![Четете списъка с отметките за достъп, които приложенията искат. [Shutterstock]](http://www.capital.bg/shimg/zx620y323c_3070565.jpg)
Да си инсталираш финансов проблем
Четете листата с отметките за достъп, които приложенията желаят.
[Shutterstock] Приложения с пробита отбрана се трансформират във вход за зложелатели. Още по тематиката
Пробив в сигурността разкри информация за клиенти на Unicredit
Общият брой на засегнатите е 400 хиляди, настояват от италианската банка
27 юли 2017
Нова хакерска офанзива удари редица страни
Отново са употребявани инструментите, откраднати от американската Национална организация за сигурност
28 юни 2017
Нова хакерска офанзива от вида `WannaCry`
27 юни 2017
Как да защитя картата си
Застраховка, обособена карта за интернет заплащания, кодове и други свиват риска от кражба на средства. Но носят и разход
1 юли 2016 През август в профилираните софтуерни издания излезе една много притеснителна вест, която сякаш несправедливо остана неразвита по-подробно от медиите с необятна читателска публика. Става дума за отстранени едновременно над 500 приложения от електронния магазин на Гугъл - Гугъл Play, като измежду тях са и участници в топ 1000 на най-сваляните и употребени от милиони консуматори по целия свят стратегии. Причината за решението бяха засечени пропуски в системите за сигурност, които разрешават на хакерите елементарно да " влязат " в нечий смарт телефон и по този начин да се снабдят с персонални данни и сензитивна информация. Сред изтритите стратегии бяха такива за известия, игри, разчистване на паметта от непотребни файлове и други И въпреки Гугъл, а и другите оператори (Microsoft и Apple Store) да поставят старания да лимитират предлагането на стратегии с ниска степен на отбрана, такива се оферират изцяло свободно и гратис в мрежата и е въпрос на потребителска " хигиена " и построяването на спомагателен инстикт за предотвратяване от злоупотреби. А откакто епохата на романтизма за хакерите отмина, злоупотребите към този момент не наподобяват като танцуващи човечета на екрана, а имат типа на незабелязано източени банкови сметки.
Защо някои приложения са рискови
Голяма част от тези стратегии се пишат от стартъпи, които не всеки път разполагат с нужния финансов тил и време, с цел да изпипат творбата си до дъно, включително и сигурността. " При тях процесът до излизане на пазара би трябвало да е доста бърз. И от време на време в устрема да тръгнеш бързо се неглижират някои неща ", разяснява Христо Ласков от CENTIO Professional IT Security. Това прави потребителите уязвими, защото, с цел да употребяват приложението, се съгласяват да дават сензитивна персонална информация.
Това води към втората причина, заради която стратегиите за телефон могат да бъдат опасни-: разработчиците им доста добре знаят какъв брой скъпа валута са данните и по тази причина се пробват да вземат максимума на вероятното, даже и някои функционалности да не са нужни за самото приложение. Това е повода, заради която на екрана с отметките, на който би трябвало да се кликне с " Да " при инсталацията, нормално са включени претенции за достъп до всичко - фотоси, бележки, телефонен справочник и даже право на приложението автоматизирано да изпраща и чете SMS-и.
Дори и разработчикът на приложението да не злоупотребява с тази информация, (например като залива потребителя с таргетирана реклама), тези данни нормално се копират и се съхраняват в облак. И когато съответното приложение и облака му не са добре предпазени, това се трансформира във вход към злоупотреби от страна на компютърните хакери, които, атакувайки облака, биха могли да се снабдят с бази данни на едро. Домогвайки се до основна информация за даден консуматор, те могат незабелязано да източат банковата му сметка да вземем за пример.
Как става това
Достъпът до фотоси и бележки в телефона е рисково позволение. Особено в случай че потребителят има неразумния табиет да си записва и снима пароли и номера на банкови сметки, разчитайки, че е подсигурил задоволително добре телефона си с ПИН код и някаква биометрична отбрана като пръстов отпечатък. По същия метод е рисковано да се записват пароли като телефонни номера поради постоянно желаното от приложенията позволение за достъп до телефонния справочник. Затова рекомендацията на специалистите е пароли и номера на сметки да се пазят само в приложения като Password Manager и една ключова дума да не се употребява за повече от един акаунт.
Ако през приложение или по различен метод в телефона проникне вирус, хакерът би могъл да откри надзор над системи като четене и изпращане на известия, с което на процедура получава достъп до връзката, с която потребителят прави електронно банкиране (ако, естествено, употребява такова). Рискът е зложелателят да преодолее двуфакторната оторизация и в случай че ползвателят на телефона е абониран за SMS вести, да обезврежда и този щит. Това става посредством домогването до данни като имейл, трите имена, рождената дата и град, даже моминското име на майката (което постоянно се желае от банките като първа алтернатива за скришен въпрос) - лесна задача, изпълнима от време на време даже с обзор на профила във Фейсбук.
