Услуги
Аудит информационной безопасности

Аудит информационной безопасности компании – многоплановая задача, в
которую входит несколько направлений анализа
ИТ-инфраструктуры и оценки защищенности приложений и устройств

Подробнее
Решения
Решения

Аккумулировав весь опыт Digital Security, мы подготовили отдельные решения по аудиту безопасности. Каждое решение объединяет специализированные услуги для конкретной отрасли бизнеса или сферы исследования. Вы можете выбрать любую из них или несколько — в комплексе

О нас
Digital Security

Практическая информационная безопасность – наша специализация и любимое дело. Уже 18 лет мы помогаем нашим клиентам уберечь сервисы и системы от киберугроз, а также активно участвуем в развитии мирового ИБ-сообщества

Подробнее
Экспертиза
Экспертиза

Для клиентов Digital Security работает команда экспертов ИБ мирового уровня. Мы получаем благодарности за вклад в обеспечение безопасности от лидеров ИТ-индустрии, а также подтверждаем свои навыки международными сертификатами в области ИБ

Подробнее
Ресурсы
Ресурсы

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Подробнее

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Посмотреть раздел

Масштабные исследования и аналитические обзоры. Описания хакерских инструментов и техник

Статьи и аналитические работы, полезные для бизнеса. Экспертное мнение об актуальных проблемах информационной безопасности

Видеоархив наших вебинаров и конференций. А также анонсы предстоящих мероприятий

Руководства, презентации, чек-листы. Гайды для повышения уровня осведомленности в вопросах ИБ

Наверх

Блокировщики спама. Приложения-помощники?

04.12.2020 /
Прочитать позже

    Отправим материал на:

    Блокировщики спама. Приложения-помощники?

    Случалось ли с вами, что после оформления онлайн-заказа или новой бонусной карты, начинаются звонки от незнакомых банков или медицинских центров с  «выгодными предложениями»? Обмен базами контактов — факт, с которым многие пользователи уже смирились, а с нежелательными звонками борются с помощью приложений — блокировщиков.

    Мы, как обычно, смотрим на все со здравой долей скептицизма и предлагаем рассмотреть подробнее, как работают приложения-блокировщики спама и какой доступ они получают в обмен на защиту от назойливых звонков.

    Кратко опишем принцип работы блокировщиков. Установленное приложение мониторит все входящие и позволяет вам отмечать те или иные звонки как спам. К тому же подобные приложения имеют доступ к огромной базе данных номеров, уже квалифицированных как спам, и блокируют их. В результате нужные звонки должны проходить, а вызовы от мошенников, роботов, рекламщиков — нет.

    Таким образом, приложению доступны все ваши входящие звонки. Но только ли они? Мы заглянули в пользовательские соглашения некоторых блокировщиков.

    Truecaller

    Вот перевод небольшой части политики конфиденциальности приложения Truecaller:

    «С момента установки и начала использования наших Сервисов, Truecaller будет собирать личную информацию напрямую от вас и со всех устройств, которые вы используете для взаимодействия с Сервисами.

    Эта информация может включать следующее: геолокация; IP-адрес; ID устройства или уникальный идентификатор; тип устройства и данные о производителе; настройки устройства и аппаратного обеспечения; операции с мобильной связью и SIM-картой; установленные на устройстве приложения; ID получателя рекламы; рекламные данные; операционная система; веб-браузер; IMSI; информация о подключении; разрешение экрана; статистика использования; приложения для связи, установленные по умолчанию; доступ к адресной книге устройства; журнал устройства и информация о событиях; журналы, ключевые слова и метаданные входящих и исходящих звонков и сообщений; версии используемых Сервисов и другая информация, основанная на вашем взаимодействии с нашими Сервисами, например, как осуществляется доступ к Сервисам (через другую службу, веб-сайт или поисковую систему); страницы, которые вы посещаете, и функции, которые вы используете в Сервисах; услуги и веб-сайты, с которыми вы взаимодействуете при помощи Сервисов; просматриваемый вами контент, контент, который вы прокомментировали или отправили нам, и информацию о рекламных объявлениях, которые вы видите и/или с которыми взаимодействуете; поисковые запросы; информация о заказах и других действиях, а также данные, которые время от времени регистрируются серверами Truecaller. Truecaller может собирать часть этой информации автоматически с помощью файлов cookie, и вы можете узнать больше об использовании файлов cookie в нашей Политике использования файлов cookie».

    GetContact

    Довольно популярным стало приложение GetContact. Оно, помимо функции определения спама, позволяет узнать, под каким именем пользователь записан у абонентов своей телефонной книги. Судя по тому, что многие делились в соцсетях скриншотами приложения с забавными названиями контактов, опасность этой функции не совсем очевидна.

