Чим небезпечні безкоштовні додатки для Android?

У своїй більшості додатки, що завантажуються з Google Play Market, навіть якщо вони безкоштовні, все одно приносять дохід своїм творцям, які зовсім не з альтруїзму витрачають на них свого часу. Як і більшість онлайнових послуг, які не потребують оплати за використання, безкоштовні програми приносять прибуток через рекламу або вбудовані покупки. У своїй більшості додатки, що завантажуються з Google Play Market, навіть якщо вони безкоштовні, все одно приносять дохід своїм творцям, які зовсім не з альтруїзму витрачають на них свого часу

У процесі розробки програми його творці часто використовують готові рекламні бібліотеки і модулі від третіх сторін, які потім безпосередньо беруть участь в процесі роботи програми. Тобто, після того як розробники закінчили програму і завантажили її в Play Store, саме та, третя сторона збирає гроші з рекламодавців і показує рекламу в додатку, виплачуючи розробникам обумовлену частку. Ні користувачі, ні розробники в цьому випадку не можуть контролювати дії використовуваних в програмі модулів. Яку інформацію вони збирають, до яких серверів підключаються, як взаємодіють з оточенням в системі і з користувачем? Деякі такі модулі прямолінійні і чесні, але є і не дуже охайні. Наприклад, одна з популярних бібліотек для включення рекламних оголошень мала кілька досить неприємних і нав'язливих особливостей і потенційних вразливостей, проте була встановлена ​​в складі безкоштовних додатків більш ніж 200 млн раз. Дослідники з FireEye проаналізували поведінку цього модуля і опублікували дослідження, в якому стали називати модуль Vulna - очевидно, від слова «vulnerability», тобто «вразливість». Експерти навіть винайшли термін «vulnagressive», тобто агресивний і вразливий одночасно.

У Мережі зараз знаходяться мільйони пристроїв, схильних до завдяки Vulna найширшого спектру атак.

Як і багато інших рекламні модулі, Vulna має можливість збирати конфіденційну інформацію, таку як зміст текстових повідомлень, історія дзвінків, контакти в записній книжці. Крім того - і це найбільше проблематично - Vulna може завантажувати і виконувати завантажений код на Android-пристроях, де встановлено афілійована додаток. І зовсім вже погано, що досить довгий список вразливостей означає, що хакери можуть без особливих зусиль дістатися до необхідної їм інформації, а також взяти під контроль сам пристрій з абсолютно різними, але явно недобрими цілями. Іншими словами, саме про це і говорить FireEye - в Мережі зараз знаходяться мільйони пристроїв, схильних до завдяки Vulna найширшого спектру атак.

У поєднанні з уразливими, пов'язаними з відсутністю шифрування , Вільний двосторонній обмін даними між пристроєм і серверами Vulna дозволяє досвідченому зловмисникові виконати деякі по-справжньому неприємні речі: вкрасти коди двофакторної аутентифікації , Що приходять за допомогою текстових SMS, переглядати збережені на пристрої фотографії та інші файли, видаляти їх, змінювати дані, видавати себе за справжнього власника телефону для фішинг-атак і інших цілей, непомітно видаляти вхідні текстові повідомлення, а також телефонувати, таємно використовувати його камеру і змінювати збережені закладки на підмінні, провідні на шкідливі сайти. Крім цього можливі «прослушка» пристрою через публічні Wi-Fi-мережі, установка ботнетів, а також переклад рекламного трафіку на сайти зловмисників, що, до речі, і було зроблено нещодавно в досить відомої атаці на Twitter і New York Times .

Це неприємно для користувача, однак найнеприємніше полягає в тому, що немає простого способу дізнатися, що на телефоні встановлено додаток, що має Vulna і він контролюється невідомим сервером. На щастя, FireEye були наполегливі і активні, в результаті чого їм вдалося достукатися до Google і компанії, відповідальної за Vulna. Як раз три дні тому FireEye оголосили, що обидві інстанції пішли на позитивний контакт і зробили ряд змін. З магазину Google були видалені додатки, найбільш грубо зловживали можливостями цієї рекламної мережі. Багато розробники додатків самі оновили свої програми. Якісь змінили налаштування Vulna, а хтось і взагалі відмовився від використання цього модуля.

На жаль, багато користувачів Android не оновлюється встановлені на своїх пристроях додатки, вони залишаться вразливими.

На жаль, багато користувачів Android не оновлюється встановлені на своїх пристроях додатки. Отже, вони залишаються потенційно уразливими. В реальності FireEye повідомляє, що майже 166 млн одиниць програмного забезпечення до цих пір містять ту саму «шкідливу» версію Vulna.

Природно, ми рекомендуємо регулярно встановлювати всі оновлення програмного забезпечення, так як відмова від цієї дії рівносильний відмови від посилення безпеки додатків з боку розробників. Також ми рекомендуємо вам зрозуміти різницю між безкоштовними і платними програмами. Платні версії можуть здатися безглуздою тратою грошей, коли завжди можна знайти безкоштовний аналог. Але гірка правда така, що немає нічого безкоштовного. Більшість так званих безкоштовних програм є такими за рахунок підтримки рекламних мереж, і - випадок з Vulna наочно це демонструє - найчастіше невідомо, як саме працюють вбудовані в програму рекламні модулі.

Тільки уявіть на секунду, що, якби зловмисники за допомогою Vulna почали б гнати трафік замість рекламованих сайтів на шкідливі, де крали б ваші дані або система б заражалися банківським трояном? Мільйони користувачів поставили б свої банківські рахунки під загрозу. А витрати, як тимчасові, так і фінансові, пов'язані з відновленням банківського рахунку та відшкодуванням грошових втрат, погодьтеся, стоять куди більше, ніж пара доларів, які варто було віддати за додаткову плату аналог того безкоштовного додатку. Звичайно, не завжди є можливість купувати платні додатки, тому, звертаючись до безкоштовних, в них завжди потрібно контролювати права доступу і не встановлювати програми, що вимагають надмірно великих дозволів. Також гарною ідеєю буде зайти в налаштування безпеки Android і переконатися, що завантаження додатків з недовірених джерел там відключена.

Яку інформацію вони збирають, до яких серверів підключаються, як взаємодіють з оточенням в системі і з користувачем?