Как обеспечить безопасное использование мессенджера. Разбор
Фото: ИЗВЕСТИЯ/Эдуард Корниенко
Вопрос безопасности мессенджеров является актуальным для всех их пользователей. К приложениям предъявляются особые требования к конфиденциальности, к сбору ими данных и другим параметрам защиты. Поэтому во внедряемых в мессенджеры новых функциях также особо продумана безопасность данных. Например, в МАХ появится цифровой ID — аналог личных документов, и в первую очередь он ориентирован на безопасность и предотвращение злонамеренного доступа. Как определить, что платформа для общения является безопасной и от чего это зависит, — в материале «Известий».
Количество разрешений
Обычно большинство претензий к тому или иному мобильному приложению связано с предоставлением ему разрешений от владельца устройства. Пользователей зачастую смущает, что приложение, которое скачивалось для какой-то конкретной цели, неожиданно просит предоставить доступ к функциям, которые с этой целью никак не будут связаны. При этом не учитывается, что такие разрешения могут помогать приложению работать эффективнее и предоставлять разработчику обратную связь, необходимую для совершенствования продукта.При этом, как отмечается в анализе, проведенном «Лабораторией Касперского», далеко не всегда пользователю очевидно, зачем именно мессенджеру нужен тот или иной доступ и, что еще важнее, что происходит с данными, к которым этот мессенджер доступ получил (особенно если контроль над приложением захватят злоумышленники). А между тем лишние доступы могут нести угрозу не только приватности, но и безопасности всего устройства в целом. Чтобы минимизировать эти риски, следует придерживаться правил по контролю за разрешениями.Придерживаться принципа минимального количества данных разрешенийВыдавать ограниченный доступ (например, к галерее фото) вместо полногоПериодически проверять выданные разрешения и отзывать ненужныеПосле появления мессенджера MAX, вокруг которого распространяется большое количество слухов, связанных с безопасностью данных, пользователи стали следить, к чему именно приложение требует предоставить доступ. Разрешения на использование камеры, микрофона, контактов, файлов, Bluetooth и геолокации связали с возможной установкой слежки. Однако технический анализ этого и других приложений того же класса показывает, что все мессенджеры запрашивают практически одинаковые разрешения у своих клиентов. Конкретно MAX просит у пользователя 55 разрешений, при этом это гораздо меньше, чем у WeChat (94 разрешения), WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещенной в России), который просит 81 разрешение, и Telegram (72).Конфиденциальность разрешенийСтоит при этом учитывать, что далеко не каждое разрешение доступа представляет собой какую-либо угрозу для пользователя и может привести к утечке данных или другим неприятным последствиям. Разработчики обычно оценивают их по уровню критичности, присваивая ранг от первого до четвертого, где первый уровень критичности является высоким и может привести к нарушению конфиденциальности, а четвертый говорит об отсутствии угрозы или даже способствует защите пользователя.Если сравнивать между собой распространенные мессенджеры, то окажется, что по количеству разрешений первого уровня MAX остается позади своих конкурентов. Таких у него оказалось 11, что меньше, чем у Telegram (18), WeChat (14) и WhatsApp (12). Аналитики отмечают, что всего из 145 уникальных разрешений, выявленных у этих мессенджеров, только 24 был присвоен первый уровень критичности, то есть подавляющее большинство разрешений опасности не представляют.При этом следует помнить, что у мессенджеров иногда бывают уникальные разрешения, не характерные для остальных. Они обычно и вызывают особые подозрения, по ним разработчики судят о том, к чему может привести дальнейшее использование. Так, WhatsApp требует у пользователя доступ к SMS-сообщениям, что может привести к утечке паролей и другой информации, предоставляемой по этому каналу. Telegram запрашивает местоположение пользователя даже в фоновом режиме, биллинговую информацию и инициализацию звонков. У MAX предусмотрена возможность разрешения, позволяющего снимать блокировку экрана без использования PIN-кода, графического ключа или пароля. Однако эту функцию можно преднамеренно отключить, что исключит возможность утечки данных через нее. Если принимать во внимание более широкую картину, то мессенджеры WeChat, WhatsApp и Telegram создают гораздо большую угрозу утечки персональных данных, чем MAX.В августе пользователи MAX обсуждали тему, что мессенджер якобы самостоятельно активирует камеру, причем не на мобильном телефоне, а в десктопной версии на персональном компьютере. Потенциально это могло бы стать серьезным нарушением безопасности. Однако эта информация не подтвердилась. Об использовании камеры сигнализировал антивирус Kaspersky, однако это на самом деле была его собственная ошибка. Разработчики мессенджера заверили, что включение камеры возможно только в случае активного использования функции видеозвонка.Параметры безопасности
Безопасность пользователя обеспечивается не только количеством и характером разрешений, которые он предоставляет приложению, но и проактивными функциями самой программы, направленными на защиту. Разработчики могут в рамках своих возможностей добавлять различные способы обезопасить пользователя, чтобы в конечном счете стать более привлекательным продуктом. В том же МАХ разработчики внедряют цифровой ID, с помощью которого можно подтверждать возраст, многодетность и другие аспекты. Ради безопасности данных разработаны особые условия: ID действует только на конкретном, выбранном пользователем устройстве, а QR-код действует лишь 30 секунд.Возможности по усилению защиты могут быть очень широкими. Разработчикам следует соблюдать принципы безопасной разработки и придерживаться принятых в индустрии лучших практик для снижения рисков эксплуатации уязвимостей в продуктах. От них требуется в интересах пользователя внедрить антифишинговый движок для сигнализации о переходе на подозрительные сайты, усиливать борьбу с вредоносным программным обеспечением, бороться с овершерингом — ненамеренной демонстрацией данных, которые могут увидеть другие пользователи.Особенно актуальной в последнее время стала борьба с мошенническими звонками. Мессенджер MAX в этом направлении может продемонстрировать некоторые преимущества над конкурентами. В него внедрена автоматическая проверка номеров для защиты от злоумышленников. Благодаря ей пользователь может получать информацию о репутации номера, название звонящей компании и ее категорию.Цифровая безопасность: как обеспечить, какой выбрать мессенджер