Главная » Андроид » И ты, Брут: Чем опасны Viber, Booking, Edge и другие приложения для Android

И ты, Брут: Чем опасны Viber, Booking, Edge и другие приложения для Android

Низкий уровень безопасности – это, пожалуй, один из самых хрестоматийных и всем известных недостатков Android. Принято считать, что Google совершенно не контролирует софт, который попадает в Google Play, пренебрегает обновлениями и вообще не исправляет уязвимости, которые встречаются в её операционной системе. Однако по факту основная проблема Google заключается в неспособности компании установить жёсткие правила и заставить тех, кто в действительности может влиять на безопасность Android, предпринимать какие-то меры, независимо от известности или авторитета.

Google Play

В Google Play масса небезопасных приложений, и виновата в этом Google, пусть и косвенно

А вы говорите Google Play: топ загрузок App Store возглавила поддельная версия игры Among Us

Пользователи десятков тысяч приложений для Android оказались подвержены краже личных данных из-за уязвимости в библиотеке Play Core. Это одна из ключевых библиотек, которые используются при разработке ПО. Она лежит в основе большей части приложений, которые распространяются через Google Play, и служит для того, чтобы они могли взаимодействовать с каталогом. Именно на основе Play Core, например, работает диалоговое окно с просьбой оценить программу, не переходя в Google Play. В общем, удобная, но не самая важная штука, которую, впрочем, тоже нужно обновлять.

Опасные приложения для Android

По данным экспертов в области кибербезопасности компании Check Point, всего приложений, которые используют устаревшую версию библиотеки Play Core и которая может похищать конфиденциальные данные вроде кодов двухфакторной аутентификации и способствовать заражению доброкачественного ПО, около 8% от общего числа. Учитывая широту ассортимента Google Play, очевидно, что это довольно много. Мы же приведём только самые известные приложения, затронутые описанной уязвимостью:

  • Viber
  • Booking
  • Aloha
  • Walla! Sports
  • XRecorder
  • Moovit
  • Hamal
  • IndiaMART
  • EDGE
  • Grindr
  • Yango Pro
  • PowerDirector
  • OkCupid
  • Teams
  • Bumble

Осторожно: даже топовые приложения из Google Play могут быть опасны

Если вы видите знакомые названия в этой десятке приложений, не думайте, что это подделки под те сервисы, которыми вы пользуетесь. На самом деле это они и есть. Мессенджер Viber, сервис бронирования отелей Booking.com, браузер Edge от Microsoft и другие действительно представляют опасность для вас, ваших данных и вашего устройства.

Проблемы Google Play

Понятное дело, что вина за опасность приложений лежит на разработчиках, которые не торопятся обновлять библиотеку Play Core, лежащую в основе их продукта. По сути, всё так. Ведь не может же Google взять чужое приложение и вмешаться в его содержимое с целью исправления критической уязвимости, если разработчики сами не хотят её исправлять. Однако Google может обязать разработчиков обновлять библиотеки своих приложений, исправляя в них критические уязвимости в срок до 90 дней, который принят в среде исследователей в области кибербезопасности.

Google

Отказываясь от строгих правил в Google Play, Google как будто бы уходит от реальности. А страдают от этого пользователи

Но здесь есть моральный конфликт. Всё-таки уязвимость, которую нужно исправлять разработчикам, допустили не они, а Google, которая, кстати говоря, тоже иногда позволяет себе профукать дедлайн по исправлению. Поэтому будет несколько лицемерно с её стороны вынуждать создателей софта, который размещается в Google Play, не только исправлять уязвимость, но и укладываться в неизвестно кем установленные сроки. Другое дело, почему Google вообще не наплевать на это?

Google Play Music перестал работать окончательно. Кто виноват и что делать

На мой взгляд, совершенно логично требовать от разработчиков исправления уязвимостей, даже если они возникли по косвенной вине Google, в разумный срок. А уж как это будет выглядеть для разработчиков, плевать. Если речь идёт о безопасности миллионов пользователей — а в данном случае именно так и есть, — нужно просто требовать следования правилам, выдворяя из Google Play приложения тех студий, которые не следуют правилам. В этом случае и разработчики начнут относиться к Google с уважением, и у пользователей появится доверие к Android.