Stahování aplikací (7/10)


Na co je dobré si dávat pozor při stahování a instalaci aplikací? Útočníci spoléhají na naši nepozornost. Jaké používají finty?

Přehrát celou kapitolu

Stalo se?


Petrovi je 50 let a pracuje na krajském soudu, kde zodpovídá za spisovou službu. Když pro plnění pracovních povinností dostal chytrý mobilní telefon, rozhodl se, že ho náležitě zabezpečí. Z oficiálního zdroje aplikací stáhl a nainstaloval antivirový program určený pro telefony. Jelikož se jednalo o oficiální zdroj aplikací, vybíral jen podle počtu stažení aplikací. Po instalaci vybrané aplikace si telefon vyžádal několik restartů. Protože se telefony při instalaci aplikací restartují běžně, Petr to příliš neřešil. Jenže po posledním restartu Petrovi všude vyskakovaly reklamy na lechtivé webové stránky, kterých se nedalo zbavit. Žádat v této situaci IT oddělení o pomoc nebylo Petrovi vůbec příjemné.

Obchody s aplikacemi


Kromě předinstalovaných aplikací můžeme do telefonu stahovat a instalovat také další. Je více než vhodné využívat jen oficiální zdroje, tzv. obchody s aplikacemi. Slovo „obchod“ sice zavání placením, větší část aplikací je však bezplatná. Oficiální obchod pro telefony se systémem Android je Google Play. Android využívá mnoho značek telefonů. Oficiální obchod pro telefony se systémem iOS je App Store. iOS využívají jen telefony značky Apple. Aplikace v nabídce oficiálních obchodů prošly bezpečnostní kontrolou, jenže ani ta není stoprocentní. Občas škodlivá aplikace do nabídky proklouzne. Nebo se objeví zneužitelné nedostatky, o kterých se nevědělo. Trendem jsou fiktivní pobídky k testování vyvíjených aplikací s příslibem odměny. Jenže takové aplikace neprošly ještě žádnou kontrolou a mohou být velmi nebezpečné. Škodlivé aplikace nebo jejich části nabízí útočníci k dispozici také na černém trhu. Možná vás překvapí, že mají dokonce své produktové stránky i marketing.

Jak se škodlivé aplikace projevují?

Projevují se rozmanitě. Některé zablokují telefon třeba tím, že změní odemykací PIN. Některé fungují na první pohled správně, ale na pozadí dělají neplechu. Třeba zachytávají a odesílají útočníkovi, co píšeme na klávesnici a poskytují mu přístup k našim SMS. Tímto způsobem je možné získat přihlašovací údaje uživatele včetně SMS kódu pro dvou­faktorové ověřování. Některé zaplaví uživatele nevyžádanou reklamou. Jiné rozešlou stovky drahých MMS zpráv.

Ilustrační obrázek, který ukazuje dovednosti škodlivé aplikace.

Ilustrační obrázek ukazuje propagační web a dovednosti škodlivé aplikace. Umí například smazat všechny SMS zprávy, nahrávat audiozáznam nebo zobrazovat podvodná upozornění. Zdroj: forbes.cz/jestli-mate-v-telefonu-tyhle-aplikace-okamzite-je-smazte-chytili-jste-trojsky-kun-rogue/

Výběr aplikací


Neexistuje žádný seznam aplikací, které bychom stahovat neměli. Za pár minut už by nebyl aktuální. Proto je důležité aplikace před instalací kontrolovat. Škodlivé aplikace mohou být maskovány i jako aplikace, které slouží k editaci fotografií, nebo právě jako antivirový program, u kterého nečekáme, že by mohl být škodlivý. Vždy bychom ještě před stažením aplikace měli sledovat její hodnocení a recenze dalších uživatelů. Vyplatí se vyfiltrovat špatná hodnocení, špatné recenze a podívat se, v čem nespokojenost vězí. Pokud budou v pořádku, je dobré se při samotné instalaci aplikace zamyslet i nad tím, jaká vyžaduje oprávnění vůči telefonu.

Ilustrační obrázek, který ukazuje podezřelou aplikaci a její hodnocení.

Ilustrační obrázek ukazuje podezřelou aplikaci a její hodnocení. Na aplikaci upozorňoval mj. článek: idnes.cz/mobil/aplikace/zkrasleni-mobilni-aplikace-malware-spehovani-spyware.A200124_102127_aplikace_LHR Zdroj: Vlastní tvorba

Oprávnění aplikací


Znovu platí, že oprávnění nejsou sama o sobě špatná. Bez patřičných oprávnění nemůže aplikace fungovat. Aplikace pro úpravu fotografií, která nemá přístup do galerie, nenaplní očekávání. Taktéž aplikace pro navigování, která nemá přístup k poloze. Ale je v pořádku, že hudební aplikace vyžaduje přístup ke zprávám? Pravdou je, že kontrola oprávnění se uživatelům komplikuje. V době, kdy můžeme telefon ovládat hlasem, může být v pořádku, že chce kalendář přístup k mikrofonu. Proto se nám vývojáři Androidu i iOS snaží pomáhat. I pro ně je to ale zapeklitá situace. Kdyby se aplikace stále dokola dotazovala na vše, co chce udělat, nebudou ji uživatelé používat. Budou se uchylovat k aplikacím, které budou komfortnější, i kdyby byly méně bezpečné. Vývojáři tedy hledají zlatou střední cestu. Například když si aplikace vynutí spuštění mikrofonu, objeví se puntík, který znamená „pozor, běží mikrofon“.