06 апреля 2021 в 11:50
SpiderAppNews 37: экспорт российских данных, билль зарубили, воровство биткойнов
Директор по коммуникациям
- Криптобеззащитность
- Полная открытость
- Прогиб оплачен данными
- Приложения всё важнее
- Килл билль
Криптобеззащитность
Громкий случай на перекрёстке безопасности, биткойна и силы брендов Apple наглядно проиллюстрировал старое правило: главные проблемы пользователи создают себе сами. И иногда ошибки стоят им огромных денег.
Филлип Кристодулу (Phillipe Christodoulou) потерял больше миллиона долларов, загрузив из App Store неофициальное приложение криптовалютной платформы «Trezor». Софт, не имеющий никакого отношения к разработчикам Trezor, прошёл хвалёную модерацию App Store и в итоге стал причиной пропажи 17,1 биткойна, который сейчас, на момент написания этого дайджеста, стоит больше $57 000.
На ярко-зелёном фоне в App Store красовался логотип Trezor с замком — обычный дизайн-код для создания ощущения безопасности у пользователя. Оно поддерживалось и средней оценкой около пяти звёзд. Потеря была молниеносной. Кристодулу загрузил приложение и данные своей учётной записи в Trezor, подключил свой аппаратный кошелек к компьютеру и вошёл в систему, чтобы проверить баланс, и 17,1 биткойна ушли с его счёта в неизвестном направлении. На тот момент они стоили «всего» около $600 000, но дальнейший рост цены вряд ли улучшил настроение пострадавшего.
Trezor базируется в Чешской Республике, принадлежит компании «Satoshi Labs» и является известным производителем аппаратных кошельков, которые, по сути, представляют собой отключённые от Сети накопители с дополнительной защитой от проникновения. У платформы нет мобильного приложения, но криптоворы создают поддельный софт, паразитируя на ореоле безопасности вокруг бренда для тех, кто не разобрался в самой офлайновой сути продукта.
Приложение, от которого пострадал Кристодулу, разместили в App Store в январе и в Play Store в декабре. Целью, судя по всему, был доступ к кошелькам, с которых тут же списывали средства.
Кристина Мазанкова (Kristyna Mazankova), пресс-секретарь Trezor, заявила, что компания уже много лет уведомляет Apple и Google о поддельных приложениях, выдающих себя за продукт Trezor, чтобы обманывать людей, хотя у неё никогда не было мобильного приложения. Она утверждает, что представители Apple и Google плохо выходят на связь.
Trezor, по словам Мазанковой, уведомляла Apple о приложении-подражателе 1 февраля. Apple удалила приложение 3 февраля, но Христодулу говорит, что оно снова появилось через несколько дней.
Оно называлось «Trezor» и использовало логотип и цвета Trezor, представляя себя как «криптографическое» приложение для шифрования файлов на iPhone и хранения паролей. Его разработчик заверил модераторов, что не имеет никакого отношения к криповалюте. Apple одобрила приложение, и, согласно статистике от Sensor Tower, 22 января оно появилось в App Store.
После сообщения от настоящей Trezor о мошенническом приложении Apple заявила, что удалила его и забанила разработчика. Через два дня появилось ещё одно поддельное приложение Trezor. Apple удалила и его.
Но софт был в App Store, по крайней мере, с 22 января по 3 февраля и загружен около 1000 раз. Примерно такое же количество загрузок отмечается в Google Play.
Вечером злосчастного дня Христодулу снова зашёл в магазин, чтобы более внимательно изучить отзывы о приложении. Оно имело 155 отзывов с рейтингом, близким к пяти звёздам. В письменных отзывах были жалобы от других обманутых людей. Пользователь заключил, что пятизвездочные рейтинги должны быть фальшивыми.
Христодулу позвонил в службу поддержки клиентов Apple, и один из представителей компании сказал, что передаст дело руководителю. Постарадавший также письменно уведомил о проблеме Apple и ФБР. Федеральная служба безопасности комментировать историю отказалась.
