Česky systém kvality provádí srovnávací a podrobnější studii mobilních aplikací pro vyhledávání zaměstnání první studie byla provedena v dubnu 2023 . , aby bylo možné sledovat vývoj a ověřit, zda vývojáři v průběhu roku odstranili nedostatky. Úplné výsledky studie budou zveřejněny v srpnu 2023, ale již nyní Roskatchestvo uvádí několik zranitelných aplikací. Odborníci Roskatchestvo testovali 16 aplikací pro Android a 15 pro iOS z hlediska zranitelnosti, malwaru a bezpečnosti dat. Tyto aplikace budou rovněž testovány z hlediska úplnosti funkcí, použitelnosti, výkonu, spolehlivosti a přenositelnosti.
Průzkum zabezpečení aplikací zjistil, že některé aplikace částečně nešifrují obsah. Patří mezi ně:
-
iOS: Indeed Jobs, Trovit nešifrované jsou pouze odkazy na pracovní nabídky , Avito Ads nešifrované jsou pouze fotografie , PROFI nešifrované jsou pouze fotografie ;
-
Android: Superjob, Mzdy.rou, Rosrabota, PROFI, Avito Ads nešifrují se pouze fotografie , Worki nešifrují se pouze údaje o zařízení , Trovit nešifrují se pouze odkazy na nabídky práce .
Přenos nešifrovaného obsahu činí zařízení zranitelným vůči útokům. To znamená, že přenášený obsah může být nahrazen spustitelným souborem, který po otevření může spustit malware. Takto, což je nepravděpodobné, ale přesto možné, s touhou a určitými dovednostmi může hacker získat kontrolu nad zařízením. Je třeba poznamenat, že všechny výše uvedené aplikace přenášejí osobní údaje pomocí šifrovacích algoritmů.
Výsledky průzkumu pomohly identifikovat aplikace, které nešifrují osobní údaje uživatelů, stejně jako. Na stupnici od 0,5 do 5,5 obdržely za bezpečnost přenosu dat známku 0,5:
-
iOS: Jobrapido
-
Android: Jobrapido a Careerist.ru
Ilja Loevsky, zástupce vedoucího ruského systému kvality.„Podle standardu požadavků na kvalitu mobilních aplikací, který vypracovala společnost Roskachevo ve spolupráci s odbornou veřejností, musí být veškerá data včetně osobních údajů uživatelů a obsahu aplikace přenášená mobilní aplikací přenášena pomocí šifrovacích algoritmů. Například aplikace Careerist.ru pro Android přenáší nešifrované soubory s uživatelským jménem a heslem, Jobrapido pro obě platformy rovněž nešifruje uživatelská data. To umožňuje útočníkům přístup k nim, když je jejich provoz zachycen. Kromě toho je zařízení kvůli absenci šifrování zranitelné vůči útokům. Aktivně podporujeme vývojáře, aby dodržovali normy a chránili tak zájmy spotřebitelů.“
Nejbezpečnějšími aplikacemi, které přenášejí všechna data v zašifrované podobě, neobsahují malware a nemají významné zranitelnosti, se ukázaly být
-
iOS: SuperJob, Yandex.Pracovní místa, pracovní místa v Rusku a FarPost;
-
Android: HeadHunter, Indeed Work, Práce v Rusku a FarPost.
Vysoké hodnocení získala také aplikace Mzdy.Roux, Kariéristka.ru, YouDo, Worki, HeadHunter a Work.Roux pro iOS konečné hodnocení více než 5,0 na stupnici od 0,5 do 5,5 .
Za zmínku stojí, že průměrné skóre aplikací pro iOS je o 0,67 vyšší než průměrné skóre aplikací pro Android, což je důsledek vyšší úrovně zabezpečení uzavřené mobilní platformy společnosti Apple. Při provádění výzkumu se testovací laboratoř radila s odborníky ze společnosti Group IB, která se specializuje na prevenci kybernetických útoků a vývoj produktů pro informační bezpečnost.
Vyacheslav Vasin, vedoucí analytik, Group-IB.„Pro moderního člověka je používání mobilních aplikací poměrně snadným a pohodlným způsobem, jak si najít práci. Nejzávažnější hrozbou, které by uživatelé těchto aplikací mohli čelit, je neoprávněný přístup k jejich osobním údajům. Tato hrozba se může projevit nezabezpečeným ukládáním a neúmyslným únikem dat nebo nezabezpečeným přenosem dat. Důsledky pro uživatele mohou být hrozivé, od zveřejnění soukromých informací až po krádež peněz z bankovních účtů.“
Abyste se nestali obětí, radí odborníci dodržovat jednoduchá pravidla:
-
stahovat a instalovat aplikace pouze z oficiálních zdrojů obchodů ;
-
analyzovat zpětnou vazbu od ostatních uživatelů a počet stažení;
-
omezit oprávnění požadovaná při instalaci aplikací;
-
nepoužívat aplikace při připojování k veřejným bezplatným sítím Wi-Fi;
-
nezadávejte údaje o bankovní kartě v pochybných aplikacích.
A hlavně nesdílejte s aplikací to, co byste nechtěli vidět na internetu.
Dobrý den, zajímalo by mě, jakými konkrétními bezpečnostními riziky jsou tyto mobilní aplikace, které Roskatchestvo našlo pro vyhledávání práce, ohroženy? Jaká opatření by měli uživatelé přijmout pro ochranu svých osobních údajů a bezpečnost při využívání těchto aplikací? Děkuji za odpověď.