Nie všetky aplikácie stoja za váš čas a peniaze. Ako rozpoznať škodlivú aplikáciu?

Ludia a mobilne zariadenia

V súčasnosti sú dostupné milióny mobilných aplikácií, či už na zábavu, vzdelávanie alebo na pomoc pri práci. Nie všetky však stoja za váš čas a peniaze. Prečítajte si, na čo všetko treba myslieť pri sťahovaní aplikácií a ako rozpoznať tie škodlivé.

Nadmerné množstvo potrebných povolení

Pravdepodobne najväčším bezpečnostným rizikom týkajúcim sa mobilných aplikácií  je nadmerné množstvo povolení, ktoré si mnohé aplikácie vyžadujú. A to bez ohľadu na operačný systém, ktorý používate.

Zoberme si napríklad priemernú bezplatnú aplikáciu na svetelnú baterku. Neexistuje žiaden dôvod na to, aby mal tento typ aplikácie prístup k základným funkcionalitám zariadenia. Napriek tomu mnohé z nich vyžadujú povolenia na prístup ku kontaktom, fotografiám či k vašej aktuálnej polohe.

Prečo je to riskantné? Ako používateľ nemáte dostatočné informácie o tom, ako poskytovateľ zabezpečuje tieto dáta, alebo či tieto dáta zhromažďuje a následne predáva tretím stranám, ako sú reklamné siete a analytické spoločnosti.

Buďte pri sťahovaní aplikácie obozretní. V prípade, ak od vás aplikácia na obyčajné kreslenie žiada informácie o vašej aktuálnej polohe, zamyslite sa, či ju naozaj potrebujete.

Kontextové reklamy

Väčšina bezplatných mobilných aplikácií obsahuje reklamy. Je to logické, pretože ich vývojári potrebujú finančné prostriedky na prácu a práve reklama je jeden zo zdrojov príjmov.

Neustále kontextové reklamy môžu znepríjemniť používanie aplikácie. No oveľa podstatnejšie je bezpečnostné riziko, ktoré vám hrozí. Vyskytli sa prípady, keď boli napadnuté reklamné siete používajúce vkladanie reklám do aplikácií. Tie zhromažďujú osobné informácie o používateľoch, ktoré v tomto prípade unikli.

Znamená to, že sa mám vyhnúť bezplatným aplikáciám? To určite nie. No ešte predtým, ako si ju stiahnete, premyslite si, či ju naozaj potrebujete a aké informácie o vás jej poskytnete.

Máte telefón zahltený reklamou a neviete, odkiaľ sa spúšťa? Možno ste sa stali obeťou advéru známeho ako Hiddad. Ten minulý rok znepríjemňoval život mnohým používateľom smartfónov. Advér zobrazuje na infikovanom zariadení reklamu skrytým spôsobom. Používatelia teda nedokážu určiť, ktorá z aplikácií spúšťa reklamu. Ako proti nemu bojovať? Nainštalujte si dôveryhodný bezpečnostný softvér určený pre mobilné zariadenie a následne spustite kontrolu (detekciu) zariadenia.

Cez kontextovú reklamu si do vášho zariadenia môžete stiahnuť aj takzvaný spyvér. Útočník tak môže vašu aktivitu na zariadení sledovať celé dni bez toho, aby ste o tom vedeli.

Známy je spyvér AhMyth, ktorý sa pokúša získať informácie o zariadení. Zameriava sa na kradnutie zoznamu kontaktov, SMS správ a dokonca aj súborov zo zariadenia. Tieto informácie môžu útočníci použiť na vydieranie používateľov alebo ich predať na čiernom trhu. AhMyth sa zaznamenal napríklad v aplikácii Radio Music, ktorá sa nachádzala v obchode Google Play.

Ako bezpečne sťahovať aplikácie?

Aplikácie sťahujte z oficiálnych obchodov, prípadne z oficiálnej internetovej stránky poskytovateľa služieb.

Pred stiahnutím si dôsledne prečítajte informácie o aplikácii v opise a zásady používania.

Pred stiahnutím aplikácie si pozorne prečítajte, aké povolenia sú potrebné na spustenie aplikácie vo vašom zariadení.

Skontrolujte, kto je vývojárom aplikácie a aké aplikácie v minulosti vytvoril.

Skontrolujte, kedy bola uskutočnená posledná aktualizácia. Legitímne aplikácie poskytujú pravidelné aktualizácie, ktorými nielen zvyšujú kvalitu služieb, ale aj odstraňujú prípadné vzniknuté zraniteľnosti. Pokiaľ aplikácia neprešla dlho žiadnou aktualizáciou, radšej sa jej vyhnite.

