Většina z nás stahuje aplikace do chytrého telefonu nebo tabletu z oficiálních obchodů v dobré víře, že tyhle aplikace jsou prověřené a pro zařízení bezpečné. Přesto i v těchto obchodem můžete naletět. Zjistili jsme, jak poznat problémovou aplikaci.

Na začátku loňského roku využívalo smartphone 7 z 10 Čechů, přesto si jej podle průzkumu společnosti ESET chrání jen 39 %. Pro útočníky jsou tak mobilní telefony lákavý cíl. Nemusejí překonávat složité zabezpečení, ale pokud získají přístup do zařízení, mohou se dostat k platebním aplikacím, e-mailům a dalším informacím, které lze zpeněžit. 

Rozpoznat nebezpečné aplikace není snadné

Google Play, obchod s aplikacemi pro nejpopulárnější platformu Android, má vlastní detekční systém. Ten vyhledává v nově nahraných aplikacích škodlivý kód, a pokud jej najde, vůbec nepustí aplikaci k uživatelům.

Tento systém se ale útočníci pokoušejí obcházet tzv. trojanizací. Jak tento princip funguje, popisuje Pavel Matějíček, manažer technické podpory společnosti ESET:

„Nejprve se v obchodě objeví normální korektní aplikace, řekněme třeba ke čtení PDF souborů. Funguje dobře, lidé si jí stahují a doporučují. Jakmile nasbírá dostatečný počet stažení, zpravidla okolo 10 000, vydá vývojář aktualizaci, do které ale přidá trojského koně. Ten pak pro hackera získává z telefonu citlivá data.“

Dodává, že laik nejspíš ani během procesu aktualizace nezpozorní. Aplikace si sice vyžádá práva k ovládání zařízení, ale tato práva využívají například také speciální aplikace pro zrakové postižené, mnoho lidí si ani navýšení práv neprostuduje a rovnou je potvrdí.

Na začátku roku 2019 se objevily v Google Play dvě takové aplikace, které cílily vyloženě na české uživatele. Jednalo se o aplikace Blockers Call 2019 a PDF Convertor. Obě po ztrojanizování dokázaly odečíst přístupová hesla do bankovních aplikací a díky vysokým právům měly přístup k verifikačním SMS zprávám. Většina uživatelů aplikace nepodezírala z ničeho nekalého, protože primárně se nejednalo o aplikace určené ke správě financí. Trojanizaci už detekční systém Googlu zachytí v menším počtu případů. 

„Tento proces trvá dlouho, hacker si nejdřív získá důvěru uživatelů dobrou službou a teprve po několika měsících začne jejich zařízení zneužívat a krást jim data. V počátcích takovou aplikaci ani zachytit nelze, protože jednoduše nedělá nic špatného,“ shrnuje riziko Matějíček.

Jak ochránit mobilní aplikace?

Dosáhnout absolutní bezpečnosti chytrého telefonu či tabletu je v praxi nemožné, odborníci se ale shodují, že se rizika dají díky dodržování několika zásad bezpečnosti výrazně snížit.

V první řadě doporučují stahovat aplikace jen z ověřeného oficiálního zdroje. Neoficiální fóra totiž nepodléhají žádné kontrole a pravděpodobnost, že narazíte na nebezpečnou aplikaci je vyšší. Laik prakticky nemá šanci, jak poznat bezpečnou aplikaci a musí se spolehnout na detekční systémy vývojářů.

Vždy čtěte, jaká oprávnění po vás aplikace požaduje a zda to dává smysl. Vaše navigace musí mít přístup k poloze, ale například sociální sítě tuto informaci nepotřebují. Naučte se také omezit nastavení soukromí v aplikaci, abyste nesdíleli data, která nechcete. Tento krok sice nesouvisí přímo se zabezpečením aplikací, ale zvyšuje bezpečnost obecně.

Při výběru aplikace si projděte recenze jiných uživatelů. Obzvláště se zajímejte, zda někdo nekritizuje funkce, které s účelem aplikace nesouvisí. Aktualizace se vám do telefonu stahují patrně automaticky. Pokud aktualizace neproběhne, jak jste zvyklí, znovu se projděte recenze a neváhejte sami ostatní varovat.

V neposlední řadě si pořiďte do mobilu spolehlivý antivir. Ten totiž skenuje i aktualizační balíčky a případného trojského koně nebo podobné neoprávněné zásahy dokáže odhalit a varuje vás.

Jedná se o komerční sdělení.