7. Stahování aplikací

Na co je dobré si dávat pozor při stahování a instalaci aplikací? Útočníci spoléhají na naši nepozornost. Jaké používají finty?

Stalo se?

Petrovi je 50 let a pracuje na krajském soudu, kde zodpovídá za spisovou službu. Když pro plnění pracovních povinností dostal chytrý mobilní telefon, rozhodl se, že ho náležitě zabezpečí. Z oficiálního zdroje aplikací stáhl a nainstaloval antivirový program určený pro telefony. Jelikož se jednalo o oficiální zdroj aplikací, vybíral jen podle počtu stažení aplikací. Po instalaci vybrané aplikace si telefon vyžádal několik restartů. Protože se telefony při instalaci aplikací restartují běžně, Petr to příliš neřešil. Jenže po posledním restartu Petrovi všude vyskakovaly reklamy na lechtivé webové stránky, kterých se nedalo zbavit. Žádat v této situaci IT oddělení o pomoc nebylo Petrovi vůbec příjemné.

Obchody s aplikacemi

Kromě předinstalovaných aplikací můžeme do telefonu stahovat a instalovat také další. Je více než vhodné využívat jen oficiální zdroje, tzv. obchody s aplikacemi. Slovo „obchod“ sice zavání placením, větší část aplikací je však bezplatná. Oficiální obchod pro telefony se systémem Android je Google Play. Android využívá mnoho značek telefonů. Oficiální obchod pro telefony se systémem iOS je App Store. iOS využívají jen telefony značky Apple. Aplikace v nabídce oficiálních obchodů prošly bezpečnostní kontrolou, jenže ani ta není stoprocentní. Občas škodlivá aplikace do nabídky proklouzne. Nebo se objeví zneužitelné nedostatky, o kterých se nevědělo. Trendem jsou fiktivní pobídky k testování vyvíjených aplikací s příslibem odměny. Jenže takové aplikace neprošly ještě žádnou kontrolou a mohou být velmi nebezpečné. Škodlivé aplikace nebo jejich části nabízí útočníci k dispozici také na černém trhu. Možná vás překvapí, že mají dokonce své produktové stránky i marketing.

Jak se škodlivé aplikace projevují?

Projevují se rozmanitě. Některé zablokují telefon třeba tím, že změní odemykací PIN. Některé fungují na první pohled správně, ale na pozadí dělají neplechu. Třeba zachytávají a odesílají útočníkovi, co píšeme na klávesnici a poskytují mu přístup k našim SMS. Tímto způsobem je možné získat přihlašovací údaje uživatele včetně SMS kódu pro dvoufaktorové ověřování. Některé zaplaví uživatele nevyžádanou reklamou. Jiné rozešlou stovky drahých MMS zpráv.

null
Ilustrační obrázek ukazuje propagační web a dovednosti škodlivé aplikace. Umí například smazat všechny SMS zprávy, nahrávat audiozáznam nebo zobrazovat podvodná upozornění.
Zdroj: forbes.cz/jestli-mate-v-telefonu-tyhle-aplikace-okamzite-je-smazte-chytili-jste-trojsky-kun-rogue/

Výběr aplikací

Neexistuje žádný seznam aplikací, které bychom stahovat neměli. Za pár minut už by nebyl aktuální. Proto je důležité aplikace před instalací kontrolovat. Škodlivé aplikace mohou být maskovány i jako aplikace, které slouží k editaci fotografií, nebo právě jako antivirový program, u kterého nečekáme, že by mohl být škodlivý. Vždy bychom ještě před stažením aplikace měli sledovat její hodnocení a recenze dalších uživatelů. Vyplatí se vyfiltrovat špatná hodnocení, špatné recenze a podívat se, v čem nespokojenost vězí. Pokud budou v pořádku, je dobré se při samotné instalaci aplikace zamyslet i nad tím, jaká vyžaduje oprávnění vůči telefonu.

