A Roskachestvo bizonytalan mobil álláskereső alkalmazásokat fedezett fel

Az Magyar Minőségügyi Rendszer összehasonlító és részletesebb tanulmányt készít a mobil álláskereső alkalmazásokról az első tanulmányt 2023 áprilisában végezték . a dinamika nyomon követése és annak ellenőrzése érdekében, hogy a fejlesztők hiányosságait az év során kijavították-e. A tanulmány teljes eredményeit 2023 augusztusában teszik közzé, de a Roskatchestvo már most több sérülékeny programról számol be. A Roskatchestvo szakértői 16 Android és 15 iOS alkalmazást teszteltek sebezhetőségek, rosszindulatú programok és adatbiztonság szempontjából. A teszt során az alkalmazások funkcióinak teljességét, használhatóságát, teljesítményét, megbízhatóságát és hordozhatóságát is vizsgálják.

Az alkalmazások biztonsági kritériumainak vizsgálata során megállapították, hogy egyes alkalmazások részben titkosítatlan tartalmakkal rendelkeznek. Ezek közé tartoznak:

• iOS: Indeed Jobs, Trovit csak titkosított álláshivatkozások nélkül , Avito Ads csak titkosított fotók nélkül , PROFI csak titkosított fotók nélkül ;

• Android: Superjob, bérszámfejtés.rou”, „Rosrabota”, PROFI, „Avito ads” csak a fényképek nem titkosítottak , Worki csak az eszközadatok nem titkosítottak , Trovit csak a munkalinkek nem titkosítottak .

A tartalom titkosítás nélküli továbbítása sebezhetővé teszi az eszközt a támadásokkal szemben. Ez azt jelenti, hogy az átvitt tartalom helyettesíthető egy futtatható fájllal, amely megnyitásakor rosszindulatú programot futtathat. Tehát, bár valószínűtlen, de mégis lehetséges, hogy egy hacker a vágy és bizonyos készségek birtokában átveheti az irányítást egy eszköz felett. Meg kell jegyezni, hogy a fenti alkalmazások mindegyike titkosítási algoritmusok segítségével továbbítja a személyes adatokat.

A felmérés eredményei segítettek azonosítani azokat az alkalmazásokat is, amelyek nem titkosítják a felhasználók személyes adatait. Az adatátvitel biztonsága tekintetében 0,5 pontszámot kaptak egy 0,5-től 5,5-ig terjedő skálán:

• iOS: Jobrapido

• A fizetés és az Android: Jobrapido és Careerist.ru

Ilja Loevszkij, az Magyar Minőségügyi Rendszer helyettes vezetője.„A Roskachevo által a szakértői közösséggel együttműködve kidolgozott mobilalkalmazás minőségi követelményeire vonatkozó szabvány szerint a mobilalkalmazások által továbbított adatokat beleértve a személyes felhasználói adatokat és az alkalmazások tartalmát titkosítási algoritmusok segítségével kell továbbítani. Például a Careerist nevű alkalmazás.A Roux for Android titkosítatlan felhasználónév és jelszó fájlt küld, a Jobrapido mindkét platformon szintén nem titkosítja a felhasználói adatokat. Ez lehetővé teszi a támadók számára, hogy hozzáférjenek a forgalom lehallgatása során. Ráadásul a titkosítás hiánya sebezhetővé teszi az eszközt a támadásokkal szemben. A fogyasztók érdekeinek védelme érdekében aktívan ösztönözzük a fejlesztőket a szabványok betartására.”

A legbiztonságosabb alkalmazások, amelyek minden adatot titkosított formában továbbítanak, és mentes a rosszindulatú programoktól és a jelentős sebezhetőségektől, bizonyítottan:

• iOS: SuperJob, Yandex.Munkahelyek, Munkahelyek Magyarországban és FarPost;

• Android: HeadHunter, Indeed Work, Munka Magyarországban és FarPost.

A bérszámfejtő alkalmazás szintén jó minősítést kapott.rou”, „Karrierista”.rou, YouDo, Worki, HeadHunter és Work.”támadásra sebezhető” az iOS esetében a 0,5-től 5,5-ig terjedő skálán 5,0-nál nagyobb végső pontszám .

Érdemes megjegyezni, hogy az iOS-alkalmazások átlagos pontszáma 0,67 ponttal magasabb, mint az Android-alkalmazások átlagos pontszáma, ami az Apple zárt mobilplatformjának magasabb biztonsági szintjének következménye. A tesztelő laboratórium konzultált a kibertámadások megelőzésére és kiberbiztonsági termékek fejlesztésére szakosodott nemzetközi vállalat, a Group IB szakértőivel.

Vjacseszlav Vasin, a Group-IB vezető elemzője.„A modern ember számára a mobilalkalmazások használata egy meglehetősen egyszerű és kényelmes módja az álláskeresésnek. A legsúlyosabb veszély, amellyel az ilyen alkalmazások felhasználói szembesülhetnek, a személyes adataikhoz való jogosulatlan hozzáférés. Ez a fenyegetés megvalósulhat a nem biztonságos tárolás és a nem szándékos adatszivárgás, illetve a nem biztonságos adattovábbítás révén. A felhasználókra nézve a következmények katasztrofálisak lehetnek: a magánjellegű adatok nyilvánosságra kerülésétől a bankszámlájukról ellopott pénzig.”

Ahhoz, hogy ne váljon áldozattá, a szakértők azt tanácsolják, hogy kövessen néhány igen egyszerű szabályt:

• Csak hivatalos forrásból boltokból töltsön le és telepítsen alkalmazásokat;

• elemezze a többi felhasználó visszajelzéseit és a letöltések számát;

• Korlátozza az alkalmazások telepítésekor kért engedélyeket;

• ne használjon alkalmazásokat, amikor nyilvános ingyenes Wi-Fi hálózatokhoz csatlakozik;

• Ne adja meg bankkártyaadatait kétes alkalmazásokban.

És ami a legfontosabb, ne osszon meg az alkalmazással olyan információkat, amelyeket nem szeretne online elérhetőnek látni.