Вредоносные программы в мобильных устройствах

Это перевод страницы, написанной на английском языке.

Другие примеры вредоносных несвободных программ

Вредоносные программы — это программы, проектируемые, чтобы работать так, что это ущемляет пользователя или вредит ему (здесь не подразумеваются случайные ошибки).

Вредоносные программы и несвободные программы — две разных проблемы. Разница между свободными и несвободными программами состоит в том, пользователи контролируют программу или наоборот. Это не является напрямую вопросом того, что программа делает, когда работает. Однако на практике несвободные программы часто вредоносны, потому что понимание разработчиком того, что пользователи будут бессильны исправить любые вредоносные функции, соблазняет разработчика вносить такие функции.

Здесь приводятся примеры вредоносных программ на мобильных устройствах. См. также описание вредоносных функций, характерных для ай-штучек, на странице о вредоносных программах Apple.

Вид вреда

Лазейки
Уязвимость
Слежка
Цифровое управление ограничениями — это функции, спроектированные для ограничения того, что пользователи могут делать с данными на своих компьютерах.
Тюрьмы — системы, которые налагают цензуру на прикладные программы.
Тираны — системы, которые отвергают любую операционную систему, кроме “санкционированных” производителем.

Лазейки

Универсальный черный ход в мобильных телефонах задействуется для прослушивания через их микрофоны.
В большинстве мобильных телефонов есть универсальный черный ход, который применяли для превращения их во вредоносные устройства.
Устройства Samsung Galaxy под управлением несвободных версий Android поставляются с лазейкой, которая предоставляет удаленный доступ к данным, хранящимся на устройстве.
Черный ход Samsung предоставляет доступ к любому файлу в системе.
В Android у Google есть черный ход для удаления программ по сети (в программе под названием GTalkService).

Google может также с помощью GTalkService (которая со времени написания статьи, кажется, была объединена с Google Play) принудительно устанавливать программы по сети. Это вводит практически универсальный черный ход.

Хотя осуществление этой власти компанией Google до сих пор не было вредительским, дело в том, что ни у кого не должно быть такой власти, которой можно было бы вредительски воспользоваться. Вы, конечно, могли бы решить позволить службе безопасности дезактивировать по сети программы, которые она считает вредоносными. Но возможность удаления программ оправдать нельзя, и у вас должно быть право решать, кому доверять таким образом (и доверять ли кому-нибудь вообще).

Уязвимость

Эти ошибки непреднамеренны, так что они, в отличие от остальных примеров, не считаются вредоносными особенностями. Мы упоминаем их, чтобы опровергнуть предположение, что в престижных несвободных программах нет серьезных ошибок.

Многие устройства с Android можно взять под контроль через их подсистему Wi-Fi из-за ошибки в несвободных программах Broadcom, под управлением которых она работает.
В телефонах Samsung есть прокол в защите, позволяющий устанавливать по SMS программы, требующие выкупа.
Многие несвободные программы платежей передают данные незащищенным образом. Однако еще хуже то, что в этих приложениях платежи не анонимны.
АНБ может заглядывать в данные на смартфонах, в том числе на iPhone, Android и BlackBerry. Хотя подробности здесь не приводятся, похоже, это работает не как универсальный черный ход, который, как мы знаем, есть почти во всех мобильных телефонах. Это может быть связано с эксплуатацией различных ошибок. В программах радиоаппаратуры телефонов есть множество ошибок.

Слежка

Приложение Facebook постоянно подслушивает, следит за тем, что люди слушают или смотрят. Кроме того, оно, возможно, анализирует переговоры пользователей, чтобы доставлять им нацеленную рекламу.
В статье с исследованием приватности и защищенности 283 приложений Android для VPN сделан вывод, что “несмотря на обещания приватности, защищенности и анонимности, которое дают большинство приложений для VPN, миллионы пользователей рискуют стать жертвами беспочвенных гарантий безопасности, а также злоупотреблений со стороны приложений для VPN”.

