Компания Google выпускает официальные заявления (опирающиеся на данные исследований, проведенный экспертами компании Google), о том, что из магазина компании Google, то есть, Google Play, совершенно, решительно, однозначно безопасно можно и нужно скачивать приложения. Специалист по кибербезопасности, который занимается охотой на зловредов в каталоге Google Play и отлавливает их каждый месяц, придерживается несколько иного мнения. Дадим голос обеим сторонам вопроса.
В новом отчете Google вначале ссылаются на то, что эксперты, дескать, неустанно твердят, что загрузка мобильных приложений из неофициальных источников повышает риск заражения, и новые данные от специалистов Google это полностью подтверждают (кто бы мог подумать). Конкретные цифры в новом отчете компании о безопасности на платформе Android показывает, что вероятность получить зловреда сокращается в 9 (девять) раз, если скачивать программы только с Google Play.
Дальше совсем скучные цифры, согласно которым все хорошо: согласно статистике Google, в прошлом году потенциально вредоносные приложения были выявлены лишь на 0,09% устройств, использующих исключительно Google Play. Показатель за три квартала 2018 года оказался еще ниже — 0,08%. Приводят даже сравнение: из устройств, комплектуемых из сторонних магазинов (каких?), в 2017 году пострадали 0,82%, а в текущем — 0,68%. То есть, разница в десятых долях процента, но значительная, такая, что можно вынести в заголовок.
Google мы выслушали, а теперь давайте послушаем специалиста по кибербезопасности компании ESET Лукаша Стефанко (Lukas Stefanko), который на регулярной основе продолжает отлавливать малварь в официальном каталоге Google Play. В конце октября текущего года эксперт нашел в Google Play сразу 29 (!) банковских троянов, а ранее в сентябре добился удаления шести фальшивых приложений, маскировавшихся под официальную продукцию банков и криптовалютных бирж.
В ноябре улов Стефанко оказался скромен количественно — это лишь одно вредоносное приложение, Simple Call Recorder, опубликованное FreshApps Group — но увесист качественно — это решение было добавлено в каталог в конце ноября 2017 года, то есть было доступно почти год. За это время его успели скачать и установить более 5000 раз. То есть, в том самом в девять раз более безопасном, чем непонятно что, каталоге Google Play, целый год висел откровенный малварь, и его качали и устанавливали тысячи людей.
Справедливости ради, эксперт пишет, что приложение работало и действительно позволяло записывать звонки. Эту часть кода злоумышленники позаимствовали у другого легитимного приложения, появившегося в Google Play в 2016 году (очевидно, сумев каким-то образом достать исходные коды). Однако помимо этого Simple Call Recorder имел и скрытую от пользователей функциональность: тайно загружал на устройство дополнительное приложение, маскировавшееся под обновление для Flash player (flashplayer_update.apk).
Прежде чем Стефанко успел толком изучить поведение приложения, его стремительно пнули из каталога Google Play (где оно, еще раз напомним, висело год) — видимо, чтобы не портить отчетность. Размышления об этике компании Google, безопасности магазина Google Play и общих опасностях цифрового мира мы предоставим читателям.
