Slovenská systém kvality vykonáva referenčnú a podrobnejšiu štúdiu mobilných aplikácií na hľadanie práce prvá štúdia sa uskutočnila v apríli 2023. , aby bolo možné sledovať dynamiku a skontrolovať, či vývojári v priebehu roka odstránili nedostatky. Úplné výsledky štúdie budú zverejnené v auguste 2023, ale už teraz Roskatchestvo uvádza niekoľko zraniteľných aplikácií. Odborníci Roskachestvo testovali 16 aplikácií pre Android a 15 aplikácií pre iOS na zraniteľnosť, malvér a bezpečnosť prenosu dát. Súčasťou testovania bude aj testovanie úplnosti funkcií, použiteľnosti, výkonu, spoľahlivosti a prenosnosti týchto aplikácií.
Prieskumom zabezpečenia aplikácií sa zistilo, že niektoré aplikácie boli čiastočne nešifrované. Patria medzi ne:
-
iOS: Indeed Jobs, Trovit len odkazy na pracovné ponuky nie sú šifrované , Avito Ads len fotografie nie sú šifrované , PROFI len fotografie nie sú šifrované ;
-
Android: Superjob, Zarplata.rou, Rosrabota, PROFI, Avito Ads iba fotografie nie sú šifrované , Worki iba údaje o zariadení nie sú šifrované , Trovit iba odkazy na úlohy nie sú šifrované .
Prenos nešifrovaného obsahu robí zariadenie zraniteľným voči útokom. To znamená, že prenášaný obsah môže byť nahradený spustiteľným súborom, ktorý po otvorení môže spustiť škodlivý softvér. Takto, čo je nepravdepodobné, ale napriek tomu možné, s túžbou a určitými zručnosťami by hacker mohol získať kontrolu nad zariadením. Je potrebné poznamenať, že všetky uvedené aplikácie prenášajú osobné údaje pomocou šifrovacích algoritmov.
Výsledky prieskumu pomohli identifikovať aj aplikácie, ktoré nešifrujú osobné údaje používateľov. Na stupnici od 0,5 do 5,5 získali 0,5 bodu za bezpečnosť prenosu údajov:
-
iOS: Jobrapido
-
Android: Jobrapido a Careerist.Ru
Ilja Loevsky, zástupca vedúceho ruského systému kvality.„Podľa štandardu požiadaviek na kvalitu mobilných aplikácií, ktorý vypracovala spoločnosť Roskachevo spolu s odbornou komunitou, sa akýkoľvek prenos údajov mobilnou aplikáciou vrátane osobných údajov používateľa a obsahu aplikácie musí uskutočňovať pomocou šifrovacích algoritmov. Napríklad aplikácia Careerist.Ru pre Android prenáša nešifrovaný súbor s prihlasovacím menom a heslom používateľa, Jobrapido pre obe platformy tiež nešifruje údaje používateľa. To umožňuje útočníkom prístup k nim, keď je ich prevádzka zachytená. Okrem toho je zariadenie kvôli chýbajúcemu šifrovaniu zraniteľné voči útokom. Aktívne podporujeme vývojárov, aby dodržiavali normy na ochranu záujmov spotrebiteľov
Za najbezpečnejšie aplikácie, ktoré prenášajú všetky údaje v zašifrovanej podobe a neobsahujú škodlivý softvér a významné zraniteľnosti, boli považované
-
iOS: SuperJob, Yandex.Pracovné miesta, pracovné miesta v Rusku a FarPost;
-
Android: HeadHunter, Indeed Work, Work in Russia a FarPost.
Vysoké hodnotenie získala aj aplikácia Mzdy.’ru‘, ‚Careerist‘.ru, YouDo, Worki, HeadHunter a Work.ru“ pre iOS konečné hodnotenie viac ako 5,0 na stupnici od 0,5 do 5,5 .
Stojí za zmienku, že priemerné skóre aplikácie pre iOS je o 0,67 vyššie ako priemerné skóre aplikácie pre Android, čo je dôsledkom vyššej bezpečnosti uzavretej mobilnej platformy spoločnosti Apple. Testovacie laboratórium sa pri realizácii štúdie radilo s odborníkmi z medzinárodnej spoločnosti Group IB, ktorá sa špecializuje na prevenciu kybernetických útokov a vývoj produktov informačnej bezpečnosti.
Vyacheslav Vasin, vedúci analytik, Group-IB.„Pre moderného človeka je používanie mobilných aplikácií pomerne jednoduchým a pohodlným spôsobom, ako si nájsť prácu. Najvážnejšou hrozbou, s ktorou sa môžu používatelia takýchto aplikácií stretnúť, je neoprávnený prístup k ich osobným údajom. Táto hrozba sa môže realizovať prostredníctvom nezabezpečeného ukladania a neúmyselného úniku údajov alebo prostredníctvom nezabezpečeného prenosu údajov. Dôsledky pre používateľov môžu byť hrozivé, od zverejnenia ich súkromných informácií až po krádež peňazí z ich bankových účtov.“
Aby ste sa nestali obeťou, odborníci odporúčajú dodržiavať pomerne jednoduché pravidlá:
-
sťahujte a inštalujte aplikácie len z oficiálnych zdrojov obchodov ;
-
analyzovať spätnú väzbu od ostatných používateľov a počet stiahnutí;
-
obmedziť požadované oprávnenia pri inštalácii aplikácií;
-
Pri pripájaní k verejným bezplatným sieťam Wi-Fi nepoužívajte aplikácie;
-
žiadne údaje o bankových kartách, ktoré by sa zadávali do pochybných aplikácií.
A čo je najdôležitejšie, nezdieľajte s aplikáciou žiadne informácie, ktoré by ste nechceli vidieť verejne na internete.
Ako je možné, že Roskatchestvo zistilo nezabezpečené mobilné aplikácie na vyhľadávanie práce? Aké dôsledky to môže mať pre užívateľov týchto aplikácií a ako sa im bude pomáhať?