Долго не доходили руки до написания данной статьи, но ввиду того что в последнее время значительно возросло в мой адрес количество просьб подсказать что купить – Айфон или Андроид, все же решил написать данную статью – уж проще скинуть на написанную статью ссылку, чем каждый раз объяснять))).
У меня всегда было с собой по 2 телефона на разных платформах, в разной комбинации.
Nokia Symbian 9 (до 2010 года)
BB 5.0 (2010-2011 год – Curve 8900, Bold 9650)
BB 6.0 (2010-2011 год Curve 8900, Bold 9650)
iPhone (2008 — по сей день)
Android (2011 – по сей день)
При чем каждый свой аппарат я использовал по полной, практически все его функции + root, jailbreak и все остальное. Те же BB у меня были с услугой BIS и работающим WiFi и BB Messenger. Поэтому, в принципе, что такое мобильная платформа – я знаю из личного опыта.
Да, были аппараты на Windows, правда, то были года 2005-2007 и были как «наладонники», так и смартфоны, то винда тогда была такой гадостью, что по сей день как представлю Windows на мобильном телефоне, тут же начинается нервный тик)).
Дальше, дабы сэкономить ваше время, скажу сразу: если вы не собираетесь пользоваться на своем телефоне онлайн-банком, мобильными кошельками и вам пофигу, если будет взломана ваша почта, соцсети и у кого угодно будет доступ к вашей адресной книге, а также вас не парит что кто-то может читать все что вы вводите на своей клавиатуре – то дальше можете не читать, покупайте что вам нравится, но, если вас это волнует, тогда welcome к прочтению данной статьи.
Итак, у меня основной телефон iPhone. Да, этот кусок стекла и металла, с:
— дохлым 2-х ядерным процессором;
— примитивной 8 мегапиксельной камерой;
— невозможность передавать файлы по Bluetooth;
— колоссальным геморроем, если нужно загрузить в телефон какой-нибудь файл;
— а также относительно скудным набором приложений в app store и практически невозможность загрузить пиратские приложения, если у вас не джейлбрекнутый телефон;
— стоящий неадекватных денег и любимый аппарат для фоткания девушек в туалетах.
Однако, если задаться вопросом безопасности, то все встает на свои места.
Дело в том, что в Android приложения имеют на много больше доступа, чем в iOS. К примеру, приложение Qiwi Wallet Visa, то есть Киви Кошелек
Посмотрите, к какому колоссальному объему информации приложение получает доступ:
Идентификационные данные – использование аккаунтов на устройстве и данных профилей.
СМС – отправка СМС и ММС
Идентификатор устройства и данные о вызовах – определение номера телефона и идентификаторов устройства, состояния активности вызова и номера телефона, с которым установлено соединение.
Ну и доступ к вашей адресной книге, местоположению, вашим фотографиям, и конечно же информация о WiFi точках доступа рядом с вами. То есть эти ребята из Qiwi могут узнать практически все из вашей личной жизни.
При этом, в момент установки приложения, вы не можете выбрать к чему приложение имеет право получить доступ, а к чему нет! И вот, после установки приложения, я вижу длинный список того, к чему приложение имеет доступ и я ничего не могу с этим сделать:
Да, существует приложение, которое позволяет установить такое ограничение другим приложениям. Однако, многие ли из вас могут сразу сказать, как оно называется? Более того, для работы того приложения нужен root доступ – уж поверьте, никто из тех, кто спрашивает какой купить телефон, понятия не имеет как получить этот root доступ. 99% пользователей просто скачивают приложение из Android Market и просто устанавливает и просто пользуется.
Однако, даже те, кто таки сумел стать гиком и нашел то приложение, разобрался как получить root доступ, установил его и начинает ставить ограничения, вдруг обнаруживает, что после установки ограничений большинство приложений отказывается работать. В iOS с этим на много проще – в настройках безопасности можно выбрать, к чему может иметь доступ приложение и после ограничения доступа, оно продолжает работать и здесь не нужно мудохаться с jailbreak – оно работает «из коробки»
Таким образом, если у вас Android смартфон, то ко всей информации на вашем аппарате получают доступ разработчики приложений без вашего ведома! Более того, приложения способны получать все данные даже будучи не запущены, полностью в автоматическом режиме! Достаточно, чтобы приложение было просто установлено на ваш телефон!
