Атака на гаджеты? Влияют ли приложения на уязвимость перед хакерами

Twin Design / Shutterstock.com

Доцент Института кибербезопасности и защиты информации Санкт-Петербургского политехнического университета Петра Великого (входит в проект «5-100») Евгений Жуковский рассказал, как предустановленные на смартфоны и компьютеры приложения влияют на информационную безопасность устройств и станут ли они более уязвимыми для атак хакеров.

   
   

Может ли предустановка приложений сделать устройство более уязвимым?

— Чем больше установлено приложений на устройстве, тем больше существует потенциальных точек проникновения в систему для атакующего. Но основным фактором является не количество предустановленных приложений, а их качество с точки зрения безопасности. Стоит также не забывать, что современные приложения, особенно мобильные, являются только малой частью инфраструктуры, предоставляющей услуги пользователю. Безопасность приложения также определяется безопасностью всей инфраструктуры, включая используемые сторонние сервисы. В том числе информационные системы, осуществляющие обработку пользовательских данных.

Могут ли разработчики сделать свои приложения более безопасными?

— Ни одна компания, неважно, какой бы она ни была крупной, самостоятельно не может выявить все потенциальные проблемы безопасности в своих продуктах. Поэтому крайне важно производителям программ и устройств привлекать сторонних специалистов. Для этого существуют программы (bugbounty-программы), предполагающие предоставление вознаграждения исследователям, находящим ошибки и уязвимости в продуктах компаний. Данная практика показала огромную эффективность в выявлении проблем безопасности. 

Если изучить текущую версию списка предустанавливаемых российских приложений, то большинство разрабатываются крупными игроками отечественной IT-отрасли, которые имеют такие публичные программы, позволяющие им получать информацию о десятках и сотнях проблем безопасности от сторонних исследователей. Конечно, это делает продукт безопаснее. К сожалению, по некоторым приложениям, указанным в списке предустанавливаемых, не удалось найти информацию о наличии bugbounty-программ, в связи чем вызывает большие вопросы уровень обеспечения их безопасности.

 

Так опасны ли предустанавливаемые приложения?

— Предустановка приложений может увеличить число проблем с информационной безопасностью. Но, скорее всего, эти они не будут иметь массового характера. Наиболее сложным периодом, когда данная проблема может себя проявить, является начало массовой предустановки приложений. Исходный уровень безопасности приложений, в отношении которых не проводился публичный аудит в рамках bugbounty-программ, может быть не самым высоким. А после начала обязательной предустановки к ним будет повышенное внимание со стороны злоумышленников.