Čítajte si recenzie a hodnotenia od používateľov. Pokiaľ má aplikácia stopercentné pozitívne hodnotenie, reakcie obsahujú gramatické chyby alebo sa opakujú rovnako znejúce formulácie, opäť radšej zvoľte aplikáciu od iného vývojára. Je úplne normálne, ak sa medzi hodnoteniami objavia aj negatívne názory, ako aj upozornenia na chyby v aplikácii. Pozitívnym znakom je, pokiaľ vývojar na problém zareaguje, chybu prizná a napraví ju.

Veľmi podobne znejúca aplikácia

iTunes a Google Play sú vo všeobecnosti veľmi dobré pri identifikovaní škodlivých aplikácií, niektoré sú však stále schopné prejsť ich procesom kontroly. Podstatne väčšiemu riziku sa používatelia vystavujú sťahovaním aplikácií z obchodov s aplikáciami tretích strán. V takýchto obchodoch musíte byť obzvlášť ostražití a dávať si pozor na skrytý škodlivý softvér, ktorý často vyzerá ako legitímna aplikácia, dokonca tak aj znie, no nie je tomu tak.

Nákupy v aplikácii

Nákupy v aplikácii tiež predstavujú riziko, no nie úplne z hľadiska zabezpečenia. Problém je v tomto prípade nevedomé utrácanie peňazí.

Existujú prípady, kedy si mnoho rodičov našlo na výpise z účtu mínus stovky, niekedy až tisícky eur. Dôvod? Vo svojich zariadeniach mali jednoducho uložené svoje platobné  karty. Telefóny dali do rúk svojim deťom, napríklad na obľúbené hry, v ktorých si bez problémov kupovali nové nástroje. Pokiaľ táto situácia nastane, neobviňujte z toho len dieťa. Existujú nastavenia, ktoré vám pomôžu vyhnúť sa týmto situáciám. Používatelia, najmä tí s deťmi, by sa preto mali snažiť obmedziť platobné možnosti na svojich zariadeniach so systémom iOS aj Android. V systéme iOS prejdite na nastavenia, všeobecné obmedzenia a „Povoliť obmedzenia“. V prípade systému Android prejdite na nastavenia aplikácie, ovládacie prvky používateľa a nastavte kód PIN na potvrdenie nákupov v aplikácii.

Overenia

Autentifikácia je problémom akejkoľvek online služby. Heslá sú jednoduché a prelomiteľné, no aj biometrické údaje a jednotné prihlásenie (SSO) majú viaceré nedostatky.

Čo je to?
SSO (Single Sign-On) je pomenovanie možnosti používať jedno prihlásenie do viacerých aplikácií naraz. Používateľ sa pomocou jedného prihlásenia overí a ostatnými aplikáciámi sa tak považuje za dôveryhodného a nemusí tak zadávať ďalšie heslá.

Prihlasovanie prostredníctvom profilu na sociálnej sieti, napríklad Facebooku či Twitteri, je obľúbeným spôsobom hlavne pre jednoduchosť a rýchlosť, ale nie je úplne odolný voči útokom. Ak sa útočníci dostanú k heslám z týchto sociálnych sietí, môžu tiež získať prístup  k akémukoľvek inému účtu, ktorý používa rovnaké prihlasovacie údaje.

Jednotné prihlasovanie SSO používajte iba pre aplikácie, ktorým skutočne dôverujete, a ak je to možné, ako sekundárnu metódu overovania použite dvojfaktorové overenie (2FA).

Získajte aktuálne informácie a praktické rady o bezpečnosti na internete. Prihláste sa na odber nášho newslettra.

Nešifrované údaje

Všetky aplikácie by mali byť schopné šifrovať vaše údaje od začiatku do konca, aj keď sú v tranzite a v pokoji. Nedostatky šifrovania umožňujú útočníkom ukradnúť všetky údaje o používateľovi vrátane mena, e-mailovej adresy, telefónneho čísla, adresy bydliska a informácií o kreditných kartách.

Pre používateľov neexistuje žiaden okamžitý spôsob, ako skontrolovať, či aplikácia zabezpečuje údaje, ktoré ukladá alebo prenáša. Jediné, čo môžete urobiť, je skontrolovať zmluvné podmienky, oprávnenia a prečítať si recenzie aplikácie.

Ako bezpečne sťahovať aplikácie infografika.