В качестве примера подобного, недавний скандал с приложением от Яндекса.
Скандал произошел, со статьи, размещенной 4 февраля 2015 года на Хабре:
С периодичностью раз в несколько минут Яндекс.Метро для Android отправляет на сервера Яндекса запросы. В теле запроса указываются:
— 3 различных идентификатора: clid, uuid и andoid_id;
— список mac адресов окружающих wi-fi точек доступа и мощность сигнала;
— идентификатор базовой станции опсоса с указанием мощности сигнала.
Сервис Яндекса по сбору «статистики» запускается в фоновом режиме при загрузке телефона и не требует запуска самого приложения для работы. Данные отправляются даже если в настройках телефона стоит запрет на определение местоположения.
Подробнее: «Яндекс.Метро следит за тобой».
Ответ от Яндекса не заставил себя долго ждать и уже 10 февраля 2015 года от них пришел ответ на данную статью:
Но то, что приложение отправляло данные, будучи запущено в фоне, действительно очень неприятная ошибка. Ещё не разобравшись, в чём причина, мы сразу сказали, что это баг и так быть не должно.
А так же длинный текст, с объяснением почему такое произошло, но по факту, все поняли, что это никакая не ошибка, просто Яндекс спалился:
Странности в работе Яндекс.Метро: разбор полётов и апдейт приложения.
Ограничения в приложениях.
И если у вас Айфон, в нем никогда приложения сами по себе не запустятся и у вас всегда есть возможность выбрать доступ приложений к определенной информации в телефоне, но при этом приложения ни при каких условиях не получают доступ к вашим СМС, вызовам, аккаунтом на устройстве, то в случае с Android любое приложение может получать эти доступы. Именно поэтому, приложения онлайн-банкинга для Android имеют ограниченный функционал – в том же Сбербанк-онлайн вы не можете просто совершить платеж – вы можете платить только по заранее созданным на ПК шаблонам. То есть если вам нужно срочно осуществить какой-то платеж, вы просто не сможете это сделать.
Практическое применение.
1. Набираем команду программистов.
2. Пишем какое-нибудь прикольное приложение для Android. Например – это может быть скажем, клавиатура. К примеру, для Android существует весьма популярное приложение TouchPal (у которого, кстати, свыше 10 млн. скачек).
3. Приложение имеет функционал:
— все, что набирается на этой клавиатуре, отправляется на наши сервера;
— приложение имеет доступ к геолокации;
— приложение имеет доступ к СМС.
4. Дальше, доверчивый пользователь смартфона устанавливает онлайн-банкинг, вводит логин, пароль, получает код подтверждения по СМС.
5. У нас в команде отличный программист, способный написать алгоритмы, позволяющие их кучи получаемого через клавиатуру говна, типа переписок в Ватсапе, Вайбере, СМСок, отфильтровать необходимые нам данные, вместе с идентификаторами приложений.
6. Создаем сеть из прокси-серверов, с нужными ip адресами, в зависимости от того, в каких странах и городах находятся наши клиенты.
7. В нужное время, например, в 3-4 часа ночи, начинается «спецоперация», в рамках которого созданный программистами робот заходит на онлайн-банк, вводит ваш логин и пароль, дальше, приложение пересылает пришедшее на телефон смс и с вашего счета уводятся деньги.
Думаете это миф и теория?
Тогда читайте: От вируса для Android пострадали до 30 тысяч клиентов Сбербанка
Думаете вас это не коснется? Эти 30 тыс. жертв мошенников тоже думали, что такое их никогда не коснется. Все думают, что подобное их никогда не коснется, ровно до той минуты, когда вдруг обнаружили, что их счет обчистили.
