Роскачество: какие новогодние приложения опасно скачивать на смартфон

Сейчас особенно популярны тематические приложения, создающие новогоднее настроение. Специалисты Центра цифровой экспертизы Роскачества установили, что их скачивание может быть небезопасным.

По статистике МВД, только в РФ количество киберпреступлений за 2020 год практически удвоилось. Загрузка приложений через интернет-магазины остается одним из каналов попадания вирусов на телефоны пользователей.

Согласно исследованию NortonLifeLock и IMDEA Software Institute на 12 млн смартфонов на Android, порядка 67,5% выявленных вредоносных приложений были взяты жертвами напрямую из Google Play, и только 10% – из других магазинов приложений. То есть в официальных магазинах приложений легко скачать мошеннический продукт.

Специалисты Центра цифровой экспертизы Роскачества проверили на безопасность 120 новогодних приложений из Google Play, некоторые из них были «подняты с самого дна» магазина. 

Исследовались три основные категории приложений, создающих новогоднее настроение: счетчики времени до Нового года, фоторамки и приложения для создания новогодних видео, а также обои (например, елка и падающий на фоне снег).

В ходе проверки приложений анализировались доступы, которые запрашивает приложение. Здесь сразу несколько приложений-таймеров вызвали подозрение у специалистов.

• New Year Countdown 2019: New Year Countdown Widget, New Year's Countdown 2020 и Happy New Year Countdown 2021 запрашивают полный доступ к сети интернет и одновременно с этим – доступ к управлению и изменению файлами на жестком диске. 

При этом реальная функциональность, связанная с загрузкой файлов (например, фото), в этих программах отсутствует. 

Напрашивается вывод: запрос такого разрешения – это потенциальная (а возможно, и намеренно оставленная) уязвимость, которую недобросовестные разработчики могут в любое время использовать для заражения устройств пользователей или кражи их персональных и платежных данных. 

• наибольшее подозрение вызвало приложение-таймер New Year Countdown, которое получает не только полный доступ к сети и возможность показа информации поверх всех окон (что используется для навязчивой демонстрации рекламных баннеров), но еще и откровенно шпионит за пользователем: для работы приложения требуются доступы к точному местоположению, статусу телефона и его идентификаторам, а также данные о вызовах. Все это может использоваться для тайной слежки за устройством (stalkerware) и кражи информации.

• два приложения-фоторамки Happy New Year Photo Frame 2020 и 2021 New Year Photo Frames также запрашивают идентификаторы вызовов – их тоже стоит опасаться.

• приложения «Новогодние Обои», Christmas wallpaper и «Новогодний фейерверк Живые обои» хотят доступ на определение местоположения, причем не только по GPS, но и по сети, а также доступ к номеру телефона устройства и полный доступ к управлению и изменению информации в памяти телефона, что явно является небезопасным.

В ходе тестирования у всех приложений было выявлено большое количество рекламы, которая в некоторых случаях всплывает на каждой странице приложения. 

В некоторых случаях приложение, получив разрешение на показ контента поверх всех окон, постоянно и навязчиво выводит рекламные баннеры, продавая рекламодателям ваши внимание и время. 

Специалисты также проанализировали политики конфиденциальности приложений-фоторамок и программ, создающих новогодние видео. Особенно отличился разработчик Aloha Photo Frame с приложением Happy New Year Photo Frame 2020: в своей политике он указывает на сбор идентификационных данных устройств, а также просмотр входящих вызовов и чтение СМС.

Большинство остальных политик приложений-фоторамок составлены «под копирку» и отмечают сбор и передачу статичных данных (например, идентификатор устройства) как компании-разработчику, так и третьим лицам.

При скачивании новогодних приложений, нужно соблюдать следующие правила:

• Скачивайте приложения только из официальных магазинов (App Store, Google Play, Huawei AppGallery). Это не застрахует вас от вредоносного ПО, но снизит риски

• Обращайте внимание на отзывы пользователей и оценки приложений, на ответы разработчиков. Если отзывы отрицательные, ответы редкие, а оценки низкие – лучше воздержаться от скачивания такого приложения.

• Отдавайте предпочтение приложениям от известных разработчиков и с большим количеством скачиваний.

• Обращайте внимание на доступы, которые запрашивает новогоднее приложение. Лучше не рискуйте, если не понимаете, зачем приложению эти разрешения, не предоставляйте их.

• В случае если у вас iPhone под управлением iOS 14, а приложение-фоторамка запрашивает доступ к фотогалерее (что само по себе нормально), предоставляйте доступ только к тем фотографиям или видео, которые собираетесь обрабатывать, а не ко всей медиатеке. На Android, к сожалению, разрешения пока запрашиваются и выдаются на все дисковое хранилище устройства.

• Всегда используйте антивирус на устройствах, регулярно обновляйте его и проверяйте им скачанные файлы.

• Не забывайте обновлять как сами приложения, так и мобильную операционную систему.