2022/03/16 15:47:02

Мобильные приложения

Мобильные приложения - компьютерная программа, созданная специально для использования в мобильном телефоне, смартфоне или коммуникаторе, которая предназначена для выполнения той или иной задачи.

Содержание

Рынок и платформы мобильных приложений

Разработка мобильных приложений на заказ

История

2018: В России принят стандарт разработки мобильных приложений

Государство утвердило предварительный стандарт разработки мобильных приложений, говорится в сообщении Росстандарта, опубликованном на сайте ведомства 10 июля 2018 года. Требования носят рекомендательный характер, но, по словам авторов, должны будут стать «ориентиром при разработке». Подробнее здесь.

2017: Ожидание исчезновения бесплатных приложений для Apple и Google

Бесплатная модель распространения приложений для смартфонов очень скоро прекратит существование. Об этом рассказал в июле 2017 года руководитель департамента мобильных разработок Artezio (Артезио), автор проекта Cost Track Игорь Есипович. По словам эксперта, на место бесплатной и условно-бесплатной модели придет система ежемесячной подписки, которая на данный момент для многих разработчиков становится приоритетной.

«Бесплатные и условно-бесплатные приложения зарабатывают своим создателям все меньше и меньше денег», - говорит Есипович. «Если раньше бесплатные приложения хорошо монетизировались за счет рекламы, а условно-бесплатные приносили достаточно прибыли благодаря внутренним покупкам, то сейчас ситуация изменилась и на первое место выходит модель с использованием ежемесячной подписки», - отметил эксперт.

Немалую роль в росте популярности подписной модели играет политика Apple, которая делает ставку на ежемесячные отчисления, нежели на разовые доходы с продаж.

«Apple серьезно стимулирует разработчиков на внедрение платных подписок. С продажи контента корпорация получает 30%, а с подписки - только 15%, оставляя 85% разработчику против 70% дохода с продажи как в обычном случае», - сказал глава департамента Artezio.

Эксперт отмечает, что пока в цифровых магазинах наибольшую прибыль генерируют проекты с условно-бесплатной моделью распространения.

«Условно-бесплатная модель, вернее модель freemium и premium, пока гораздо лучше работает, чем все остальные. Например, Clash Royal, Clash of Clans, World of Tanks – эти приложения не продаются, в них предусмотрены только встроенные покупки. Игра Mortal Combat несет в себе не менее раскрученный бренд, чем Ubisoft с Assassin’s Creed, но именно в Mortal Combat встроенные покупки гораздо эффективнее», - отмечает Есипович.

Специалист считает, что со временем условно-бесплатная модель станет непопулярной, а основной доход разработчики будут получать с обновляемой подписки. При этом совершенно бесплатных приложений практически не останется.

2013: PwC о будущем мобильных приложений

Согласно прогнозу, подготовленному PwC в сентябре 2013 года, следующее поколение инновационных решений в области мобильных технологий будет нацелено на распознавание и моделирование контекстуальной ситуации потребителя. Информация о пользователях по трем основным параметрам – физическое местонахождение, виртуальная и социальная среда – станет основным ресурсом, который позволит создать мобильные приложения и услуги, обладающие кардинально новыми возможностями и способные предсказывать потребительские предпочтения. Мобильные устройства смогут стать поистине цифровыми помощниками.

Отчет PwC по результатам этапа II «Новые технологические возможности» в рамках исследования «Прогноз инновационного развития в области мобильных технологий» (Mobile Innovations Forecast (MIF) Phase II: New technological capabilities) наглядно демонстрирует, каким образом будут меняться впечатления пользователей с появлением мобильных технологий следующего поколения.

«Мы вступаем в новую, динамичную фазу развития мобильных технологий, знаменующую переход от ограниченного набора информационных и вычислительных функций к интеллектуальному анализу и рационализации физической, виртуальной и социальной среды пользователей устройств, – отмечает Раман Читкара, руководитель международной практики по оказанию услуг компаниям технологического сектора PwC. – В скором времени мобильные устройства будут способны анализировать и предугадывать человеческие потребности, используя платформы, которые задействуют пользователя, опираясь на информацию, полученную из многочисленных источников. Главная цель этого процесса – создание еще более интуитивных мобильных устройств».

Как отмечается в отчете PwC, контекстуальный интеллект в мобильных вычислениях сможет получать ситуационную информацию из трех основных источников, включая:

1) данные об устройстве (например, источник питания, операционная система, хранение данных и т.п.);

2) данные о физической среде (местонахождение, погода и т.д.);

3) данные о пользователе (ID, приложения, хранящаяся информация и т.д.).

Возможности, которыми должны обладать мобильные устройства, сети, приложения и услуги следующего поколения, для того чтобы собирать данные о пользователях из таких источников, как сенсорные датчики на устройствах, переносные компьютеры и электронная экосистема транспондеров на других людях и объектах, и обрабатывать их:

2010: Типы мобильных приложений

Независимо от того, для какого устройства используется та или иная программа, мобильные приложения можно подразделить на платные и бесплатные.

Бесплатные приложения, как правило, представляют собой достаточно простое ПО с ограниченным набором возможностей. Бесплатный софт зачастую предназначен для решения конкретной задачи (например, просмотр электронной почты). По мнению экспертов организации GetJar, бесплатные приложения в большинстве случаев используются владельцами телефонов непродолжительное время. Одна из причин такого поведения пользователей обусловлена тем, что работать сразу с несколькими открытыми бесплатными приложениями неудобно. Во-первых, это влияет на производительность, а значит и на продолжительность работы аккумулятора устройства. Во-вторых, пользователя просто может раздражать постоянный переход между программами (особенно на аппаратах с сенсорным экраном) и связанная с этим потеря времени.Помощник или конкурент? Чем ИИ может быть полезен в HR-процессах

Что же касается платных мобильных приложений, то они, наоборот, предлагают пользователю расширенные функциональные возможности для каждого отдельного программного продукта. Например, альтернативный пользовательский интерфейс SPB Mobile Shell для коммуникаторов на базе Windows Mobile предлагает пользователю несколько вариантов управления устройством и его программным обеспечением с помощью одного приложения. Кроме того, разработчики платного мобильного софта, как правило, предлагают возможность обновления ПО.

