ЖЕК-додатки у вашому смартфоні та їхня (не)безпека

ЖЕК-додатки у вашому смартфоні та їхня (не)безпека

Сучасні ЖЕК-додатки не пахнуть кібербезпекою

Давно хотів розказати про ЖЕК-додатки та їхню (не)безпеку.
Багато хто вже бачив рекламу додатків, які спрощують нам життя: сплатити комуналку «в один клік», викликати сантехніка, поскаржитися на якісь негаразди в будинку, тощо.
Гугл за запитом «ЖЕК додаток» видає з пів-десятка різних пропозицій.
Мене (і ще багато кого) завжди цікавило питання безпечності таких додатків.
Наскільки легко зловмиснику отримати несанкціонований доступ до додатку?
Наскільки відповідально самі розробники додатку ставляться до захисту персональних даних?
І як зловмисник може нашкодити користувачам таких додатків?

Використання додатків без відповідей на ці питання створює кілька досить неприємних загроз: це і можливий виток повних персональних даних користувачів з прив’язкою до точної актуальної адреси, і фінансові дані з можливість переключити платежі на свої рахунки, і можливість змінити важливу суспільну інформацію на фейкову (наприклад, повідомлення про пожежу, стихійне лихо, масову евакуацію, військову мобілізацію).

А якщо, скажімо, контроль над додатком, яким користуються високоповажні мешканці елітних будинків, отримає ворожа спецслужба?
От чисто теоретично: якась близька родичка Президента України постійно скаржиться через додаток на протікання даху або несправність вентиляції.

Для ворожої спецслужби, яка приховано контролює таких ЖЕК-додаток, це супер-важлива інформація.

Як її можна використати?

Наприклад, встановити підслуховуючі пристрої у вентиляції чи у дірці на даху. І поява на порозі «ремонтника» у спецовці жодним не викличе жодної підозри у топ-родички і вона спокійно запустить «сантехніка» до помешкання. А той тихенько встановить «жучок», а може і радіокерований «новічок». І коли наступного разу в гості до родички завітає глава держави, може статися велика неприємність для його виборців.
Я вже більше 15 років як не працюю в контррозвідці, але запросто міг би придумати ще з десяток способів як ворожа розвідка може використати діряві ЖЕК-додатки проти українських топ-політиків.
А тих топ-політиків охороняє ціла армія бодігардів, у тому числі й у кібер-просторі. Але навіть вони безсилі проконтролювати які додатки встановлені у смартфонах усіх численних близьких контактів «охоронюваних осіб».


А шо вже казати про пересічних громадян.
Звісно, їх абсолютна більшість нецікава спецслужбам.
Зате і спецслужбам, і кібер-злочинцям цікаві актуальні бази даних.
Ключове слово – «актуальні», оскільки з того непотребу, яке продається на підпільних форумах чи у Телеграм-ботах, досить важко скласти точну картину реальності.
А от якщо зібрати бази даних усіх ЖЕК-додатків, де люди самі викладають про себе максимально актуалізовану інформацію – оце саме воно для кібер-штірліцев. За це і орден можуть дати.

Але що може загрожувати звичайному громадянину, якому пофіг на те, що його персональні та фінансові дані валяються в інтернетах?
Знов таки, чисто гіпотетично: через додаток мешканцям будинку розсилається повідомлення «Увага, завтра у вашому будинку будуть проводитися роботи з ремонту ліфту (даху, підвалу, комунікаційних мереж), просимо вибачення за тимчасові незручності».