Снабден с такава информация, хакерът може да влезе в електронното банкиране, да изиска възобновяване на ключова дума (което е автоматизирана услуга и може да се извърши когато и да е на денонощието). Потребителят няма да чуе получения SMS, само че хакерът ще го прочете и ще употребява кода, ще влезе в банковия акаунт и по-късно ще изтрие известието. Така може да минат дни, до момента в който някой забележи, че от сметката му липсват пари.
Как да се предпазим
Четете в детайли информацията за приложението, което сваляте на телефона си. Ако тя е написана на негоден британски, това би трябвало да е първата алена лампичка за " Внимание! ". Преглеждайте усърдно листата с документи, до които приложението желае достъп, и не бързайте да давате автоматизирано позволение накуп. Обикновено има алтернатива да не се съгласявате с всичко от изброеното. Проявете доза сериозна мисъл, когато приложението желае достъп до прекалено много информация. Ако инсталирате фенерче и то желае да му разрешите да вижда контактите в указателя ви или фотосите, би трябвало незабавно да се усъмните, че нещо не е напълно наред. Трите златни правила за сигурност
В допълнение на нарасналата зоркост към приложенията не забравяйте и положителните остарели правила за сигурност:
- Винаги обновявайте операционната система на телефона си (може да е досадно упражнение, което задръства паметта, само че актуализира отбраната на телефона против последното потомство вируси)
- Никога не влизайте в банкови сметки и разплащателни системи като epay през безвъзмездни WiFi мрежи, за които няма ключова дума. Опасно е даже да ползвате Фейсбук през такава мрежа. Ако сте в чужбина, по летища и хотели и това е единственият метод за връзка, най-малко влизайте през VPN (virtual private network), който прекарва трафика ви през криптиран канал
- Не забравяйте включен Bluetooth-а на телефона си. Покрай безжичните слушалки, тонколонки, часовници постоянно оставяме смарт телефона си в режим на Bluetooth, което го прави уязвим, защото има системи за навлизане в непознати телефони през тази връзка, при което може да се направи бързо прекопирване на информацията или даже да се поеме контролът върху устройството с следващо изнудване за откуп.
[Shutterstock] Приложения с пробита отбрана се трансформират във вход за зложелатели. Още по тематиката
Пробив в сигурността разкри информация за клиенти на Unicredit
Общият брой на засегнатите е 400 хиляди, настояват от италианската банка
27 юли 2017
Нова хакерска офанзива удари редица страни
Отново са употребявани инструментите, откраднати от американската Национална организация за сигурност
28 юни 2017
Нова хакерска офанзива от вида `WannaCry`
27 юни 2017
Как да защитя картата си
Застраховка, обособена карта за интернет заплащания, кодове и други свиват риска от кражба на средства. Но носят и разход
1 юли 2016 През август в профилираните софтуерни издания излезе една много притеснителна вест, която сякаш несправедливо остана неразвита по-подробно от медиите с необятна читателска публика. Става дума за отстранени едновременно над 500 приложения от електронния магазин на Гугъл - Гугъл Play, като измежду тях са и участници в топ 1000 на най-сваляните и употребени от милиони консуматори по целия свят стратегии. Причината за решението бяха засечени пропуски в системите за сигурност, които разрешават на хакерите елементарно да " влязат " в нечий смарт телефон и по този начин да се снабдят с персонални данни и сензитивна информация. Сред изтритите стратегии бяха такива за известия, игри, разчистване на паметта от непотребни файлове и други И въпреки Гугъл, а и другите оператори (Microsoft и Apple Store) да поставят старания да лимитират предлагането на стратегии с ниска степен на отбрана, такива се оферират изцяло свободно и гратис в мрежата и е въпрос на потребителска " хигиена " и построяването на спомагателен инстикт за предотвратяване от злоупотреби. А откакто епохата на романтизма за хакерите отмина, злоупотребите към този момент не наподобяват като танцуващи човечета на екрана, а имат типа на незабелязано източени банкови сметки.
Защо някои приложения са рискови
Голяма част от тези стратегии се пишат от стартъпи, които не всеки път разполагат с нужния финансов тил и време, с цел да изпипат творбата си до дъно, включително и сигурността. " При тях процесът до излизане на пазара би трябвало да е доста бърз. И от време на време в устрема да тръгнеш бързо се неглижират някои неща ", разяснява Христо Ласков от CENTIO Professional IT Security. Това прави потребителите уязвими, защото, с цел да употребяват приложението, се съгласяват да дават сензитивна персонална информация.
