Роскачество обнаружило небезопасные мобильные приложения для поиска работы

Российская система качества проводит контрольное и более детальное исследование мобильных приложений для поиска работы (первое исследование было проведено в апреле 2017 г.) для того, чтобы отследить динамику и проверить были ли устранены недостатки со стороны разработчиков в течение года. Полные результаты исследования будут опубликованы в августе 2018 года, однако уже сейчас Роскачество сообщает о нескольких уязвимых программах. Эксперты Роскачества проверили 16 приложений для Android и 15 для iOS на наличие уязвимостей, вредоносного ПО и безопасность передачи данных. В рамках испытаний данные приложения также будут проверены на предмет полноты функциональных возможностей, удобства пользования, производительности, надежности и переносимости.

В результате исследования приложений по критериям безопасности, было определено, что некоторые приложения частично не шифруют контент. К ним относятся:

  • iOS:  «Indeed Работа», Trovit (не шифруются только ссылки на вакансии), «Объявления Avito» (не шифруются только фотографии), PROFI.RU (не шифруются только фотографии);

  • Android: Superjob, «Зарплата.ру», «Росработа», PROFI.RU, «Объявления Avito» (не шифруются только фотографии), Worki (не шифруются только данные устройства), Trovit (не шифруются только ссылки на вакансии).

Передача контента в незашифрованном виде делает устройство уязвимым для атак. Это означает, что передаваемый контент возможно заменить на исполняемый файл, при открытии которого может быть выполнена вредоносная программа. Таким образом, что мало вероятно, но тем не менее возможно, при желании и определенных навыках хакер может получить контроль над устройством. При этом стоит отметить, что все вышеперечисленные приложения передают персональные данные с использованием алгоритмов шифрования.

Результаты исследования помогли выявить и приложения, которые не осуществляют и шифрование персональных пользовательских данных. Они получили 0,5 баллов по шкале от 0,5 до 5,5 по критерию «Безопасность передачи данных»:

  • iOS: Jobrapido

  • Android: Jobrapido и Карьерист.ру

Илья Лоевский, заместитель руководителя Российской системы качества.«Согласно стандарту требований к качеству мобильных приложений, разработанному Роскачеством совместно с экспертным сообществом, передача мобильным приложением любых данных (в том числе персональных данных пользователей и контента приложений) должна производиться с использованием алгоритмов шифрования. Например, приложение Карьерист.ру для Android передает в незашифрованном виде файл с логином и паролем пользователя, Jobrapido для обеих платформ также не шифрует пользовательские данные. Это позволяет злоумышленникам получить к ним доступ при перехвате трафика. Более того, отсутствие шифрования делает устройство уязвимым для атак. Мы активно призываем разработчиков следовать стандартам, защищая интересы потребителя»

Наиболее безопасными приложениями, которые передают все данные в зашифрованном виде, не содержат вредоносного ПО и существенных уязвимостей оказались:

  • iOS:  SuperJob, «Яндекс.Работа», «Работа в России» и FarPost;

  • Android: HeadHunter.ru, «Indeed Работа», «Работа в России» и FarPost.

Высоких оценок также удостоились приложения «Зарплата.ру», «Карьерист.ру», YouDo, Worki, HeadHunter.ru и «Работа.ру» для iOS (итоговый балл более 5,0 по шкале от 0,5 до 5,5).

Стоит отметить, что средний балл приложений для iOS выше среднего балла приложений для Android на 0,67, что является следствием более высокого уровня защищенности закрытой мобильной платформы от Apple. При проведении исследования испытательная лаборатория консультировалась с экспертами Group IB, международной компанией, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности.

Вячеслав Васин, ведущий аналитик Group-IB.«Для современного человека использование мобильных приложений является довольно простым и удобным способом поиска работы. Наиболее серьезная угроза, с которой могут столкнуться пользователи таких приложений — это несанкционированный доступ к их персональным данным. Эта угроза может быть реализована из-за небезопасного хранения и непреднамеренных утечек данных или за счет небезопасной передачи данных. Последствия для пользователей могут быть самыми плачевными: от появления в публичном доступе их приватной информации до кражи их денег с банковских счетов»

Чтобы не стать жертвой, эксперты советуют соблюдать достаточно простые правила:

  • загружать и устанавливать приложения только из официальных источников (магазинов);

  • анализировать отзывы других пользователей и количество скачиваний;

  • ограничивать запрашиваемые разрешения при установке приложений;

  • не использовать приложения при подключении в общественных (бесплатных) Wi-Fi сетях;

  • не вводить данные банковских карт в сомнительных приложениях.

И самое важное - не делиться с приложением той информацией, которую вы не хотели бы увидеть в публичном доступе в интернете. 

Оригинальная статья на btest.ru

Комментарии

Пока нет. Хотите стать первым?

