האם האפליקציה שאתם עומדים להתקין בטוחה?

טיפים לזיהוי והימנעות מהתקנה של אפליקציות זדוניות על הסמארטפונים או הטאבלטים שלנו.

גיל נוילנדר, מנכ"ל ESET ישראל , י"ב בסיון תשע"ה

טלפון סלולארי
טלפון סלולארי
Thinkstock

בשבוע שעבר חשפו חוקרי אבטחה מחברת ESET יותר מ 30 אפליקציות זדוניות למכשירי אנדרואיד בחנות האפליקציות הרשמית של גוגל - Google Play. 

האפליקציות שנחשפו התחזו לצ'יטים (תוכנות שיוצרות כל מיני מעקפים במשחקיםלמשחק הרשת הפופולארי מיינקראפטאך בפועל מה שהן באמת עשו היה לגרום לקורבן שלהם להאמין שהמכשיר שלו נדבק בווירוס ולאחר מכן לצרף אותו לשירותי הודעות SMS פרמיום שיעלו לו קרוב ל 100 ש"ח בחודש.

למרות ביקורות שליליות שניתנו לאפליקציות בחנות ה Play, האפליקציות הזדוניות זכו בכמעט שלושה מיליון הורדות במשך תשע החודשים שבהם הן היו באווירוהנזק המשוער שהן גרמו מגיע לכמה מיליוני דולריםאז הנה כמה דברים שצריכים להדליק לכם נורה אדומה לפני שאתם מתקינים אפליקציה:

הרשאות מוגזמות – רגע לפני שאתם מתקינים אפליקציהאתם נדרשים לאשר רשימה של הרשאות שאותה האפליקציה מבקשת.ללא אישור הדרישות האפליקציה לא תותקן לכם על המכשיר.

עם יד על הלבכמה מכם באמת קוראים את הרשימה הזורוב המשתמשים פשוט לוחצים על כפתור האישור מבלי לקרוא וחבלכי ייתכן שתגלו שם דברים שאינכם מסכימים איתם ואפילו רמזים לכך שמדובר באפליקציה זדוניתלמשל – למה אפליקציה של פנס צריכה גישה למיקום שלכםולמה משחק כלשהו זקוק לגישה לגלריה או לאנשי הקשר שלכם?

חלקכם ודאי חושב "אז איפה הבעיה?" טובאז בתור התחלה אין לכם באמת מושג מי הוא מפתח האפליקציהמה הוא עושה עם המידע שהוא מקבל ועם מי הוא משתף אותוהסבירות הגבוהה ביותר היא שהוא משתף אותו עם מפרסמיםאך שימוש בנתונים שנאספו יכולה לשמש גם לפשעי סייבר חמורים יותר.

ביקורות שליליות – עוד דבר שיכול להצביע על כך שהאפליקציה שאתם עומדים להתקין היא לא בדיוק תמימההן ביקורות או חוות דעת שליליות שנכתבו על ידי אלה שכבר התקינו אותהאם הביקורות שליליות או שהן טוענות שהאפליקציה לא עושה את מה שהיא אמורה לעשות – אז מה היא כן עושה?

פרסומות – שילוב של פרסומות באפליקציות היא דרך מקובלת לתגמל את מפתחי האפליקציה מבלי שאתם תצטרכו לשלם עליהאך פרסומותמעבר להיותן מרגיזותעלולות להיות גם מסוכנותהאקרים יכולים להשתלט על המנגנון שמציג את הפרסומות באפליקציות על מנת לעקוב אחריכם או להתקין לכם אפליקציות זדוניות אחרות – מה שכבר קרה בעבר עם אחת מסוכנויות הפרסום הסלולאריות.

הפתרוןכמובןהוא לא להפסיק להתקין אפליקציותאבל השתדלו להתקין את האפליקציות שלכם ממקור אמין והסירו אפליקציות שאתם כבר לא צריכים או לא משתמשים.

שמות דומים לאפליקציות פופולאריות – עוד שיטה שבה האקרים משתמשים כדי לגרום לכם להוריד אפליקציה זדונית למכשיר שלכם היא לגרום לכם להאמין שאתם מורידים אפליקציה פופולארית מאתרים מפוקפקים מחוץ לחנויות האפליקציות הרשמיות.בהרבה מהמקרים האפליקציה המקורית ניתנת להורדה בתשלוםבעוד שהמתחזה ניתנת להורדה בחינם (מה שעוד יותר אמור לעורר את חשדכם).

למרות הפרשה שזה עתה נחשפהאותה הזכרנו בתחילת הכתבההורדת אפליקציות מהחנות הרשמית היא עדיין בטוחה יותרויש להקפיד להוריד את האפליקציות שלכם משם.

In-App-Purchases (רכישה-בתוך-אפליקציה)

אפליקציות שמאפשרות לכם לבצע רכישה-בתוך-אפליקציה עלולות לגרום לכם להוציא יותר כסף ממה שהם התכוונתם – ולפעמים ללא ידיעתכםבשנה שעברה אולצה חברת אפל לפצות את לקוחותיה ב 32.5 מיליון דולר בתביעה ייצוגית שטענה שהיא מאפשרת פרסום צרכני לילדים דרך האפליקציות שלה.

ניתן להגביל רכישה מתוך האפליקציות וכך זה נעשה:

ב IOS - מערכת ההפעלה של ה iPhone וה- iPad - כנסו להגדרות הכלליות ולאחר מכן ל"הגבלות". לאחר מכן מצאו את "רכישות בתוך יישוםוהסיטו את הבורר על מנת להגביל רכישות.

באנדרואיד הגדרת "האימות לפני רכישהמכוונת מראש כך שתצטרכו לאמת את זהותכם – על ידי הזנת הסיסמה שלכם – כל פעם שתרצו לרכוש משהו בחנות ה Play. אבל מומלץ לוודא שההגדרה אכן מכוונת מראש על ידי ביצוע הפעולות הבאותכנסו להגדרות הGoogle Play מהמכשיר שלכםלאחר מכן גללו למטה ולחצו על Require authentication for purchases (דרוש אימות לפני רכישה), וודאו שהאופציה המסומנת היא "For all purchases through Google Play".


הצעות והערות ניתן לשלוח לדואר אלקטרוני: computers@inn.co.il