12 ноября 2019 29435

Помоги себе сам. Оптимизируем заводские настройки безопасности на Android

Первые версии Android давали сторонним приложениям слишком много привилегий в системе, но со временем ситуация изменилась. Больше не нужно раздавать разрешения направо и налево. При этом остается ряд неочевидных настроек, которые связаны с безопасностью и конфиденциальностью. Параметры по умолчанию трудно назвать оптимальными, но мы расскажем, как это исправить.     



Кому нужны наши данные?

Почтовые аккаунты, пароли от социальных сетей, доступ к банковским счетам — практически у любого человека найдется чем поживиться. Кроме того, недобросовестные разработчики сторонних приложений также могут собирать больше приватной информации, чем это необходимо для работы продукта.

Угрозы регулярно возникают там, где их не ждут. При этом самое слабое звено в системе безопасности — беспечный пользователь, а первый уровень обороны — грамотная оптимизация заводских настроек.



Основные настройки

Оболочки Android от разных производителей могут серьезно различаться между собой, поэтому мы возьмем «чистый» Android One 9. Встроенные в него средства актуальны везде, но разработчикам никто не запрещает добавлять собственные. Доля десятой версии исчезающе мала и достоверно неизвестна, а девятая в августе 2019 года заняла более 22% рынка.

Еще одна причина выбора девятки — в смысле безопасности она практически не отличается от более распространенной восьмой версии. Таким образом мы охватим все версии Android. Обратите внимание, что в конкретных сборках структура меню может отличаться, поэтому стоит пользоваться поиском, чтобы найти ту или иную опцию.


Основные параметры безопасности и конфиденциальности находятся в разделе «Защита и местоположение» системного приложения «Настройки». Многие специалисты советуют включить встроенную защиту Google Play, но сильно надеяться на нее не стоит. Все приложения в магазине Google проверены штатным антивирусом, однако это не мешает зловредам регулярно попадать на площадку.


К тому же «Play Защита» всегда получает худшие оценки в испытаниях независимой лаборатории AV-TEST. Google совсем недавно приступил к совершенствованию системы безопасности. В ноябре 2019 года Google и ESET стали партнерами по безопасности, образовав Альянс, цель которого в перспективе — защитить пользователей устройств на Android от опасного ПО в Google Play. Однако пока проект развивается, мы рекомендуем оптимизировать настройки безопасности своими силами.


Настройте блокировку экрана и регулярно проверяйте обновления безопасности 

Начнем с раздела «Защита и местоположение», где можно активировать сервис удаленного поиска и стирания данных на случай утери или кражи устройства. В этом же меню можно загружать обновления системы безопасности, настраивать блокировку экрана, просматривать параметры шифрования данных на встроенном накопителе, а также управлять списками приложений администратора и агентов доверия (например, SmartLock).

Две последних настройки очень важны. Полномочия администратора позволяют приложению стереть в телефоне все данные, а агенты доверия автоматически разблокируют устройство при выполнении определенных условий.


Контролируйте приложения администратора и агентов доверия

В подразделе «Местоположение» собраны параметры позиционирования. Если отключить «Геолокацию Google», телефон начнет использовать только спутниковую навигацию. Так системам аналитики и доставки таргетированной рекламы будет сложнее идентифицировать владельца устройства.

Без Wi-Fi и Bluetooth крупные магазины не увидят траекторию ваших перемещений по торговому залу. При этом может снизиться точность определения координат. Тут же отключается «История местоположений» и устанавливаются «Разрешения для приложений».


Настройте геолокацию и отключите поиск приложениями беспроводных сетей

Более интересные функции прячутся в неприметном подразделе «Поиск». По умолчанию в Android приложениям разрешается искать сети Wi-Fi и сигналы Bluetooth, даже если соответствующие модули отключены. Это может стать потенциальной уязвимостью, поэтому сканирование лучше отключить. Стоит также отметить появление в Android 10 запрета доступа к геолокации для фоновых приложений — раньше такая возможность была только в iOS.

Пара интересных возможностей есть и в подразделе «Заблокированный экран». Если вы не хотите, показывать всем желающим содержимое уведомлений, этот параметр легко изменить. Здесь же добавляется функция блокировки входа, временно отключающая Smart Lock, биометрию и показ уведомлений. Постоянно вводить пин-код или сложный пароль неудобно, но иногда владелец не контролирует устройство.


Благодаря блокировке входа никто не сможет получить доступ к данным, например, приложив дактилоскопический датчик к пальцу спящего владельца гаджета. После разблокировки с вводом пароля все настройки восстановятся. Здесь же задается текст на экране блокировки, например, просьба связаться с владельцем утерянного устройства по e-mail.


Скрывайте конфиденциальные данные на экране блокировки

Теперь пробежимся по другим важным разделам приложения «Настройки». В первую очередь стоит заблокировать автоматическое включение Wi-Fi: Настройки — Сеть и интернет — Wi-Fi — Настройки Wi-Fi.

Злоумышленники часто создают поддельные беспроводные сети под именами известных брендов. Пользователь не замечает, как телефон регистрируется на хакерской точке доступа, и преступники запускают перехват трафика. Хорошей практикой будет выключение Wi-Fi и Bluetooth, когда они не нужны — для этого на шторке управления есть специальные иконки.