Похожие статьи

В Галерее Классической Фотографии открывается выставка советского фотоклассика Алексея Васильева
30 ноября 2017
Новости

В Галерее Классической Фотографии открывается выставка советского фотоклассика Алексея Васильева

7 декабря в Галерее Классической Фотографии откроется выставка классика отечественной фотографии, известного фотографа-пейзажиста Алексея Васильева.

Превращаем пленку в цифру
23 июня 2004
Советы

Превращаем пленку в цифру

Идея написать эту небольшую статью возникла у редактора журнала после того, как я рассказал о своем опыте выбора сканера для печати фотографий большого формата в цифровых фотолабораториях. До сих пор, чтобы отпечатать фотографию форматом 40х60 см, я пользовался сканерами в фотоагентстве или в профессиональных лабораториях.

Компания LG представит первый процессор собственного производства
25 октября 2014
Новости

Компания LG представит первый процессор собственного производства

СЕУЛ, 24 октября 2014 г. — Компания LG Electronics (LG) представит свой первый 8-ядерный процессор для мобильных устройств с возможностью поддержки сетей LTE-A Cat.6, обеспечивающий умным девайсам высокую производительность и низкое потребление энергии. Новый процессор, названный NUCLUN, дебютирует на этой неделе в смартфоне G3 Screen, который разработан специально для корейского рынка.

Российские инженеры скрестили «айфон» и «нокию»
17 апреля 2014
Новости

Российские инженеры скрестили «айфон» и «нокию»

Бренд Highscreen начинает продажи Highscreen Zera S («Зера Эс») – первого в России бюджетного 4-ядерного смартфона с характеристиками начала 2014 года. Помимо «свежего» процессора MediaTek MT6582 (не путать с MT6582M), обеспечивающего высокую производительность в играх, модель также оснащена 4,5-дюймовым IPS-экраном с технологией OGS, ответственной за повышение качества изображения.

Компактная фотокамера Panasonic LUMIX DMC-FZ1000: даешь видео 4K!
30 июня 2014
Новости

Компактная фотокамера Panasonic LUMIX DMC-FZ1000: даешь видео 4K!

Новый Panasonic LUMIX DMC-FZ1000: MOS-сенсор с диагональю 1″, и, впервые в мире, поддержка видеосъемки в разрешении 4K*. Компания Panasonic представляет пополнение широко известной линейки LUMIX FZ — флагманскую цифровую фотокамеру DMC-FZ1000, оснащенную MOS-сенсором с диагональю 1″, 16× оптическим зумом, обладающую высочайшим качеством изображения и поддерживающую видеосъемку в разрешении 4K.

Silicon Power выпустила внешний аккумулятор S103 c двумя разъемами
27 сентября 2017
Новости

Silicon Power выпустила внешний аккумулятор S103 c двумя разъемами

Silicon Power представляет S103 - новую модель в линейке внешних аккумуляторов. Кабель с разъёмами USB Type-A и USB micro-B обеспечивает максимальную совместимость с различными устройствами. Не нужно ждать, пока одно из двух разрядившихся устройств зарядится до конца - к S103 их можно подключить одновременно.

Желанный звук
28 апреля 2003
Новости

Желанный звук

Несо — компания, которая уже более полувека самостоятельно разрабатывает и выпускает акустические системы. Ее продукция отличается сбалансированным соотношением цены и качества и имеет хорошо узнаваемый дизайн. Базируется компания в Германии, но ее продукция хорошо известна далеко за ее пределами, в том числе и в России.

Новинки Archos: технология Fusion Storage и 256-гигабайтный планшет на Android
2 марта 2015
Новости

Новинки Archos: технология Fusion Storage и 256-гигабайтный планшет на Android

Москва, 2 марта 2015 года. — Archos, европейский производитель мобильных устройств и «умных» гаджетов, представит на выставке MWC 2015 свою последнюю новинку в области хранения данных — Archos Fusion Storage. Это революционное программное решение объединяет встроенную память устройства и память любой карты MicroSD. А для тех, кому нужно ещё больше свободного места, Archos анонсирует новую линейку 256-гигабайтных планшетов Magnus.

CES 2019: Инсталляция «ВОДОПАДЫ LG OLED»
14 января 2019
Видео

CES 2019: Инсталляция «ВОДОПАДЫ LG OLED»

Дисплей «Водопады LG OLED» представляет собой 260 цифровых экранов LG OLED в изогнутой и плоской конфигурациях.

Тест Full HD ЖК-телевизора VR LT-32L10V
6 марта 2012
Тесты

Тест Full HD ЖК-телевизора VR LT-32L10V

Достоинства: телевизор имеет стильный дизайн, большой запас по цветности и яркости изображения, широкий диапазон автовольтажа. Недостатки: запас по громкости мог бы быть несколько побольше. В процессе навигации по меню возникает эффект вращения, но он происходит не плавно.