Также мобильные приложения можно подразделить на развлекательные (мультимедийные), коммуникационные, навигационные, справочные и прикладные. К развлекательному мобильному ПО можно отнести проигрыватели аудио- и видеофайлов, просмоторщики изображений и электронных книг, игры. Коммуникационные приложения отвечают за общение пользователя по телефону и SMS, его контакты в электронной почте, ICQ, социальных сетях. К навигационным программам относятся приложения, работающие с системой GPS, электронными картами и географическими координатами. К справочному ПО можно отнести различные словари и энциклопедии, базы данных с возможностью поиска. К прикладным приложениям можно отнести записные книжки, органайзеры, калькулятор, программы для работы с графикой и текстом.

2000-е: Эпоха коммуникаторов

К тому времени рынок мобильных устройств сотовой связи стали постепенно завоевывать смартфоны и коммуникаторы. Обладая более широкими возможностями и производительностью, они отличались от обычных мобильных телефонов наличием достаточно развитой операционной системы (Windows Mobile, Symbian OS, RIM, Android, Mac OS), которая является открытой для разработки программного обеспечения сторонними разработчиками, в отличие от программной среды обычных мобильных телефонов, которая закрыта для сторонних разработчиков. При этом стоит отметить, что установка дополнительных приложений позволяет значительно улучшить функциональность смартфонов и коммуникаторов по сравнению с обычными мобильными телефонами. Но, заметим, что каждая конкретная операционная система требует установки соответствующих именно ей приложений, то есть созданных специально для той или иной ОС программ. Например, программу-органайзер созданную для Windows Mobile нельзя установить на ОС Simbian, применяемую в смартфонах Nokia Corporation, или Mac OS (Mobile Touch version) для телефона iPhone от компании Apple.

К тому же, стоит отметить, что наличие полнофункциональной операционной системы не делает смартфоны и коммуникаторы более привлекательными в глазах большинства пользователей. Современные сотовые телефоны, а точнее модели, относящиеся к средней ценовой категории и выше, зачастую вполне могут справиться со многими задачами. Они могут работать с электронной почтой, просматривать текстовые документы и электронные таблицы, фотографии и видеофайлы.

Кроме того, экраны целого ряда сотовых телефонов не уступают большинству смартфонов и коммуникаторов, а последние модели оснащаются еще и сенсорными экранами и разъемами для карт памяти. Поэтому сегодня именно владельцы обычных мобильных телефонов составляют большую часть потребителей программных приложений.

Но с другой стороны, смартфоны в глазах данной категории пользователей выглядят более привлекательными за счет других возможностей, таких как, например, продвинутые мультимедийные функции (более качественная камера, расширенные возможности воспроизведения видеофайлов, улучшенные музыкальные способности), Wi-Fi, GPS и другие.

Необходимо также понимать, что программы, написанные специально для операционной системы смартфона или коммуникатора, являются полноценными скомпилированными в двоичный код последовательностями низкоуровневых микропроцессорных команд. А в силу того, что во всех смартфонах и коммуникаторах установлены более мощные процессоры, чем в мобильных телефонах, возможности программиста по созданию таких приложений практически не ограничены.

Специализированные приложения функциональнее, они более рационально использует ресурсы процессора, чем J2ME-программы, основанные на множестве Java-платформ, предназначенных для работы в устройствах с ограниченными ресурсами (ограниченная вычислительная мощность, ограниченный объем памяти, малый размер дисплея, питание от портативной батареи, а также низкоскоростные и недостаточно надежные коммуникационные возможности). Поэтому смартфоны пользуются популярностью среди разработчиков программного обеспечения и энтузиастов.

1990-е: Эпоха мобильных телефонов

Отправной точкой для создания мобильных приложений стало появление на мобильном телефоне экрана. Естественно, первое программное обеспечение для телефонов представляло собой встроенные приложения, которые предназначались для выполнения конкретных функций телефона и устанавливались в устройство самими производителями.

Пожалуй, первым мобильным приложением, помимо ПО, отвечающего непосредственно за работу телефона, стала телефонная книжка - та часть программного обеспечения аппарата, которая упорядочивала контакты пользователя. Сначала в записную книжку можно было занести лишь имя и номер телефона абонента. Но постепенно в данное приложение добавлялись новые функции - помимо имени и телефона, стало возможным занесение адреса, электронной почты и других данных того или иного абонента.

С появлением возможности обмена короткими текстовыми сообщениями (SMS) в телефон добавилась еще одно приложение, позволяющее писать, редактировать, отправлять небольшие электронные тексты.

Время появления первого мобильного приложения, установленного на телефон поверх уже имеющегося программного обеспечения, можно отнести к концу 90-х годов прошлого века, когда сотовая связь стала постепенно входить в жизнь миллионов людей во всем мире. Стоит отметить, что к тому времени, производители телефонов уже четко представляли, что софт для "мобильника" - это перспективное направление, как с точки зрения разработки технологий, так и с точки зрения их отдельного коммерческого использования. Тогда в программную оболочку сотовых телефонов, помимо самых необходимых приложений, производители стали устанавливать дополнительное ПО. Как правило, это были различные мультимедийные приложения - небольшие аркадные игры, редакторы рингтонов, калькуляторы, календари и т.д.

Не отставали и сторонние разработчики, которые предлагали владельцам сотовых телефонов приложения, аналогичные установленным изначально, а также массу другого полезного и иногда бесполезного софта.

С появлением в 1997 году на рынке сотовой связи технологии WAP, позволяющей выходить в интернет с помощью мобильного телефона, количество программных приложений, как и их разработчиков, стало расти. Дело в том, что теперь поставить на телефон какую-либо программу стало гораздо удобнее и проще, так как ранее установка приложения могла быть осуществима лишь с помощью DATA-кабеля, соединяющего стационарный компьютер или ноутбук с мобильным телефоном. Стоит отметить, что в то время не каждая модель сотового телефона поставлялась в комплекте с DATA-кабелем, что ограничивало использование мобильных приложений.

