Эксперты Российской системы качества провели исследование на предмет безопасности мобильных приложений для поиска работы и выявили среди несколько уязвимых программ, сообщает пресс-служба Роскачества.
Эксперты Роскачества проверили 16 приложений для Android и 15 для iOS на наличие уязвимостей, вредоносного ПО и безопасность передачи данных. В рамках испытаний данные приложения также будут проверены на предмет полноты функциональных возможностей, удобства пользования, производительности, надежности и переносимости.
«Согласно стандарту требований к качеству мобильных приложений, разработанному Роскачеством совместно с экспертным сообществом, передача мобильным приложением любых данных (в том числе персональных данных пользователей и контента приложений) должна производиться с использованием алгоритмов шифрования», — сказал заместитель руководителя Российской системы качества Илья Лоевский.
В результате исследования приложений по критериям безопасности, было определено, что некоторые приложения частично не шифруют контент. «Например, приложение Карьерист.ру для Android передает в незашифрованном виде файл с логином и паролем пользователя, Jobrapido для обеих платформ также не шифрует пользовательские данные. Это позволяет злоумышленникам получить к ним доступ при перехвате трафика. Более того, отсутствие шифрования делает устройство уязвимым для атак», — отмечает Лоевский.
Не шифруют также контент в iOS: «Indeed Работа», Trovit (не шифруются только ссылки на вакансии), «Объявления Avito» (не шифруются только фотографии), PROFI.RU (не шифруются только фотографии); в Android: Superjob, «Зарплата.ру», «Росработа», PROFI.RU, «Объявления Avito» (не шифруются только фотографии), Worki (не шифруются только данные устройства), Trovit (не шифруются только ссылки на вакансии).
Скрытая угроза
Передача контента в незашифрованном виде делает устройство уязвимым для атак. Передаваемый контент можно заменить на исполняемый файл, при открытии которого может быть выполнена вредоносная программа. Таким образом, возможно, при желании и определенных навыках хакер может получить контроль над устройством. При этом стоит отметить, что все вышеперечисленные приложения передают персональные данные с использованием алгоритмов шифрования.
Результаты исследования помогли выявить и приложения, которые не осуществляют и шифрование персональных пользовательских данных. В iOS это Jobrapido. В Android — Jobrapido и Карьерист.ру
Наиболее безопасными приложениями, которые передают все данные в зашифрованном виде, не содержат вредоносного ПО и существенных уязвимостей оказались: в iOS: SuperJob, «Яндекс.Работа», «Работа в России» и FarPost; в Android: HeadHunter.ru, «Indeed Работа», «Работа в России» и FarPost.
Высоких оценок также удостоились приложения «Зарплата.ру», «Карьерист.ру», YouDo, Worki, HeadHunter.ru и «Работа.ру» для iOS (итоговый балл более 5,0 по шкале от 0,5 до 5,5).
Чтобы не стать жертвой, эксперты советуют соблюдать достаточно простые правила: загружать и устанавливать приложения только из официальных источников; анализировать отзывы и количество скачиваний; ограничивать запрашиваемые разрешения при установке приложений; не использовать приложения при подключении в общественных (бесплатных) Wi-Fi сетях; не вводить данные банковских карт в сомнительных приложениях.
И самое важное — не делиться с приложением той информацией, которую вы не хотели бы увидеть в публичном доступе в интернете.