Наступного дня приходять люди у спецодягу і спокійно, не озираючись, виносять вузол обліку тепла, коштовні запчастини від ліфту, провайдерські свічі/роутери, а то і меблі з квартири сусіда, який поїхав у відпустку.
Звісно, хтось із небайдужих громадян зателефонує до ЖЕКу. Але ж ви знаєте наші ЖЕКи. «Ви нам не дзвоніть, дзвоніть диспетчеру». Диспетчер: «Такої заявки не бачу, але такі роботи начебто планувалися, уточніть у тепло-водо-електро-енерго», «Такі роботи передбачені, але не можу сказати точно по вашому будинку». Це якщо взагалі вистачить терпіння додзвонитися до різних служб. Кінець-кінцем пильний громадянин плюне на те все «мені шо, більше всіх треба?».
Про фейкові оголошення я вже казав. Вони можуть спричинити паніку та шквал дзвінків до екстрених служб, у якому загубляться справжні повідомлення. Кому це може бути вигідно? Та багато кому, у тому числі і злочинцям.

Шахраї у нас на диво вигадливі, і тому важливо, щоб ЖЕК-додатки були добре захищеними.
 

А як же звичайному користувачеві оцінити безпечність такого додатку?
А практично ніяк.
Відповідальні розробники ЖЕК-додатків повинні самі запевнити потенційного юзера у безпечності свого виробу. Запевнити, що під час розробки використовувалися практики «безпечного кодінгу», що безпеку додатку тестували відомі спеціалізовані кібер-компанії, викласти у публічний доступ хоча б першу сторінку відповідного звіту.

А якби ще й вихідний код додатку був загально-доступним – то взагалі було б ідеально.
 

Але нічого подібного я жодного разу не бачив.

Навіть розділу про безпеку на веб-сайтах додатків немає. Навіть голослівних тверджень «наш додаток безпечний». Взагалі ані слова про безпеку.
Про захист же персональних даних в нашій країні навіть говорити не доводиться – Закон про ЗПД в Україні не працює, ніхто цим фактично не займається, нічого не контролює і навіть не намагається. Формально, згідно Закону про ЗПД за захист наших персданих начебто відповідає омбудсмен (уповноважений ВРУ з прав людини), але по факту там існує лише купка некваліфікованих напівграмотних чиновників, які ось лише щойно розібралися що таке https (Алілуйя! Нарешті! Не пройшло і сімох років та ста нагадувань!). Їхня єдина функція – видавати липові папірці про «відповідність вимогам із захисту персональних даних» для різних госушних поробок типу «додатку Дія».

Сомалі, Венесуела, Дике Поле у нас в Україні із захистом персональних даних. Але на цю велику тему напишу якось окремо.

І якщо вже згадав додаток Дія, то слід зазначити, що під час його розробки дійсно займалися його безпекою. Точно знаю, займалися. Але чи достатньо відповідально? Маю тяжкі сумніви. «Вовочка, ти вивчив вірш? Я вчив…»
Незважаючи на тиск спільноти, незважаючи на неприємні запитання від фахівців та журналістів, наразі ніяких вагомих доказів хоча б мінімальної безпеки додатку Ді – не існує. Лише слова чиновників а-ля «не бійтеся, все безпечно». А ми ж з вами ой як довіряємо словам чиновників, а особливо чиновників-політиків. Прям релігійно віримо у них, ага.

Документація на Дію – відсутня у вільному доступі.
Звіти про тестування безпеки – також відсутні.
Вихідний код додатку – і поготів.
Гучно розрекламована публічна програма перевірки безпечності Дії Bug Bounty (проводилася у грудні 2020 за американські гроші фонду USAID) - закінчилася ганебним принизливим пшиком, про який тепер намагаються не згадувати.
Між тим, розробка додатку коштувала нам, платникам податків, мільйони доларів, ніякого «волонтерства» там насправді не було.
А фантастичні бюджети міні-цифри та ДП Дія на «удосконалення» та «підтримку» додатку Дія можуть драматично вразити тих, від яких ці гроші «відкусили». Наприклад, «на розвиток місцевого самоврядування».
Так от, навіть з такими колосальними бюджетам на розробку додатку – все одно не спромоглися довести його безпечність.
Що вже казати про численних дрібних приватних розробників ЖЕК-додатків.

 

І ще скажу за гроші.