Возможность выхода в интернет непосредственно через телефон позволила устанавливать на аппарат различное ПО, а также игры даже тем людям, которые не имели домашнего компьютера. Кроме того, WAP мог функционировать даже на бюджетных телефонах, за счет чего число пользователей мобильных приложений также увеличивалось. Единственным минусом WAP-доступа стала высокая стоимость передачи данных - скачав только несколько программ для телефона, пользователь мог потратить весь свой счет.

К началу нового тысячелетия началось бурное развитие рынка мобильного контента в целом и мобильных приложений в частности. Как грибы после дождя появляются специализированные сайты по продаже программных продуктов и мультимедийного контента для мобильных телефонов. А появление новых технологий передачи данных с помощью сотовой связи (GPRS, EDGE) позволяет удешевить мобильный интернет-трафик. Пользователи стали в немыслимых количествах скачивать из сети картинки, музыкальные рингтоны, игры, полезные программы и т. д.

Безопасность

2023

Выявлены приложения с вирусом-шпионом для кражи денег у влюбленных

27 октября 2023 года компания F.A.C.C.T. сообщила о еще одной версии мошеннической схемы Fake Date (с англ. — фейковое свидание). Теперь преступники пытаются украсть у жертвы деньги еще до покупки билетов в кино или театр под видом оплаты домашнего интернета или заказа такси, используя при этом фейковые мобильные приложения. Осенью 2023 года в России по схеме Fake Date работали 6 мошеннических групп, нелегальный заработок только одной из них за 10 дней превысил 6,5 млн рублей. Подробнее здесь.

Треть россиян сталкивались с мошенническими приложениями банков

Треть россиян сталкивались с мошенническими приложениями банков. Об этом 3 октября 2023 года сообщила ITFB Group (АйТиЭфБи Групп). Подробнее здесь.

Криптомошеннические приложения проникли в официальные магазины Google и Apple

2 февраля 2023 года стало известно о том, что кибербандиты из Tinder заманивают доверчивых мужчин в жестокую финансовую ловушку.

Как сообщалось, создатели высокодоходных инвестиционных афёр под названием «разделка свиньи» («The Pig-Butchering Scum»), нашли способ обойти защиту магазинов приложений Google Play и Apple App Store. Подробнее здесь.

2022: Исследователи CPR обнаружили в открытом доступе более двух тысяч открытых баз данных мобильных приложений

16 марта 2022 года команда Check Point Research (CPR) из компании Check Point Software Technologies Ltd. сообщила о том, что обнаружила в открытом доступе незащищенные конфиденциальные данные мобильных приложений, которые любой человек может найти через браузер. Эксперты CPR нашли в VirusTotal, бесплатном инструменте для сканирования документов и ссылок на вредоносное ПО, 2113 мобильных приложений, базы данных которых не были защищены в облаке и в течение трех месяцев наблюдений за ними неоднократно подвергались риску. Количество загрузок этих приложений варьируется от десяти тысяч до десяти миллионов.

Конфиденциальные данные, обнаруженные специалистами Check Point Research, включают в себя фотографии пользователей и членов их семей, идентификационные токены из приложений для заботы о здоровье, информацию из платформ для обмена криптовалюты и многое другое. Исследователи CPR приводят несколько примеров мобильных приложений с незащищенными данными, в частности в одном приложении для создания логотипов и графического дизайна в открытом доступе оказались более 130 тысяч учетных данных пользователей. Команда CPR рассказывает, какие шаги могут предпринять разработчики облачных платформ, отвечающих за безопасность, чтобы усилить защиту. Эксперты не указывают названия мобильных приложений, описанных в исследовании, чтобы не допустить утечек.

Первый пример — приложение для создания логотипов и графического дизайна с более чем десятью миллионами загрузок.

Image:Приложение_для_создания_логотипов_и_графического_дизайна.jpg

Во втором случае эксперты CPR обнаружили открытую базу данных с большим объемом конфиденциальной информации: банковские реквизиты, геолокация, номера телефонов, личные сообщения, история покупок и многое другое. Раскрытые данные принадлежат пользователям платформы для прослушивания подкастов и другого аудиоконтента с более чем 5 миллионами загрузок.

Image:Базу_данных_с_большим_объемом_конфиденциальной_информации.png

Еще один пример — бухгалтерское приложение для малого и среднего бизнеса, которое скачали более миллиона раз. В открытом доступе оказались более 280 тысяч телефонных номеров, связанных с по меньшей мере 80 тысячами названий компаний, а также адреса, информация об остатке на банковском счете и запасе наличных в кассе, счета-фактуры и адреса электронной почты.

Image:Бухгалтерское_приложение_для_малого_и_среднего_бизнеса.png

Исследователи Check Point Research нашли в VirusTotal мобильные приложения, которые взаимодействуют с облачными сервисами, и выбрали среди них те, у которых открыт доступ к данным.

«
В этом исследовании мы показываем, как легко можно найти наборы данных и критически важные ресурсы, которые открыты в облаке для любого, кто может получить к ним доступ через браузер, — сказал Лотем Финкельстин, руководитель отдела анализа угроз Check Point Software Technologies. — Мы описываем, как можно это сделать. Метод предполагает поиск в публичных файловых репозиториях (таких как VirusTotal), мобильных приложений, использующих облачные сервисы. Так, хакер может запросить в VirusTotal полный путь к облачному бэкенду мобильного приложения. Мы приводим несколько примеров, которые смогли найти там сами — все, что мы нашли, доступно любому желающему. Наше исследование доказывает, насколько легко может произойти утечка или эксплуатация данных. Объем конфиденциальной информации, который находятся в открытом доступе и доступен в облаке любому человеку, просто невероятный. И взломать облако гораздо проще, чем мы думаем.
»

2021

В каталоге приложений AppGallery обнаружены десятки игр со встроенным трояном

23 ноября 2021 года компания «Доктор Веб» сообщила об обнаружении в каталоге AppGallery десятков игр со встроенным в них трояном Android.Cynos.7, который собирает информацию о мобильных номерах пользователей. Опасные игры установили по меньшей мере 9 300 000 владельцев Android-устройств. Подробнее здесь.

