Примечание. Существует два варианта джейлбрейка. Первый – отвязанный, когда устройство остается взломанным до перепрошивки; т. е. его можно перезагружать без опасения, что джейлбрейк слетит. При полуотвязанном джейлбрейке устройство необходимо взламывать после каждой перезагрузки. Джейлбрейк производится с помощью специальных утилит, таких как unc0ver, Checkm8 и Chimera[1010].
Процесс джейлбрейка наносит ущерб системе безопасности iOS/iPadOS, основанной на тщательной модерации приложений в магазине App Store, предотвращении загрузки на устройство программ из каких бы то ни было источников, кроме App Store, и жестком ограничении устанавливаемых приложений в правах (например, они не могут влиять на системные процессы и обмениваться данными между собой напрямую). Взломанные и сторонние программы из неофициальных источников, таких как Cydia, часто обладают избыточными правами и могут приводить к утечке персональных данных владельца на серверы своих разработчиков или злоумышленников[1011]. Также хакеры могут выдавать за утилиты для джейлбрейка мошенническое ПО, например приложения-кликеры, или же рекламировать сторонний софт[1012].
Android-устройства
Пользователям Android-устройств для получения расширенного доступа к аппарату джейлбрейк не нужен, схожая процедура выполняется штатными средствами. Ее цель – получение root-доступа (т. е. доступа с правами администратора (суперпользователя)). Как и джейлбрейк устройств компании Apple, активация root-прав на смартфонах под управлением операционной системы Android позволяет устанавливать приложения из сторонних источников (без использования Google Play) и производить расширенную настройку системы. Сюда относится возможность удаления системных приложений, отключения рекламы и фоновых процессов, глубокой настройки интерфейса и т. д.[1013] Как и в случае со взломанными девайсами Apple, получение root-прав на Android-устройстве лишает владельца гарантийного обслуживания и обновлений и создает угрозу заражения смартфона вредоносными объектами и нестабильной работы приложений (например, Google Pay и «Сбербанк Онлайн») и самого устройства (вплоть до превращения его в «кирпич»).
Разрешения и согласия
В числе главного, о чем надо помнить при установке любого мобильного приложения – будь то системное Android или iOS-приложение, релиз крупного разработчика или простенькая игра, разработанная отдельным программистом, – необходимость строгого контроля над разрешениями, даваемыми программе при первом запуске. Некоторые разрешения необходимы для полноценной работы приложения, например, многие программы просят доступ к чтению и записи данных на карте памяти. Это нужно для хранения пользовательских настроек и файлов, например сохранения игр или фотографий, снимаемых на камеру с помощью устанавливаемой программы. Другие приложения могут запрашивать доступ к камере и микрофону. Здесь важно держать ухо востро и не давать таких разрешений приложениям, функциональность которых не предполагает использования таких устройств. Например, если приложение, информирующее о погоде в регионе, запрашивает доступ к данным о местоположении, то это необходимо для автоматического определения населенного пункта, погодные условия в котором следует отобразить, но вот желание того же приложения снимать видео и записывать звук – явный повод насторожиться. Доступ к микрофону и возможность записывать звук необходимы для работы голосовых помощников, таких как «Яндекс Алиса», но не всегда разумно допускать их, к примеру, к сведениям о местонахождении (геолокации).
КЕЙС Согласно исследованию[1014] компании Symantec, проведенному в 2018 г., 45 % из 100 самых популярных приложений на Android и 25 % – на iOS запрашивают разрешение на определение местонахождения устройства, соответственно 46 % и 25 % требуют доступ к камере девайса, 25 % и 9 % хотят записывать звук на микрофон. Кроме того, некоторые приложения на Android-устройствах (в iOS такие разрешения недоступны) пытаются получить доступ к журналу телефонных вызовов (10 %) и содержимому SMS-сообщений (15 %). Практически половина (44 % в Android и 48 % в iOS) приложений из первой сотни самых популярных в обеих операционных системах требуют доступ к адресу электронной почты, а треть (30 % и 33 %) хотят знать имя пользователя. Определить телефонный номер хотят 9 % приложений в Android и 12 % в iOS, а разузнать адрес – 5 % и 4 % соответственно. В целом доступ к данным, утечка которых опасна (сведениям о местонахождении; информации, получаемой от камеры и микрофона; журналам SMS-сообщений и звонков), запрашивают 89 % приложений в Android и 39 % – в iOS.
