Євген Опанасенко
редактор розділу Техно Більшість людей використовують смартфони, не турбуючись про безпеку основних додатків, які ми щодня використовуємо. За їх якість відповідає Google і магазин додатків Google Play. Незважаючи на боротьбу зі шкідливим і рекламним ПО, дослідження показують, що навіть у популярних додатків залишається повно дір в безпеці, які не виправляються роками.
Дивіться також в сюжеті про те, як дозувати використання гаджетів у своєму житті:
Згідно зі звітом компанії по забезпеченню кібербезпеки Check Point, щодня виявляються десятки вразливостей, які розробники не встигають виправляти. Частина "дірок" містяться в самих додатках, а інші виявляються в зовнішніх бібліотеках загального коду, які використовуються цими додатками для активації певних функцій.
Дослідники вирішили перевірити, скільки додатків в магазині Google Play все ще використовують уразливі бібліотеки. Вони спеціально полювали за трьома уразливостями, які були оцінені як критичні і були закриті в 2014, 2015 і 2016 роках. Підсумковий список включає більше 800 популярних додатків та ігор для Android, які були завантажені в цілому 5 мільярд разів.
Серед порушених додатків виявилися такі, які люди використовують дуже часто: Facebook, WeChat, Messenger, Instagram, AliExpress, TuneIn і SHAREit. Загальні бібліотеки були оновлені з моменту виявлення вразливостей, але нові версії цих популярних додатків як і раніше використовують застарілі бібліотеки. Бажання наповнювати Google Play додатками призвело до ситуації, коли нові програми не перевірялися належним чином, а популярні програми не мають виправленнь.
На свій захист, наприклад, Facebook пояснює, що це не проблема, так як дані між клієнтом і сервером шифруються, тому зловмисники не в змозі обійти захист. Дослідники Check Point відзначають, що, хоча додатки можуть не використовувати ці старі бібліотеки, це все одно не є панацеєю. Уразливості, вибрані для цього аналізу, ймовірно, не єдині, і вони залишають відчинені двері для зловмисників, які, швидше за все, спробують використовувати проломи в безпеці.
У 2019 було виявлено більше 1000 додатків для Android, які збирали особисті дані навіть після того, як їм було відмовлено у відповідних дозволах після їх установки. Цікаво, що самі додатки були відносно безпечними, але вони використовували сторонні бібліотеки, які були "виправлені" кодом, який можна було використовувати для збору даних.
На даний час Google намагається змусити розробників додатків працювати над виправленнями.
Нагадаємо, що раніше Google назвав ТОП-10 обов'язкових додатків для Android 10. В той же час Google півроку приховує ганебну статистику про Android.
Головні теми