Home / Reviews / Ενδείξεις αξιοπιστίας & ασφάλειας για εφαρμογές φορητών συσκευών

Ενδείξεις αξιοπιστίας & ασφάλειας για εφαρμογές φορητών συσκευών

εφαρμογών εφαρμογές

Εκατοντάδες χιλιάδες εφαρμογές είναι διαθέσιμες για φορητές συσκευές με λειτουργικά συστήματα iOS, Android, Windows και Blackberry, μέσω του εκάστοτε app store ή μέσω ιστοσελίδων τρίτων. Αξίζουν όλες αυτές οι εφαρμογές την προσοχή σας; Το cybersecurity.gr σας παρουσιάζει 5 παραμέτρους ώστε να έχετε μια πρώτη εικόνα για μια εφαρμογή, πριν μπείτε στη διαδικασία να την «κατεβάσετε» και να την εγκαταστήσετε στο κινητό σας τηλέφωνο ή στο tablet σας.

Οι άδειες – εξουσιοδοτήσεις που ζητούνται

Ανεξάρτητα από το λειτουργικό σύστημα της συσκευής σας, μια εφαρμογή αρχικά σας ενημερώνει για τις άδειες που ζητάει, δηλαδή σε ποιες λειτουργίες και σε ποια δεδομένα της συσκευής μπορεί να έχει πρόσβαση. Υπάρχουν π.χ. εφαρμογές φακού (flashlight), που ζητούν πρόσβαση στις φωτογραφίες σας, στις επαφές σας ή ακόμα και στην τοποθεσία σας. Κάτι τέτοιο δεν είναι φυσιολογικό. Όταν μια εφαρμογή ζητάει άδεια για να έχει πρόσβαση σε τόσα δεδομένα, τότε είναι προτιμότερο να την προσπεράσετε.

Ο λόγος; Ενδέχεται ο δημιουργός της εφαρμογής να συλλέγει όλα αυτά τα δεδομένα ώστε στη συνέχεια να τα πουλήσει έναντι ενός αξιόλογου χρηματικού ποσού π.χ. σε μια διαφημιστική εταιρεία. Ή σκεφτείτε την περίπτωση όπου μια εφαρμογή ενημερώνει έναν απατεώνα για την τοποθεσία σας, ώστε να γνωρίζει πότε είναι η κατάλληλη ώρα για να μπει στο σπίτι σας και να κλέψει, ενώ εσείς βρίσκεστε μακριά. Ακραία περίπτωση, αλλά θα μπορούσε να συμβεί.

“Παράθυρα” διαφημίσεων

Όταν μια εφαρμογή σας προσφέρεται δωρεάν, πως θα έχει χρηματικό όφελος ο δημιουργός της; Φυσικά μέσω των διαφημίσεων που κατακλύζουν το περιβάλλον της εφαρμογής. Οι διαφημίσεις μπορεί να εμφανίζονται όσο εσείς χρησιμοποιείτε την εφαρμογή, ή με τη μορφή ειδοποιήσεων και αναδυόμενων παραθύρων σε άσχετες στιγμές. Και φυσικά, αν θέλετε να «ξεφύγετε» από τις διαφημίσεις, θα χρειαστεί να βάλετε το χέρι στην τσέπη για να αγοράσετε την έκδοση «χωρίς διαφημίσεις»!

Εκτός, όμως, από το γεγονός ότι οι διαφημίσεις είναι αρκετά ενοχλητικές για ορισμένους, υπάρχει πάντα ο κίνδυνος πίσω από μια διαφημιστική καμπάνια να κρύβεται κακόβουλο λογισμικό. Τον τελευταίο καιρό έχουν αυξηθεί οι καμπάνιες «malvertising», καθώς οι κυβερνοεγκληματίες έχουν βρει έναν εύκολο τρόπο για να μολύνουν εκατομμύρια συσκευές.

“Απομίμηση” της αυθεντικής εφαρμογής

Παρά το γεγονός ότι ένα φιλτράρισμα πάντα γίνεται από το iTunes και το Google Play, κάποιες εφαρμογές καταφέρνουν να ξεγλιστρούν. Και φυσικά, ο κίνδυνος είναι μεγαλύτερος όταν κάποιος κατεβάζει μια εφαρμογή μέσω μιας τρίτης πηγής και όχι μέσα από τα επίσημα ηλεκτρονικά καταστήματα του κάθε λειτουργικού συστήματος.

Αυτές τις τρίτες πηγές θα πρέπει να προσέχετε, καθώς πολλοί προσπαθούν να σας πλασάρουν συνήθως εφαρμογές που μοιάζουν αυθεντικές, αλλά στην πραγματικότητα είναι κακοφτιαγμένα αντίγραφα γνωστών εφαρμογών. Π.χ. εφαρμογή Instagran αντί του Instagram.

Είναι, επίσης, πιθανό οι άνθρωποι της τρίτης πηγής να έχουν προμηθευτεί την αυθεντική εφαρμογή, να την έχουν τροποποιήσει (για παράδειγμα μέσω cracking) και να τη διαφημίζουν στην ιστοσελίδα τους ως αυθεντική, κάτι που συνεπάγεται κίνδυνο για τις συσκευές σας.