Полная открытость
К сожалению, доверчивость и дыры в модерации — не единственные проблемы пользователей мобильных приложений. Тему программных уязвимостей на прошлой неделе подняли специалисты компании «Synopsys».
Они проанализировали 3335 самых скачиваемых приложений для Android в 18 категориях, включая игры, финансовые утилиты и другие. Выяснилось, что 98% программ используют модули на основе открытого исходного кода, то есть написанного кем-то раньше: в среднем по 20 компонентов на приложение. В 63% приложений содержится не менее одного опенсорсного компонента с уязвимостью. А в среднем в каждом приложении с потенциально опасным кодом насчитывается 39 проблем с информационной безопасностью (ИБ). Всего же компания обнаружила 3137 уникальных уязвимостей.
Подавляющее большинство найденных несовершенств (94%) известны ИБ-специалистам, их легко исправить. Около 5% брешей пока не имеют исправлений. Почти 1% обнаруженных уязвимостей можно активировать дистанционно.
Углублённый анализ показал, что около 46% уязвимостей относятся к группе «высокого риска». Они либо использовались злоумышленниками, либо имеют эксплойты (программы для использования уязвимостей).
В заключение исследователи подчеркнули, что все найденные уязвимости потенциально могут спровоцировать утечку конфиденциальных данных. Например, адресов посещаемых сайтов, IP-адресов, адресов электронной почты, а также более чувствительной информации, вроде паролей.
Директор департамента корпоративного бизнеса ESET Антон Пономарёв рассказал Известиям, что цифры, выдвинутые компанией Synopsys, близки к действительности и похожи на результаты исследований ESET.
Руководитель группы исследований безопасности мобильных приложений Positive Technologies Николай Анисеня объясняет популярность открытого исходного кода тем, что разработка приложений на его основе обходится дешевле, проходит быстрее и позволяет избежать типовых ошибок при программировании. Наличие же уязвимостей в продуктах на основе такого кода обусловлено тем, что в некоторых случаях разработчики осознанно идут на риски и экономят на защите.
Прогиб оплачен данными
Все российские приложения, по закону обязательные к предложению по установке на смартфоны и планшеты, будут передавать данные за рубеж через аналитические трекеры, которые собирают сведения о пользователях. В числе компаний, которые могут получать данные, Google, Yahoo, Microsoft, Huawei и Facebook — крупные операторы рекламы в интернете и приложениях.
В ходе исследования эксперты проанализировали код 16 классов программ для операционной системы Android и iOS, в числе которых приложения Mail.ru Group, Яндекса, Лаборатории Касперского, компании «Новые облачные технологии» (НОТ, бренд «МойОфис»), а также Госуслуги и платёжная система «Мир». Выяснилось, что встроенных механизмов слежки нет только в приложении Мира. Остальные сервисы, в том числе Госуслуги, имеют аналитические механизмы Google AdMob (сервис контекстной рекламы), Facebook Ads и прочие.
Выбранные правительством для продвижения отечественные приложения имели подобный функционал и раньше, в этом смысле ничем не отличаясь от большинства программ на рынке, но «власти сделали предустановку этих приложений обязательной, то есть де-факто они взяли на себя ответственность за передачу данных граждан третьим лицам в других странах», считает директор Инфокультуры Иван Бегтин.
В Минцифре ответили, что предустановленные программы размещены в магазинах приложений, и требования к ним аналогичны требованиям к другим программам, доступным пользователям.
В компаниях-разработчиках проанализированных приложений возражают, что обойтись без трекеров технологически крайне сложно, а передаваемая информация в точном смысле слова не является личными данными пользователя. Использование трекеров — стандарт для приложений, распространяемых через магазины Apple и Google, и отечественных аналогов им не существует, говорит представитель НОТ. Данные передаются трекинговым сервисам только в анонимизированном виде и с согласия пользователя, которое может быть отозвано, указывают в Лаборатории Касперского. Яндекс не передаёт никакую персональную информацию третьим лицам, заявили в компании, добавив, что указанные инструменты помогают улучшать пользовательский опыт, отправлять уведомления пользователям и оптимизировать рекламные настройки. В Mail.ru Group отказались от комментариев.