McAfee обнаружила «умные» приложения для мошенничества в Google Play

В магазин Google Play проникла очередная волна мошеннических приложений, нацеленная на пользователей Android в Юго-Западной Азии и на Аравийском полуострове – было уже более 700 000 скачиваний, прежде чем команда McAfee Mobile Research обнаружила их, и совместно с Google приступили к их удалению. Об этом McAfee сообщила 30 апреля 2021 года. Подробнее здесь.

Avast обнаружила мошеннические приложения в Google Play и Apple App Store

25 марта 2021 года компания Avast, представитель в области цифровой безопасности и решений защиты, сообщила об обнаружении более 200 fleeceware-приложений в App Store и Google Play. По оценкам SensorTower, компании, занимающейся маркетинговыми исследованиями и аналитикой мобильных приложений, приложения были загружены более миллиарда раз. На март 2021 года они принесли более 400 миллионов долларов дохода. На российских пользователях Apple мошенники заработали 4,5 миллионов долларов, fleeceware-приложения были скачаны 23,2 миллиона раз. Пользователи Android-устройств потратили на подписку 400 000 долларов, скачав приложения 21,6 миллионов раз. Списки обнаруженных fleeceware-приложений Avast незамедлительно отправила в Apple и Google.

Fleeceware — это сравнительно молодая разновидность мошенничества. Пользователю предлагают скачать интересное приложение на бесплатный пробный период, чаще всего — на три дня. Затем приложение автоматически списывает несоразмерно высокую плату за подписку. Например, приложение FortuneScope после короткого пробного периода списывает 66 долларов (примерно 5 000 рублей) в неделю, что обойдется жертве в 3 432 доллара (около 300 000 рублей) в год, если подписку не отменить. Недостаточно просто удалить приложение: подписку необходимо отменить в настройках магазина приложений. Реклама fleeceware-приложений часто появляется в социальных сетях, таких как Facebook, Instagram, Snapchat и TikTok.

«
В основном обнаруженные fleeceware-приложения представляют собой симуляторы музыкальных инструментов, редакторы фотографий, фильтры для камеры, приложения для хиромантии и предсказания будущего, а также для чтения QR-кодов и PDF-файлов. Несмотря на то, что эти приложения в основном выполняют свои функции, вряд ли пользователи захотели бы регулярно оплачивать дорогостоящую подписку, если бы знали ее реальную стоимость. Особенно учитывая существование более дешевых или даже бесплатных аналогов таких приложений, — говорит Якуб Вавра, исследователь угроз в Avast. — Похоже, fleeceware-приложения в первую очередь нацелены на детей и подростков. Такой вывод можно сделать на основе красочных скриншотов и рекламных баннеров таких приложений в социальных сетях, в которых предлагается «бесплатно скачать» или «бесплатно установить» такие приложения. Пока родители заметят еженедельные денежные списания, создатели fleeceware-приложений уже могут получить значительный доход.
»

Исследователи Avast обнаружили fleeceware-приложения для Android с помощью платформы для анализа мобильных угроз apklab.io, а затем решили проверить их наличие в Apple App Store.

Avast рекомендует пользователям быть внимательными и осторожными во время использования и загрузки приложений, поскольку функция подписки становится все более распространенной. Вот несколько советов от экспертов Avast, которые помогут защититься от fleeceware-приложений:

  • Проверять условия подписки. Проверить, сколько будет стоить подписка на такое приложение после окончания пробного периода, и подумать, стоит ли регулярно за него платить.
  • Отнестись критически к рекламе приложений. Реклама fleeceware-приложений привлекает внимание пользователей красочными изображениями и заманчивыми обещаниями, которые скорее всего не отражают реальный функционал приложения.
  • Читать мелкий шрифт. Внимательно читать описание приложения, обращая особое внимание на пункт «Покупки в приложении». Ознакомится с условиями подписки, даже если предусмотрен бесплатный пробный период, поскольку плата может списываться автоматически.
  • Защитить платежи. Убедится, что доступ к способам оплаты защищен паролем или биометрической проверкой. В этом случае дети не смогут случайно оформить подписку.

Государственные мобильные приложения в России проанализированы на потенциальные риски приватности для пользователей

Согласно одному из исследований, многие государственные приложения содержат различные трекеры (включая рекламные трекеры и трекеры от социальных сетей), которые передают личные данные пользователей третьей стороне. Об этом 3 марта 2021 года сообщила компания «Доктор Веб». Трекеры в мобильных приложениях предназначены для сбора статистики и аналитики о пользователях, а также для сбора информации об ошибках, возникающих при работе приложений. При этом разработчики таких трекеров могут находиться за рубежом, что ограничивает возможности для контроля и предотвращения противоправных действий.

В оригинальном исследовании говорилось о потенциальных рисках приватности, которые исходят от рекламных SDK и AdMob от Google в частности. Отмечалось, что соответствующий модуль находится в приложениях «Госуслуги Югры», «ЕМИАС.ИНФО», «Check COVID-19», «Налоги ФЛ», «Личный кабинет предпринимателя», «ЕИС» и «Дневник МЭШ». В действительности его в них нет. Все указанные программы созданы с использованием инструментария разработки React Native, а также набора модулей React Native Firebase для него. И именно в этих модулях содержатся определенные строки с именами некоторых компонентов AdMob, из-за чего статический анализ мог ошибочно указать на наличие полноценного рекламного SDK.