Далее следует неисчерпывающий список несвободных приложений для VPN, которые следят за пользователями и вторгаются в их личную жизнь:

SurfEasy

Использует библиотеки слежки, такие как NativeX и Appflood, предназначенные для отслеживания пользователей и показа им направленной рекламы.

sFly Network Booster

Запрашивает при установке разрешения на чтение и отправку SMS, что означает полный доступ к текстовым сообщениям пользователей.

DroidVPN and TigerVPN

Запрашивают разрешение на чтение журналов других приложений, а также системных журналов. Разработчики TigerVPN это подтвердили.

HideMyAss

Посылает данные в LinkedIn. Кроме того, сохраняет подробный журнал и может по требованию передавать его государственным органам Великобритании.

VPN Services HotspotShield

Вставляет программы на JavaScript в страницы HTML, передаваемые пользователям. Заявленное назначение этой вставки — показ рекламы. Использует около 5 библиотек слежки. Кроме того, пропускает поток данных пользователя через valueclick.com (сайт рекламы).

WiFi Protector VPN

Вставляет программы на JavaScript в страницы HTML, а также использует около 5 библиотек слежки. Разработчики приложения подтвердили, что дешевые версии приложения действительно вставляют JavaScript для слежки и показа рекламы.
Исследование 2015 года показало, что 90% самых популярных бесплатных несвободных приложений под Android содержало библиотеки, которые можно считать библиотеками слежки. Для платных несовбодных приложений эта величина составляла только 60%.

Статья вносит путаницу, описывая бесплатные приложения как “свободные”, но большинство из них на самом-то деле не являются свободными программами. В статье также употребляется безобразное слово “монетизировать”. Для этой ситуации хорошо подходит слово “эксплуатировать”; почти всегда оно в точности отражает смысл.
По результатам одного исследования, 234 приложений Android отслеживают пользователей, прослушивая ультразвук от маячков, размещенных в магазинах, или из телевизионных передач.
Оказывается, Faceapp ведет массу слежки, судя по тому, как много доступа к персональным данным требует эта программа.
Пары приложений Android могут сговориться, чтобы передавать личные данные пользователя на серверы. Исследователи обнаружили десятки тысяч пар таких приложений.
Google Play преднамеренно выслает разработчикам приложения персональные данные пользователей, которые устанавливают приложение.

Просто просить “согласия” пользователей не достаточно для того, чтобы узаконить такие действия. Большинство пользователей не дочитывает “Условия использования” до того места, где говорится, на что они “соглашаются”. Компания Google должна ясно и честно идентифицировать информацию о пользователях, которую она собирает, вместо того чтобы прятать это в головоломных формулировках соглашения с пользователями.

Однако чтобы по-настоящему защитить частную жизнь людей, мы вообще должны не давать Google и другим компаниям свои персональные данные!
Google Play (компонент системы Android) отслеживает перемещения пользователей без их разрешения.

Даже если вы отключите Google Maps и отслеживание местоположения, вы должны отключить сам Google Play, чтобы отслеживание полностью прекратилось. Это еще один пример того, как несвободные программы притворяются, что подчиняются пользователю, делая в действительности что-то другое. В свободных программах такое почти немыслимо.
Компания Verizon объявила об установке по выбору несвободной программы поиска, предустановленной на некоторых телефонах компании. Программа будет передавать Verizon те же сведения о запросах, введенных пользователями, какие обычно получает компания Google, когда пользуются ее поисковиком.

В настоящее время программа предустанавливается только на один телефон и пользователь должен явно дать согласие перед тем, как программа заработает. Однако программа остается шпионом — программа-шпион остается программой-шпионом, даже если она “необязательна”.
Программа редактирования фотографий Meitu отсылает данные пользователя в китайскую компанию.
Недальновидная критика следящего приложения обнаружила, что вопиющие просчеты в безопасности позволяли любому подсматривать в персональные данные пользователя. Критика не говорит ни слова о том, что приложение отправляет персональные данные на сервер, где их полностью получает разработчик. Эта “служба” — для простофиль!