    А в чем, собственно, опасность? Для того, чтобы узнать о том, как вы записаны в телефонной книге у друзей и коллег, вам придется предоставить доступ и к своей телефонной книге. Это должно смутить любого бдительного пользователя. Скорее всего, GetContact хранит все списки контактов пользователей на своем сервере. Посмотрим, что сказано в политике безопасности:

    «Когда вы пользуетесь нашими Услугами, мы, получив ваше разрешение, можем автоматически собирать данные о вас и/или вашем устройстве, которые могут считаться персональными данными, в соответствии с законами о защите данных. Это такая информация:

    • Аналитика использования вами наших Сервисов;
    • Ваш IP-адрес и идентификаторы мобильного устройства (например, идентификатор устройства, рекламный идентификатор, MAC-адрес, IMEI);
    • Данные об устройстве, такие как его имя и операционная система, тип браузера и язык;
    • Данные, которые мы собираем с помощью файлов cookie и аналогичных технологий;
    • Географическое положение на основе вашего IP-адреса;
    • Точные данные о геолокации (GPS, с вашего согласия);
    • Данные о том, как вы используете наши Сервисы (например, метрики использования приложений и взаимодействия с ними)».

    В пользовательском соглашении указано, что без согласия пользователя данные собираться не будут, но признайтесь, когда вы в последний раз читали соглашения? А бывает, что без галочки «я согласен», невозможно пользоваться приложением вовсе.

    Встроенные определители

    Существуют и встроенные определители спама. Например, определитель номера есть в приложении «Телефон» от Google (сервисы Google установлены по умолчанию на многих устройствах Android).

    Найти информацию конкретно по определителю номера в политиках конфиденциальности Google не удалось. Вот что сказано в общей политике:

    «Мы регистрируем информацию о приложениях, браузерах и устройствах, которые Вы используете для доступа к сервисам Google…Помимо прочего, мы собираем уникальные идентификаторы, а также такие данные, как тип и настройки браузера и устройства, операционная система, мобильная сеть (включая название оператора и номер телефона) и номер версии приложения. Нами также регистрируется информация о взаимодействии Ваших приложений, браузеров и устройств с нашими сервисами, в том числе IP-адрес, отчеты о сбоях, сведения о действиях в системе, дата и время, когда Вы посетили наш ресурс, и URL, с которого Вы на него перешли (URL перехода)».

    «Если Вы используете сервисы Google, предназначенные для совершения и приема вызовов или отправки и получения сообщений, мы можем собирать данные о звонках, включая номера телефонов для входящих, исходящих и переадресованных вызовов, дату и время звонков и сообщений, продолжительность и тип звонков, а также маршрутизацию вызовов».

    В приложениях Яндекса также есть встроенные определители.

    Информацию по определителю Яндекса найти оказалось проще — она вынесена в отдельный раздел:

    И для Android, и для iOS указано, что «доступа к содержимому звонков и сообщений у определителя нет».

    На iPhone блокировать нежелательные звонки можно с помощью переключателя «Заглушение неизвестных» в разделе «Настройки» => «Телефон».

     

    В справке Apple сказано, что НЕ блокируются вызовы от тех, кто сохранен в списке ваших контактов или есть в списке недавних вызовов. А также от тех, с кем вы обменивались текстовыми сообщениями, или чей номер телефона получали по электронной почте. Можно сделать вывод о том, какая информация становится доступна при активации опции.

    Здесь же, в разделе «Настройки» => «Телефон» можно активировать и стороннее расширение-блокировщик.

    Как видите, тут нас предупреждают о возможных рисках. Например, о том, что сторонний разработчик получит входящие номера, а также контент сообщений, в которых могут содержаться конфиденциальные данные.

    Вывод

    Мы прекрасно знаем, что данные о нас и наших действиях собирают многие. Недавно компания Clario провела соответствующее исследование самых популярных в мире приложений, а TelecomDaily — аналогичное исследование по российскому рынку. Поэтому приложения-блокировщики, конечно, не единственный способ получить наши данные, а один из.

    Но все же при установке приложений и расширений эксперты по кибербезопасности рекомендуют читать отзывы о разработчике и по возможности изучать пользовательские соглашения и политику конфиденциальности. Это поможет понять, кому и какую информацию вы передаете. И решить, действительно ли вы готовы предоставить доступ к своим данным за опции, предлагаемые приложением.

    Больше интересных статей

    Подпишитесь на наши обновления

    Узнавайте все новости первыми

      Мы используем куки. Никогда такого не было, объясните

      ОК