Итак, вы все еще считаете, что Айфон – это кусок стекла и металла для геев и девушек фоткающихся в туалетах, на железе, которое устарело еще 3 года назад?) Тогда сидите и ждите, они скоро придут и к вам и не говорите, что я вас не предупреждал 🙂
PS. Описанная в пункте «Практическое применение» технология описана только для понимания опасности и принятия мер, чтобы не попасться мошенникам и ни в коем случае не рекомендую пытаться воплотить ее в жизнь, так как это подпадает под статью 159 УК РФ и грозит до 10 лет лишения свободы.
Как известно, безопасность в новых мобильных ОС таких как Android построена на уровнях доступа для приложений. Разработчикам при создании нужно указать к каким функциям им нужен доступ, а пользователь сможет решить устраивает это его или запрашивается доступ не сопоставимый с функциями приложения. Большинство вирусных программ построено на невнимательности пользователей при установке или незнании что представляет из себя тот или иной доступ. Если программа скачивается из Play Market в подавляющем большинстве случаев это безопасно, но с остальными дело хуже. Пока серьезных вредоносных программ не так много, но как говориться "береженого Бог бережет.."
На сайт добавлены скрипты которые считывают информацию о доступах приложений и будут выводить их в читаемой и наглядной форме:
1) Появился пункт "Разрешения", он будет читать информацию о допусках из Play Market и отображать на сайте. В связи с изменениями в Play Market чтение информации о доступе для приложений пока не возможно.
2) На странице скачивания файла, если удалось скрипту вскрыть файл и прочитать из него информацию о доступах, будет отображаться вместо рекламы. Пока часть на английском, но будет переведено в ближайшее время, кто хочет помочь сопоставить русские описания с английскими – пишите в ПМ, буду рад.
3) Добавим кнопку "Подозрение на вирус", чтобы каждый мог пожаловаться на подозрительный файл. К сожалению, читать все комментарии нет времени и может создастся впечатление, что на жалобы нет реакции.
4) Для наглядности будем выделять красным самые опасные доступы, если нужно что-то добавить/удалить напишите в комментариях. Пока выделяются такие:
Примечания. Google планирует расширять функциональные возможности ОС Android. В связи с этим группы разрешений могут быть изменены.
Разрешения, которые не относятся к группам (в том числе не отображаются на экране основных разрешений), перечислены в группе "Другое".
1 Покупки через приложения
Приложение сможет предлагать вам совершать покупки.
2 История использования устройства и приложений
У приложения будет доступ к следующей информации:
– конфиденциальные данные в журнале;
– данные о состоянии системы;
– закладки и история поиска в Интернете;
– данные о запущенных приложениях.
3 Настройки мобильных данных
У приложения будет доступ к настройкам мобильного Интернета и, возможно, к данным, которые вы получаете.
4 Личные данные
У приложения будет доступ к данным вашего аккаунта или профиля на устройстве.
Приложение сможет совершать следующие действия:
– поиск аккаунтов на устройстве;
– просмотр ваших контактных данных (например, имени и другой информации);
– изменение ваших контактных данных;
– добавление и удаление аккаунтов.
5 Контакты/календарь
У приложения будет доступ к данным о контактах или информации календаря на устройстве.
Приложение сможет выполнять следующие действия:
– просмотр контактов;
– изменение контактов ;
– просмотр в календаре мероприятий и конфиденциальных данных;
– добавление и изменение мероприятий, отправка гостям электронных сообщений без предупреждения владельца календаря .
6 Местоположение
Приложение получит доступ к данным о местоположении вашего устройства.
Сюда входит:
– примерное местоположение (по данным сотовой сети);
– точное местоположение (по данным GPS и сотовой сети);
– дополнительные команды для работы с источниками геоданных;
– доступ к GPS.
7 SMS
Приложение получит доступ к функции текстовых (SMS) и/или мультимедийных (MMS) сообщений на вашем устройстве. Это означает, что в группе могут быть представлены такие разрешения, как отправка SMS, фотографий и видео.
Примечание. Оператор мобильной связи может взимать плату за отправку SMS или MMS.
Доступ к этой функции позволяет приложению выполнять следующие действия:
– прием SMS;
– просмотр SMS и MMS;
– прием MMS, например фотографий или видеороликов;
– изменение SMS и MMS;
– отправка SMS (при этом с вас может взиматься плата);
– прием WAP-сообщений.