Из всех проверенных приложений AdMob был найден лишь в «Госуслугах», однако и в этом случае опасения оказались напрасны: модуль здесь просто-напросто никак не задействован. Вероятнее всего, он попал в программу случайно. Дело в том, что «Госуслуги» — не классическое Android-приложение. Оно создано при помощи специализированного фреймворка Xamarin. Основная логика такой программы расположена в отдельных DLL-файлах, в то время как исполняемый DEX-файл приложения содержит Xamarin SDK. Чтобы код из DLL-файлов получил доступ к сервисам Google, требуются специальные плагины. Весьма вероятно, что код рекламного SDK AdMob попал в приложение как раз с одним из наборов таких плагинов.

И Xamarin SDK, и React Native могут применяться для упрощения кросс-платформенной разработки.

Еще один вопрос у исследователей вызвали модули сервисов AltBeacon и Estimote, найденные в приложениях «Иду в музей» и «Зарядье». Однако они лишь используются для работы со специальными устройствами — Bluetooth-маячками, устанавливаемыми в музеях для удобства пользователей. С их помощью, например, определяется, рядом с каким экспонатом находится посетитель. При этом модуль AltBeacon не отправляет телеметрию на удаленный сервер, в то время как модуль Estimote был модифицирован так, что собираемая им аналитика передается не на иностранный ресурс, а на сервер парка «Зарядье». Поэтому в данных случаях ни тот, ни другой модуль нельзя отнести к полноценным (и тем более опасным) трекерам.

Другой отмеченный в исследовании модуль — HockeyApp, содержащийся в приложении «Парковки Москвы». Относящийся к нему сервис аналитики был окончательно закрыт еще в 2019 году и давно не функционирует, поэтому к нему претензий быть не должно. Скорее всего, модуль попал в исследование по ошибке, поскольку в некоторых программах до сих пор остаются определенные следы от него.

В то же время, как и было указано в исследовании, многие из рассмотренных вирлабом программ действительно содержат SDK от Facebook. Однако данный модуль применяется, например, для регистрации учетных записей через социальную сеть, а также содержит такие функции как, например, «Поделиться». Фактов сбора чувствительной информации этим SDK не выявлено.

Казалось бы, волноваться не о чем. Но нашлась и ложка дегтя. В DrWeb отметили, что различные сервисы аналитики в основном оперируют обезличенными данными пользователей, что само по себе не так страшно. Исключениями являются рекламный идентификатор Google, а также точные данные о местоположении. И вот здесь уже появляются определенные риски для конфиденциальности. Все дело в том, что в ОС Android доступ к рекламному идентификатору может получить любое приложение. Предположим, что условная программа для онлайн-общения связала этот идентификатор с данными (именем, фамилией, адресом электронной почты, номером телефона), после чего передала эту информацию третьей стороне, у которой произошла утечка, и данные попали в интернет. Используя тот же самый рекламный идентификатор, эти сведения можно сопоставить с данными, полученными через модули аналитики (например, связать с информацией о местоположении вашего устройства, выполняемых в приложениях действиях). В результате появляется потенциальная опасность того, что вас будут отслеживать и как минимум знать, кто вы и где вы находитесь. А это само по себе уже немало для тех же маркетологов и рекламодателей. Что и говорить, для злоумышленников это тоже будет ценно.

Хорошая новость — в том, что обычно модули аналитики и трекеры не собирают точные данные о геолокации. Тем не менее, специалисты из вирусной лаборатории выяснили, что некоторые из них (при наличии доступа к соответствующей функции) все же это делают — возможно, для внутреннего использования. Например, модуль картографического сервиса Mapbox, применяющийся в ряде изученных приложений, собирает определенную телеметрию, в которую входит и точная геолокация. Однако при этом он не использует рекламный идентификатор Google, и поэтому такие данные можно считать обезличенными. Другой модуль — от сервиса Flurry — тоже собирает данные о местоположении, но лишь приблизительные. Для этого в самом SDK принудительно настраивается снижение точности данных перед их отправкой на сервер, что также нельзя расценивать как угрозу. При этом отмечается, что все трекинговые платформы имеют возможность отслеживать примерное местоположение при помощи IP-адреса, если, например, отсутствует доступ к геолокации.

А вот используемый в приложении «Московский транспорт» модуль сервиса Amplitude по сравнению с другими рассмотренными сервисами является наиболее спорным. Он не находится в российской юрисдикции, собирает точные данные о местоположении и позволяет отслеживать рекламные идентификаторы, что несет потенциальные риски раскрытия конфиденциальной информации. Кроме того, он записывает некоторые данные, вводимые пользователем, — например, о запрошенном маршруте, если не удалось его построить. Напрямую все эти действия не несут прямых рисков, однако для кого-то могут являться неприемлемыми. Тем более, что без этого модуля можно было бы легко обойтись.

Также стоит отметить, что все трекеры позволяют разработчикам отключать сбор данных о местоположении (который по умолчанию активен), но те такой функцией не воспользовались.

Основной вывод таков: трекеры и различные модули аналитики в большинстве исследованных программ не представляют прямой угрозы для приватности за исключением используемого в приложении «Московский транспорт» противоречивого модуля. Однако это справедливо для версий приложений, актуальных на момент анализа. Разработчики могут вносить определенные изменения в ПО, удаляя или добавляя сторонние модули, поэтому ситуация с собираемыми данными, приватностью пользователей и безопасностью государственных программ со временем может измениться.

Доктор Веб рекомендует:

1. Чтобы затруднить сервисам аналитики и рекламодателям возможность сбора информации, периодически надо менять рекламный идентификатор Android-устройства. Для этого надо зайти в системное меню настроек, перейти в раздел Google, выбрать «Реклама» и затем опцию «Сбросить рекламный идентификатор». Благодаря этому собранные данные из различных источников будет сложнее связать между собой.

2. Необходимо использовать антивирус Dr.Web для Android — он обнаруживает вредоносные модули-трекеры, а также нежелательные рекламные модули, которые могут представлять опасность.

2020

7 мобильных браузеров уязвимы к спуфингу адресной строки

Специалисты компании Rapid7 совместно с пакистанским исследователем безопасности Рафаем Балоком (Rafay Baloch) обнаружили в семи мобильных браузерах десять уязвимостей, позволяющих подделать URL в адресной строке. Об этом стало известно 21 октября 2020 года. В список уязвимых браузеров входят Apple Safari, Opera Touch и Opera Mini, а также нишевые продукты, такие как Bolt, RITS, UC Browser и Яндекс.Браузер.

