Цифровая безопасность: Безопасное использование гаджетов

1. Личные данные в интернете. Аккаунты и пароли

1.3. Безопасное использование гаджетов

Всего за несколько лет смартфоны и планшеты превратились в неотъемлемую часть нашей жизни. Они служат нам в качестве коммуникатора, навигационного устройства, развлекательного центра, электронной книги, карманного тренера, кошелька и так далее. Однако столь стремительное развитие мобильных устройств привело к тому, что у очень многих пользователей еще не успели выработаться устойчивые навыки обеспечения безопасности, как самих устройств, так и своих данных в них. Порой просто удивляешься, насколько беспечными могут быть люди в обращении со своими гаджетами. Поэтому необходимо придерживаться нескольких правил, для своей же безопасности.

Основные ошибки
Описание уязвимости
Отсутствие блокировки
Необходимость каждый раз вводить пароль для разблокировки может несколько раздражать, но это один из самых простых способов предотвращения несанкционированного доступа и/или использования вашего телефона. Разумеется, специалисты, потратив некоторое время, смогут взломать любую защиту, но это даст вам, по крайней мере, гарантию недоступности вашего гаджета против любопытных глаз обычных людей. Лучшим видом блокировки является именно пароль. Установите автоматическую блокировку после одной минуты бездействия.
Публичные Wi-Fi сети

Общественные Wi-Fi сети могут быть очень удобны, но они также являются большой угрозой для вашей безопасности. С помощью несложных и общедоступных программных средств, ваши пароли, учетные данные и другая информация может быть перехвачена. Если вы пользуетесь сетью Wi-Fi в общественных местах, то лучше не заходить в свои финансовые, банковские или другие важные для вас учетные записи. Если же это необходимо, то используйте подключение через VPN или даже вашу мобильную сеть передачи данных.
Отсутствие антивируса
Пользователи серьезно относятся к наличию антивирусной программы и обновлению ее баз на десктопе, но, при этом, категорически не понимают такой же необходимости для мобильных устройств. Между тем, по своим функциям мобильные устройства становятся практически идентичны десктопам, и появление массовых вирусных инфекций для них — это только вопрос времени. Лучше заранее подготовиться к их распространению и установить современный мобильный антивирус, тем более что выбор есть, в том числе, и бесплатных программ.

Игнорирование обновлений
Многие, хотя и не все, производители гаджетов выпускают периодически обновления, для улучшения функциональности и устранения проблем безопасности. Далеко не всегда они устанавливаются автоматически, иногда необходимо зайти на сайт, скачать и вручную обновить программное обеспечение своего гаджета. Не стоит игнорировать эту возможность. Ведь обновление неслучайно. Зачастую в новом обновлении прописана защита от нововыявленных атак
Установка программ из сторонних источников
Устройства на платформе Android имеют возможность установки программ не только из официального магазина, но и из других источников. Очень часто пользователи загружают и устанавливают с сомнительных сайтов взломанные программы, содержащие различные зловреды. В результате, попытка сэкономить 1-2 доллара оборачивается значительно большими потерями.
Фишинговые сайты
По мнению экспертов кибербезопасности RSA, пользователи смартфонов более уязвимы для фишинг-атак, чем пользователи настольных компьютеров. Им гораздо труднее распознать поддельные страницы входа в мобильном браузере, чем на десктопе. Поэтому необходимо очень внимательно относиться к ссылкам, пришедшим к вам по SMS или электронной почте, а лучше вообще использовать для посещения важных сайтов только обычный компьютер
Права суперпользователя
Получение рута или джейлбрейк своего устройства может быть очень полезен для разблокировки дополнительных возможностей смартфона. Однако это действие подвергает огромному риску его безопасность. Особенно в тех случаях, когда хозяин устройства не слишком подготовлен технически и не очень понимает что и зачем он делает. Из-за этой операции любое приложение сможет выполнять неограниченный набор действий, в том числе, воровать информацию, рассылать сообщения, списывать деньги и так далее. Поэтому еще раз стоит подумать о том, нужно ли вам это и понимаете ли вы все последствия
Bluetooth
Слышали ли вы о таких терминах, как bluejacking, bluebugging или bluesnarfing? Все эти термины обозначают различные виды хакерских атак с использованием подключения Bluetooth. Используя эту технику, хакер может быть до 30 метров от вас и незаметно подключиться к вашему устройству. В течение нескольких секунд они могут украсть вашу конфиденциальную информацию и даже пароли входа на различные сайты. Поэтому не забывайте выключать соединение по Bluetooth, когда оно вам не требуется.
Автологин
Многие сервисы, сайты, социальные сети предлагают для вашего удобства опцию автоматического входа. Благодаря этому, вам не придется каждый раз вводить свои учетные данные для входа. Однако не забывайте, что любой человек, получивший доступ к вашему устройству, точно так же сможет легко зайти на любой ваш сайт. Поэтому никогда не пользуйтесь возможностью автологина и не забывайте нажимать на кнопку выхода по окончании работы с тем или иным сервисом.