8 Телефон
Приложение получит доступ к вашему телефону и его журналу звонков.
Примечание. Оператор мобильной связи может взимать плату за звонки.
Доступ к телефону позволяет приложению выполнять следующие действия:
– звонки (при этом с вас может взиматься плата);
– изменение списка вызовов (например, журнала звонков);
– просмотр списка вызовов;
– перенаправление исходящих вызовов ;
– изменение состояния телефона;
– звонки без вашего участия .
9 Фото/мультимедиа/файлы
Приложение получит доступ к файлам или данным на вашем устройстве.
Доступ к фотографиям, данным мультимедиа и файлам позволяет приложению выполнять следующие действия:
– просмотр данных на USB-накопителе (например, SD-карте);
– изменение и удаление данных на USB-накопителе;
– форматирование внешнего накопителя;
– подключение и отключение внешнего накопителя.
10 Камера/микрофон
Приложение сможет использовать камеру или микрофон вашего устройства.
Доступ к камере и микрофону позволяет приложению выполнять следующие действия:
– фото- и видеосъемка ;
– запись аудио;
– запись видео.
11 Данные о Wi-Fi-подключении – Приложение получит доступ к данным о Wi-Fi-подключении вашего устройства, например о состоянии подключения к сети Wi-Fi и названиях подключенных устройств.
Это разрешение позволяет приложению выполнять следующие действия:
– просмотр подключений Wi-Fi.
12 Идентификатор устройства и данные о вызовах
Приложение получит доступ к идентификаторам вашего устройства, номеру телефона, данным о текущем звонке и номерам вызываемых абонентов.
Это разрешение позволяет приложению выполнять следующие действия:
– получение данных о состоянии и идентификаторах телефона.
13 Другое
Приложение сможет использовать пользовательские настройки от производителя вашего устройства или разрешения, связанные именно с этим приложением.
Примечание. Если приложение добавляет разрешение из группы "Другое", то перед скачиванием обновления вам будет предложено ознакомиться с изменениями.
Такие разрешения могут позволять приложению выполнять следующие действия:
– просмотр записей в вашей социальной ленте (в некоторых социальных сетях);
– добавление записей в вашу социальную ленту (в некоторых социальных сетях);
– просмотр фидов пользователя.
Разрешения, не входящие в основную группу, отображаются в группе "Другое", когда вы просматриваете их по отдельности.
Предполагается, что VPN-сервисы, помимо всего прочего, должны предотвращать посторонний доступ и кражу данных с наших устройств. Но устанавливая на смартфон VPN-приложение, да и любое приложение вообще, мы даём ему разрешения на доступ к определенным данным. Задумывались ли вы, какую именно информацию получает ваш VPN-провайдер и как ее использует?
Наша команда мобильных разработчиков проанализировала ТОП-15 VPN-приложений для Android и сравнила, какие данные с вашего устройства они могут получить. В итоге составили рейтинг — от самого безопасного с точки зрения доступа к пользовательским данным приложения до самого «информационно-жадного».
Чтобы оценить приложения мы присвоили от 0 до 3 баллов каждому запрашиваемому разрешению в зависимости от того, насколько важная информация запрашивается и насколько это релевантно функциональности VPN-сервиса.
Покупки в приложении — по сути, это распространенный способ монетизировать приложение, предложив пользователю дополнительные фичи за некоторую плату. Ничего криминального в этом нет, платёжная информация вводится пользователем по его желанию.
Данные о Wi-Fi-подключении — предполагается, что приложение будет знать, включен или выключен Wi-Fi, видеть доступные Wi-Fi-соединения, имена подключенных устойств. Сегодня очень многие приложения просят это разрешение, а для VPN оно является самым что ни на есть релевантным, чтобы определять, запаролен Wi-Fi или нет, и защищать данные на небезопасных сетях.
Камера — предполагается, что приложение может использовать камеру на вашем устройстве, делать снимки и видео. Не то чтобы это очень страшно, но мы, вроде, не об Instagram сейчас говорим, поэтому такой доступ для VPN кажется несколько странным.
