האם האפליקציה שאתם עומדים להתקין בטוחה?

גיל נוילנדר, מנכ"ל ESET ישראל
מיליוני אפליקציות מותקנות על מיליוני טלפונים חכמים ברחבי העולם מדי יום, אבל לא כל האפליקציות האלו עושות רק את מה שהן טוענות שהן עושות, וחלקן הן זדוניות ממש. אז איך תדעו אם האפליקציה שאתם רוצים להתקין היא בטוחה וממה עליכם להיזהר?

בשבוע שעבר חשפו חוקרי אבטחה מחברת ESET יותר מ 30 אפליקציות זדוניות למכשירי אנדרואיד בחנות האפליקציות הרשמית של גוגל - Google Play. האפליקציות שנחשפו התחזו לצ'יטים (תוכנות שיוצרות כל מיני מעקפים במשחקים) למשחק הרשת הפופולארי מיינקראפט, אך בפועל מה שהן באמת עשו היה לגרום לקורבן שלהם להאמין שהמכשיר שלו נדבק בווירוס ולאחר מכן לצרף אותו לשירותי הודעות SMS פרמיום שיעלו לו קרוב ל 100 ש"ח בחודש.

למרות ביקורות שליליות שניתנו לאפליקציות בחנות ה Play, האפליקציות הזדוניות זכו בכמעט שלוש מיליון הורדות במשך תשע החודשים שבהם הן היו באוויר, והנזק המשוער שהן גרמו מגיע לכמה מיליוני דולרים. אז הנה כמה דברים שצריכים להדליק לכם נורה אדומה לפני שאתם מתקינים אפליקציה:

הרשאות מוגזמות – רגע לפני שאתם מתקינים אפליקציה, אתם נדרשים לאשר רשימה של הרשאות שאותה האפליקציה מבקשת. ללא אישור הדרישות האפליקציה לא תותקן לכם על המכשיר.

עם יד על הלב, כמה מכם באמת קוראים את הרשימה הזו? רוב המשתמשים פשוט לוחצים על כפתור האישור מבלי לקרוא וחבל, כי ייתכן שתגלו שם דברים שאינכם מסכימים איתם ואפילו רמזים לכך שמדובר באפליקציה זדונית. למשל – למה אפליקציה של פנס צריכה גישה למיקום שלכם? ולמה משחק כלשהו זקוק לגישה לגלריה או לאנשי הקשר שלכם?

חלקכם ודאי חושב "אז איפה הבעיה?" טוב, אז בתור התחלה אין לכם באמת מושג מי הוא מפתח האפליקציה, מה הוא עושה עם המידע שהוא מקבל ועם מי הוא משתף אותו. הסבירות הגבוהה ביותר היא שהוא משתף אותו עם מפרסמים, אך שימוש בנתונים שנאספו יכולה לשמש גם לפשעי סייבר חמורים יותר.

ביקורות שליליות – עוד דבר שיכול להצביע על כך שהאפליקציה שאתם עומדים להתקין היא לא בדיוק תמימה, הן ביקורות או חוות דעת שליליות שנכתבו על ידי אלה שכבר התקינו אותה. אם הביקורות שליליות או שהן טוענות שהאפליקציה לא עושה את מה שהיא אמורה לעשות – אז מה היא כן עושה?

פרסומות – שילוב של פרסומות באפליקציות היא דרך מקובלת לתגמל את מפתחי האפליקציה מבלי שאתם תצטרכו לשלם עליה. אך פרסומות, מעבר להיותן מרגיזות, עלולות להיות גם מסוכנות. האקרים יכולים להשתלט על המנגנון שמציג את הפרסומות באפליקציות על מנת לעקוב אחריכם או להתקין לכם אפליקציות זדוניות אחרות – מה שכבר קרה בעבר עם אחת מסוכנויות הפרסום הסלולאריות.

הפתרון, כמובן, הוא לא להפסיק להתקין אפליקציות, אבל השתדלו להתקין את האפליקציות שלכם ממקור אמין והסירו אפליקציות שאתם כבר לא צריכים או לא משתמשים.

שמות דומים לאפליקציות פופולאריות – עוד שיטה שבה האקרים משתמשים כדי לגרום לכם להוריד אפליקציה זדונית למכשיר שלכם היא לגרום לכם להאמין שאתם מורידים אפליקציה פופולארית מאתרים מפוקפקים מחוץ לחנויות האפליקציות הרשמיות. בהרבה מהמקרים האפליקציה המקורית ניתנת להורדה בתשלום, בעוד שהמתחזה ניתנת להורדה בחינם (מה שעוד יותר אמור לעורר את חשדכם).

למרות הפרשה שזה עתה נחשפה, אותה הזכרנו בתחילת הכתבה, הורדת אפליקציות מהחנות הרשמית היא עדיין בטוחה יותר, ויש להקפיד להוריד את האפליקציות שלכם משם.

In-App-Purchases (רכישה-בתוך-אפליקציה)
אפליקציות שמאפשרות לכם לבצע רכישה-בתוך-אפליקציה עלולות לגרום לכם להוציא יותר כסף ממה שהם התכוונתם – ולפעמים ללא ידיעתכם. בשנה שעברה אולצה חברת אפל לפצות את לקוחותיה ב 32.5 מיליון דולר בתביעה ייצוגית שטענה שהיא מאפשרת פרסום צרכני לילדים דרך האפליקציות שלה.

ניתן להגביל רכישה מתוך האפליקציות וכך זה נעשה:
ב IOS - מערכת ההפעלה של ה iPhone וה- iPad - כנסו להגדרות הכלליות ולאחר מכן ל"הגבלות". לאחר מכן מצאו את "רכישות בתוך יישום" והסיטו את הבורר על מנת להגביל רכישות.

באנדרואיד הגדרת "האימות לפני רכישה" מכוונת מראש כך שתצטרכו לאמת את זהותכם – על ידי הזנת הסיסמה שלכם – כל פעם שתרצו לרכוש משהו בחנות ה Play. אבל מומלץ לוודא שההגדרה אכן מכוונת מראש על ידי ביצוע הפעולות הבאות: כנסו להגדרות ה Google Play מהמכשיר שלכם. לאחר מכן גללו למטה ולחצו על Require authentication for purchases (דרוש אימות לפני רכישה), וודאו שהאופציה המסומנת היא "For all purchases through Google Play".