У сервера, разумеется, есть “политика конфиденциальности”, и разумеется, она ничего не стоит, как почти все такие “политики”.
Такие приложения, как программа слежки Symphony, подслушивают, какие радио- и телепередачи проигрываются поблизости. А также подсматривают, что пользователи пишут на таких сайтах как Facebook, Google+ и Twitter.
Более 73% приложений Android и 47% приложений iOS предоставляют личную, поведенческую и местоопределительную информацию своих пользователей третьим сторонам.
“Скрытные сообщения”, не связанные с функциональностью приложения, найдены в 500 самых популярных бесплатных приложениях Android.

В статье не следовало описывать эти приложения как “free) (свободные)”, они не свободны. Ясное слово для выражения нулевой цены — “бесплатный”.

В статье принимается как само собой разумеющееся, что обычный аналитический инструментарий правомерен, но верно ли это? У разработчиков программ нет права анализировать, что и как делают пользователи. “Аналитические” инструменты, которые подглядывают, ничем не лучше любого другого подглядывания.
Многие несвободные приложения для мобильных устройств отсылают отчеты о том, какие приложения установил пользователь. Twitter хотя бы делает это так, что это видно и это можно отключить. Не так плохо, как то, что делают другие.
Сотовые телефоны с GPS высылают свои спутниковые местоопределения по удаленной команде, и пользователи не могут остановить это: http://www.aclu.org/government-location-tracking-cell-phones-gps-devices-and-license-plate-readers (США планируют ввести когда-нибудь требование, по которому во всех новых мобильных телефонах должен быть модуль GPS).
Программы-шпионы в сетевых телефонах TNP Cisco: http://boingboing.net/2012/12/29/your-cisco-phone-is-listening.html.
Шпионские программы в телефонах Android (и портативных компьютерах [с Windows?]): “Уолл-стрит джорнел” (в статье, закрытой от нас барьером платежа) сообщает, что ФБР может удаленной командой включать приемник GPS и микрофон в телефонах с Android и портативных компьютерах. (Я подозреваю, что речь идет о компьютерах с Windows.) Другие подробности.
В некоторых телефонах Motorola система Android изменена для отправки личных данных в Motorola.
Некоторые производители добавляют скрытый пакет слежки, такой как Carrier IQ.
Популярный несвободный сканер матричного кода подсматривает за пользователем. Это в дополнение к слежке, которую ведет телефонная компания, а может быть, и операционная система в телефоне.

Не дайте себя отвлечь вопросом о том, получают ли разработчики согласие пользователя. Это не извиняет вредоносную программу.

Цифровое управление ограничениями

Теперь Google позволяет приложениям Android обнаруживать, что пользователь получил права администратора, и отказываться устанавливаться в этом случае.

Обновление: Google преднамеренно изменил Android, чтобы приложения могли обнаруживать устройства, у которых пользователь получил права администратора, и отказываться на них работать..
iPhone 7 содержит цифровое управление ограничениями, спроектированное специально для того, чтобы выводить его из строя, если его ремонтируют в “неавторизованной” мастерской. “Неавторизованная” по сути означает всех, кроме Apple.

В статье для описания цифрового управления ограничениями употребляется слово “замок”, но мы предпочитаем выражение цифровые наручники.
Android предусматривает функции, предназначенные для поддержки цифрового управления ограничениями.

Тюрьмы

Мобильные устройства с предустановленной Windows 8 — тоже тираны. Windows 8 на “мобильных устройствах” — тюрьма.

Тираны

Некоторые телефоны с Android — тираны (хотя кто-то нашел способ взломать ограничение). К счастью, большинство устройств с Android — не тираны.