УТЕЧКА ПЕРСОНАЛЬНЫХ ДАННЫХ ЧЕРЕЗ МОБИЛЬНЫЕ ПРИЛОЖЕНИЯ

Акулов А.А., Камбулов Д.А.

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Донской государственный технический университет» (ДГТУ) г. Ростов-на-Дону, Российская Федерация

УТЕЧКА ПЕРСОНАЛЬНЫХ ДАННЫХ ЧЕРЕЗ МОБИЛЬНЫЕ ПРИЛОЖЕНИЯ

Аннотация

Данная работа позволяет ознакомиться с возможными угрозами утечки информации мобильными приложениями. Проведен анализ показывающий утечку информации на конкретном приложении. Предложены советы по уменьшению риска возможных утечек.

Ключевые слова: информационная безопасностью, конфиденциальность информации, угрозы, утечка информации.

Keywords: information security, confidentiality, threats, information leakage.

В современном мире просто невозможно представить жизнь без информационных технологий (ИТ), несмотря на то, что в самом недалеком прошлом человек и понятия не имел о них. В нашу жизнь они вошли прочно, применяются ИТ во всех сферах жизни человечества, выполняя особо значимую двойственную роль. Практически каждый человек на нашей планете является владельцем какого-либо гаджета, будто то телефон или планшет с минимум 10 приложениями в памяти. Однако далеко не каждый знает, что некоторые приложения способны «сливать» конфиденциальную информацию в сеть.

Мобильное приложение само по себе может собирать минимум информации или не собирать ее вообще. Об этом мы узнаем при первом запуске приложения, когда оно запрашивает необходимые разрешения к техническим ресурсам смартфона (например, к камере) или к информации, хранящейся на нем (например, к списку контактов). Но многие мобильные приложения реализуют тот или иной сервис, например, мобильные приложения социальных сетей. И такие приложения позволяют собрать гораздо больше данных. Узнать о том, какие мобильные приложения собирают информацию, обычный пользователь может узнать это только по списку разрешений, которое запрашивает приложение, и по функциям, которое это приложение предоставляет.

Как объяснить, когда какое-нибудь незамысловатое приложение вроде будильника собирается «хозяйничать» в вашем фотоархиве, камере и микрофоне? Или, когда бесплатное игровое приложение требует доступа к вашим текстам и контактам — где логика?

Такое должно настораживать, особенно когда это касается личных данных, которые с точки зрения функциональности приложения ему совсем не нужны. Ваши данные будут передаваться разработчику приложения, а как он ими распорядится — это уже другой вопрос. В таких случаях рекомендуется внимательно просмотреть настройки и условия приложения, обычно в них все сказано.

Остальные способы, например, анализ сетевого трафика приложения — удел специалистов. На платформе Android пользовательских соглашений у приложений нет. Здесь немного другая схема: производители приложений подписывают соглашение с Google, в котором в части конфиденциальности пользовательских данных указана ссылка на соглашение о конфиденциальности, и уже в этом соглашении описано как, для чего и какие данные собираются.

У специалистов по информационной безопасности есть поговорка: самый безопасный компьютер — выключенный компьютер. Это высказывание появилось на основе того, что риски утечки информации есть всегда. Одно и то же приложение, установленное из официального магазина и из недоверенного источника может быть, как полностью безопасным, так и зловредным.

Для подтверждения данного факта был проведен анализ на первый взгляд безобидной игры. Однако если посмотреть глубже используя приложение для анализа сетевого трафика Burp Suite Pro, то можно заметить, что приложение отправляет запрос с такими данными как IMEI телефона.

Даже, казалось бы, некритичная и общедоступная информация может представлять опасность, если она окажется в руках мошенника. Использование такой информации может сделать возможным получение другой, более критичной, информации. Такие манипуляции называются социальной инженерией.

В заключение хотелось бы сказать, что для защиты от рисков утечки конфиденциальной информации необходимо следовать следующим пунктам:

  • Во-первых, следить за разрешениями, которые запрашивает приложение. Например, если приложение для ведения личной бухгалтерии запрашивает доступ к телефонной книги и к данным о геолокации, это должно вызвать у пользователя некоторую настороженность.
  • Во-вторых, уже было сказано, что категорически не рекомендуется устанавливать приложения из недоверенных источников.
  • В-третьих, большинство данных, которые собираются приложениями, пользователи сами же и передают. Необходимо следить, что и кому мы передаем.

Литература

  1. Мобильные приложения могут украсть ваши данные — Delfi [Электронный ресурс]. – Режим доступа: https://rus.delfi.ee/daily/business/ostorozhno-mobilnye-prilozheniya-mogut-ukrast-vashi-dannye?id=79175382
  2. Кража данных [Электронный ресурс]. – Режим доступа: https://www.anti-malware.ru/threats/data-theft
  3. Как не стать жертвой воровства данных со смартфона [Электронный ресурс]. – Режим доступа: https://groshi24.com.ua/kak-kiberprestupniki-xantyat-dannye-s-mobilnyx-ustrojstv/