Недавно компания appWatchdog решила проверить, как хорошо приложения, загруженные с AndroidMarket и AppStore, шифруют личную информацию, которая вводится при их использовании - ведь мы оставляем там банковские реквизиты, учетные данные для различных интерент-сервисов, сообщения и контакты из электронной почты, логины и пароли для онлайн-шопинга, а также социальных сетей. Для теста с ноября 2010 по июль 2011 года (он шел явно не очень спешно, этот тест) специалисты выбрали сотню приложений, разделив из на тематические группы:
• финансовые приложения (данные для онлайн-банкинга);
• социальные сети (логины и пароли);
• приложения для повышения продуктивности труда (календари, закладки, почтовые сервисы);
• приложения для онлайн-шопинга (данные “Личного кабинета” в онлайн-магазинах).
После скачивания приложений, специалисты добавили в них личную информацию, а затем пытались взломать эти программы всеми подручными средствами для получения заранее введенных данных. Каждое приложение могло получить одну из трех оценок: отлично (не удалось получить данные), хорошо (удалось обнаружить информацию, но не расшифровать), неудовлетворительно (информацию получили).
Финансовым приложениям "повезло" больше всего - после тестирования этой группы приложений 44% получили оценку “отлично”, 31% - “хорошо” и 25 % провалили тест. В “неудовлетворительных” приложениях исследователям удалось получить информацию об истории всех платежей, номер кредитной карты и даже PIN-код. Неприятно! В категории "Социальные сети" результаты были хуже - ни одно из приложений не прошло тест до конца, 26% получили хороший результат и 74% выдели информацию о своих юзерах без лишних вопросов. А значит злоумышленники, получив украденный или проданный БУ аппарат, могут получить в свое распоряжение не только логин и пароль от аккаунта, но и все личных сообщения и срытую часть профайла (фотографии, дату рождения и прочее). Вот неприятная новость. Приложения для "повышения продуктивности труда", правда, показали результат чуть получше - правда, эти аппы, как и приложения для социальных сетей, также почти не скрывают какую-либо информацию от третьих лиц. Только 9% прошли тест, 49% получили оценку “хорошо” и 43% провалили тестирование.
Программы, удобны для поиска лучших цен и товаров среди различных магазинов, тоже подвергались стресс-тестированию. И что получилось? Как мы понимаем, при оплате покупок необходимо вводить информацию о кредитной карте и другие личные данные. В результате ни одно приложение не прошло тестирование до конца, а 88% показали наличие данных, но полностью их не открыли. И 14% оставили частную информацию под замком. Причем среди приложений, которые предоставили ключик к заветной информации, были Groupon для Android и официальное приложение от Starbucks для обеих платформ. "Это еще раз доказывает, что даже крупные корпорации не всегда инвестируют достаточно средств для защиты данных своих посетителей", - отметили эксперты G Data Software. В целом, только 17% приложений сохранили информацию о владельце, в том время как 83% выдали или лишь показали эти данные, которые можно взломать в последствие. Удручающие цифры. Интересно, многие ли пользователи "смартиков" об этом догадываются?
