Roskatchestvo odkriva negotove mobilne aplikacije za iskanje zaposlitve

Slovenščina sistem kakovosti izvaja primerjalno in podrobnejšo študijo mobilnih aplikacij za iskanje zaposlitve prva študija je bila izvedena aprila 2023 . , da bi sledili dinamiki in preverili, ali so razvijalci v enem letu odpravili pomanjkljivosti. Celotni rezultati študije bodo objavljeni avgusta 2023, vendar je Roskatchestvo že poročal o več ranljivih aplikacijah. Strokovnjaki Roskachestvo so testirali 16 aplikacij za Android in 15 aplikacij za iOS za ranljivosti, zlonamerno programsko opremo in varnost podatkov. S testom se bo preverila tudi popolnost funkcionalnosti, uporabnost, zmogljivost, zanesljivost in prenosljivost aplikacij.

V študiji aplikacij po varnostnih merilih je bilo ugotovljeno, da nekatere aplikacije delno ne šifrirajo vsebine. Ti vključujejo:

• iOS: Indeed Jobs, Trovit samo povezave do delovnih mest niso šifrirane , Avito Ads samo fotografije niso šifrirane , PROFI samo fotografije niso šifrirane ;

• Android: Superjob, “Plača.rou, Rosrabota, PROFI, Avito Ads samo fotografije niso šifrirane , Worki samo podatki o napravi niso šifrirani , Trovit samo povezave do delovnih mest niso šifrirane .

Prenos nešifrirane vsebine naredi napravo ranljivo za napade. To pomeni, da se lahko prenesena vsebina nadomesti z izvršilno datoteko, ki lahko ob odprtju izvrši zlonamerni program. Tako lahko heker z željo in določenimi spretnostmi pridobi nadzor nad napravo, kar je sicer malo verjetno, a vseeno mogoče. Omeniti velja, da vse navedene aplikacije prenašajo osebne podatke s šifrirnimi algoritmi.

Rezultati raziskave so pomagali tudi pri prepoznavanju aplikacij, ki ne šifrirajo osebnih podatkov uporabnikov. Na lestvici od 0,5 do 5,5 so za varnost prenosa podatkov prejeli oceno 0,5:

• iOS: Jobrapido

• Android: Jobrapido in Careerist.ru

Ilya Loevsky, namestnik vodje ruskega sistema kakovosti.“V skladu s standardom zahtev za kakovost mobilnih aplikacij, ki ga je razvil Roskachevo skupaj s strokovno skupnostjo, mora prenos vseh podatkov vključno z osebnimi podatki uporabnika in vsebino aplikacije z mobilno aplikacijo potekati z uporabo šifrirnih algoritmov. Na primer, aplikacija Careerist.Roo za Android pošlje nešifrirano datoteko z uporabniškim imenom in geslom, Jobrapido za obe platformi prav tako ne šifrira uporabniških podatkov. Tako lahko napadalci do njega dostopajo s prestrezanjem prometa. Poleg tega je naprava zaradi pomanjkanja šifriranja ranljiva za napade. Razvijalce dejavno spodbujamo, da upoštevajo standarde in ščitijo interese potrošnikov.”

Aplikacije, ki vse podatke prenašajo v šifrirani obliki ter so brez zlonamerne programske opreme in pomembnih ranljivosti, so se izkazale za najbolj varne:

• iOS: SuperJob, Yandex.Delovna mesta, delovna mesta v Rusiji in FarPost;

• Android: HeadHunter, Dejansko delo, Delo v Rusiji in FarPost.

Visoke ocene je prejela tudi aplikacija Plače.ru, Karierist.Roux, YouDo, Worki, HeadHunter in Work.ru za iOS končna ocena več kot 5,0 na lestvici od 0,5 do 5,5 .

Omeniti velja, da je povprečna ocena aplikacije iOS za 0,67 točke višja od povprečne ocene aplikacije za Android, kar je posledica višje stopnje varnosti Applove zaprte mobilne platforme. Pri izvedbi študije se je testni laboratorij posvetoval s strokovnjaki skupine IB, mednarodnega podjetja, specializiranega za preprečevanje kibernetskih napadov in razvoj izdelkov za informacijsko varnost.

Vjačeslav Vasin, vodilni analitik pri Group-IB.“Za sodobnega človeka je uporaba mobilnih aplikacij precej enostaven in priročen način iskanja zaposlitve. Najresnejša grožnja, s katero se lahko srečajo uporabniki takih aplikacij, je nepooblaščen dostop do njihovih osebnih podatkov. Ta grožnja se lahko uresniči z nezanesljivim shranjevanjem in nenamernim uhajanjem podatkov ali z nezanesljivim prenosom podatkov. Posledice za uporabnike so lahko hude, od tega, da so njihovi zasebni podatki javno dostopni, do tega, da jim z bančnih računov ukradejo denar

Da ne bi postali žrtev, strokovnjaki svetujejo, da upoštevate preprosta pravila:

• prenašajte in nameščajte aplikacije samo iz uradnih virov trgovin ;

• analizirati povratne informacije drugih uporabnikov in število prenosov;

• omejite zahtevana dovoljenja pri nameščanju aplikacij;

• ne uporabljajte aplikacij, ko ste povezani z javnimi brezplačnimi omrežji Wi-Fi;

• Ne vnašajte podatkov o bančni kartici v sumljive aplikacije.

In kar je najpomembneje, z aplikacijo ne delite informacij, za katere ne bi želeli, da so javno objavljene v internetu.