Эксперты Российской системы качества провели исследование на
предмет безопасности мобильных приложений для поиска работы и выявили среди
несколько уязвимых программ, сообщает пресс-служба Роскачества.
Эксперты Роскачества проверили 16 приложений для Android и
15 для iOS на наличие уязвимостей, вредоносного ПО и безопасность передачи
данных. В рамках испытаний данные приложения также будут проверены на предмет
полноты функциональных возможностей, удобства пользования, производительности,
надежности и переносимости.
«Согласно стандарту требований к качеству мобильных
приложений, разработанному Роскачеством совместно с экспертным сообществом,
передача мобильным приложением любых данных (в том числе персональных данных
пользователей и контента приложений) должна производиться с использованием
алгоритмов шифрования», — сказал заместитель руководителя Российской системы
качества Илья Лоевский.
В результате исследования приложений по критериям
безопасности, было определено, что некоторые приложения частично не шифруют
контент. «Например, приложение Карьерист.ру для Android передает в
незашифрованном виде файл с логином и паролем пользователя, Jobrapido для обеих
платформ также не шифрует пользовательские данные. Это позволяет
злоумышленникам получить к ним доступ при перехвате трафика. Более того,
отсутствие шифрования делает устройство уязвимым для атак», — отмечает Лоевский.
Не шифруют также контент в iOS: «Indeed Работа», Trovit (не
шифруются только ссылки на вакансии), «Объявления Avito» (не шифруются только
фотографии), PROFI.RU (не шифруются только фотографии); в Android: Superjob,
«Зарплата.ру», «Росработа», PROFI.RU, «Объявления Avito» (не шифруются только
фотографии), Worki (не шифруются только данные устройства), Trovit (не
шифруются только ссылки на вакансии).
Скрытая угроза
Передача контента в незашифрованном виде делает устройство
уязвимым для атак. Передаваемый контент можно заменить на исполняемый файл, при
открытии которого может быть выполнена вредоносная программа. Таким образом, возможно,
при желании и определенных навыках хакер может получить контроль над
устройством. При этом стоит отметить, что все вышеперечисленные приложения
передают персональные данные с использованием алгоритмов шифрования.
Результаты исследования помогли выявить и приложения,
которые не осуществляют и шифрование персональных пользовательских данных. В iOS это Jobrapido.
В Android — Jobrapido и
Карьерист.ру
Наиболее безопасными приложениями, которые передают все
данные в зашифрованном виде, не содержат вредоносного ПО и существенных
уязвимостей оказались: в iOS: SuperJob, «Яндекс.Работа», «Работа в России» и
FarPost; в Android: HeadHunter.ru, «Indeed Работа», «Работа в России» и
FarPost.
Высоких оценок также удостоились приложения «Зарплата.ру»,
«Карьерист.ру», YouDo, Worki, HeadHunter.ru и «Работа.ру» для iOS (итоговый
балл более 5,0 по шкале от 0,5 до 5,5).
Чтобы не стать жертвой, эксперты советуют соблюдать
достаточно простые правила: загружать и устанавливать приложения только из официальных
источников; анализировать отзывы и количество скачиваний; ограничивать
запрашиваемые разрешения при установке приложений; не использовать приложения
при подключении в общественных (бесплатных) Wi-Fi сетях; не вводить данные
банковских карт в сомнительных приложениях.
И самое важное — не делиться с приложением той информацией,
которую вы не хотели бы увидеть в публичном доступе в интернете.
