Чому російські застосунки небезпечні?
Микита Книш: Я взагалі не знаю суто російських застосунків. Це вкрадене американське програмне забезпечення, перероблене під російське. Наразі є багато застосунків, у яких засновниками можуть бути росіяни або люди з російським походженням чи громадянством, які можуть навіть не вважати себе росіянами. На жаль, українці ними користуються, інколи навіть не знаючи, що це російські програми. Приклад російського, але де-юре не російського застосунка — Avito. Формально це нідерландська компанія, зареєстрована в Нідерландах. Ця історія глобальна. Вони маскуються.
Євгенія Волівник: Насамперед такі застосунки можуть збирати додаткові персональні дані, а потім їх передавати третій стороні. Також розробники з росії можуть піддаватися впливу своїх спецслужб або уряду й передавати дані користувачів за їхнім запитом, навіть якщо вони відповідально ставляться до загальноприйнятих норм безпеки.
Як безпечно встановлювати застосунки?
Євгенія Волівник: Якщо ви плануєте встановити застосунок на свій мобільний пристрій, обов’язково обирайте з офіційних магазинів App Store або Google Play. У жодному разі не встановлюйте застосунки, посилання на які вам хтось надіслав. Навіть якщо вас зацікавив такий застосунок, краще за назвою знайдіть його в офіційному магазині. Обов’язково звертайте увагу на рейтинг і самої програми, і її розробника. При встановленні застосунка перевіряйте, які дозволи він хоче отримати на вашому пристрої. Якщо це надмірні дозволи, вимкніть їх. Якщо немає змоги заборонити доступ до певних ресурсів, які, на вашу думку, не потрібні цьому застосунку, подумайте, чи справді варто ним користуватись. Наприклад, якщо це застосунок для читання книг, буде дивно, якщо йому потрібен доступ до мікрофона або фотографій.
Telegram небезпечний?
Микита Книш: Месенджери самі собою не несуть ніякої загрози. Неправильне використання месенджерів несе величезну загрозу національній безпеці. Месенджером Telegram небезпечно користуватися для надсилання будь-якої інформації, що містить державну таємницю. Ним не треба користуватися для того, щоб надсилати будь-яку інформацію, що може містити сенситивну для вас інформацію: де ви перебуваєте, де перебувають члени вашої сім’ї. Не можна давати Telegram доступ до геолокації, до книги контактів, треба порізати всі доступи по максимуму. Тобто Telegram не повинен мати доступ до файлів, які зберігаються у вашій операційній системі.
Telegram небезпечний за замовчуванням, якщо у вас включена геолокація — усі ваші контакти бачать, де ви перебуваєте. Якщо ви їдете на передову з Telegram і ввімкненою геолокацією, ви ідіот. Не можна так робити в жодному разі.
ФСБ може мати доступ до коду чи до людей. І це найголовніше. Наприклад, Павло Дуров закінчував російський виш. ФСБ могло завербувати його оточення ще до того, як він став технічним директором Telegram, ще коли він був у «ВКонтакті». У розробників є родичі в росії. Це психологічний тиск. І це треба враховувати. Наскільки мені відомо, вони [співробітники Telegram] зараз всі в Дубаї. В Об’єднаних Арабських Еміратах, на мою особисту думку, є багато співробітників Федеральної служби безпеки. І я думаю, що вони пасуться біля офісу Telegram.
Євгенія Волівник: У Telegram є спеціальні шифровані чати, коли ви можете з іншим користувачем передавати повідомлення безпечніше, бо вони будуть зашифровані. І навіть якщо зловмисник їх перехопить, то не зможе розшифрувати та прочитати. Також доцільно користуватися таймером для видалення повідомлень, коли вони, наприклад, через дві години автоматично видаляються. Проте певні дані все одно можуть зберігатися на серверах розробника.
Застосунки збирають мої дані? Як і куди саме?
Євгенія Волівник: Частину даних застосунок може надсилати на хмарні сервери розробника. Це можуть бути аналітичні, статистичні дані цього застосунку, які потрібні розробнику для його покращення та розвитку. Деякі застосунки можуть мати шпигунські функції, викрадати ваші файли з телефону, паролі чи інші дані, записувати те, що відбувається навколо вас, ваші розмови. Потім ці дані можуть використовувати й шахраї, і спецслужби.
Микита Книш: Кожен китайський застосунок віддає [інформацію] на китайський сервер, нідерландський — на нідерландський сервер. А російський віддає все в росію. І ви повинні це розуміти. Куди саме надсилає телефон ваші дані, можна зрозуміти за допомогою «сніферів». Це такі програми, наприклад WireShark — її можна встановити на телефон, і вона покаже, куди ваш телефон під’єднується. Ви наочно побачите кількість з’єднань, які генерує ваш телефон, коли просто запускається або коли ви його навіть не використовуєте.
Якщо я вже маю підозрілий застосунок? Просто видалити?
Микита Книш: Якщо ви вже встановили якесь неблагонадійне ПО, то треба негайно скидати телефон до заводських налаштувань і відновлювати все, що ви там робили, з бекапу. Або вимикати й віддавати телефон криміналістам. Важливо розуміти, що все одно залишається ймовірність того, що дані вже витекли. Гірша ситуація із пристроями на Android. Якщо ви встановили застосунок на мобільний телефон з Android, то вже нічого не робіть — ви вже все віддали.