Из числа популярных в России приложений из Google Play хочет получать больше всего персональных данных официальный клиент для социальной сети «ВКонтакте». После установки он запрашивает 60 различных разрешений[1015], среди которых доступ к данным о местоположении (точным и примерным), камере, аккаунтам на устройстве, истории звонков, сообщениям, сведениям о смартфоне (модель, заряд батареи, количество свободной оперативной памяти), микрофону и системным настройкам.
В 2017 г. российский программист Владислав Велюга проанализировал трафик мобильного приложения «ВКонтакте» и выяснил, что оно передает на удаленные серверы информацию практически обо всех действиях пользователя программы и прочие персональные данные, например сведения о геопозиции и ближайших базовых станциях, информацию об обнаруженных точках доступа Wi-Fi и список установленных приложений[1016].
Чуть меньше разрешений запрашивает приложение «Сбербанк Онлайн» (51 запрос[1017]) и мобильный клиент Bitrix24 (48 запросов[1018]). Оба просят доступ к данным о местоположении устройства, камере, записи звука и модификации настроек. Приложение Bitrix24 также хочет без уведомления пользователя редактировать контакты и календарь[1019]. На сайте Exodus можно проверить, есть ли в этих и других приложениях требуемые разрешения и нет ли трекеров[1020].
Важно отметить, что запрет доступа приложения к информации того или иного рода (блокировка разрешения) не всегда предотвращает утечку персональных данных. В исследовательской работе 50 Ways to Leak Your Data[1021] говорится, что 1325 приложений для операционной системы Android (из 88 000 исследованных) собирают и передают данные о местоположении и идентификаторы устройств, даже если пользователь отключил такие разрешения. Например, приложение Shutterfly извлекает GPS-координаты из метаданных фотографий и отправляет на собственные серверы, не получив разрешения на доступ к сведениям о местонахождении. Другие приложения, такие как смарт-пульты для телевизоров, собирают данные о местоположении, анализируя данные о подключении к сетям Wi-Fi и MAC-адрес роутера[1022]. Кроме того, приложения могут ссылаться на другие программы, которые, в свою очередь, запрашивает собственные разрешения. Таким образом, приложение, не имеющее доступа к информации о местонахождении устройства, может получить эти сведения от связанного с ним стороннего приложения, имеющего такое разрешение[1023]. В iOS тоже время от времени появляются приложения, занимающиеся сбором персональных данных без ведома пользователя.
КЕЙС В 2019 г. в магазине Apple App Store были обнаружены приложения, копирующие снимки экрана на пользовательских устройствах и фиксирующие ввод данных с клавиатуры и прикосновения к экрану, в том числе и в фоновом режиме. Некоторые приложения используют для работы сервис Glassbox, позволяющий не только записывать действия пользователя, но и затем воспроизводить их. В числе опасных приложений – клиенты магазинов Abercrombie & Fitch и Hollister, помощник путешественника Expedia, а также программы авиакомпаний Air Canada и Singapore Airlines и службы бронирования отелей Hotels.com. Приложения собирают информацию, не запрашивая необходимых разрешений и не сообщая о возможности сбора данных в уведомлении о политике конфиденциальности. Ко всему прочему из-за ошибок в приложении Air Canada произошла утечка незашифрованных паспортных данных и банковских реквизитов примерно 20 000 пользователей[1024].
Разрешения
Существуют как обычные, так и потенциально опасные разрешения. К обычным относятся функции доступа в интернет, подключения к беспроводной сети и т. п. Потенциально опасные разрешения предполагают доступ к записям в календаре, камере, микрофону, контактам (в том числе и аккаунтам), данным о местоположении устройства, телефону (совершение вызовов, чтение/изменение журнала вызовов, IP-телефония и т. п.), датчикам на теле (например, в фитнес-браслетах), SMS-сообщениям и памяти (как встроенной, так и SD-картам). Ниже представлен список опасных разрешений, их описание и связанные с ними угрозы несанкционированных действий, в том числе копирования и изменения данных:
■ Календарь. Просмотр, добавление, изменение и удаление событий в календаре. Риск утечки сведений о событиях, отмеченных владельцем (посещенных мероприятиях, встречах и т. п.), памятных датах и намеченных им планах.
■