Folosiți o aplicație nouă și vă solicita să-i acordați anumite permisiuni. Însă acceptarea lor orbească v-ar putea expune unor riscuri grave de securitate și confidențialitate. Permisiunile controlează tipul de date și nivelul de acces la dispozitiv pe care îl primesc aplicațiile. Dacă ați descărcat vreodată o aplicație sau ați activat o funcție nouă, probabil ați primit și o solicitare de permisiune. Dar câți dintre noi au dat click pe „permite” cu gândul în altă parte, fără să stea pe gânduri?

Unele permisiuni sunt adecvate pentru aplicația respectivă. Însă altele pot depăși (intenționat sau nu) limitele a ceea ce este strict necesar. Iar unele pot fi de-a dreptul malițioase. Este important să înțelegeți pe care să le acceptați și pe care să le blocați.

Ce sunt permisiunile pentru aplicații?

O fereastră pop-up de permisiune este, în esență, un dialog între dvs. și sistemul de operare mobil. Vă informează că o aplicație nouă a solicitat accesul la anumite date sau funcții și vă cere aprobarea. În trecut, asemenea solicitări apăreau înainte de instalare. Însă, versiunile moderne de iOS afișează aceste ferestre la momentul pornirii inițiale a aplicației, atunci când începeți să folosiți aplicația pentru prima dată. Android le folosește pe ambele, afișând solicitări la instalare doar pentru permisiunile cu risc scăzut.

Începând cu Android 6.0, permisiunile se împart în două categorii: permisiuni normale, cum ar fi accesul la internet, care sunt acordate discret la instalare fără a avertiza utilizatorul, și permisiuni periculoase, cum ar fi localizarea, microfonul sau contactele, care trebuie aprobate explicit de către utilizator la momentul rulării (când folosiți prima dată funcția respectivă). Versiunile mai noi au introdus și permisiuni suplimentare, precum locația în fundal și notificările, care pot necesita fluxuri de consimțământ separate sau în mai mulți pași. iOS afișează toate permisiunile sensibile la momentul rulării în mod similar.

Pentru dezvoltatori, permisiunile sunt o metodă prin care le oferă utilizatorilor experiențe fluide și bogate în funcționalități. Dacă o aplicație ar trebui să ceară acces la datele sau funcțiile dispozitivului de fiecare dată când le folosește, ar fi aproape imposibil de utilizat.

Atât iOS, cât și Android au introdus în ultimii ani protecții native care diminuează riscurile asociate cu acordarea unor privilegii excesive aplicațiilor. Cu toate acestea, decizia finală vă aparține.

Pericolele permisiunilor pentru aplicații

Fie că o fac cu intenții rele sau nu, unele aplicații cer mai mult acces decât au nevoie. Gândiți-vă, de exemplu, la un joc pe mobil care vă cere acces la contacte sau la o aplicație de PC care solicită permisiunea de a folosi microfonul și camera.

Aprobând permisiunile fără a sta pe gânduri, le-ați putea permite dezvoltatorilor rău intenționați să acceseze date sensibile de pe smartphone (calendar, aplicații de mesagerie, SMS-uri, fișiere și stocare, contacte, istoricul apelurilor, localizare, microfon, cameră etc.). Teoretic, ar putea chiar să vă „citească” ecranul în timp ce tastați. Cu acest nivel de acces, ar putea:

– Să colecteze parolele celor mai sensibile conturi (ex: online banking).
– Să intercepteze codurile de autentificare unice (OTP) primite prin SMS.
– Să vă înscrie dispozitivul în servicii de abonament cu tarif premium.
– Să creeze un profil al vieții dvs. digitale pentru a-l vinde agențiilor de publicitate.
– Să vă pună în pericol siguranța fizică prin monitorizarea localizării.
– Să activeze camera sau microfonul pentru a transforma smartphone-ul într-un dispozitiv de ascultare.
– Să vă cripteze fișierele și să ceară răscumpărare pentru ele (ransomware).
– Să instaleze malware pe dispozitiv (ex: infostealers).

Riscuri emergente: AI și datele de sănătate

Aplicațiile de tip asistent AI (fără a mai menționa aplicațiile care doar pretind că sunt asistenți) prezintă un risc de securitate în creștere care merită o atenție deosebită. Multe solicită acces permanent la microfon pentru comenzi vocale, precum și acces la contacte, calendar și, în unele cazuri, la conținutul ecranului. Analizați aplicațiile AI ca pe orice altă categorie.

Datele de sănătate și fitness reprezintă o altă zonă de expunere subestimată. Aplicațiile cu acces la indicatorii dvs. de sănătate pot partaja sau vinde aceste date, cu implicații inclusiv pentru asigurări sau brokerii de date.

