7 июля 2020, 13:00
9769

В вашем смартфоне стоят приложения-шпионы, и их не остановить. Но скоро Android и iOS изменятся

В вашем смартфоне есть незащищённое хранилище данных, и скопировать их может любое открытое приложение. Но операционные системы изменят ситуацию.

Фото © Pixabay

Читать на сайте Life.ru

iOS 14 поймала приложения на мониторинге буфера обмена. Это делают почти все

В iOS 14 появилось нововведение, усиливающее защиту данных пользователя. Теперь на его смартфон приходит оповещение о том, что то или иное приложение скопировало информацию из буфера обмена устройства и вставило его в текcтовую форму с возможностью отправки разработчикам.

В первые дни бета-тестирования юзеры обнаружили 54 популярных приложения, мониторящих ваш буфер обмена. Среди них оказались те, которыми мы пользуемся ежедневно: Google Chrome, TikTok, Viber.

Вот как это выглядит. Вы открываете приложение, и оно моментально сканирует содержимое буфера обмена. Всплывающее окно в верхней части экрана — уведомление о том, что приложение скопировало его.

Буфер обмена создан для переноса данных. В двух словах, когда вы копируете и вставляете текст или фотографию (Ctrl + C —> Ctrl + V), эти данные сохраняются именно через буфер обмена.

Они же хуже всего защищены от злоумышленников. Доступ к файлам устройства, вызовам или геолокации можно отрегулировать в настройках, работу с буфером обмена вручную отрегулировать нельзя.

Операционные системы борются с этим. Но полностью доступ к данным не закрывают

Буфер обмена — возможно, самое слабое место в современных смартфонах в плане защиты данных. Параллельно это место, где может находиться наиболее ценная информация для рекламодателей (ключевые слова из текстов в Интернете, фото, видео) и злоумышленников (пароль, CVV-код банковской карты).

И сценариев, при которых важная информация может оказаться там, множество. Меньшее зло — использование ключевых слов для настройки контекстной рекламы. Вы скопировали текст, где среди слов было "кофе", и баннеры начали отображать соответствующие товары из магазинов. Самое страшное — копирование пароля для авторизации на определённом ресурсе — в онлайн-банке или соцсети.

Бывает, разработчики приложений рекомендуют использовать свой продукт в связке исключительно со стандартной клавиатурой смартфона именно по этой причине. Когда клавиатура активируется, она получает доступ к данным буфера обмена, так можно скопировать важную информацию для пользования открытого приложения. Поэтому разработчики и предуведомляют клиентов.

Борьба идёт уже не первый год. В 2018 году Google выкатила бета-версию Android Q. Одним из самых заметных нововведений оказались ограничения на работу с буфером обмена — после апдейта доступ к нему начал открываться только приложениям, работающим на переднем плане (на экране) или клавиатурам.

Как защититься от пропажи данных из буфера обмена и взлома аккаунтов?

Проблема в том, что никак, вы не защищены. Некоторые приложения рекомендуют не копировать данные для авторизации и работы в своих приложениях именно по этой причине.

Если вы пользуетесь только приложениями из официальных магазинов (Google Play, AppGallery, AppStore), всё равно есть вероятность, что злоумышленники доберутся до вас. Google контролирует их работу и всячески препятствует использованию ваших данных для взлома аккаунта. Тем не менее эксперты по кибербезопасности отмечают, что девять из десяти видов вредоносного ПО можно обнаружить в приложениях из магазина Google.

Огласка работает. Приложения отказываются от мониторинга буфера обмена

В конце июня 2020 года компания ByteDance, разработчик TikTok, сообщила, что выпустит обновление приложения для iOS, в котором оно перестанет постоянно копировать и анализировать данные из буфера обмена.

Компания объяснила это тем, что функция использовалась в TikTok для борьбы со спамом и безопасности юзеров. Однако пользователям не нравится постоянный мониторинг, поэтому сервис не стал настаивать на своём.

Вот так TikTok копирует ваши данные из буфера обмена. Почти ежесекундно.

Видимо, сообщение, что приложение анализирует буфер обмена, — единственный способ исправить ситуацию. Потому что в некоторых случаях это действительно нужно. Например, Apollo for Reddit проверяет буфер обмена, чтобы узнать, скопировал ли пользователь ссылку на форум. Большинству же из 54 приложений, уличённых в мониторинге буфера обмена, эти данные не нужны для полноценной работы.

Теперь разработчики стоят перед дилеммой: собирать данные или потерять доверие аудитории. Кажется, индустрия смартфонов изменит политику конфиденциальности, сделав действия приложений более открытыми. Пользователи увидят, как разработчики обращаются с их данными, и решат, продолжать пользоваться сервисом или нет. Тем интереснее наблюдать за развитием следующих версий iOS и Android.