Това води към втората причина, заради която стратегиите за телефон могат да бъдат опасни-: разработчиците им доста добре знаят какъв брой скъпа валута са данните и по тази причина се пробват да вземат максимума на вероятното, даже и някои функционалности да не са нужни за самото приложение. Това е повода, заради която на екрана с отметките, на който би трябвало да се кликне с " Да " при инсталацията, нормално са включени претенции за достъп до всичко - фотоси, бележки, телефонен справочник и даже право на приложението автоматизирано да изпраща и чете SMS-и.
Дори и разработчикът на приложението да не злоупотребява с тази информация, (например като залива потребителя с таргетирана реклама), тези данни нормално се копират и се съхраняват в облак. И когато съответното приложение и облака му не са добре предпазени, това се трансформира във вход към злоупотреби от страна на компютърните хакери, които, атакувайки облака, биха могли да се снабдят с бази данни на едро. Домогвайки се до основна информация за даден консуматор, те могат незабелязано да източат банковата му сметка да вземем за пример.
Как става това
Достъпът до фотоси и бележки в телефона е рисково позволение. Особено в случай че потребителят има неразумния табиет да си записва и снима пароли и номера на банкови сметки, разчитайки, че е подсигурил задоволително добре телефона си с ПИН код и някаква биометрична отбрана като пръстов отпечатък. По същия метод е рисковано да се записват пароли като телефонни номера поради постоянно желаното от приложенията позволение за достъп до телефонния справочник. Затова рекомендацията на специалистите е пароли и номера на сметки да се пазят само в приложения като Password Manager и една ключова дума да не се употребява за повече от един акаунт.
Ако през приложение или по различен метод в телефона проникне вирус, хакерът би могъл да откри надзор над системи като четене и изпращане на известия, с което на процедура получава достъп до връзката, с която потребителят прави електронно банкиране (ако, естествено, употребява такова). Рискът е зложелателят да преодолее двуфакторната оторизация и в случай че ползвателят на телефона е абониран за SMS вести, да обезврежда и този щит. Това става посредством домогването до данни като имейл, трите имена, рождената дата и град, даже моминското име на майката (което постоянно се желае от банките като първа алтернатива за скришен въпрос) - лесна задача, изпълнима от време на време даже с обзор на профила във Фейсбук.
Снабден с такава информация, хакерът може да влезе в електронното банкиране, да изиска възобновяване на ключова дума (което е автоматизирана услуга и може да се извърши когато и да е на денонощието). Потребителят няма да чуе получения SMS, само че хакерът ще го прочете и ще употребява кода, ще влезе в банковия акаунт и по-късно ще изтрие известието. Така може да минат дни, до момента в който някой забележи, че от сметката му липсват пари.
Как да се предпазим
Четете в детайли информацията за приложението, което сваляте на телефона си. Ако тя е написана на негоден британски, това би трябвало да е първата алена лампичка за " Внимание! ". Преглеждайте усърдно листата с документи, до които приложението желае достъп, и не бързайте да давате автоматизирано позволение накуп. Обикновено има алтернатива да не се съгласявате с всичко от изброеното. Проявете доза сериозна мисъл, когато приложението желае достъп до прекалено много информация. Ако инсталирате фенерче и то желае да му разрешите да вижда контактите в указателя ви или фотосите, би трябвало незабавно да се усъмните, че нещо не е напълно наред. Трите златни правила за сигурност
В допълнение на нарасналата зоркост към приложенията не забравяйте и положителните остарели правила за сигурност:
- Винаги обновявайте операционната система на телефона си (може да е досадно упражнение, което задръства паметта, само че актуализира отбраната на телефона против последното потомство вируси)
- Никога не влизайте в банкови сметки и разплащателни системи като epay през безвъзмездни WiFi мрежи, за които няма ключова дума. Опасно е даже да ползвате Фейсбук през такава мрежа. Ако сте в чужбина, по летища и хотели и това е единственият метод за връзка, най-малко влизайте през VPN (virtual private network), който прекарва трафика ви през криптиран канал
- Не забравяйте включен Bluetooth-а на телефона си. Покрай безжичните слушалки, тонколонки, часовници постоянно оставяме смарт телефона си в режим на Bluetooth, което го прави уязвим, защото има системи за навлизане в непознати телефони през тази връзка, при което може да се направи бързо прекопирване на информацията или даже да се поеме контролът върху устройството с следващо изнудване за откуп.
Източник: capital.bg
КОМЕНТАРИ