Роскачество обнаружило небезопасные мобильные приложения для поиска работы

31.05.2018 13:12

Пресс-релиз компании Роскачество

Российская система качества проводит контрольное и более детальное исследование мобильных приложений для поиска работы (первое исследование было проведено в апреле 2017 г.) для того, чтобы отследить динамику и проверить были ли устранены недостатки со стороны разработчиков в течение года. Полные результаты исследования будут опубликованы в августе 2018 года, однако уже сейчас Роскачество сообщает о нескольких уязвимых программах. Эксперты Роскачества проверили 16 приложений для Android и 15 для iOS на наличие уязвимостей, вредоносного ПО и безопасность передачи данных. В рамках испытаний данные приложения также будут проверены на предмет полноты функциональных возможностей, удобства пользования, производительности, надежности и переносимости.

В результате исследования приложений по критериям безопасности, было определено, что некоторые приложения частично не шифруют контент. К ним относятся:

iOS: «Indeed Работа», Trovit (не шифруются только ссылки на вакансии), «Объявления Avito» (не шифруются только фотографии), PROFI.RU (не шифруются только фотографии);

Android: Superjob, «Зарплата.ру», «Росработа», PROFI.RU, «Объявления Avito» (не шифруются только фотографии), Worki (не шифруются только данные устройства), Trovit (не шифруются только ссылки на вакансии).

Передача контента в незашифрованном виде делает устройство уязвимым для атак. Это означает, что передаваемый контент возможно заменить на исполняемый файл, при открытии которого может быть выполнена вредоносная программа. Таким образом, что мало вероятно, но тем не менее возможно, при желании и определенных навыках хакер может получить контроль над устройством. При этом стоит отметить, что все вышеперечисленные приложения передают персональные данные с использованием алгоритмов шифрования.

Результаты исследования помогли выявить и приложения, которые не осуществляют и шифрование персональных пользовательских данных. Они получили 0,5 баллов по шкале от 0,5 до 5,5 по критерию «Безопасность передачи данных»:

iOS: Jobrapido.

Android: Jobrapido и Карьерист.ру.

«Согласно стандарту требований к качеству мобильных приложений, разработанному Роскачеством совместно с экспертным сообществом, передача мобильным приложением любых данных (в том числе персональных данных пользователей и контента приложений) должна производиться с использованием алгоритмов шифрования. Например, приложение Карьерист.ру для Android передает в незашифрованном виде файл с логином и паролем пользователя, Jobrapido для обеих платформ также не шифрует пользовательские данные. Это позволяет злоумышленникам получить к ним доступ при перехвате трафика. Более того, отсутствие шифрования делает устройство уязвимым для атак. Мы активно призываем разработчиков следовать стандартам, защищая интересы потребителя», отметил Илья Лоевский, заместитель руководителя Российской системы качества.

Наиболее безопасными приложениями, которые передают все данные в зашифрованном виде, не содержат вредоносного ПО и существенных уязвимостей оказались:

iOS: SuperJob, «Яндекс.Работа», «Работа в России» и FarPost;

Android: HeadHunter.ru, «Indeed Работа», «Работа в России» и FarPost.

Высоких оценок также удостоились приложения «Зарплата.ру», «Карьерист.ру», YouDo, Worki, HeadHunter.ru и «Работа.ру» для iOS (итоговый балл более 5,0 по шкале от 0,5 до 5,5).

Стоит отметить, что средний балл приложений для iOS выше среднего балла приложений для Android на 0,67, что является следствием более высокого уровня защищенности закрытой мобильной платформы от Apple.

При проведении исследования испытательная лаборатория консультировалась с экспертами Group IB, международной компанией, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности. «Для современного человека использование мобильных приложений является довольно простым и удобным способом поиска работы. Наиболее серьезная угроза, с которой могут столкнуться пользователи таких приложений — это несанкционированный доступ к их персональным данным. Эта угроза может быть реализована из-за небезопасного хранения и непреднамеренных утечек данных или за счет небезопасной передачи данных. Последствия для пользователей могут быть самыми плачевными: от появления в публичном доступе их приватной информации до кражи их денег с банковских счетов», говорит Вячеслав Васин, ведущий аналитик Group-IB.

Чтобы не стать жертвой, эксперты советуют соблюдать достаточно простые правила:

загружать и устанавливать приложения только из официальных источников (магазинов);

анализировать отзывы других пользователей и количество скачиваний;

ограничивать запрашиваемые разрешения при установке приложений;

не использовать приложения при подключении в общественных (бесплатных) Wi-Fi сетях;

не вводить данные банковских карт в сомнительных приложениях.

И самое важное - не делиться с приложением той информацией, которую вы не хотели бы увидеть в публичном доступе в интернете.

www.roskachestvo.gov.ru

Мнение специалиста

Последний вышедший номер

Читайте в номере:

Анализ соответствия человеко-машинного интерфейса автоматизированных рабочих мест персонала блочного пункта управления Ленинградской АЭС-2 современным подходам по проектированию

Многоуровневая оперативная оптимизация технологического режима установок подготовки нефти

Система мониторинга и прогнозирования скорости роста коррозионных повреждений резервуаров для хранения нефти и нефтепродуктов

Применение сетевых моделей в социальных, технических и биологических системах. I. Модели представления знаний

Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru

Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.

Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.

В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.

Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.