Android aplikacije često traže previše nepotrebnih dozvola, ali ove aplikacije su posebno rizične

Tekstovi o zaštiti, 12.10.2023, 12:00 PM

Dobro dizajnirana aplikacija treba da zahteva samo dozvole neophodne za njenu funkcionalnost. Budite uvek oprezni kada dajete dozvole aplikacijama i pažljivo ih pregledajte tokom instalacije jer neretko aplikacije traže dozvole koje im nisu potrebne da bi radile ono što obećavaju. Finansijske aplikacije idu i korak dalje, zbog čega predstavljaju poseban rizik po privatnost i bezbednost.

Tim istraživača Cybernewsa analizirao je 50 Android finansijskih aplikacija, kao što su kao što su aplikacije servisa za plaćanje, aplikacije za investiranje, kripto platforme, novčanici i druge.

„Održavanje ravnoteže između pogodnosti [koje aplikacije pružaju korisnicima] i zaštite osetljivih podataka i privatnosti je ključni izazov“, kažu istraživači.

Oni su otkrili da 82% finansijskih aplikacija zahteva pristup kameri, 60% aplikacija traži dozvolu za precizno praćenje lokacije, 78% aplikacija je zainteresovano za fajlove koje čuvate na uređaju, 54% aplikacija traži pristup kontaktima, 52% aplikacija zahteva pristup informacijama o telefonu, 38% aplikacija traži dozvolu za snimanje zvuka, a petina analiziranih aplikacija zahteva mogućnost pozivanja ili pristupa nalozima povezanim sa uređajem. Neke od aplikacija zahtevaju problematičnu kombinaciju mnogih opasnih dozvola.

Od 50 analiziranih finansijskih aplikacija, 41 aplikacija traži pristup kameri uređaja. Ova dozvola omogućava snimanje slika i videa i obavljanje video poziva. Ali da li je to zaista potrebno finansijskim aplikacijama?

„Najčešća upotreba kamere je za početnu identifikaciju korisnika. Međutim, bilo bi teško opravdati zašto je finansijskoj aplikaciji potreban ovaj pristup nakon toga. Korisnici bi trebalo da budu toga svesni i da uklone ovu dozvolu nakon procesa autentifikacije“, predlažu istraživači Cybernewsa. Ovu dozvolu treba davati štedljivo i samo sa jasnim obrazloženjem.

Od 50 testiranih finansijskih aplikacija, 78% želi da pristupi memoriji, uključujući i eksternu, kao što je microSD kartica. Te aplikacije mogu da čitaju, menjaju ili brišu fajlove na uređaju, zbog čega postoji rizik od gubitka, krađe ili oštećenja podataka. Ovo uključuje fotografije, video snimke, dokumente i druge podatke, što dozvolu čini veoma osetljivom. Aplikacije koje traže ovu dozvolu treba da jasno objasne zašto im je potrebna i kako to koristi korisniku.

Praćenje precizne lokacije je još jedna opasna dozvola koju traže aplikacije za finansijske usluge. Šest od deset testiranih aplikacija tražilo je dozvolu za preciznu lokaciju, iako postoje funkcije za pristup približnoj lokaciji.

„Ovaj nivo podataka o lokaciji može biti veoma razotkrivajući i potencijalno invazivan po privatnost korisnika, jer može pružiti detaljnu sliku kretanja korisnika, dnevnih rutina, kuće i radnog mesta. Teško je opravdati zašto je finansijskoj aplikaciji potrebna ovakva preciznost“, kaže istraživački tim.

Čak 27 od 50 testiranih finansijskih aplikacija traži pristup kontaktima. Iako to omogućava lake transfere novca, podelu računa ili slične interakcije, takva dozvola takođe može dovesti do neželjenog izvlačenja podataka sa uređaja ili zloupotrebe podataka o kontaktima korisnika, uključujući imena, brojeve telefona, e-mail adrese i druge detalje.

„Curenje takvih informacija moglo bi da ugrozi vašu porodicu, prijatelje, kolege i druge. Ako vaša aplikacija za praćenje cena akcija ili valute traži pristup kontaktima, bolje je da se uzdržite“, kažu istraživači.

Više od polovine testiranih aplikacija (52%) je tražilo dozvolu za „čitanje telefona“. Ona omogućava aplikaciji da pročita broj telefona uređaja, status mreže, operatera, status tekućih poziva i još mnogo toga. Ove informacije se mogu koristiti za jedinstvenu identifikaciju korisnika i uređaja, čak i ako aplikacija ne zahteva od korisnika da se prijave na bilo koji nalog, kao što je slučaj sa mnogim kripto novčanicima.

38% analiziranih finansijskih aplikacija traži dozvolu za snimanje zvuka, a to može ozbiljno ugroziti privatnost korisnika. Ako nema jasnog objašnjenja za ovakav zahtev, onda to može ukazivati na „potencijalno zlonamernu ili loše dizajniranu aplikaciju“, upozoravaju istraživači.

Četvrtina ili 26% aplikacija želi pristup nalozima povezanim sa uređajem. Ove informacije uključuju e-mail adrese, korisnička imena i druge identifikujuće informacije.

Neke aplikacije žele da imaju mogućnost pozivanja, 12% traži dozvolu za čitanje SMS-a, 8% dozvolu za primanje SMS-a, a 6% traži dozvolu za slanje SMS-a. Ove dozvole mogu dovesti do narušavanja privatnosti, neželjene komunikacije i prouzrokovati finansijsku štetu. Aplikacije takve dozvole mogu zloupotrebiti pozivanjem ili slanjem SMS-ova na brojeve sa premijum tarifom i angažovanjem uređaja u fišing napadima, upozoravaju istraživači.

„Budite oprezni kada dajete dozvole i preduzmite mere ako sumnjate da ih aplikacija zloupotrebljava ili se upušta u sumnjivo ponašanje“, kažu istraživači.

Ako verujete da su vaši nalozi kompromitovani, promenite lozinke i omogućite dvofaktorsku autentifikaciju gde je to moguće.

Prekomerne dozvole, posebno kada su kombinovane, mogu narušiti privatnost, ugroziti bezbednost podataka i stvoriti finansijske rizike. Takođe, uređaj može biti iskorišćen za zlonamerne aktivnosti koje mogu uticati na brzinu pražnjenja baterije, ali i na performanse uređaja.

Foto: Deyvi Romero / Pexels