Вартість розробки звичайного мобільного додатку стартує приблизно від 5 тисяч доларів (і це буде найдешевший варіант «тяп-ляп і в продакшн»).
А проведення одного якісного тестування безпеки додатку – коштує приблизно стільки ж (плюс-мінус, у відповідальних компаніях). А таких тестувань потрібно щонайменше два.
«Ото і щитай», як казав прапорщик Жуйборода, начальник курсантської їдальні з моєї далекої юності.

А ЖЕК-додатки розповсюджуються безкоштовно, платних я поки не бачив.
Яким чином розробники планують «відбити» витрачені кошти – складно сказати. Можливо, вони зароблять на підключені до платіжних сервісів, можливо, щось їм заплатять постачальники послуг (світло, газ, вода, тепло).
Я з цим питанням не розбирався. Але кошти обов’язково повинні якимось чином відбитися, тому що це, безперечно, бізнес.

Витратити менше, ніж заробити – на цьому ґрунтується економіка, яка, як відомо, є двигуном прогресу та цивілізації загалом.
Але також відомо, що для декого «гроші не пахнуть».
А сучасні ЖЕК-додатки не пахнуть кібербезпекою.
Хто з цим не згоден – киньте у мене посиланням хоча б на один більш-менш безпечний ЖЕК-додаток. Але так, щоб з пруфами. Голослівних тверджень «та він безпечний, атвічайю» я вже наслухався вдосталь, аж тошно вже.

«Так а що ж робити?» - висить у повітрі питання.
Найкраще, що можна зробити пересічному користувачу – не користуватися ЖЕК-додатками без нагальної потреби. Або ж вимагати від постачальника додатку пояснень стосовно його безпеки та посилатися на ось цей мій допис. На які вони не відповідатимуть, я перевіряв)
Але якщо вже потреба настільки нагальна, що ніяк не можна уникнути ЖЕК-додатку – вказуйте при реєстрації мінімально необхідні дані про себе, своїх близьких, свою квартиру, свої платіжні дані.
Я, наприклад, успішно уникаю користування будь-якими ЖЕК-додатками.
Так, це трохи менш зручно. Але це значно більш безпечно. І коли раптом одного сумного дня компанія-розробник додатку розчиниться у повітрі, наче її не було ніколи  (ключові слова Kyiv Smart City) – ваші дані залишаться при вас, а не у Телеграм-бота.

І що важливіше – зручність чи безпека - кожен визначає для себе сам.

Та і загалом, загальне правило безпеки користування додатками доволі просте: що менше додатків встановлено у смартфоні, то менше виникає ризиків кібербезпеки.
Держава наша рідна поки не дійшла до «контролю безпеки додатків для критичної інфраструктури», і це якраз гарна новина. Бо коли дійде, то буде ще сумніше: усі старі недоліки залишаться, але до них добавиться ще й корупція.

 

Поки ситуація саме така.
Я буду радий розказати про якісь позитивні кейси, але з цим у нашій країні сум-печаль.
Нещодавно читав про начебто «перемогу України», але згодом з’ясувалося, що то була перемога окремих розумних, талановитих та працелюбних українців, і держава Україна до тієї перемоги не мала жодного стосунку. Добре, що хоча б не заважала.
Хто мені розкаже про дійсно захищений ЖЕК-додаток – тому буду вдячний. А може і сам користуватимуся.
Але поки що користуватися нічим експерту з кібербезпеки.

Костянтин Корсун - експерт з кібербезпеки


 

Читайте также!

 

 

 

 

- Кинжал и Циркон: Про гиперзвуковую вундервафлю РФ
- Сегодняшняя ракетная атака по Украине. Что настораживает?
- У России партнеры - идейные, у Украины - геополитические бизнесмены
- Что-то в современном мире глобально поломалось, но что именно?
- В России обрушилось производство бензина после атак Украины
- Хайпо@бизм - неизлечимая болезнь украинской власти
- Олимпиада-2024. Вокруг певицы Аи Накамуры разгорелся скандал: ее музыка не может представлять Францию...
08:13Февраль, 24 2021 744

ТОП Новости 
неделя
месяц