И ты, Брут: Чем опасны Viber, Booking, Edge и другие приложения для Android

Низкий уровень безопасности – это, пожалуй, один из самых хрестоматийных и всем известных недостатков Android. Принято считать, что Google совершенно не контролирует софт, который попадает в Google Play, пренебрегает обновлениями и вообще не исправляет уязвимости, которые встречаются в её операционной системе. Однако по факту основная проблема Google заключается в неспособности компании установить жёсткие правила и заставить тех, кто в действительности может влиять на безопасность Android, предпринимать какие-то меры, независимо от известности или авторитета.

Google Play

В Google Play масса небезопасных приложений, и виновата в этом Google, пусть и косвенно

А вы говорите Google Play: топ загрузок App Store возглавила поддельная версия игры Among Us

Пользователи десятков тысяч приложений для Android оказались подвержены краже личных данных из-за уязвимости в библиотеке Play Core. Это одна из ключевых библиотек, которые используются при разработке ПО. Она лежит в основе большей части приложений, которые распространяются через Google Play, и служит для того, чтобы они могли взаимодействовать с каталогом. Именно на основе Play Core, например, работает диалоговое окно с просьбой оценить программу, не переходя в Google Play. В общем, удобная, но не самая важная штука, которую, впрочем, тоже нужно обновлять.

Опасные приложения для Android

По данным экспертов в области кибербезопасности компании Check Point, всего приложений, которые используют устаревшую версию библиотеки Play Core и которая может похищать конфиденциальные данные вроде кодов двухфакторной аутентификации и способствовать заражению доброкачественного ПО, около 8% от общего числа. Учитывая широту ассортимента Google Play, очевидно, что это довольно много. Мы же приведём только самые известные приложения, затронутые описанной уязвимостью:

  • Viber
  • Booking
  • Aloha
  • Walla! Sports
  • XRecorder
  • Moovit
  • Hamal
  • IndiaMART
  • EDGE
  • Grindr
  • Yango Pro
  • PowerDirector
  • OkCupid
  • Teams
  • Bumble

Осторожно: даже топовые приложения из Google Play могут быть опасны

Если вы видите знакомые названия в этой десятке приложений, не думайте, что это подделки под те сервисы, которыми вы пользуетесь. На самом деле это они и есть. Мессенджер Viber, сервис бронирования отелей Booking.com, браузер Edge от Microsoft и другие действительно представляют опасность для вас, ваших данных и вашего устройства.

Проблемы Google Play

Понятное дело, что вина за опасность приложений лежит на разработчиках, которые не торопятся обновлять библиотеку Play Core, лежащую в основе их продукта. По сути, всё так. Ведь не может же Google взять чужое приложение и вмешаться в его содержимое с целью исправления критической уязвимости, если разработчики сами не хотят её исправлять. Однако Google может обязать разработчиков обновлять библиотеки своих приложений, исправляя в них критические уязвимости в срок до 90 дней, который принят в среде исследователей в области кибербезопасности.

Google

Отказываясь от строгих правил в Google Play, Google как будто бы уходит от реальности. А страдают от этого пользователи

Но здесь есть моральный конфликт. Всё-таки уязвимость, которую нужно исправлять разработчикам, допустили не они, а Google, которая, кстати говоря, тоже иногда позволяет себе профукать дедлайн по исправлению. Поэтому будет несколько лицемерно с её стороны вынуждать создателей софта, который размещается в Google Play, не только исправлять уязвимость, но и укладываться в неизвестно кем установленные сроки. Другое дело, почему Google вообще не наплевать на это?

Google Play Music перестал работать окончательно. Кто виноват и что делать

На мой взгляд, совершенно логично требовать от разработчиков исправления уязвимостей, даже если они возникли по косвенной вине Google, в разумный срок. А уж как это будет выглядеть для разработчиков, плевать. Если речь идёт о безопасности миллионов пользователей — а в данном случае именно так и есть, — нужно просто требовать следования правилам, выдворяя из Google Play приложения тех студий, которые не следуют правилам. В этом случае и разработчики начнут относиться к Google с уважением, и у пользователей появится доверие к Android.

Теги
Лонгриды для вас
Google Chrome
Как Google разгонит Chrome 92 для компьютеров

Несмотря на то что Chrome является очень прожорливым, расходуя больше оперативной памяти, чем, наверное, любой другой браузер, претензий к его быстродействию у пользователей, в общем, никогда не было. Главное – не нагружать его большим количеством вкладок, чтобы не перевести весь аппаратный ресурс компьютера, и всё будет в порядке. Но у Google была навязчивая идея, которая заключалась в том, чтобы разогнать Chrome как можно быстрее. Другое дело – можно ли это сделать, не переиначив его архитектурное устройство и не снизив кардинальным образом ресурпотребление? Оказывается, можно.

Читать далее
игра
Лучшие новые игры для Android: апрель 2021

Если вам кажется, что Google Play уже не может удивить новыми играми и выдумаете, что все выходящее в нем не более, чем переиздание и копирование, то вы ошибаетесь. Это многогранный мир, который во многом недооценен. Если в нем и встречаются подобные игры, это не значит, что они плохие или скопированные. Вы же не удивляетесь, когда в кино выходит новый боевик или комедия, хотя в этих жанрах фильмы были и до этого. Так и с играми - жанр может быть схожим, но сами игры разные. У нас есть для вас подборка свежака, которая никого не должна оставить равнодушной. Ниже вы найдете игры разных жанров, но объединяет их одно - желание разработчиков в очередной раз вас удивить.

Читать далее
Ватсап веб
Как работает WhatsApp Web, или Как пользоваться Ватсапом на компьютере

Несмотря на всю популярность WhatsApp, это очень неуниверсальный мессенджер. В отличие от Telegram, Ватсап на нескольких устройствах одновременно работать не может. Причиной тому, как выяснилось, оказались проблемы в механизме синхронизации сообщений. То есть WhatsApp не в состоянии учитывать прогресс с одного устройства на другом, если они в это время оба не находятся в сети. Короче, дичь. Тем не менее, веб-версия у мессенджера есть, но работает она далеко не так очевидно, как могло бы показаться.

Читать далее
1 комментарий
  1. DrMeth

    «Низкий уровень безопасности» — это басни, которые уже не имеют отношения к реальности.

Новый комментарий