Разрешения приложений — это своего рода невидимый страж, контролирующий, к каким данным и функциям устройства получают доступ ваши приложения. Если вы когда-либо скачивали новое приложение или активировали новую функцию, скорее всего, вам появлялось окно с запросом на предоставление разрешений. Но сколько из нас, не задумываясь, нажимали «разрешить»?

Некоторые разрешения являются уместными для приложения. Но некоторые могут (намеренно или нет) выходить за рамки того, что строго необходимо. А другие могут быть откровенно вредоносными. Важно понимать, какие разрешения следует пропускать, а какие — блокировать.

В чем суть разрешений приложений?

Всплывающее окно с запросом разрешений — это, по сути, диалог между вашей мобильной ОС и вами. Оно фактически сообщает вам, что новое приложение запросило доступ к определенным данным или функциям. И просит вашего одобрения (разрешения) на это. Раньше такие запросы появлялись перед установкой. Но современные версии iOS отображают запросы на разрешения во время работы, когда вы впервые запускаете приложение. Android делает и то, и другое, выводя запросы во время установки только для разрешений с низким уровнем риска.

Начиная с Android 6.0, разрешения делятся на две категории: обычные разрешения, такие как доступ к Интернету, которые предоставляются автоматически во время установки без запроса у пользователя, и опасные разрешения, такие как доступ к местоположению, микрофону или контактам, которые должны быть явно одобрены пользователем во время работы (при первой попытке использования соответствующей функции). В более новых версиях также были введены дополнительные разрешения, такие как определение местоположения в фоновом режиме и уведомления, которые могут требовать отдельного или многоэтапного процесса получения согласия. iOS отображает все конфиденциальные разрешения во время работы аналогичным образом.

Для разработчиков разрешения являются важным способом обеспечения бесперебойного и многофункционального взаимодействия с пользователями. Если бы приложению приходилось запрашивать доступ к данным/функциям устройства каждый раз при их использовании, оно было бы практически непригодным для использования.

В последние годы и iOS, и Android внедрили значимые встроенные средства защиты, которые снижают риски, связанные с предоставлением приложениям чрезмерных привилегий. Однако окончательное решение, как правило, остается за вами.

Опасности разрешений приложений

Независимо от того, злонамеренно или нет, некоторые приложения запрашивают больше доступа, чем им необходимо. Вспомните, например, мобильную игру, запрашивающую доступ к вашим контактам, или приложение-калькулятор, запрашивающее разрешение на доступ к микрофону и камере.

Утверждая разрешения, не задумываясь, вы можете позволить злонамеренным разработчикам получить доступ к конфиденциальным данным вашего смартфона (календарь, приложения для обмена сообщениями, SMS, файлы и хранилище, контакты, журналы вызовов, местоположение, микрофон и камера и т. д.). Теоретически они могут даже считывать содержимое вашего экрана, когда вы печатаете. Имея такой доступ, они могут:

Получить пароли к вашим самым конфиденциальным учетным записям (например, к онлайн-банкингу)

  • Перехват одноразовых SMS-кодов
  • Подпишите свое устройство на услуги с повышенной стоимостью
  • Создание полной картины вашей цифровой жизни для продажи рекламодателям
  • Подвергните риску свою физическую безопасность путем отслеживания вашего местоположения
  • Включать камеру/микрофон, чтобы превратить ваш смартфон в устройство прослушивания
  • Зашифровать ваши файлы и требовать выкуп
  • Установить на ваше устройство вредоносное ПО (например, программы для кражи данных, программы-вымогатели)

Приложения с искусственным интеллектом (не говоря уже о приложениях, маскирующихся под них) представляют собой растущий риск, связанный с разрешениями, который стоит выделить отдельно. Многие из них запрашивают постоянный доступ к микрофону для распознавания слов-активаторов, а также к контактам, календарю и, в некоторых случаях, к содержимому экрана. Относитесь к приложениям с ИИ с той же тщательностью, что и к любой другой категории. Данные о здоровье и физической форме — еще одна недооцененная угроза. Приложения, имеющие доступ к вашим показателям здоровья, могут передавать или продавать эти данные способами, которые могут иметь реальные последствия, в том числе для страхования и брокерских операций с данными.

permissions
Длинный список разрешений, запрашиваемых обманчивым приложением для кредитования в 2023 году (источник: ESET Research)

Какие разрешения приложений должны вызвать тревогу?

