Користувацька безпека під загрозою: приховані небезпеки китайського софту. Джерело: AI
Схоже, американські спецслужби вирішили знову нагадати світу, що безкоштовний сир буває лише в мишоловці, а безкоштовні фільтри для обличчя чи редактори відео — у базах даних Пекіна. Федеральне бюро розслідувань США (FBI) оприлюднило чергове попередження щодо використання програмного забезпечення, розробленого в КНР. Мова не про те, що кожна гра чи утиліта є вірусом за замовчуванням, але контекст набагато складніший за просто «поганий код».
Головна претензія Бюро полягає в особливостях китайського законодавства. Згідно з нормами національної безпеки Китаю, будь-яка місцева компанія зобов’язана співпрацювати з державними органами та надавати доступ до своїх серверів за першою вимогою. Це автоматично перетворює будь-який популярний застосунок на потенційний інструмент збору розвідданих, незалежно від того, наскільки прозорим хоче здаватися його розробник.
Цифрова пилососна установка в кишені
Бюро акцентує увагу на тому, що користувачі часто ігнорують перелік дозволів, які вони надають програмам. Особливо це стосується платформ, що пропонують «запросити друзів». При налаштуваннях за замовчуванням розробники можуть роками зберігати вашу особисту інформацію: імена, електронні адреси, фізичне місцеперебування та повні копії адресних книг. Навіть якщо ви видалите програму, ваші дані можуть залишатися на серверах у Китаї стільки, скільки компанія вважатиме за потрібне.
Крім того, контррозвідувальні підрозділи зазначають, що політики конфіденційності часто написані максимально розмито. Це дозволяє легально переміщувати масиви даних між юрисдикціями, де реальний захист приватності практично відсутній, а системні запити користувачів стають надбанням третіх осіб.
Коли софт перетворюється на «троянського коня»
Проблема не обмежується лише легальним збором метаданих. Частина китайського софту містить прихований шкідливий код, який здатен виходити за межі дозволених користувачем повноважень. Мова про бекдори для підвищення привілеїв, що дозволяють дистанційно завантажувати додаткові пакети та отримувати несанкціонований доступ до системи. Це вже не просто маркетинг, а пряма загроза кібербезпеці.
Ситуація в офіційних магазинах також далека від ідеальної. Нещодавно було виявлено понад 50 програм у Google Play, які успішно маскували шкідливе ПЗ. Сумарно їх завантажили понад 2 000 000 разів. Якщо ж ви звикли встановлювати софт зі сторонніх сайтів або сумнівних репозиторіїв, ризик отримати «подарунок» у вигляді трояна, що експлуатує вразливості ОС, зростає в геометричній прогресії.
Як не стати цифровим товаром
ФБР не закликає до повної цифрової аскези, але пропонує дотримуватися базової гігієни. По-перше, варто відключати будь-який обмін даними, який не є критичним для роботи програми. По-друге, регулярне оновлення операційної системи — це закриття тих самих уразливостей, через які працюють шкідливі пакети. І, звісно, зміна паролів та читання користувацьких угод хоча б по діагоналі допоможе зрозуміти, чи не підписуєте ви згоду на довічне зберігання ваших контактів на серверах у Шеньчжені.