Исследователи обнаружили уязвимости ранее в 2020 году и сообщили о них производителям в августе. Если крупные вендоры сразу же выпустили исправления, то меньшие даже не потрудились ответить.

Идентификаторы CVE присвоены только шести уязвимостям из десяти:

CVE-2020-7363 и CVE-2020-7364 – до сих пор не исправленные уязвимости в браузере UC Browser для Android;

CVE-2020-7369 – уязвимость в Яндекс.Браузер для Android Была исправлена вендором 1 октября в версии 20.8.4;

CVE-2020-7370 – уязвимость в iOS-версии Bolt;

CVE-2020-7371 – уязвимость Android-версии RITS;

CVE-2020-9987 – уязвимость в Apple Safari. Исправлена вендором[1].

Роскомнадзор будет блокировать пиратские приложения для смартфонов

27 мая 2020 года Госдума приняла во втором и сразу в третьем чтениях законопроект о блокировке пиратских мобильных приложений. Нововведение должно вступить в силу 1 октября.

Согласно новым поправкам в федеральный закон «Об информации, информационных технологиях и о защите информации», Роскомнадзор в течение одного дня после заявления правообладателя и по решению суда сможет блокировать незаконный медиаконтент не только на сайтах, но и в мобильных приложениях. В первоначальной редакции законопроекта ответственность по блокировке возлагалась на авторов приложений и на операторов связи. Поправки ко второму чтению распространили такую обязанность и на агрегаторы приложений (в частности, App Store, Google Play и Huawei AppGallery).

Госдума приняла закон о блокировке мобильных приложений с пиратским контентом

Из текста документа следует, что Роскомнадзор направляет владельцу информационного ресурса, на котором размещено приложение, уведомление о нарушении авторских и смежных прав с указанием произведения, его автора, правообладателя, наименования и владельца приложения с требованием ограничить доступ к незаконному контенту. Информресурс в свою очередь в течение одного рабочего дня сообщает об этом владельцу приложения, который должен в течение одного рабочего дня выполнить указанные предписания. В случае его отказа или бездействия информресурс обязан заблокировать соответствующее приложение не позднее трех рабочих дней с момента получения уведомления Роскомнадзора.

Участники рынка предложили смягчить проект о блокировке приложений

Представители Российской ассоциации электронных коммуникаций (РАЭК), Ассоциации торговых компаний и товаропроизводителей электробытовой и компьютерной техники (РАТЭК) и Американской торговой палаты в России предложили смягчить законопроект о блокировке пиратского контента в мобильных приложениях, ограничив потенциальные полномочия Роскомнадзора по их блокировке. Письма были отправлены председателю Госдумы Вячеславу Володину, в комитет по информполитике и Минкомсвязь. Об этом стало известно 26 мая 2020 года.

Второе чтение законопроекта запланировано на 27 мая 2020 года. Принятие данной инициативы потребует от Apple и других владельцев магазинов приложений инвестиций в модерацию контента в России и может привести к появлению для них юридических рисков.

Авторы предложили не блокировать приложение целиком, а ограничить доступ к определенному контенту, если существует техническая возможность. Также предлагается продлить срок рассмотрения претензий правообладателей и уведомлений Роскомнадзора до девяти дней.

По словам главы комитета Госдумы по информполитике с Минкомсвязью и Государственно-правовым управлением президента Александра Хинштейна, члены комитета не поддерживают предложения ассоциаций, поскольку законопроект направлен на блокировку только контента, нарушающего авторские права, а не приложений в целом[2].

С 1 октября в России хотят ввести блокировку пиратских мобильных приложений

26 мая 2020 года стало известно, что в Госдуме прошел второе чтение законопроект, который вносит изменения в закон «Об информации, информационных технологиях и о защите информации». Если его одобрят и в третьем чтении, рассмотрит Совет Федерации и подпишет президент, то с 1 октября 2020 года в России можно будет заблокировать любое приложение для Android и iOS через суд, если докажут, что оно пиратское или поступит жалоба.

Правообладатели, которые найдут нарушение своего контента или информации смогут подать в суд и потребовать блокировки не только сайта, где это находится, но мобильного приложения, если оно есть.

Ответственность за пиратский контент хотят обязать нести не только самих нарушителей, но и сервисы, которые размещают эти приложения. То есть сюда подпадают все онлайн-магазины приложений, включая AppStore, Google Play, Huawei AppGallery и другие.

Российский суд и требования Роскомнадзора могут обязать их удалить запрещенное приложение, правда, проследить установку APK-файлов, не выйдет, поэтому пиратский контент все равно может распространяться, но уже другими путями[3].


Основная статья: [Блокировка сайтов и приложений в России]]

2019

Около 90% российских популярных Android-приложений передают личные данные третьим сторонам

2 октября 2019 года стало известно, что интернет-издание The Bell с помощью сервиса AppCensus и платформы аудита приватности приложений Exodus проанализировало, какие данные обрабатывают и передают популярные Android-приложения в российском Google Play Store, а также какие разрешения они запрашивают у пользователей.

По результатам, 89 из топ-100 бесплатных приложений отправляют пользовательские данные сторонним платформам. Практически все приложения передают информацию как по зашифрованным, так и по незашифрованным каналам Android Ad ID. Таким образом, это не только позволяет рекламной системе Google легко связать устройство с конкретным пользователем, но также предоставляет доступ третьим лицам к персональной информации пользователей, включая геолокацию. Лидером по количеству каналов передачи данных оказалось приложение «Читай бесплатно» от Litres — 31 канал. «Первый канал», в свою очередь, занимает первое место по числу незашифрованных потоков. Также оказалось, что приложения «Первого канала», телеканала «Россия» и НТВ при передаче данных медиаизмерителю Mediascope используют протокол HTTP вместо более безопасного HTTPS.

