Дозволи мобільного додатка

Що таке Дозволи мобільного додатка?

Більшість дискусій щодо загроз для мобільних пристроїв зосереджуються на завантажених APK-файлах і невідомих джерелах – драматичні речі. Ця вправа навчить вас працювати з набагато більш поширеним сценарієм: програма з офіційного магазину Play, яка має чисті записи та п’ятизірковий рейтинг, має дозволи, які не мають нічого спільного з тим, що програма насправді робить. Play Store перевіряє на наявність зловмисного програмного забезпечення, а не на надмірний обсяг. Щойно користувач приймає запит під час встановлення, програма зберігає ці дозволи на невизначений час, поки хтось не помітить і не скасує їх. Симуляція починається ранковим електронним листом у вівторок від Центру безпеки. Виявлення аномалії позначило постійне викрадання даних із робочого телефону, пов’язаного з обліковим записом користувача. Винуватці не є екзотикою – безкоштовний QR-сканер, який використовується для реєстрації паперових квитанцій, і безкоштовний світлодіодний ліхтарик, який використовується для перевірки документів. Обидва прийшли з Play Store. Обидва мають понад мільйон завантажень. Один з них протягом шести тижнів передавав контакти, аудіо з мікрофона та дані про місцезнаходження на командно-контрольний сервер; інший збирав ті самі дані та був підготовлений для ексфільтрації, але ще не переданий. На порталі безпеки користувач читає звіт про пошкодження для кожної програми, переглядає контрольний список аудиту, а потім бере телефон для справжнього усунення. У вправі представлено загальне подання перевірки дозволів у додатку «Налаштування» пристрою — список встановлених програм із їхніми чіпами дозволів, позначених кольором за рівнем ризику, і відкликання дозволу одним дотиком. Користувач повністю видаляє QR-сканер (зловживання його дозволами вже призвело до ексфільтрації) і хірургічним шляхом скасовує три надлишкові дозволи ліхтаря, залишаючи його встановленим (ліхтарю законно потрібна камера для світлодіодного обладнання, нічого більше). Основним принципом, якому навчає вправа, є правило одного речення: дозвіл доречний, лише якщо ви можете одним реченням назвати призначену для користувача функцію. пропуски «Камера, щоб програма могла читати QR-коди»; 'SMS, щоб програма могла ... читати ваші повідомлення?' негайно виходить з ладу. Тренінг завершується тестом із п’яти запитань, які охоплюють підказки під час встановлення, обмеження перегляду Play Store, правильну реакцію на дозволи, які активно зловживають, чому безкоштовні службові програми, як правило, є найгіршими порушниками, і як насправді виглядає гігієна на робочому телефоні.

Що ви дізнаєтесь у Дозволи мобільного додатка

• Пам’ятайте, що Play Store і App Store перевіряють зловмисне програмне забезпечення та порушення правил, а не дозволи, які перевищують зазначену мету програми
• Застосовуйте правило одного речення під час перегляду запитів на дозвіл: якщо ви не можете назвати функцію, яка доступна для користувача, повноваженнями дозволу, відповідь – ні
• Визначте мікрофон, SMS і контакти як дозволи високого рівня, які вимагають найретельнішої перевірки будь-якої несуттєвої програми
• Перевірте дозволи встановленої програми в налаштуваннях пристрою та виберіть між хірургічним скасуванням і повним видаленням залежно від того, чи активно програма зловживала своїми дозволами
• Прийміть щоквартальну процедуру перевірки дозволів для робочих телефонів, ставлячись до мобільних пристроїв так само, як і до ноутбуків і робочих станцій.

Дозволи мобільного додатка — Кроки навчання

1. QR-сканер для дзвінків учасників

   Середа після обіду. Аліса розмовляє з учасником, який читає стос паперових квитанцій. Власна програма для камери може сфотографувати кожну квитанцію, але програмі для позовів, виданої компанією, потрібен QR-код із зворотного боку кожної, і камера не може його витягти. Їй потрібен безкоштовний QR-сканер, і він знадобиться протягом наступних тридцяти секунд.

2. Пошук QR-сканера

   Завантажується Play Store. Пропоновані програми заповнюють головний екран, а велика панель пошуку розташована вгорі.

3. Вибір найкращого результату

   Чотири результати повертаються. ScanZap Pro на вершині – 4,8 зірки, більше мільйона завантажень, безкоштовно, без жодних нарікань. Алісі довелося б прокрутити повз нього, щоб навіть побачити альтернативи.

4. Торкніться Установити

   Завантажується сторінка з інформацією про програму. Зірочки, завантаження, знімки екрана та зелена кнопка Установити вгорі. Видавець — RegionWave Software — ім’я, яке Аліса не впізнає, але з понад 1 мільйоном завантажень і 4,8 зірками вона не дивиться двічі на підпис автора.

5. Дозволи, які не потрібні QR-сканеру

   Інсталятор пакетів Android ковзає вгору. Перед встановленням ScanZap Pro просить Алісу надати шість дозволів. Два з них – Camera та Storage – мають сенс для сканера. Інші чотири взагалі не мають сенсу.

6. Торкніться Все одно встановити

   У Аліси є учасник на лінії та стос квитанцій, які потрібно очистити. Вона дивиться на список дозволів, вирішує, що подумає про це пізніше, і натискає «Встановити». Програма встановлюється за дві секунди, ідеально сканує її тестовий QR і виконує роботу. Підказка забувається до кінця розмови. Саме так виникає найпоширеніша загроза для мобільних пристроїв у 2026 році: не зловмисне програмне забезпечення, яке обходить перевірку в магазині, а легітимні програми, які вимагають набагато більше, ніж їм потрібно, і користувачі, які натискають підказку, оскільки завдання, яке стоїть перед ними, здається більш терміновим, ніж абстрактний ризик.

7. Тихий ранок вівторка

   Зараз 7:18 ранку, і Аліса в своєму домашньому офісі з першою кавою. ScanZap Pro все ще працює на її телефоні та записує квитанції кожного разу, коли учасник телефонує. Безкоштовний ліхтарик, який вона додала через пару тижнів після сканера, також усе ще встановлено – обидва мають добру репутацію в Play Store, обидва все ще роблять саме те, для чого вона їх встановила. Принаймні так здавалося.

8. Електронний лист від SOC

   Дзвінок ноутбука Аліси. Новий електронний лист від Операційного центру безпеки Ріверстоуну з’являється у верхній частині її папки «Вхідні» з тегом «терміново» та з назвою, яка псує її ранок ще до того, як вона допила каву. SOC реконструювала, до чого саме мала доступ кожна програма на її телефоні.

9. Чому Play Store не помітив це?

   Перш ніж виправляти, приділіть хвилинку питанню, яке, ймовірно, здається найбільш незручним.

10. Відкрийте портал безпеки

    Алісі потрібно увійти та пройти перевірку. Електронна пошта SOC містить пряме посилання на справжній портал безпеки Riverstone.