Местоположение — приложение определяет ваше местонахождение по данным сети и GPS. Вообще, VPN-сервис не нуждается в вашей реальной локации, чтобы предоставлять соединение. Но такой доступ может быть полезен, если VPN предлагает функцию автоматического подбора наиболее близкого сервера или что-то подобное.
Идентификационные данные — предполагается доступ к аккаунтам, которые есть на вашем девайсе. Здесь имеются в виду только адреса электронной почты, без паролей. Обычно такой доступ может быть оправдан функцией регистрации в приложении, встроенными социальными сервисами, куда будут автоматически подставляться ваши данные, чтобы не вводить их повторно.
Контакты — это доступ к вашей записной книжке, предполагающий возможность просматривать контакты и даже их редактировать. Для чего этот доступ VPN, мы не выяснили. Возможно, для реферальных программ.
История использования устройства и приложений — сервис будет знать, какие еще приложения запущены, историю браузера и закладок. Такое разрешение может быть оправдано дополнительными функциями защиты запущенных приложений.
Фото/Мультимедиа/Файлы — очень серьёзное разрешение, так как приложение получает доступ к файлам, хранящимся на вашем устройстве, включая SD-карту, и может их просматривать, модифицировать и форматировать. Один VPN-сервис объясняет такое разрешение необходимостью доступа к графическому контенту, чтобы графика в приложении работала корректно. Но это не отменяет возможности влиять и на другие файлы — почему бы просто не сократить графику?
Идентификатор устройства и данные о вызовах — приложение будет знать ваш телефонный номер и номер собеседника, разговариваете ли вы в данный момент по телефону или нет. Также у него будет доступ к информации об устройстве, его статусе и идентификаторе.
Помимо этого, некоторые VPN-приложения перед установкой просят поделиться платёжной информацией — номером кредитной карты или PayPal. Это не входит в список разрешений, и можно нажать «Пропустить», но все равно выглядит не очень дружелюбно, поэтому добавили +1 балл таким приложениям.
Таким образом, чем меньше суммарный балл у приложения, тем оно дружелюбнее и безопаснее для пользователя.
Таблица с результатами в баллах:
Финальный рейтинг VPN-приложений — от самого безопасного до самого «информационно-жадного»:
1. Zenmate
Самым безопасным оказался Zenmate — немецкий VPN-сервис с хорошей репутацией и высоким пользовательским рейтингом. Приложению требуется только информация о вашем Wi-Fi-подключении, а также возможность предложить встроенные покупки.
2. Hideninja VPN
Hideninja — это популярный сервис от сибирских разработчиков с приятным интерфейсом, хорошими отзывами и бесплатными серверами. Он тоже всерьез относится к вопросу пользовательских данных и просит чуть больше, чем Zenmate, — идентификационные данные (возможно, из-за функции регистрации). Заслуженное второе место.
3. TunnelBear VPN
TunnelBear подкупает своим дизайном и приятной анимацией, но из-за этого ему требуется доступ к файловому хранилищу на устройстве пользователя. Раскрывать ли свои файлы ради красивого VPN-приложения — личный выбор каждого, тем не менее такой запрос на доступ в сочетании со встроенными покупками и доступом к данным Wi-Fi-подключения не дал «Медведю» подняться выше третьего места.
4. OpenVPN Connect
OpenVPN Connect — это не сервис, а Android-клиент для доступа к серверам OpenVPN — технологии, которая лежит в основе большинства VPN для Android. Истоки, так сказать. Тем не менее это приложение просит доступ к файловому хранилищу и предварительно интересуется вашей платёжной информацией, чего успешно избежали многие VPN-сервисы.
5. Touch VPN
Это американский VPN с одной кнопкой для выполнения одной функции: вкл/выкл VPN. У него довольно хорошие отзывы, но не так много пользователей, как, например, у Hideninja или TunnelBear. Простота приложения заставляет еще больше недоумевать, зачем ему нужен доступ к идентификатору устройства и информации о вызовах.
6. Unlimited Free VPN
Это приложение ранее было известно как Betternet. Unlimited Free VPN тоже имеет очень простой однокнопочный интерфейс, но отсутствие выбора серверов вызывает недовольство у многих пользователей. Опять же, при такой функциональности не понятно, зачем приложению доступ к файлам, идентификатору устройства и информации о вызовах.