Разрешения для приложений на смартфонах

Нередко, многие из нас не глядя отвечают на всплывающие окна при запуске новой программы, выдавая необходимые разрешения и соглашаясь на настройки «по умолчанию». Пользователи не обращают внимания на то, какие права они предоставляют приложениям, но это может очень дорого обойтись.

Разберемся, в чем опасность предоставления тех или иных разрешений ненадежным приложениям и расскажем, как и где их можно настроить.

Обычные и опасные разрешения

Некоторые разрешения требуют большего внимания, чем остальные. Часть из них, например доступ к интернету и остановка работы фоновых процессов относится к категории «обычных», поскольку они не опасны для пользователя. Другие же, например доступ к календарю и контактам, запись звука, использование нательных датчиков и считывание данных с внешнего хранилища, считаются «опасными».

Пользователи ОС Android 6.0 и более новых версий могут выбирать, какие разрешения давать приложениям после их установки. В более ранних версиях выбора не было. Киберпреступники научились использовать это в свою пользу, разрабатывая приложения, для установки которых требовалось загрузить более старые уровни API.

Теперь эта лазейка в системе безопасности закрыта. С 1 августа 2018 года компания Google требует, чтобы приложения были совместимы с версией Android не младше 8.0.

Основные сведения об опасных разрешениях

Поскольку разрешения приложению необходимо предоставить перед установкой, важно знать, как они могут повлиять на вашу конфиденциальность. Существует девять групп опасных разрешений. Если пользователь предоставляет или отклоняет одно из разрешений в группе, этот выбор распространяется на остальные разрешения из той же группы. Ниже описана каждая из групп.

Нательные датчики

Эти разрешения связаны с использованием фитнес-браслетов, пульсометрами и прочими подобными гаджетами, которым позволяется следить за показателями здоровья пользователя. Но вредоносное приложение может записывать эти показатели с устройства и отправлять их на свой командный сервер.

Календарь

Эти разрешения позволяют приложениям получать доступ к событиям в календаре, изменять и удалять их, а также создавать новые события.

Разрешения на доступ к календарю используются приложениями для социальных сетей и очень полезны для планирования встреч. Однако они открывают путь ко всей личной информации, которой вы, скорее всего, не хотите делиться с посторонними.

Камера

Такие разрешения позволяют приложениям делать фото, записывать видео и аудио. Сама мысль о том, что вредоносное приложение может отправлять фотографии с вашего устройства киберпреступникам, неприятна.

Контакты

Это разрешение позволяет приложениям получать доступ к контактам, изменять и удалять их, а также добавлять новые на телефон. Вредоносные приложения могут попытаться заполучить телефонные номера и электронные письма из контактов пользователя, чтобы затем использовать их для фишинговых и других атак.

Местоположение

Эти разрешения отвечают за GPS и точки доступа Wi-Fi на телефоне. Использовав их неправомерным образом, злоумышленники могут узнать местоположение пользователя и следить за ним.

Микрофон

Эти разрешения позволяют приложениям записывать звук с помощью микрофона устройства. Если их получат особо искусные злоумышленники, они смогут включать микрофон, даже если пользователь его не использует, записывать звук и отправлять аудиозаписи разработчикам приложения.