Разрешения приложений зависят от контекста. То, что одно приложение запрашивает для обеспечения ожидаемого пользователями опыта, может сильно отличаться от разрешений, необходимых другому приложению. Однако есть определенные разрешения, которые всегда должны вызывать настороженность. К ним относятся:

  • Службы доступности: также известные как «режим Бога», они могут позволить злонамеренным разработчикам видеть, что вы печатаете, читать ваши сообщения и незаметно для вас предоставлять себе другие разрешения. (Обратите внимание, что эта функция изначально недоступна на iOS. Новые версии ОС Android не позволят приложениям, установленным вне Play Store, запрашивать это разрешение. Кроме того, они будут проверять каждые несколько недель, хотите ли вы продолжать предоставлять это разрешение.)
  • Определение местоположения в фоновом режиме: это может позволить злоумышленнику отслеживать ваше устройство везде, где бы вы ни находились, чтобы составить подробную картину вашей повседневной жизни. (Примечание: чтобы снизить этот риск, Android и iOS не позволяют вам сразу выбрать «всегда разрешать», и будут периодически спрашивать вас, хотите ли вы сохранить отслеживание в режиме «всегда разрешать»).
  • Журналы SMS/звонков: лишь немногим приложениям действительно нужен доступ к вашим текстовым сообщениям и истории звонков. Получив такой доступ, хакер сможет прочитать ваши одноразовые пароли и взломать ваши учетные записи. (Примечание: чтобы приложение могло запрашивать эти разрешения на Android, оно сначала должно быть зарегистрировано в качестве приложения по умолчанию для этой функции. iOS не позволяет приложениям, загруженным из App Store, запрашивать разрешение на «Чтение SMS» или «Просмотр истории звонков».)
  • Разрешение на наложение: позволяет приложению отображать «окно» поверх другого приложения, которое вы, возможно, используете, что может привести к атакам типа «кликджекинг ». (Примечание: Android требует, чтобы пользователи явно включали эту функцию через «Настройки» > «Приложения» > «Специальный доступ к приложениям» > «Отображать поверх других приложений». В iOS нет аналогичного разрешения).

Безопасное управление разрешениями приложений

Прежде чем разрешить или заблокировать, всегда подумайте, действительно ли данное разрешение необходимо для работы данного приложения.

Еще одно хорошее правило — разрешать доступ только «один раз» или «во время использования». Только приложения для безопасности, такие как «Find My», действительно должны иметь доступ 24/7/365.

Многие приложения должны предлагать вам регулярно проверять ваши разрешения. Но может быть полезно проводить проверку разрешений проактивно. Вот как это сделать:

iOS

  1. Перейдите в «Настройки» > «Конфиденциальность и безопасность».
  2. Прокрутите вниз и нажмите (или включите) «Отчет о конфиденциальности приложений».
  3. Здесь вы увидите, какие приложения получали доступ к вашим данным и когда.

В качестве альтернативы:

  1. Перейдите в «Настройки» > «Приложения».
  2. Выберите конкретное приложение (например, Instagram).
  3. Вы увидите список всех переключателей (Камера, Микрофон, Контакты). Отключите все, что не является необходимым.

Android

  1. Перейдите в «Настройки» > «Безопасность и конфиденциальность» > «Конфиденциальность» > «Панель управления конфиденциальностью».
  2. Нажмите «Просмотр за 7 дней » (меню в правом верхнем углу), чтобы увидеть хронологию всех приложений, которые использовали ваши датчики за последнюю неделю. (Эти шаги могут отличаться на разных устройствах с Android, поэтому проверьте.)
  3. Если вы увидите, что приложение использует микрофон в 3:00 ночи, нажмите на него, чтобы немедленно отозвать доступ.

В качестве альтернативы (пути навигации по-прежнему различаются в зависимости от оболочки Android):

  1. Перейдите в «Настройки» > «Приложения» > [Название приложения].
  2. Убедитесь, что переключатель «Управлять приложением, если оно не используется» (или «Приостановить работу приложения, если оно не используется») включен.
  3. Если вы не используете приложение в течение нескольких месяцев, Android автоматически отменит его разрешения, удалит временные файлы и отключит уведомления.

Прежде всего, загружайте приложения только из официальных магазинов (Google Play/App Store). Перед тем как принять решение, сначала прочтите отзывы о них. Рассмотрите возможность установки мобильного решения для обеспечения безопасности от надежного поставщика.

Будьте в безопасности!

Читать полный анализ на WeLiveSecurity →