Практически все проанализированные приложения (97 из 100) используют рекламные трекеры, помогающие поисковым системам и соцсетям распознавать конкретный аккаунт и показывать таргетированную рекламу. Наибольшее число трекеров специалисты Exodus обнаружили в популярном сервисе «зацикленных» видео Coub — 30 трекеров.

Что касается разрешений, то больше всего среди самых популярных приложений Google Play Store их запрашивает VK от VK (ранее Mail.ru Group). Приложения запрашивают 60 различных разрешений, в том числе доступ к геолокации, камере, микрофону, истории звонков и сообщений и данным об устройстве пользователя.

Согласно данным компании Symantec, 46% всех Android-приложений запрашивают доступ к камере смартфона, а 25% — к записи аудио без уведомления пользователя[4].

Сравнительное исследование защищенности двенадцати популярных мобильных приложений знакомств

24 сентября 2019 года компания «Ростелеком-Солар» к «бархатному сезону» провела сравнительное исследование защищенности двенадцати популярных мобильных приложений знакомств: Tinder, Badoo, Loveplanet, Mamba, Фотострана, Topface, ДругВокруг, MyFriends, Galaxy, Знакомства@mail.ru, Teamo и Hitwe. Приложения для анализа были отобраны согласно критерию популярности: количеству скачиваний в Google Play и App Store, а также позиции в различных рейтингах сайтов знакомств. Все приложения рассматривались в вариантах для мобильных операционных систем iOS и Android.

С каждым годом сервисы онлайн-знакомств становятся все более привлекательными как для целевой аудитории, так и для инвесторов. По данным аналитика японского холдинга Nomura Instinet Марка Келли, к 2020 году объём мирового рынка онлайн-знакомств вырастет до $12 млрд. Портал statista.com оценил объем российского рынка онлайн-знакомств в 2017 году в $66 млн. При этом актуальным рыночным трендом был назван переход аудитории на мобильные приложения, доля которых к концу 2018 года, по мнению аналитиков, достигла 60%.

Неожиданно, по результатам автоматизированного анализа, в Android-версии приложения Знакомства@mail.ru, которое позиционируется создателями как лидер российского рынка сервисов знакомств, была обнаружена высококритичная уязвимость, входящая в международный рейтинг наиболее критичных уязвимостей «OWASP Mobile Top 10 2016». В случае ее успешной эксплуатации злоумышленник может получить доступ к учетной записи пользователя приложения и, соответственно, ко всей незашифрованной информации, которое приложение передает на сервер. Эта и другие уязвимости не позволили Знакомства@mail.ru подняться выше предпоследнего места в списке по уровню защищенности среди приложений с количеством установок более 5 млн (8 из 12-ти исследованных приложений).

«
Благодаря уязвимости этого класса хакер может стать обладателем логина и пароля пользователя, с их помощью войти в приложение и получить доступ к переписке, видео и аудио-контенту, которым владелец аккаунта обменивался со своими знакомыми в приложении. Этот контент может стать компроматом на любого человека, по той или иной причине заинтересовавшего злоумышленника. Эту информацию могут выложить в сеть, как было в случае со скандально известным сайтом знакомств Ashley Madison. Наконец, пользователи часто ленятся запоминать разные логины и пароли и используют одну и ту же связку и для аккаунта в приложении знакомств, и, например, для доступа в онлайн-банк. Что, в свою очередь, создает уже финансовые риски,
отметил руководитель направления Solar appScreener компании «Ростелеком-Солар» Чернов Даниил
»

В целом, по результатам анализа Android-версий cамыми защищенными приложениями знакомств оказались Teamo и Фотострана: общий уровень защищенности обоих приложений равен 3.2 балла из 5.0. Звезды глобального рынка – приложения с количеством установок более 100 млн – Badoo и Tinder продемонстрировали средние показатели уровня защищенности, 2.9 и 2.6 балла соответственно. Наиболее уязвимым оказалось приложение MyFriends (1.9 балла из 5.0).

В 83% исследованных мобильных приложений знакомств на базе OC-Android ключ шифрования задан в исходном коде. Эта критичная уязвимость может привести к компрометации данных, содержащихся в программе, - как пользовательских, так и системных. Кроме того, все исследованные приложения знакомств на базе Android допускают внутреннюю утечку ценной информации, которой может воспользоваться злоумышленник для разработки плана атаки на приложение. Также все они содержат уязвимость, создающую угрозу выполнения злоумышленником произвольного кода в приложении.

Что касается iOS-приложений, рассматриваемых в исследовании, сервис знакомств Hitwe содержит наименьшее количество уязвимостей среди всех «яблочных» систем – ему удалось набрать 1.0 балл из 5.0 по общему уровню защищенности. iOS-версии мировых брендов Badoo и Tinder, как и в случае с Android, заняли средние позиции в рейтинге – общий уровень защищенности обоих равен 0.5 балла. Самым небезопасным приложением на базе iOS признан Topface (0.0 балла).

Все проанализированные iOS-версии содержат слабый алгоритм хеширования, что потенциально может привести к утрате конфиденциальности обрабатываемых ими данных. А более чем в половине из них заложены слабые алгоритмы шифрования, что создает угрозу их взлома методом полного перебора. В целом, iOS-версии мобильных сервисов знакомств содержат на порядок большее количество уязвимостей, чем Android-приложения, что, однако, в некоторой степени компенсируется более высокой защищенностью самой операционной системы.

Анализ безопасности кода мобильных приложений знакомств осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.

Россия - лидер по киберугрозам для Android

Россия занимает первое место по числу создаваемых под Android вредоносных программ по данным Eset за первое полугодие 2019 г. При этом 68% уязвимостей являются критически опасными для нормального функционирования устройств на Android либо для безопасности личных данных пользователей. Этот показатель значительно выше прошлого года. Эксперты считают, что количество уязвимостей в разрабатываемых под различные платформы мобильных приложениях будет продолжать расти пропорционально росту объемов разработки.