Телефон

Эта группа разрешений предоставляет приложению доступ к номеру телефона пользователя, сведениям о сотовой сети, состоянию вызова, голосовой почте, IP-телефонии, просмотру и изменению данных журнала вызовов и даже переадресации звонков на другие номера. Вредоносные программы, получившие такое разрешение, могут следить за тем, как пользователь использует телефон, и даже совершать вызовы без его разрешения.

SMS

Получив эти разрешения, можно просматривать, получать и отправлять SMS, а также получать push-уведомления по протоколу WAP и MMS-сообщения. Известно, что вредоносные приложения используют эти разрешения, не только чтобы отслеживать существующие сообщения, но и чтобы использовать телефон для рассылки спама и подписки его на нежелательные платные услуги.

Память

Эти разрешения отвечают за доступ ко внутренним и внешним хранилищам устройства. Получившие их вредоносные программы могут просматривать, создавать и изменять документы, фотографии, музыку и другие файлы на телефоне.

Права администратора и суперпользователя

Помимо обычных разрешений, с которыми вам придется столкнуться, существует еще два расширенных варианта доступа к устройству, о которых следует знать.

Права администратора устройства

Эти права позволяют вам или приложению вносить изменения в систему устройства. Это включает смену пароля, блокировку телефона и даже удаление с него всех данных. Защитные приложения, как например Avast Mobile Security для Android, используют права администратора для удаленной блокировки устройства и стирания с него данных в случае кражи. Конечно, если такие права получит вредоносное приложение, это может поставить под угрозу телефон.

Права суперпользователя

Это права самого высокого уровня для Android-устройств. Права суперпользователя предоставляют доступ ко всем базовым функциям устройства. Тот, кто ими владеет, может делать с устройством все, что угодно. Хотя по умолчанию эти права отключены, известно, что киберпреступники работают над тем, чтобы получить к ним доступ.

Например, игра Colourblock, обнаруженная в магазине Google Play, оказалась трояном, пытающимся получить права суперпользователя. Подробнее об опасных играх из Google Play мы писали ранее.

Проверка запроса приложения на получение разрешения

Система Android отображает разрешения, которые необходимо предоставить перед установкой приложения, однако существует еще несколько способов проверить их.

Просмотр запрашиваемых разрешений до установки приложения

Во-первых, на странице каждого приложения в магазине Google Play содержится перечень требуемых для его работы разрешений. Прокрутите вниз до раздела Разработчик и коснитесь пункта Посмотреть разрешения, чтобы увидеть разрешения, требуемые для приложения.

Управление разрешениями приложений после установки

Как уже упоминалось ранее, теперь можно просматривать разрешения приложений и управлять ими после установки на ваш Android. Поочередно выберите такие пункты: Настройки > Приложения > Загруженные приложения > [Приложение, которое необходимо проверить] > Разрешения. На этой вкладке можно предоставить или отменить разрешение.

Управление несколькими приложениями с одинаковыми разрешениями

В Android для каждого разрешения предусмотрен отдельный экран, с помощью которого можно проверить, какие разрешения используют приложения. Поочередно выберите такие пункты: Настройки > Приложения > [Значок шестеренки вверху] > Разрешения приложений.

Предоставляйте разрешения ответственно

Защита состоит из двух факторов — технического и человеческого. Технический фактор — это автоматизированное программное обеспечение для киберзащиты: антивирус, брандмауэр и прочее. Они защищают устройство, обнаруживая вредоносное ПО и блокируя его.

Человеческий фактор полностью зависит от пользователя. На вас, как на пользователя смартфона, возлагается ответственность за разрешения, предоставленные сторонним приложениям и программам. Будьте внимательны. Следите за предоставляемыми разрешениями.

Если вы предоставите вредоносному приложению разрешение на доступ к своему устройству, то мало какие меры безопасности помогут предотвратить утечку. В конце концов, все в ваших руках.

Всегда внимательно изучайте разрешения, которые у вас запрашивают. Сначала это может показаться неудобным, но полученная информация поможет вам защитить свое устройство.

