Uprawnienia aplikacji Androida a bezpieczeństwo. Jak uchronić się przed phishingiem?

Słowa „prywatność” i „Android” rzadko można umieścić w jednym zdaniu. Jak powszechnie wiadomo, Google uwielbia odgrywać rolę Wielkiego Brata i monitorować swoich użytkowników na każdym kroku. Wiąże się to z pieniędzmi, płynącymi z umiejętnego zarządzania treściami reklamowymi prezentowanymi klientom. Aby zerwać z tym bądź co bądź uzasadnionym wizerunkiem, twórcy Androida zdecydowali się wprowadzić uprawnienia aplikacji, które dają kontrolę nad coraz większym zapotrzebowaniem na informację firm trzecich.

Przykładem może być zakup treści w grze lub aplikacji, który znalazł się na celowniku Komisji Europejskiej, jako nie do końca legalna praktyka. Ów zakup naraża kupującego na ujawnienie jego danych personalnych z imieniem i nazwiskiem, adresem oraz e-mailem włącznie. W przypadku nabycia tokenów lub innych użytecznych w grze rzeczy, twórca aplikacji dostaje dostęp do danych nabywcy.

Obecnie nieliczni wiedzą, jakie zagrożenia niosą za sobą uprawnienia aplikacji. Niewielka grupa zna również różnice między zabezpieczeniami między Androidem a iOS-em. Polityka prywatności obu systemów różni się dość znacznie. Apple narzuca dość restrykcyjne normy na aplikacje, podczas gdy Android skupia się raczej na informowaniu użytkowników o użytych uprawnieniach przy instalacji ze sklepu Google Play. Wszystko wygląda ładnie w teorii i cieszy, gdy użytkownicy są informowani o nowych uprawnieniach podczas aktualizacji aplikacji. Nie zmienia to jednak faktu, że Google w niedostateczny sposób informuje o tym, co właściwie się dzieje po zaakceptowaniu stosownych ostrzeżeń ze sklepu. Czy dane mogą zostać przesłane? Czy aplikacja może wymazać wszystko z telefonu, a może robić nam zdjęcia podczas snu? Siedem uprawnień zasługuje na bardziej szczegółowe wyjaśnienie, gdyż w potencjalny sposób mogą zagrozić naszej prywatności.

Przed wyjaśnieniem poszczególnych uprawnień wypada zastanowić się, czym właściwie owo uprawnienie jest. Uprawnienia w Androidzie pozwalają aplikacjom na korzystanie ze sprzętowych dobrodziejstw telefonu lub tabletu, takich jak aparat fotograficzny czy sensor ruchu, ale także danych użytkownika. Aplikacje w rodzaju Google Now wykorzystują ogromną liczbę uprawnień. Związane jest to z ich rozbudowaniem i wykorzystaniem szeregu niezbędnych, z punktu widzenia dewelopera, funkcji. Wszystko jest w porządku, gdy aplikacja pochodzi od zaufanego twórcy. Jednak jak powszechnie wiadomo system Google'a narażony jest na różnego rodzaju szkodniki, szczególnie pochodzące z aplikacji z nieoficjalnych źródeł, w tym nielegalnych.

Przejdźmy jednak do wspomnianych wcześniej uprawnień, które mogą w pośredni sposób ułatwić ujawnienie naszych danych personalnych, kontaktów i kilku innych rzeczy, które winny zostać niejawne.

• Uwierzytelnianie kont – pozwala to na przetwarzanie ważnych danych, takich jak hasła. Przeoczenie tego typu uprawnienia może wiązać się ze sporymi kłopotami, gdyż wielu nieuczciwych ludzi z chęcią wykradłaby nasze dane. Uprawnienia takie wykorzystywane są przez naprawdę duże firmy jak Google, Twitter czy Facebook. Niemniej należy zachować szczególną ostrożność przy instalacji jakiejkolwiek aplikacji wykorzystującej to uprawnienie, gdyż może to być próba phishingu.
• Odczyt wrażliwych danych dziennika – uprawnienie wykorzystywane między innymi przez przeglądarkę Dolphin(http://www.dobreprogramy.pl/Dolphin-Browser,Program,Android,46242.html). Uprawnienie znajduje się w zakładce Narzędzia dla programistów. Zaakceptowanie umożliwia aplikacji odczyt ważnych logów zawierających hasła i loginy wprowadzane w przeglądarce. Nie trzeba wspominać, że wykorzystanie tego w nieodpowiedni sposób może doprowadzić do utraty kontroli nad kontem, albo co gorsza strat finansowych. Trzeba być zatem bardzo uważnym przy instalacji aplikacji wykorzystujących to uprawnienie.
• Odczyt kontaktów – aplikacja może odczytywać numery telefonów, e-maile i inne dane zgromadzone w telefonie i dotyczące kontaktów. Aplikacje typu malware mogą podszywać się pod znajomych i wysyłać treści nakierowane na oszustwo. Ponadto kontakty mogą otrzymać wiadomości e-mail lub SMS wbrew swojej woli.
• Modyfikowanie zabezpieczonych ustawień systemu – rzadko używane uprawnienie. Pozwala na zapis ustawień systemowych. Niegroźne dla urządzeń bez dostępu do praw roota. Należy jednak uważać na aplikacje próbujące zmienić coś w systemie.
• Przekierowywanie połączeń wychodzących – to uprawnienie umożliwia, jak dość łatwo się domyślić, przekierowanie połączenia przez zewnętrzną bramę. Aplikacje używające tego do oszustwa mogą wciągnąć nieświadomego konsumenta w poważne problemy finansowe.
• Wysyłanie wiadomości tekstowych – podobnie jak w powyższym przykładzie nie należy akceptować tego dla aplikacji niewiadomego pochodzenia. W przeciwnym przypadku rachunek telefoniczny może być bardzo wysoki.
• Odczytywanie danych z portali społecznościowych – uprawnienie wprowadzone w związku z wielką ekspansją portali społecznościowych. Duża ilość danych zgromadzonych na portalach takich jak Facebook lub Google+ w połączeniu z niewłaściwymi aplikacjami może doprowadzić do ujawnienia wielu prywatnych informacji.

Jak widać użytkownicy Androida muszą mieć się na baczności, gdyż system narażony jest na szereg ataków z różnych aplikacji. Aby chociaż trochę uchronić się przed atakami, należy unikać instalacji programów i gier ze źródeł innych niż sklep Google Play. Amerykańska firma wprowadziła szereg zabezpieczeń, które chronią przed phishingiem. Należy także czytać jakie uprawnienia są wymagane. Przykładowo gra chcąca wysyłać SMS-y wydaje się podejrzana. Dobrym pomysłem jest także używanie aplikacji jak Permission Explorer, która zidentyfikuje, czy aplikacje nie używają zbyt wielu uprawnień i stosownie nas o tym poinformuje. Uprawnienia mogą być także kontrolowane z poziomu przeglądarki internetowej i strony ustawień prywatności Google.

Zastosowanie się do wskazówek może zredukować do minimum ryzyko ujawnienia danych i utracenia dóbr materialnych. Należy zwracać szczególną uwagę na to co się dzieje z naszym urządzeniem i instalować aplikacje rozważnie, gdyż nawet najlepszy system ochrony prywatności nie zastąpi zdrowego rozsądku.