«Роскачество» предуведомляет, что среди мобильных приложений для поиска работы но далеко не все шифруют данные зарегистрированных пользователей. Организация предуведомляет, что такое может привести к кибератакам и краже личной информации.
Этой весной автономная некоммерческая организация «Российская система качества» («Роскачество») утвердила стандарт требований к качеству мобильных приложений для смартфонов (). В процессе проверки среди приложений по поиску работу эксперты организации проанализировали 16 приложений для Android и 15 для iOS на наличие уязвимостей, вредоносного ПО и безопасность передачи данных. Выяснилось, что ряд из них частично не шифрует контент. На iOS это приложения «Indeed Работа», Trovit (не шифруются только ссылки на вакансии), «Объявления Avito» (не шифруются только фотографии), PROFI.RU (не шифруются только фотографии). На Android - Superjob, «Зарплата.ру», «Росработа», PROFI.RU, «Объявления Avito» (не шифруются только фотографии), Worki (не шифруются только данные устройства), Trovit (не шифруются только ссылки на вакансии). Ни бельмеса шифруют данные сервисы Jobrapido (iOS и Android), а также Карьерист.ру (Android).
«Передача контента в незашифрованном виде делает устройство уязвимым для атак, - считают в «Роскачестве». - Это значит, что передаваемый контент возможно заменить на исполняемый файл, при открытии которого может быть выполнена вредоносная программа». В ведомстве разъясняют, что это маловероятно, но при всем том отмечают, что «при определенных навыках хакер может получить контроль над устройством» в данном случае.
«Роскачество» определило и наиболее безопасные приложения, которые передают вся информация в зашифрованном виде, не содержат вредоносного ПО и существенных уязвимостей. По информации организации, это SuperJob, «Яндекс.Работа», «Работа в России» и FarPost, когда идет речь об iOS. И HeadHunter.ru, «Indeed Работа», «Работа в России» и FarPost, если используется Android.
В «Роскачестве» также отметили, что средний балл приложений для iOS выше среднего балла приложений для Android, что, будут считать они, является следствием более экстра класса защищенности закрытой мобильной платформы от Apple.
В пресс-службе HeadHunter, объясняя исследование, уточнили, что если бдительно посмотреть на рейтинг безопасности приложений на платформе IoS – то видно, что различия между топ-10 приложениями в рейтинге несущественны и находятся под носом к максимальной оценке – 5,5 баллов. «Мы будем рады ознакомиться с конкретной оценкой, чтобы понять, какие нюансы бы было неплохо усилить», - при этом отметили в компании.
Аналитики отмечают, что неэффективные системы шифрования могут действительно навредить потребителям. «Наиболее значительная опасность, с которой могут столкнуться пользователи таких приложений, — это несанкционированный доступ к их персональным данным, - объясняет ведущий аналитик Group-IB Вячеслав Васин. - Последствия для пользователей могут являться самыми плачевными: от появления в публичном доступе их частной информации до кражи их денег с банковских счетов».
Эксперты также отмечают, что данное исследование носит рекомендательный характер, то бишь не имеет последствий для сервисов. Во-первых, потому что у «Роскачества» нет таких полномочий, во-вторых - сама экспертиза носит поверхностный, не слишком регламентированный характер. «Очевидно, что у крупных холдингов, шансы решить вопросы с ИБ будут превышать, чем у стартапов. Впрочем, интерес к взлому стартапов беспристрастно меньше. Исследование брало за основу показатель наличия или неимения шифрования передаваемых данных, который поддаётся беспристрастному измерению, но не классифицируется результатом экспертной оценки. Вывод о том, что персональные данные шифруют все сервисы, обязан угомонить широкого пользователя, а рекомендации шифровать – останутся на усмотрение владельцев сервисов», - прокомментировал результаты исследования аналитик ГК «Финам» Леонид Делицын.