Заблокируйте автоматическое включение Wi-Fi

В разделе «Настройки — Спец. возможности» есть список приложений, имеющих доступ к потенциально опасным функциям, вроде получения содержимого активного окна или автоматического заполнения полей ввода. Так вредоносная программа может получить доступ к логинам и паролям или платежным данным. Давать эти права стоит только проверенным приложениям.


Проверьте список приложений, имеющих доступ к потенциально опасным функциям

Последний интересный раздел — «Google (сервисы и настройки)». Он позволяет контролировать параметры, связанные с учетной записью. Стоит упомянуть «Автозаполнение кодов подтверждения», «Сообщения с предпросмотром приложений» из подраздела «Данные и сообщения», «Настройки персонализации рекламы» и «Подключенные устройства». Также в меню «Сервисы в аккаунте» можно найти устройства, сторонние приложения и сервисы, имеющие доступ к вашей учетной записи Google.


Проверьте параметры раздела «Google (сервисы и настройки)»


Разрешения приложений

В разделе «Приложения и уведомления» есть пункт «Разрешения приложений». В том же разделе можно выбрать конкретное приложение и увидеть все (на самом деле нет) его доступы.

Многие приложения часто запрашивают лишние права. Пользователю не стоит их выдавать, если соответствующая функциональность ему не требуется. Подобные запросы могут быть косвенным признаком зловреда, если, например, фонарик или калькулятор хочет управлять звонками и получать геолокационные данные. Здесь не надо бояться экспериментировать, но будьте осторожнее с системными приложениями. Пользователю вряд ли удастся внести опасные изменения, но исключения случаются.


Проверьте выданные приложениям доступы

После установки параметров приложения отключите пуш-уведомления, если они вам не нужны. Переходим к пунктам «Передача данных» и «Батарея».


Разрешите передачу мобильных данных в фоне только избранным приложениям

Постоянно быть на связи с удаленными сервисами требуется далеко не всем приложениям — это необходимо в основном почтовым клиентам, мессенджерам и сетевым медиаплеерам. Поэтому рекомендуем ограничить передачу данных в фоновом режиме и включить экономию заряда батареи. Эти функции продлят время работы устройства и в некоторой степени помогут пользователю скрыться от слежки.

При этом придется отказаться от пуш-уведомлений, но так ли они нужны? Информацию о списаниях и зачислениях лучше получать по SMS на простую кнопочную «звонилку».



Напоследок осталось самое интересное. В «Приложениях и уведомлениях» есть подраздел «Приложения по умолчанию». В нем нас интересует пункт «Открытие ссылок» и параметр «Приложения с мгновенным запуском», который включен по умолчанию.


Google считает вполне безопасным открывать ссылки в программе, даже если она не установлена на устройстве. Однако пользователи имеют право не соглашаться с мнением IT-гиганта.


Отключите мгновенный запуск приложений без установки

Еще один подраздел «Приложений и уведомлений» отвечает за специальный доступ. В нем множество требующих внимания пунктов, включая уже упомянутые «Приложения администратора устройства». Выделим наиболее критичные: «Изменение системных настроек», которое можно и нужно запретить, а также «Доступ к уведомлениям», который не стоит выдавать всем подряд — в них иногда попадает конфиденциальная информация.


Контролируйте доступ приложений к уведомлениям и запретите им вносить изменения в системные настройки

Подразделы «Доступ к платным SMS», «Неограниченный мобильный интернет» и «Установка неизвестных приложений» в пояснениях не нуждаются. В последнем включенные по умолчанию запреты лучше не менять.

Далее рассмотрим «Доступ к данным», в котором можно управлять сбором информации, вроде истории использования приложений. Обычно такие доступы нужны системным компонентам, файловым менеджерам или антивирусам с функцией очистки накопителя. Если доступ запрашивает фонарик или калькулятор, это повод насторожиться.


Последний интересный подраздел — «Управление сетями Wi-Fi», заведует разрешениями на включение и отключение Wi-Fi, сканированием сетей и подключением к ним, а также созданием локальных точек доступа. Эти права часто запрашивают самые разные программы, но, как правило, они не влияют на работу, а значит, не стоит давать разрешение.


Настройте доступ приложений к данным и управлению Wi-Fi


Итоги

Смартфон содержит массу персональных данных и обеспечивает пользователю доступ ко множеству сервисов, включая банковские. Утечка информации может обойтись дорого во всех смыслах. Поэтому используйте наши рекомендации, чтобы оптимизировать настройки устройства и сократить риски.

Кроме того, стоит установить надежный мобильный антивирус для Android. Он будет проверять скачанные программы еще до запуска, а также периодически сканировать внутренний накопитель. Это важно, потому что многие вредоносные программы для Android способны загружать модули через некоторое время после инсталляции.

Евгений Крестников, разобрался с настройками Android

Комментарии

2
Оставьте комментарий!
Алексей Малков 13 ноября 2019 в 14:42 #
Полезная статья! Сам сталкивался с фонариком, который требовал доступ к звонкам, смс и т.п. Устанавливать, ессесно, не стал. Вот ещё бы обязать производителей на выпуск обновлений... А то "поматросят и бросят"... :(
Антон Тарасов 13 ноября 2019 в 15:29 #
Спасибо! С обновлениями история актуальна будет всегда. Те же моды к играм!