2023 года Роскомнадзор зафиксировал около 75 утечек персональных данных, принадлежавших крупным финансовым и страховым организациям, компаниям из IT-отрасли и госсектора. Обычному пользователю бороться с этим довольно сложно — здесь все зависит от мастерства технических специалистов на стороне компании-владельца приложения — насколько они могут защитить данные от взлома. Однако 100-процентной гарантии сохранности данных ждать не стоит — от утечек страдают даже крупные компании, которые вкладывают много денег в кибербезопасность. Как распознать фейковое или пиратское приложения Причиной "взлома" персональных данных может стать установка вредоносного программного обеспечения под видом мобильного приложения. Пользователь устанавливает игру, гороскоп или приложение-фейк, а кастомная клавиатура считывает и запоминает нажатие клавиш — и таким образом мошенники получают пароли, паспортные данные и другую личную информацию. Чтобы эти "лазейки" с данными открылись, пользователю направляется рассылка вредоносного спама со ссылками на скачивание или QR-код. Вредоносное программное обеспечение может распространяться под видом государственных сервисов. Так, ФНС России предупредила граждан о появлении фейкового приложения "Мой налог", которое пользователям Android предлагается скачать по ссылке в сообщении. При установке программа запрашивает номер телефона и банковской карты. После ввода и "запуска" программы данные карты и СМС могут оказаться в руках злоумышленников, по сообщению ведомства. Внимательность и хотя бы минимальная IT-грамотность помогут избежать неприятностей, связанных с незаконным присвоением данных с помощью вредоносных программ. Вот несколько советов, как убедиться, что приложение, которое вы пытаетесь установить — подлинное:

Найти на сайте разработчика прямую ссылку на скачивание приложения в магазине (в первую очередь, это касается пользователей Android) — не рекомендуется ничего устанавливать на подозрительных площадках. В AppStore довольно строгая система модерации приложений, поэтому вероятность появления вредоносных программ там минимальна. А вот при работе с операционной системой Android такое может случаться — особенно если пользователь для установки приложения прибегает к сомнительным сайтам. Несмотря на это, риск уязвимости Android-приложений оценивают в 43%, iOS-приложений немногим отстают — всего на 38%, по данным Positive Technologies. Изучить отзывы других пользователей о работе с приложением: какие разрешения запрашивает, какие данные просит указать, вносит ли нежелательные изменения в настройки и т.д. Иногда бывает так, что приложение не имеет официального сайта, но это не означает, что оно мошенническое: просто создано независимым разработчиком. Обратить внимание на внешний вид приложения: иконка фальшивых приложений может отличаться от оригинала. Воспользоваться мобильным браузером и открыть сайт нужного сервиса. Это самый простой шаг — вовсе отказаться от загрузки и установки приложения.

Утечки происходят довольно часто, и обеспечить полную конфиденциальность своих персональных данных на сторонних сервисах бывает сложно. Личная или платежная информация может попасть в руки мошенникам. Однако если соблюдать самые элементарные правила цифровой гигиены (не скачивать приложения из неофициальных сторов, не переходить по ссылкам и QR-кодам с предложениями что-то установить на свой смартфон, не спешить вводить платежные данные на непроверенных сервисах и сайтах), можно уберечь себя от многих неприятностей, связанных с утечкой данных. Ссылка на источник