null
Ilustrační obrázek ukazuje podezřelou aplikaci a její hodnocení. Na aplikaci upozorňoval mj. článek: idnes.cz/mobil/aplikace/zkrasleni-mobilni-aplikace-malware-spehovani-spyware.A200124_102127_aplikace_LHR
Zdroj: NÚKIB

Oprávnění aplikací

Znovu platí, že oprávnění nejsou sama o sobě špatná. Bez patřičných oprávnění nemůže aplikace fungovat. Aplikace pro úpravu fotografií, která nemá přístup do galerie, nenaplní očekávání. Taktéž aplikace pro navigování, která nemá přístup k poloze. Ale je v pořádku, že hudební aplikace vyžaduje přístup ke zprávám? Pravdou je, že kontrola oprávnění se uživatelům komplikuje. V době, kdy můžeme telefon ovládat hlasem, může být v pořádku, že chce kalendář přístup k mikrofonu. Proto se nám vývojáři Androidu i iOS snaží pomáhat. I pro ně je to ale zapeklitá situace. Kdyby se aplikace stále dokola dotazovala na vše, co chce udělat, nebudou ji uživatelé používat. Budou se uchylovat k aplikacím, které budou komfortnější, i kdyby byly méně bezpečné. Vývojáři tedy hledají zlatou střední cestu. Například když si aplikace vynutí spuštění mikrofonu, objeví se puntík, který znamená „pozor, běží mikrofon“.

Tahák do kapsy

1. Oficiální obchody	2. Kritéria aplikací	3. Oprávnění aplikací	4. Maskování aplikací
Když stahujeme aplikace do mobilních zařízení, vždy bychom je měli stahovat z tzv. oficiálních obchodů. To je Google Play pro systém Android a AppStore pro systém iOS. Jsou to oficiální zdroje.	U aplikací je důležité sledovat recenze uživatelů a jejich hodnocení. Vyplatí se vyfiltrovat si špatné recenze a podívat se, na co konkrétně si uživatelé stěžovali. To je dobré vodítko.	Každá aplikace ke svému fungování potřebuje tzv. oprávnění. Ty jako uživatelé udělujeme. Oprávnění bychom však měli udělovat s rozvahou a hodnotit je selským rozumem.	Útočníci leckdy podstrčí škodlivý kód do aplikace, u které to uživatelé nečekají. Třeba do aplikace pro úpravu fotek, které se dobře šíří. Nebo do aplikace, která se tváří jako „antivirová ochrana“.

Virtuální prohlídka

Soubor cookie	Životnost	Popis
cookielawinfo-checkbox-advertisement	1 year	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se marketingových cookies.
cookielawinfo-checkbox-analytics	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se statistických cookies.
cookielawinfo-checkbox-functional	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se funkčních cookies.
cookielawinfo-checkbox-necessary	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se nezbytných cookies.
mdocs-f23d4887cc59eaf5d74998a5389151af	session	No description
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
qtrans_front_language	1 year	This cookie is set by qTranslate WordPress plugin. The cookie is used to manage the preferred language of the visitor.
viewed_cookie_policy	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie slouží k ukládání informace o tom, zda uživatel souhlasil s používáním souborů cookie. Neukládá žádná osobní data.

Soubor cookie	Životnost	Popis
_dc_gtm_UA-120672567-6	1 minute	No description
_dc_gtm_UA-120672567-7	1 minute	No description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_1HP1PTTJR4	2 years	This cookie is installed by Google Analytics.
_gat_UA-120672567-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
sid	1 month	The sid cookie contains digitally signed and encrypted records of a user’s Google account ID and most recent sign-in time.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Soubor cookie	Životnost	Popis
_fbp	3 months	Tento soubor cookie je nastaven prostřednictvím nástroje Facebook Pixel. Může sloužit k zobrazení naší reklamy prostřednictvím sociálních sítí Facebook a Instagram společnosti Meta.
fr	3 months	Tento soubor cookie umožňuje zobrazovat uživatelům relevantní reklamy na základě jejich aktivit na webech využívajících Facebook Pixel společnosti Meta.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Univerzita Tomáše Bati ve Zlíně