Listă lungă de permisiuni solicitate de o aplicație de împrumut înșelătoare în 2023 (Sursă: ESET Research).

Ce permisiuni pentru aplicații ar trebui să ridice semnale de alarmă?

Permisiunile aplicațiilor depind de context. Ce solicită o anumită aplicație (pentru a oferi experiența așteptată de utilizatori) poate diferi mult de permisiunile necesare unei alte aplicații. Totuși, există permisiuni care ar trebui să ridice întotdeauna semne de întrebare. Printre acestea se numără:

– Serviciile de accesibilitate: Cunoscute și drept „God mode”, acestea pot permite dezvoltatorilor malițioși să vadă ce tastați, să vă citească mesajele și să-și acorde alte permisiuni, fără știrea dvs.
(Notă: funcționalitatea nu este disponibilă nativ pe iOS. Versiunile noi de Android nu permit aplicațiilor instalate din afara Play Store să solicite această permisiunea și verifică periodic dacă mențineți acordarea de permisiuni.)
– Localizarea în fundal (Background location): Poate permite unui atacator să vă urmărească dispozitivul oriunde mergeți, construind o imagine detaliată a rutinei dvs. zilnice.
(Notă: pentru a reduce acest risc, Android și iOS nu permit activarea directă a opțiunii „permiteți întotdeauna” și solicită periodic confirmarea menținerii acestei setări.)
– SMS/ istoricul apelurilor: Foarte puține aplicații au nevoie reală de acces la mesajele text și la istoricul apelurilor. Prin acest tip de acces, un atacator ar putea citi codurile de autentificare unică și vă poate compromite conturile.
(Notă: Pe Android, pentru ca o aplicație să solicite aceste permisiuni, trebuie mai întâi să fie setată ca „Aplicație implicită” pentru funcția respectivă. iOS nu permite niciunei aplicații descărcate din App Store să solicite permisiunea de a „Citi SMS-urile” sau de a „Vedea istoricul apelurilor”.)
– Permisiunea overlay: Permite unei aplicații să afișeze o „fereastră” peste o altă aplicație pe care o folosiți, ceea ce poate facilita atacuri de tip clickjacking.
(Notă: pe Android, utilizatorii trebuie să activeze explicit această opțiune din Settings > Apps > Special App Access > Appear on top. iOS nu are o permisiune echivalentă.)

Gestionarea în siguranță a permisiunilor pentru aplicații

Înainte de a permite sau de a bloca ceva, analizați întotdeauna dacă acea permisiune este necesară pentru ca aplicația respectivă să-și poată îndeplini funcția.

O altă regulă de aur este să selectați doar opțiunile „permite o singură dată” (allow once) sau „în timpul utilizării” (while using). Doar aplicațiile de siguranță, cum este „Găsire” (Find My), ar trebui să aibă cu adevărat acces permanent (24/7/365).

Multe aplicații vă vor cere să le revizuiți permisiunile periodic, dar este o idee bună să faceți un audit proactiv. Iată cum:

iOS
– Mergeți la Configurări > Intimitate și securitate.
– Derulați până jos și apăsați pe (sau activați) Raport intimitate aplicație.
– Aici puteți vedea ce aplicații v-au accesat datele și când. Alternativ:
– Mergeți la Configurări > Aplicații.
– Selectați o aplicație specifică (ex: Instagram).
– Veți vedea o listă de comutatoare (Cameră, Microfon, Contacte). Dezactivați tot ce nu este esențial.

Android
– Mergeți la Setări > Securitate și confidențialitate > Confidențialitate > Tablou de bord pentru confidențialitate.
– Apăsați pe Vizualizare pe 7 zile (meniul din dreapta sus) pentru a vedea o cronologie a fiecărei aplicații care v-a folosit senzorii în ultima săptămână. (Acești pași pot varia în funcție de dispozitiv, deci verificați setările specifice modelului dvs.).
– Dacă observați o aplicație care folosește microfonul la ora 3:00 dimineața, apăsați pe ea pentru a-i revoca imediat accesul. Alternativ (căile de navigare pot varia în funcție de interfața producătorului):
– Mergeți la Setări > Aplicații > [Numele Aplicației].
– Asigurați-vă că opțiunea „Gestionați aplicația dacă nu este folosită” (sau „Întrerupeți activitatea aplicației dacă nu este folosită”) este ACTIVATĂ.
– Dacă nu folosiți aplicația timp de câteva luni, Android îi va retrage automat permisiunile, va șterge fișierele temporare și va opri notificările.

Mai presus de toate, descărcați aplicații doar din magazinele legitime (Google Play/ App Store). Citiți recenziile acestora înainte de a lua o decizie. Luați în considerare instalarea unei soluții de securitate pentru mobil de la un furnizor de încredere. Rămâneți în siguranță!