Могут ли банковские приложения шпионить?

Как объяснили в пресс-службе Сбербанка, мобильное приложение банка для Android использует встроенный в него антивирус для защиты клиентов от мошенников, поскольку операционная система Android является высокорисковой с точки зрения угроз вирусных атак.

«Этот антивирус выявляет вирусы, которые могут атаковать не только мобильное приложение Сбербанка, но и смартфон клиента в целом. Для полноценной работы антивируса и других систем банка, защищающих клиента, приложению необходим доступ к различным данным. В том числе доступ к фото, мультимедиа и файлам требуется для проверки скачиваемых приложений и файлов на наличие вирусов. Для получения доступа у клиента запрашивается соответствующее согласие.

Часть запрашиваемой информации приложению необходима для работы отдельных функций и не связана с работой антивируса. Так, системное разрешение "Доступ к контактам" нужно для быстрых переводов по номеру телефона контактам из адресной книги, а доступ к камере смартфона запрашивается для быстрой оплаты по QR-коду и установки фото на экране приветствия. "Доступ к интернету" — это системное разрешение, автоматически предоставляемое любому приложению.

Приложение не запрашивает и не использует доступ к Bluetooth, не "убивает" фоновые процессы, не читает и не изменяет историю браузера, не изменяет настройки APN и не следит за запущенными приложениями», — отмечают в банке.

Руководитель группы исследований безопасности мобильных приложений Positive Technologies Николай Анисеня отмечает, что автор представил довольно односторонний разбор приложения: в процессе исследования был изучен лишь список запрашиваемых приложением разрешений, на основе этого были построены его догадки.

«Для того чтобы уличить приложение во вредоносной активности, нужны более глубокие исследования. Практика показывает, что список запрашиваемых разрешений сам по себе ни о чём не говорит и часто направлен на повышение удобства пользователя. Например, без данных о местоположении пользователя приложение не сможет автоматически показать ближайшие банкоматы, без доступа к камере не сработает оплата по QR-коду. Увы, любое разрешение может быть использовано как во благо, так и во вред. Поэтому обвинять приложение просто на основе запрашиваемых разрешений — ошибочная позиция.

Кроме того, автор рекомендует защищаться от банковского приложения с помощью root (получение прав суперпользователя на устройствах под управлением операционной системы Android) — это в корне ошибочная рекомендация. Отмечу, что наличие root-прав на устройстве полностью нивелирует его безопасность. Любое приложение в этом случае будет иметь неограниченный доступ к устройству и ко всем приложениям на нём. Есть некоторые приложения, которые якобы повышают безопасность устройства, но они работают на тех же правах, что и вредоносные приложения, от которых они пытаются защитить», — говорит эксперт.