Միլիոնավոր հավելվածներ ռիսկի են ենթարկում Android-սարքերի օգտատերերի անհատական տվյալները։ Ինչպե՞ս պաշտպանվել դրանց արտահոսքից

«Կասպերսկի Լաբորատորիա»-ի հետազոտողները վերլուծել են Android-ի համար մի քանի տարածված հավելվածներ և հայտնաբերել, որ որոշ հավելվածներ օգտատերերի չծածկագրված տվյալները փոխանցում են HTTP արձանագրության (HyperText Transfer Protocol — հիպերտեքստի հաղորդման արձանագրություն) միջոցով։ Դրանով նրանք նման տեղեկատվությունը բացահայտման վտանգի են ենթարկում։ Ինչպես պարզել են փորձագետները, դրա պատճառը հիմնականում այն է, որ մշակողներն օգտագործում են պատրաստի կողմնակի գովազդային SDK-ներ (software development kit – ծրագրային ապահովման մշակման հավաքածու)։ Հետազոտված հավելվածների աշխարհով մեկ տեղադրման գումարային քանակը կազմում է մի քանի միլիարդ։

SDK-ները այս կամ այն պլատֆորմի համար ծրագրային ապահովում (ԾԱ) ստեղծելու գործիքների հատուկ հավաքածուներ են։ Դրանք հաճախ տարածվում են անվճար և մշակողներին թույլ են տալիս կենտրոնանալ հավելվածի եզակի յուրահատկությունների վրա՝ պատրաստի լուծումներ առաջարկելով ստանդարտ գործառույթների համար։ Օրինակ՝ գովազդային SDK-երը հավաքում են օգտատերերի տվյալները, որպեսզի ցույց տան համապատասխան (relevant) հայտարարություններ։ Այդ նպատակով մոդուլը տվյալները հաղորդում է ժողովրդականություն վայելող գովազդային ցանցերի դոմեններին։

Հավելվածների հետագա վերլուծությունը ցույց է տվել, որ տվյալները չծածկագրված տեսքով փոխանցվում են HTTP արձանագրությամբ։ Դա նշանակում է, որ սերվերին փոխանցման ժամանակ դրանք ոչ մի կերպ պաշտպանված չեն. ծածկագրման բացակայության պատճառով տվյալները կարող է ձեռք գցել ով ցանկանա։ Օրինակ՝ դա կարող են անել չարագործները՝ չպաշտպանված Wi-Fi-ի կամ տնային վարակված երթուղիչի միջոցով։

Բացի այդ, ձեռք գցված տվյալները կարող են փոփոխվել։ Օրինակ՝ հավելվածը կարող է սկսել օրինականի փոխարեն ցուցադրել վնասաբեր հայտարարություններ։ Արդյունքում՝ օգտատիրոջը կարող են դրդել ներբեռնել վնասաբեր հավելված և այդպիսով ենթարկել ավելի մեծ վտանգի։

«Կասպերսկի Լաբորատորիա»-ի հետազոտողները վերլուծել են հավելվածների լոգերը և ցանցային տրաֆիկը Android-ի ներքին վիրտուալ միջավայրում (այսպես կոչված «ավազարկղում»)։ Դա անհրաժեշտ է հասկանալու համար, թե որ հավելվածներն են փոխանցում չծածկագրված տվյալները HTTP-ով։ Նրանք նշել են մի քանի հայտնի դոմեններ, որոնց մեծամասնությունը դասվում է տարածված գովազդային ցանցերի շարքին։ Այդ SDK-ները կիրառող հավելվածների քանակը հասնում է մի քանի միլիոնի։

Նման դեպքերում կարող են գողանալ հետևյալ տեղեկատվությունը.

  • անձնական տվյալներ. օգտատիրոջ անունը, տարիքը, սեռը։ Երբեմն այդ տեղեկատվության մեջ մտնում է եկամտի մակարդակը, հեռախոսահամարը և էլեկտրոնային փոստի հասցեն («Կասպերսկի Լաբորատորիա»-ի մեկ այլ հետազոտության համաձայն՝ ծանոթությունների հավելվածներում մարդիկ փոխանցում են բավականին մեծ ծավալով տեղեկատվություն);
  • տեղեկատվություն սարքի մասին. արտադրող, մոդել, էկրանի լուծաչափ, օպերացիոն համակարգի տարբերակ և հավելվածի անվանում;
  • սարքի տեղադիրք և, հնարավոր է, օգտատիրոջ տեղադիրք։

«Սկզբում մենք կարծում էինք, որ դրանք պարզապես մշակողների կողմից անվտանգության նկատմամբ անփույթ վերաբերմունքի մի քանի դեպքեր են։ Սակայն հիմնախնդրի իրական մասշտաբն ապշեցնում է։ Կողմնակի SDK-ները օգտագործվում են միլիոնավոր հավելվածներում։ Դա սպառնալիքի է ենթարկում անձնական տվյալները. դրանք կարող են գողանալ և ձևափոխել։ Իսկ դա, իր հերթին, կարող է հանգեցնել վնասաբեր ԾԱ-ով վարակման, շանտաժի փորձերի և օգտատերերի և նրանց սարքերի վրա այլ գրոհների»,- նշել է «Կասպերսկի Լաբորատորիա»-ի հակավիրուսային փորձագետ Ռոման Ունուչեկը։

Կիբեռանվտանգության փորձագետ, Հայաստանում և Վրաստանում «Կասպերսկի Լաբորատորիա»-ի փորձագետ Արմեն Կարապետյանն օգտատերերին խորհուրդ է տալիս.

  • Ստուգել հավելվածների թույլտվությունները։ Եթե հասկանալի չէ, թե ինչու է հավելվածը կատարում ինչ-որ գործառույթի հասանելիություն ստանալու թույլտվության հարցում, պետք չէ տալ այն։ Հավելվածների մեծամասնությանն անհրաժեշտ չէ հասանելիությունը օգտատիրոջ գտնվելու տեղի տվյալներին, այնպես որ, պետք չէ այն տրամադրել։
  • Օգտագործել VPN (վիրտուալ մասնավոր ցանց)։ VPN-միացման օգտագործման դեպքում օգտատիրոջ սարքի և արտաքին սերվերների միջև տրաֆիկը կծածկագրվի։ VPN-սերվերների սահմաններից դուրս այն դեռևս չի ծածկագրվի, սակայն դա ավելին է, քան ոչինչը։

Հավելվածներում կողմնակի SDK-ների կիրառման հետ կապված վտանգների մասին ավելին կարելի է իմանալ «Կասպերսկի Լաբորատորիա»-ի հաշվետվությունից՝ https://securelist.ru/leaking-ads/89598/.