Roskatchet откри опасни мобилни приложения за търсене на работа

Руската система за качество провежда сравнително и по-подробно проучване на мобилните приложения за търсене на работа първото проучване беше проведено през април 2023 г. . , за да се проследи динамиката и да се провери дали недостатъците са били отстранени от разработчиците през годината. Пълните резултати от проучването ще бъдат публикувани през август 2023 г., но още сега Роскатчево съобщава за няколко уязвими програми. Експертите на Роскачество са тествали 16 приложения за Android и 15 приложения за iOS за уязвимости, зловреден софтуер и сигурност при предаване на данни. При тестовете ще се проверява и пълнотата на функционалността, използваемостта, производителността, надеждността и преносимостта на приложенията.

Проучване на критериите за сигурност на приложенията установи, че някои приложения частично не успяват да криптират съдържание. Те включват:

• iOS: Indeed Jobs, Trovit само некриптирани връзки за работа , Avito Ads само некриптирани снимки , PROFI само некриптирани снимки ;

• Android: Superjob, Заплати.rou, Rosrabota, PROFI, Avito Ads само снимките не са криптирани , Worki само данните за устройството не са криптирани , Trovit само връзките към работни места не са криптирани .

Предаването на съдържание в некриптиран вид прави устройството уязвимо за атаки. Това означава, че прехвърленото съдържание може да бъде заменено с изпълним файл, който при отваряне може да стартира зловреден софтуер. По този начин, което е малко вероятно, но все пак е възможно, с желанието и определени умения на хакер може да получи контрол над устройството. Трябва да се отбележи, че всички горепосочени приложения предават лични данни, като използват алгоритми за криптиране.

Резултатите от проучването помогнаха да се идентифицират и приложенията, които не криптират личните данни на потребителите. Те получиха оценка от 0,5 по скала от 0,5 до 5,5 за сигурността на прехвърлянето на данни:

• iOS: Jobrapido

• Android: Jobrapido и Careerist.Ru

Иля Лоевски, заместник-ръководител на руската система за качество.„Според стандарта за изисквания за качество на мобилните приложения, разработен от Роскачево съвместно с експертната общност, прехвърлянето на всякакви данни включително лични данни на потребителите и съдържание на приложенията от мобилно приложение трябва да се извършва с помощта на алгоритми за криптиране. Например приложението Careerist.Докато приложението за Android предава потребителското име и паролата си некриптирано, Jobrapido за двете платформи също не криптира данните на потребителя. Това позволява на атакуващите да имат достъп до тях при прихващане на трафик. Освен това липсата на криптиране прави устройството уязвимо за атаки. Активно насърчаваме разработчиците да спазват стандартите за защита на потребителите“

Най-сигурните приложения, които предават всички данни в криптиран вид, не съдържат зловреден софтуер и нямат значителни уязвимости:

• iOS: SuperJob, Yandex.Работни места, работни места в България и FarPost;

• Android: HeadHunter, Наистина работа, Работа в България и FarPost.

Високи оценки получи и приложението за заплати.ру, Кариерист.ru, YouDo, Worki, HeadHunter и Work.ru“ за iOS крайна оценка над 5,0 по скала от 0,5 до 5,5 .

Струва си да се отбележи, че средната оценка на приложенията за iOS е с 0,67 по-висока от средната оценка на приложенията за Android, което е следствие от по-високото ниво на сигурност на затворената мобилна платформа на Apple. Тестовата лаборатория се консултира с експерти от Group IB, международна компания, специализирана в предотвратяването на кибератаки и разработването на продукти за информационна сигурност.

Вячеслав Васин, водещ анализатор, Group-IB.„За съвременния човек използването на мобилни приложения е доста лесен и удобен начин за намиране на работа. Най-сериозната заплаха, пред която могат да бъдат изправени потребителите на такива приложения, е неоторизиран достъп до личните им данни. Тази заплаха може да се реализира чрез несигурно съхранение и непреднамерено изтичане на данни или чрез несигурно предаване на данни. Последиците за потребителите могат да бъдат най-катастрофални: от това, че личната им информация е публично до това, че парите им са откраднати от банковите им сметки

За да не станете жертва, експертите съветват да спазвате доста прости правила:

• Изтегляйте и инсталирайте приложения само от официални източници магазини ;

• да анализирате отзивите и изтеглянията на други потребители;

• ограничаване на исканите разрешения при инсталиране на приложения;

• не използвате приложения, когато се свързвате с обществени безплатни Wi-Fi мрежи;

• Не въвеждайте данни за кредитни карти в съмнителни приложения.

И най-важното – не споделяйте с приложението никаква информация, която не искате да виждате публично в интернет.