И ты, Брут: Чем опасны Viber, Booking, Edge и другие приложения для Android

Низкий уровень безопасности – это, пожалуй, один из самых хрестоматийных и всем известных недостатков Android. Принято считать, что Google совершенно не контролирует софт, который попадает в Google Play, пренебрегает обновлениями и вообще не исправляет уязвимости, которые встречаются в её операционной системе. Однако по факту основная проблема Google заключается в неспособности компании установить жёсткие правила и заставить тех, кто в действительности может влиять на безопасность Android, предпринимать какие-то меры, независимо от известности или авторитета.

Google Play

В Google Play масса небезопасных приложений, и виновата в этом Google, пусть и косвенно

А вы говорите Google Play: топ загрузок App Store возглавила поддельная версия игры Among Us

Пользователи десятков тысяч приложений для Android оказались подвержены краже личных данных из-за уязвимости в библиотеке Play Core. Это одна из ключевых библиотек, которые используются при разработке ПО. Она лежит в основе большей части приложений, которые распространяются через Google Play, и служит для того, чтобы они могли взаимодействовать с каталогом. Именно на основе Play Core, например, работает диалоговое окно с просьбой оценить программу, не переходя в Google Play. В общем, удобная, но не самая важная штука, которую, впрочем, тоже нужно обновлять.

Опасные приложения для Android

По данным экспертов в области кибербезопасности компании Check Point, всего приложений, которые используют устаревшую версию библиотеки Play Core и которая может похищать конфиденциальные данные вроде кодов двухфакторной аутентификации и способствовать заражению доброкачественного ПО, около 8% от общего числа. Учитывая широту ассортимента Google Play, очевидно, что это довольно много. Мы же приведём только самые известные приложения, затронутые описанной уязвимостью:

  • Viber
  • Booking
  • Aloha
  • Walla! Sports
  • XRecorder
  • Moovit
  • Hamal
  • IndiaMART
  • EDGE
  • Grindr
  • Yango Pro
  • PowerDirector
  • OkCupid
  • Teams
  • Bumble

Осторожно: даже топовые приложения из Google Play могут быть опасны

Если вы видите знакомые названия в этой десятке приложений, не думайте, что это подделки под те сервисы, которыми вы пользуетесь. На самом деле это они и есть. Мессенджер Viber, сервис бронирования отелей Booking.com, браузер Edge от Microsoft и другие действительно представляют опасность для вас, ваших данных и вашего устройства.

Проблемы Google Play

Понятное дело, что вина за опасность приложений лежит на разработчиках, которые не торопятся обновлять библиотеку Play Core, лежащую в основе их продукта. По сути, всё так. Ведь не может же Google взять чужое приложение и вмешаться в его содержимое с целью исправления критической уязвимости, если разработчики сами не хотят её исправлять. Однако Google может обязать разработчиков обновлять библиотеки своих приложений, исправляя в них критические уязвимости в срок до 90 дней, который принят в среде исследователей в области кибербезопасности.

Google

Отказываясь от строгих правил в Google Play, Google как будто бы уходит от реальности. А страдают от этого пользователи

Но здесь есть моральный конфликт. Всё-таки уязвимость, которую нужно исправлять разработчикам, допустили не они, а Google, которая, кстати говоря, тоже иногда позволяет себе профукать дедлайн по исправлению. Поэтому будет несколько лицемерно с её стороны вынуждать создателей софта, который размещается в Google Play, не только исправлять уязвимость, но и укладываться в неизвестно кем установленные сроки. Другое дело, почему Google вообще не наплевать на это?

Google Play Music перестал работать окончательно. Кто виноват и что делать

На мой взгляд, совершенно логично требовать от разработчиков исправления уязвимостей, даже если они возникли по косвенной вине Google, в разумный срок. А уж как это будет выглядеть для разработчиков, плевать. Если речь идёт о безопасности миллионов пользователей — а в данном случае именно так и есть, — нужно просто требовать следования правилам, выдворяя из Google Play приложения тех студий, которые не следуют правилам. В этом случае и разработчики начнут относиться к Google с уважением, и у пользователей появится доверие к Android.

Теги
Лонгриды для вас
Google Фото
Как на Android установить сторис из «Google Фото» на рабочий стол

Вы пользуетесь «Google Фото»? Лично я пользуюсь уже давно и всё это время жутко раздражаюсь от того, что Google не может полноценно интегрировать свой сервис в Android. Например, из «Google Фото» невозможно не только отправить в Telegram снимок файлом, но и установить фотографию из воспоминаний на рабочий стол. Это довольно странно, учитывая, что для многих «Google Фото» - это основное приложение, посредством которого производится взаимодействие со всеми изображениями на устройстве. Хорошо, что в последнем обновлении такая возможность появилась.

Читать далее
Windows
Можно ли запускать приложения для Android на Windows

У вас когда-нибудь появлялась необходимость запустить Android-приложение на Windows? У меня, честно говоря, ни разу. Но ведь я совершенно не тяну на звание бенчмарка, и, если эта тема неактуальна для меня, совершенно не значит, что она неактуальна для других. Это ясно по популярности соответствующего запроса, который Google регулярно адресуют если не миллионы, то по крайней мере тысячи пользователей. Стало быть, игнорировать этот вопрос и дальше было нельзя. Поэтому разбираемся, что к чему.

Читать далее
Смартфон
Samsung ”придумала”, как найти потерянный смартфон, даже если он выключен

Со всем уважением к Samsung можно сказать, что компания намного чаще других придумывает что-то новое и перспективное. Некоторые ее наработки активно перенимаются конкурентами, а что-то на уровне патентов остается закрепленным за компанией. Но есть и такие функции в ее устройствах, которые появились задолго до нее, а она их просто скопировала. К ним относится и новый механизм поиска потерянных смартфонов, даже если они выключены. Безусловно он очень крутой, но мы видели это уже пару лет назад. Можно ли действительно таким образом вернуть потерянный дорогой гаджет - остается загадкой, но пусть такая функция лучше будет.

Читать далее
1 комментарий Оставить свой
  1. DrMeth

    «Низкий уровень безопасности» — это басни, которые уже не имеют отношения к реальности.

Новый комментарий