Получаемые обезличенные данные зарубежные корпорации используют в основном для таргетирования рекламы. Эта ситуация в целом нормальная для мирового рынка приложений, но указывает на уязвимость локальных рынков перед крупными корпорациями, которые владеют мобильными экосистемами, и компаниями, которые занимаются ротацией рекламы. Часто это одни и те же фирмы. Изменить это можно, создав и популяризировав отечественные аналоги таких экосистем, что совсем не просто и требует многих лет работы.
Приложения всё важнее
Плодотворное влияние пандемии на индустрию приложений в 2021 году не замедлилось. В первом квартале этого года потребительские расходы на приложения достигли нового рекорда: потребители потратили $32 миллиарда на приложения для iOS и Google Play, что на 40% больше, чем в первом квартале 2020 года. Это самые большие квартальные траты за всю историю мобильного рынка, пишут аналитики App Annie.
В I квартале потребительские расходы пользователей iOS были больше, чем на Android — $21 миллиард против $11 миллиардов. Рост на 40% у них одинаковый. Но типы приложений-лидеров немного различаются.
В Google Play больше всего в расходах потребителей выросли игры, приложения, связанные с соцсетями и развлечениями. На iOS Олимп заняли игры, приложения для фото и видео и развлечения. По всей видимости, для фото и видео большое используют Айфоны.
В Google Play наибольший рост количества загрузок отмечен в сегментах социальных сетей, инструментов и финансов, а на iOS — в играх, финансах и социальных сетях.
Тем не менее, список топ-приложений сохранил стабильность. TikTok превзошёл Facebook по количеству загрузок, за ним последовали Instagram, Telegram, WhatsApp и Zoom. Но приложение для коротких видео стало только вторым с точки зрения потребительских расходов, а первое место занял YouTube. За ними последовали Tinder, Disney+ и Tencent Video, а Netflix ушёл из статистики, потому что теперь предлагает новым пользователям регистрироваться напрямую, а не через покупки в приложении.
Приложения Facebook отставали от TikTok по количеству загрузок, зато они (Facebook, WhatsApp, Messenger и Instagram) сохранили лидерство по количеству активных пользователей в месяц (MAU). TikTok занял здесь восьмое место.
Абсолютной рекордсменкой по тратам пользователей стала категория игр. Здесь люди оставили $22 миллиарда: $13 миллиардов на iOS (больше на 30%) и $9 миллиардов на Android (больше на 35%). Геймеры скачивали игры около миллиарда раз в неделю, что на 15% больше, чем в 2020 году.
Количество загрузок игр в 2020 году превысило общее количество загрузок в 2,5 раза. Согласно прогнозам, в этом году потребительские расходы на мобильные игры достигнут $120 миллиардов.
Килл билль
Помните скандальную историю со срывом голосования по законопроекту HB 2005? Он грозил лишить Apple монополии на проведение платежей пользователей при покупках внутри приложений. Если вы надеялись на пикантные подробности, вас ждёт разочарование. Сенат штата Аризона зарубил проект на корню.
Законопроект, разработанный Коалицией за справедливость в приложениях во главе с Epic Games, Spotify, Tile и другими разработчиками, пропустили на плановом голосовании в сенате штата без объяснения причин. Сторонница законопроекта, член палаты представителей Реджина Кобб (Regina Cobb) заявила, что причиной стало лоббирование со стороны Apple и Google.
Позже в письме в TechCrunch Кобб добавила подробностей. По её словам, за несколько дней до голосования председатель соответствующего комитета уведомил лоббиста коалиции, что HB 2005 не встретил поддержки, и тратить время на него не имеет смысла.
Кажется, это конец истории для Аризоны. Но Коалиция за справедливость в приложениях, приблизившись к реальным изменениям законодательства, вряд ли оставит это дело.
В Spider Group на вас работает более чем двадцатилетний опыт в разработке мобильных приложений, веб-разработке сайтов, серверных проектов, дополненной реальности, искусственного интеллекта и Интернета вещей.