Αγορές εντός της εφαρμογής

Οι αγορές εντός της εφαρμογής δεν είναι κάτι σοβαρό από την πλευρά της ασφάλειας, ωστόσο, είναι σοβαρό από την πλευρά των χρημάτων. Αρκετοί είναι εκείνοι που μπορεί να ξοδέψουν τεράστια χρηματικά ποσά για να «ξεκλειδώσουν» επιπλέον λειτουργίες μιας εφαρμογής, χωρίς να το καταλάβουν.

Ιδιαίτερα τα παιδιά μικρότερων ηλικιών, που «δανείζονται» τα iPhones και τα iPads των γονιών τους για να παίξουν, χρεώνουν τους λογαριασμούς του τηλεφώνου με υπέρογκα ποσά ακόμα και για να παίξουν στα επόμενα επίπεδα ενός δημοφιλούς παιχνιδιού – χωρίς φυσικά ο γονιός να το αντιληφθεί αμέσως, παρά μόνο όταν δει το λογαριασμό.

Το πρόβλημα σε αυτή την περίπτωση λύνεται από τις ρυθμίσεις της συσκευής. Στο iOS, επιλέξτε «Ρυθμίσεις», έπειτα «Γενικά», ακολούθως «Περιορισμοί» και τέλος «Ενεργοποίηση περιορισμών». Στα Android, πηγαίνετε στις ρυθμίσεις της (όποιας) εφαρμογής και ορίστε κωδικό PIN που θα ζητείται κάθε φορά που κάποιος θέλει να αγοράσει κάτι «εντός της εφαρμογής».

Αυθεντικοποίηση

Η αυθεντικοποίηση online είναι ένα σοβαρό ζήτημα. Ούτε οι κωδικοί πρόσβασης, ούτε τα βιομετρικά χαρακτηριστικά ούτε τα Single Sign On (SSO) μπορούν να παρέχουν απόλυτη ασφάλεια.

Ειδικά το SSO, που μπορεί να είναι αρκετά βολικό για να συνδέουμε τους λογαριασμούς μας σε διάφορες εφαρμογές με αυτούς στο Facebook ή στο Twitter, ανοίγει το δρόμο στους επίδοξους επιτιθέμενους στα προσωπικά μας δεδομένα. Μέσω μιας επίθεσης brute force οι hackers θα μπορούσαν να υποκλέψουν τους κωδικούς πρόσβασης σας στις ιστοσελίδες κοινωνικής δικτύωσης – κι αν χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης και σε άλλες ιστοσελίδες, τότε ο κίνδυνος παραβίασης λογαριασμών διευρύνεται.

Γι’ αυτό, χρησιμοποιήστε το SSO μόνο σε εφαρμογές που εμπιστεύεστε, ενώ αν θέλετε να έχετε ακόμα μεγαλύτερη ασφάλεια στους λογαριασμούς σας, χρησιμοποιήστε την αυθεντικοποίηση «δύο βημάτων» [two-factor-authentication (2FA)].

Μη κρυπτογραφημένα δεδομένα

Έχει παρατηρηθεί ότι συχνά οι developers μιας εφαρμογής βιάζονται να την κυκλοφορήσουν και παραλείπουν να ελέγξουν σχολαστικά τον κώδικά τους για τυχόν λάθη και παραλείψεις. Άλλωστε, ευπάθειες βρίσκουν οι ερευνητές ακόμα και στο λογισμικό εταιρειών – κολοσσών: είναι δυνατό μια εφαρμογή που έφτιαξε ένας μεμονωμένος χρήστης ή μια μικρή ομάδα συνεργατών (έστω και έμπειρων) να μην περιέχει κάποιο bug;

Κατά κανόνα όλες οι εφαρμογές θα έπρεπε να κρυπτογραφούν τα δεδομένα σε όλες τις φάσεις χρησιμοποίησής τους. Εφαρμογές όπως το WhatsApp ή το Viber το έχουν ήδη διαπιστώσει: έλλειψη κρυπτογράφησης ισοδυναμεί με «κερκόπορτα» για τους κυβερνοεγκληματίες, οι οποίοι μπορούν να υποκλέψουν δεδομένα των χρηστών όπως λόγου χάρη ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, τηλεφωνικούς αριθμούς, διευθύνσεις κατοικίας και αριθμούς πιστωτικών καρτών.

Δυστυχώς, για όλους μας, δεν υπάρχει τρόπος να γνωρίζουμε εξ αρχής αν μια εφαρμογή διασφαλίζει, έναντι τρίτων, τα δεδομένα που αποθηκεύει ή μεταδίδει. Εσείς θα μπορούσατε να διαβάζετε πρώτα απ’ όλα τους όρους χρήσης και ακολούθως τις κριτικές των υπόλοιπων χρηστών που την έχουν δοκιμάσει. Οι πιο έμπειροι, τέλος, θα μπορούσαν με ειδικό λογισμικό να «παρακολουθήσουν» τα δεδομένα καθώς αυτά μεταδίδονται ή αποθηκεύονται από μια εφαρμογή. Αξίζει τον κόπο, όταν υπάρχει η επιλογή να την παραλείψετε;

Πηγή: WeLiveSecurity, ESET

Χρήσιμο
Ευανάγνωστο

User Rating: Be the first one !

About CyberG

Check Also

Υπάρχει ασφάλεια στις επικοινωνίες;

Την κρυπτογράφηση των επικοινωνιών από άκρη σε άκρη μιας γραμμής ανακοίνωσε πριν από λίγες ημέρες …

Leave a Reply

Your email address will not be published. Required fields are marked *