И ты, Брут: Чем опасны Viber, Booking, Edge и другие приложения для Android

Низкий уровень безопасности – это, пожалуй, один из самых хрестоматийных и всем известных недостатков Android. Принято считать, что Google совершенно не контролирует софт, который попадает в Google Play, пренебрегает обновлениями и вообще не исправляет уязвимости, которые встречаются в её операционной системе. Однако по факту основная проблема Google заключается в неспособности компании установить жёсткие правила и заставить тех, кто в действительности может влиять на безопасность Android, предпринимать какие-то меры, независимо от известности или авторитета.

Google Play

В Google Play масса небезопасных приложений, и виновата в этом Google, пусть и косвенно

А вы говорите Google Play: топ загрузок App Store возглавила поддельная версия игры Among Us

Пользователи десятков тысяч приложений для Android оказались подвержены краже личных данных из-за уязвимости в библиотеке Play Core. Это одна из ключевых библиотек, которые используются при разработке ПО. Она лежит в основе большей части приложений, которые распространяются через Google Play, и служит для того, чтобы они могли взаимодействовать с каталогом. Именно на основе Play Core, например, работает диалоговое окно с просьбой оценить программу, не переходя в Google Play. В общем, удобная, но не самая важная штука, которую, впрочем, тоже нужно обновлять.

Опасные приложения для Android

По данным экспертов в области кибербезопасности компании Check Point, всего приложений, которые используют устаревшую версию библиотеки Play Core и которая может похищать конфиденциальные данные вроде кодов двухфакторной аутентификации и способствовать заражению доброкачественного ПО, около 8% от общего числа. Учитывая широту ассортимента Google Play, очевидно, что это довольно много. Мы же приведём только самые известные приложения, затронутые описанной уязвимостью:

  • Viber
  • Booking
  • Aloha
  • Walla! Sports
  • XRecorder
  • Moovit
  • Hamal
  • IndiaMART
  • EDGE
  • Grindr
  • Yango Pro
  • PowerDirector
  • OkCupid
  • Teams
  • Bumble

Осторожно: даже топовые приложения из Google Play могут быть опасны

Если вы видите знакомые названия в этой десятке приложений, не думайте, что это подделки под те сервисы, которыми вы пользуетесь. На самом деле это они и есть. Мессенджер Viber, сервис бронирования отелей Booking.com, браузер Edge от Microsoft и другие действительно представляют опасность для вас, ваших данных и вашего устройства.

Проблемы Google Play

Понятное дело, что вина за опасность приложений лежит на разработчиках, которые не торопятся обновлять библиотеку Play Core, лежащую в основе их продукта. По сути, всё так. Ведь не может же Google взять чужое приложение и вмешаться в его содержимое с целью исправления критической уязвимости, если разработчики сами не хотят её исправлять. Однако Google может обязать разработчиков обновлять библиотеки своих приложений, исправляя в них критические уязвимости в срок до 90 дней, который принят в среде исследователей в области кибербезопасности.

Google

Отказываясь от строгих правил в Google Play, Google как будто бы уходит от реальности. А страдают от этого пользователи

Но здесь есть моральный конфликт. Всё-таки уязвимость, которую нужно исправлять разработчикам, допустили не они, а Google, которая, кстати говоря, тоже иногда позволяет себе профукать дедлайн по исправлению. Поэтому будет несколько лицемерно с её стороны вынуждать создателей софта, который размещается в Google Play, не только исправлять уязвимость, но и укладываться в неизвестно кем установленные сроки. Другое дело, почему Google вообще не наплевать на это?

Google Play Music перестал работать окончательно. Кто виноват и что делать

На мой взгляд, совершенно логично требовать от разработчиков исправления уязвимостей, даже если они возникли по косвенной вине Google, в разумный срок. А уж как это будет выглядеть для разработчиков, плевать. Если речь идёт о безопасности миллионов пользователей — а в данном случае именно так и есть, — нужно просто требовать следования правилам, выдворяя из Google Play приложения тех студий, которые не следуют правилам. В этом случае и разработчики начнут относиться к Google с уважением, и у пользователей появится доверие к Android.

Теги
Лонгриды для вас
Xiaomi Mi Mix Fold
Закон о российском ПО и новые смартфоны Xiaomi: итоги недели

На этой неделе произошло два действительно важных события! Во-первых, в России начал действовать закон об установке российского программного обеспечения. Теперь на все новые смартфоны должны устанавливаться российские приложения из списка. Вот только некоторые производители восприняли все слишком буквально и из-за этого возникло много споров. Даже в правительстве и в Яндексе дали свои комментарии. А еще на этой неделе представили несколько очень необычных смартфонов Xiaomi, включая первую "раскладушку" бренда. Обо всем этом можно рассказывать долго и развернуто, но мы постараемся уместить все в рамки нашего еженедельного новостного дайджеста. Давайте обсудим это и многое другое, чем запомнилась прошедшая неделя.

Читать далее
Spotify Car Thing
Spotify приходит в автомобильный бизнес

В последнее десятилетие Spotify сосредотачивает свои усилия исключительно на программном обеспечении для потоковой передачи музыки и производства подкастов. Несмотря на это, у сервиса с 2019 года было секретное устройство для воспроизведения. Car Thing, как его называют, призван сделать прослушивание музыки в автомобиле более доступным. Интересно, что гаджет активно разрабатывался и проверялся в рамках закрытого тестирования с очень небольшим количеством пользователей. Хотя Spotify еще не готов к выпуску своего оборудования для широкой публики, он стал существенно ближе к этому. Новая версия Car Thing теперь доступна для избранных подписчиков Premium. Но получить его можно только по приглашению. Вряд ли кто-то из нас попадет в это число, но сам прибор все равно очень интересен и может буквально преобразить многие автомобили.

Читать далее
Tinkoff Pay
Почему я откажусь от Google Pay в пользу Tinkoff Pay

На этой неделе стало известно, что Тинькофф банк планирует запустить собственный сервис бесконтактной оплаты Tinkoff Pay. Логично, что работать он будет только на Android, а значит, составит конкуренцию только Android-совместимым платёжным сервисам: Google Pay, Samsung Pay, SberPay и другим. Я всегда относился с изрядной долей скепсиса к новым продуктам, которые выходили на этот рынок, но новость о запуске Tinkoff Pay меня порадовала, и я, скорее всего, буду им пользоваться. Рассказываю, почему.

Читать далее
1 комментарий Оставить свой
  1. DrMeth

    «Низкий уровень безопасности» — это басни, которые уже не имеют отношения к реальности.

Новый комментарий