7. Hideman VPN
Британское VPN-решение, которое предоставляет выбор серверов и разрешает торрент-трафик. Просит те же разрешения, что и Unlimited Free VPN, плюс встроенные покупки, поэтому седьмое место.
8. Rocket VPN
В серединку рейтинга попал Rocket VPN. Его интерфейс несколько сложнее, чем у представленных выше сервисов, так как многие функции вынесены сразу на главный экран. Есть выбор серверов. В остальном всё тот же VPN. Rocket VPN оказался достаточно любопытным приложением, ему требуется доступ к вашим идентификационным данным, файловому хранилищу, Wi-Fi-подключению, идентификатору устройства и информации о вызовах, встроенным покупкам, а также платежные данные перед установкой.
9. SurfEasy VPN
VPN-сервис SurfEasy не так давно был приобретен Opera как решение для обеспечения безопасности данных пользователей. На сайте утверждается, что к конфиденциальности пользователя подходят со всей серьезностью, но само приложение имеет возможность собрать о вас немало информации. Помимо идентификационных данных, файлов, идентификатора устройства и информации о вызовах, а также встроенных покупок это VPN-приложение спросит доступ к вашим контактам. Это единственный VPN из нашего списка, которому интересна записная книжка пользователя.
10. Fast Secure VPN
Fast Secure VPN даёт нам разнообразие серверов в разных странах и инструмент для измерения скорости соединения. Также можно сортировать сервера по скорости, стабильности, стране и пингу. Приложение просит доступ к идентификационным данным, географическому положению, файловому хранилищу, Wi-Fi-подключению, идентификатору устройства и информации о вызовах — практически полный набор, поэтому только десятое место.
11. Hotspot Shield VPN
Hotspot Shield предоставляет интересную опцию выбора приложений, которые вы хотели бы защитить или использовать анонимно. Если вы хотите пользоваться этим сервисом, то будьте готовы поделиться историей использования устройства и приложений, идентификационными данными, файлами, информацией о Wi-Fi-подключении, идентификаторе устройства и вызовах. Также необходимо разрешение на покупки в приложении.
12. Hola Free VPN
Наверняка, вы слышали про Hola и недавний скандал, связанный со сливом трафика. Но приложение по-прежнему в топе, так что мы не стали его игнорировать. Устанавливая Hola, вы открываете доступ к истории использования устройства и приложений, идентификационным данным, географическому положению, файловому хранилищу, идентификатору устройства и информации о вызовах плюс разрешаете встроенные покупки. Hola знает практически всё.
13. SuperVPN Free VPN Client
SuperVPN Free VPN Client утвеждает, что полностью бесплатный. Тем важнее знать, какую информацию он собирает и как монетизирован. Фактически, это тот же набор запросов на доступ, что и у Hola, плюс информация о Wi-Fi-подключении.
14. VPN Master
VPN Master предоставляет дополнительную функцию безопасного интернет-поиска прямо через приложение, а также возможность разблокировать конкретные сервисы на вашем устройстве. Ему требуется доступ к истории использования устройства и приложений, идентификационным данным, файловому хранилищу, информации о Wi-Fi-подключении, идентификатору устройства и информации о вызовах, встроенным покупкам, а также к камере.
15. FlashVPN
Самым информационно-жадным приложением оказался Flash VPN. У него простой дизайн и подкупающая многих пользователей иконка, но всего 3 локации на выбор. При своей простоте Flash VPN просит очень много данных. Это практически все разрешения из списка, кроме безобидных встроенных покупок, а также камеры и контактов. Помимо этого, приложение интересуется вашей платёжной информацией перед инсталлом.
Конечно, следует учесть, что запрос таких разрешений не подразумевает обязательного сбора и хранения всей этой информации. Тем не менее у приложений всегда есть возможность начать её собирать, так как доступ вы уже обеспечили.
Делитесь данными только с теми провайдерами, которым действительно доверяете. Безопасного вам интернета.
Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.