Согласно исследованию, наибольшее число вредоносных программ было обнаружено в России (16%), Иране (15%), а также на территории Украины (8%). Эксперты пришли к выводу, что количество уязвимостей Android-устройств уменьшилось, однако доля действительно опасных образцов вредоносного ПО заметно возросла. Так, число мобильных угроз сократилось на 8% по сравнению с аналогичным периодом 2018 г. "Одним из самых распространенных видов мобильных угроз остаются вымогатели. Недавно обнаруженный Android/Filecoder.C использует как симметричное, так и асимметричное шифрование и распространяется посредством SMS-сообщений по списку контактов. Это наглядный пример усложнения функционала по сравнению с ранними семействами вымогателей, такими как DoubleLocker", - написано в отчете.

Исследователи ESET подчеркнули, что с развитием интернета вещей возрастает необходимость защищать не только ноутбуки и смартфоны, но и все подключенные к сети устройства.

У 76% мобильных приложений небезопасное хранение данных

19 июня 2019 года компания Positive Technologies сообщила, что ее эксперты протестировали мобильные приложения для iOS и Android и выяснили, что в большинстве приложений данные хранятся небезопасно, а хакеру редко требуется физический доступ к смартфону жертвы для их кражи.

По данным исследования, приложения для Android с критически опасными уязвимостями встречаются несколько чаще, чем программы для iOS (43% против 38%). Однако эта разница несущественна, считают эксперты, и общий уровень защищенности клиентских частей мобильных приложений для обеих платформ примерно одинаков.

Самой распространенной уязвимостью эксперты назвали небезопасное хранение данных, которое встречается в 76% мобильных приложений: в руках хакеров могут оказаться пароли, финансовая информация, персональные данные и личная переписка.

«
Для кражи данных злоумышленникам редко нужен физический доступ к смартфону жертвы: 89% обнаруженных нами уязвимостей могут быть проэксплуатированы с использованием вредоносного ПО. Вероятность заражения увеличивается в разы на устройствах с административными привилегиями (root или jailbreak). Но вредоносное ПО может повышать права самостоятельно. Попав на устройство жертвы, вредонос может запрашивать разрешения на доступ к пользовательским данным, а получив разрешение, передавать данные злоумышленникам. Мы рекомендуем пользователям внимательно относиться к уведомлениям от приложений о запросе доступа к каким-либо функциям или данным. Не стоит предоставлять разрешение на доступ, если есть сомнение в его необходимости для нормального функционирования приложения,
говорит Яна Авезова, аналитик информационной безопасности Positive Technologies
»

Как показали результаты исследования, серверные части не менее уязвимы, чем клиентские: 43% имеют низкий или крайне низкий уровень защищенности, при этом 33% содержат критически опасные уязвимости. Среди самых распространенных недостатков высокого уровня риска в серверных частях – недостаточная авторизация и утечка информации.

2010: Проблема вредоносного ПО для мобильных устройств во многом преувеличена

Развитие мобильного интернета, безусловно, породило и киберугрозы для владельцев телефонов. Однако, как считают эксперты, во многом проблема вредоносного ПО, специально разработанного для мобильных устройств, во многом преувеличена. Дело в том, что невообразимое количество вирусов для обычных ПК не идет ни в какое сравнение со "считанными" десятками вредоносных программ для мобильных телефонов.

Например, львиная доля мобильных вирусов писалась для одной из самых распространенных программных платформ Symbian OS для смартфонов и коммуникаторов Nokia Corporation. Однако с появлением в 2006 году следующей версии данной платформы риск заражения стал стремиться к нулю. Одним словом, любая операционная система для "мобильников" старается, как можно эффективнее, обезопасить своего пользователя от возможного "заражения".

Однако это вовсе не означает, что вирусов для данных устройств совсем не существует. Так, в 2008 году появился один из немногих мобильных вирусов для Symbian OS 9.1 S60 3rd Edition - программа Sexy View, отличительной особенностью которой было то, что она подписана действительным сертификатом безопасности Symbian. Данный вирус производил SMS-рассылку со ссылкой на себя, а целью вируса был сбор конфиденциальной информации о зараженном устройстве (IMEI и т.д.). К тому же, уже известное по предыдущим версиям программных платформ кроссплатформенное приложение FlexiSpy, крадущее личную информацию абонента, существует и для данной версии ОС.

Чтобы предотвратить "заражение" мобильными вирусами, необходимо узнать как можно больше информации о том приложении, которое пользователь собирается скачать. Для этого можно воспользоваться интернетом, как правило, на различных специализированных форумах имеется информация о вредоносном ПО. Кроме того, можно попробовать связаться с представителями той площадки, откуда планируется скачать программу. В конце концов, можно обратиться к создателям антивирусного ПО.

Супераппы

Основная статья: Супераппы

Порталы веб-приложений

Сегодня, помимо независимых инетрнет-площадок для распространения мобильных приложений, собственные подобные ресурсы создают ведущие производители сотовых телефонов, смартфонов и коммуникаторов. Некоторые из них уже имеют или планируют в ближайшем будущем открыть собственную площадку по продаже мобильных приложений. Такие специализированные порталы по распространению мобильного ПО уже имеют производитель телефонов iPhone - компания Apple (App Store), компания Nokia Corporation (OVi), производитель смартфонов Blackberry - компания RIM (BlackBerry App World и Application Center), компания Google (Android Market), компания Sony Ericsson (PlayNow arena) и ряд других. Помимо самих приложений, эти онлайн-ресурсы продают также разнообразный мобильный контент (музыку, видео, картинки, электронные книги и т.д.).

Инструменты для разработки приложений

Кроме того, производители мобильных телефонов, смартфонов и коммуникаторов и создатели операционных систем, а также операторы сотовой связи выпускают программные инструменты для создания мобильных приложений. Они предлагаются на основе как открытого, так и закрытого ПО и зачастую предназначены для написания приложений для конкретной операционной системы, что часто означает - для конкретной модели мобильного устройства (например, iPhone, гуглфоны или смартфоны Nokia Corporation).

Ссылки