Основные ошибки	Описание уязвимости
Отсутствие блокировки	Необходимость каждый раз вводить пароль для разблокировки может несколько раздражать, но это один из самых простых способов предотвращения несанкционированного доступа и/или использования вашего телефона. Разумеется, специалисты, потратив некоторое время, смогут взломать любую защиту, но это даст вам, по крайней мере, гарантию недоступности вашего гаджета против любопытных глаз обычных людей. Лучшим видом блокировки является именно пароль. Установите автоматическую блокировку после одной минуты бездействия.
Публичные Wi-Fi сети	Общественные Wi-Fi сети могут быть очень удобны, но они также являются большой угрозой для вашей безопасности. С помощью несложных и общедоступных программных средств, ваши пароли, учетные данные и другая информация может быть перехвачена. Если вы пользуетесь сетью Wi-Fi в общественных местах, то лучше не заходить в свои финансовые, банковские или другие важные для вас учетные записи. Если же это необходимо, то используйте подключение через VPN или даже вашу мобильную сеть передачи данных.
Отсутствие антивируса	Пользователи серьезно относятся к наличию антивирусной программы и обновлению ее баз на десктопе, но, при этом, категорически не понимают такой же необходимости для мобильных устройств. Между тем, по своим функциям мобильные устройства становятся практически идентичны десктопам, и появление массовых вирусных инфекций для них — это только вопрос времени. Лучше заранее подготовиться к их распространению и установить современный мобильный антивирус, тем более что выбор есть, в том числе, и бесплатных программ.
Игнорирование обновлений	Многие, хотя и не все, производители гаджетов выпускают периодически обновления, для улучшения функциональности и устранения проблем безопасности. Далеко не всегда они устанавливаются автоматически, иногда необходимо зайти на сайт, скачать и вручную обновить программное обеспечение своего гаджета. Не стоит игнорировать эту возможность. Ведь обновление неслучайно. Зачастую в новом обновлении прописана защита от нововыявленных атак
Установка программ из сторонних источников	Устройства на платформе Android имеют возможность установки программ не только из официального магазина, но и из других источников. Очень часто пользователи загружают и устанавливают с сомнительных сайтов взломанные программы, содержащие различные зловреды. В результате, попытка сэкономить 1-2 доллара оборачивается значительно большими потерями.
Фишинговые сайты	По мнению экспертов кибербезопасности RSA, пользователи смартфонов более уязвимы для фишинг-атак, чем пользователи настольных компьютеров. Им гораздо труднее распознать поддельные страницы входа в мобильном браузере, чем на десктопе. Поэтому необходимо очень внимательно относиться к ссылкам, пришедшим к вам по SMS или электронной почте, а лучше вообще использовать для посещения важных сайтов только обычный компьютер
Права суперпользователя	Получение рута или джейлбрейк своего устройства может быть очень полезен для разблокировки дополнительных возможностей смартфона. Однако это действие подвергает огромному риску его безопасность. Особенно в тех случаях, когда хозяин устройства не слишком подготовлен технически и не очень понимает что и зачем он делает. Из-за этой операции любое приложение сможет выполнять неограниченный набор действий, в том числе, воровать информацию, рассылать сообщения, списывать деньги и так далее. Поэтому еще раз стоит подумать о том, нужно ли вам это и понимаете ли вы все последствия
Bluetooth	Слышали ли вы о таких терминах, как bluejacking, bluebugging или bluesnarfing? Все эти термины обозначают различные виды хакерских атак с использованием подключения Bluetooth. Используя эту технику, хакер может быть до 30 метров от вас и незаметно подключиться к вашему устройству. В течение нескольких секунд они могут украсть вашу конфиденциальную информацию и даже пароли входа на различные сайты. Поэтому не забывайте выключать соединение по Bluetooth, когда оно вам не требуется.
Автологин	Многие сервисы, сайты, социальные сети предлагают для вашего удобства опцию автоматического входа. Благодаря этому, вам не придется каждый раз вводить свои учетные данные для входа. Однако не забывайте, что любой человек, получивший доступ к вашему устройству, точно так же сможет легко зайти на любой ваш сайт. Поэтому никогда не пользуйтесь возможностью автологина и не забывайте нажимать на кнопку выхода по окончании работы с тем или иным сервисом.