Безопасность данных в разработке мобильных приложений

Храним информацию на смартфоне

У современных смартфонов много места для хранения данных. Тому, у кого есть физический доступ к устройству, может быть несложно извлечь эту информацию. (Конечно, это зависит и от самого устройства).

Шифрование устройства и данных на нем

В современных устройствах на iOS стойкое шифрование включено по умолчанию (разумеется, вы должны задать надежный пароль). В Android тоже поддерживается шифрование устройств, и вы обычно можете его включить. Не забудьте сделать резервную копию данных вашего смартфона перед тем, как зашифровать устройство целиком. Это пригодится, если в процессе шифрования возникнет какая-либо проблема.

Android также позволяет шифровать данные на картах памяти (например, microSD), если вы их используете.

Когда вы включаете зашифрованный телефон и вводите пароль, то получаете доступ к чтению и изменению данных на устройстве. Всякий, у кого окажется физический доступ к телефону, когда он включен и разблокирован, может добраться до ваших данных. Для большей уверенности — например, перед пересечением границы или прохождением контроля безопасности в аэропорту — лучше полностью выключить устройство.

Конечно, есть не только плюсы, но и минусы. Например, если вы думаете, что вам может потребоваться сделать срочный звонок, возможно, лучше оставить телефон включенным и просто заблокировать экран.

Если не можете полностью зашифровать устройство (или вам требуется дополнительная безопасность для отдельных файлов), попробуйте установить какое-нибудь приложение для шифрования данных. Некоторые приложения шифруют собственные данные, а, например, OpenKeychain позволяет шифровать сторонние файлы. Используя это приложение вместе с программой K-9 Mail, можно отправлять и получать зашифрованные письма. (Аналогов этому на iOS нет). Приложения вроде этих могут способствовать защите ценной информации, но вам все-таки стоит рассмотреть вопрос о шифровании устройства.

Есть смысл минимизировать количество ценных данных, которые вы храните на устройстве, особенно если оно не зашифровано. В некоторых телефонах есть функция, позволяющая не хранить историю звонков и СМС-сообщений. Можно завести себе привычку удалять важные данные из истории звонков и сообщений.

Надежное хранение паролей

Пароли можно хранить в единственном зашифрованном файле, если установить FOSS-приложение KeePassDroid. В этом приложении единственный, но очень надежный мастер-пароль используется для защиты всех прочих паролей. Те, в свою очередь, могут быть очень длинными и уникальными, для всех аккаунтов, и запоминать их не нужно. KeePassDroid имеет встроенный генератор паролей, который удобно использовать при создании новых аккаунтов.

Если на компьютере вы используете KeePassXC или KeePassX, как описывалось в руководстве о создании и хранении надежных паролей, можете скопировать свою базу (файл .kdbx) на мобильное устройство.

Для iOS есть похожее приложение под названием MiniKeePass.

Популярные типы вредоносного мобильного ПО

Вредоносное ПО для мобильных устройств несравнимо по объему и сложности со своим «коллегой» для ПК, но профессионалы в области IT-безопасности наблюдают резкое увеличение количества вредоносного мобильного ПО, предназначенного для использования уязвимостей в смартфонах и планшетах. Давайте рассмотрим некоторые самые популярные его типы:

·

• Вредоносное банковское ПО: Как отмечает Dark Reading, количество вредоносных мобильные программ, нацеленных на сервисы онлайн-банкинга растет: хакеры стремятся скомпрометировать пользователей, которые предпочитают вести свой бизнес, в том числе совершать денежные переводы и платежи, с мобильных устройств. В третьем квартале 2015 года было обнаружено более 1,6 миллиона инсталляционных пакетов вредоносных программ, многие из которых были предназначены для проникновения на устройства пользователей, развертывания и сбора логинов и паролей для входа в банковские системы. Затем эти данные отправлялись обратно на командный сервер злоумышленников. В третьем квартале 2015 года мобильные банковские троянцы стали самой быстрорастущей угрозой в дикой природе.
• Мобильные программы-вымогатели: изначально созданные для ПК, программы-вымогатели «блокируют» важные данные пользователя, такие как документы, фотографии и видео, зашифровывали эту информацию, а затем требуют выкуп за ее расшифровку. Если выкуп не выплачивается вовремя (обычно в биткойнах) все файлы удаляются или просто блокируются и навсегда становятся недоступными для пользователя. По данным International Data Group (IDG), 74% компаний сообщили о случаях нарушения безопасности в 2015 году, причем программы-вымогатели были одной из наиболее часто встречавшихся угроз. Создатели этого типа вредоносного ПО использовали улучшенную производительность смартфонов и анонимную сеть Tor для заражения устройств и шифрования хранящиеся на нем данных.
• Мобильное шпионское ПО загружается на ваше устройство как программа, отслеживает вашу активность, регистрирует ваше местоположение и изучает важную информацию, такую как имена пользователей и пароли к аккаунтам электронной почты или сайтам онлайн магазинов. Во многих случаях шпионское ПО поставляется вместе с другими считающимися безопасными программами и спокойно собирает данные в фоновом режиме. Вы даже можете не замечать его присутствия до тех пор, пока не снизится производительность устройства, или вы не запускаете на планшете или смартфоне антивирусную проверку. Как отмечает Krebs on Security, шпионское ПО теперь -это крупный бизнес: например, компания mSpy создает «легитимные» приложения для родителей или супругов, чтобы они могли «отслеживать» своих детей или партнеров. По иронии судьбы, mSpy был взломан в мае 2015 года, развенчав само понятие «безопасных» шпионских программ.
• Вредоносное ПО, передающееся через MMS: производители вредоносных программ ищут способы использования текстовой коммуникации как способа доставки вредоносного ПО. Как отмечает CSO Online, уязвимость Stagefright в медиа-библиотеке Android позволила злоумышленникам отправлять текстовое сообщение с вложенным вредоносным ПО на любой мобильный номер. Даже если пользователи не открывали вложение или не читали текст, вредоносное ПО все равно разворачивалось на устройстве и давало хакерам доступ к вашему смартфону. Проблема была быстро исправлена, но была доказана возможность текстовых сообщений как способа заражения мобильных устройств.
• Мобильное рекламное ПО: рекламное ПО в своем развитии шагнуло далеко вперед от надоедливых всплывающих окон и простого сбора данных. Доход многих создателей рекламы зависит от количества кликов и загрузок. Согласно ZDNet, некоторые из них разработали специальный код «malvertising», который может заражать и запускать ваше устройство, заставляя его скачивать определенные типы рекламного ПО, которое позволяет злоумышленникам похищать личную информацию.
• SMS-троянцы: киберпреступники заражают мобильные устройства, охотясь за тем, что пользователи больше всего любят в своих телефонах – текстовыми сообщениями. SMS-троянцы устраивают настоящий финансовый хаос, отправляя SMS-сообщения на премиум-номера по всему миру, в разы увеличивая телефонные счета пользователей. В 2015 году Android-устройства пользователей подверглись заражению банковским троянцем, который мог перехватывать текстовые сообщения, содержавшие финансовую информацию, а затем отправлять киберпреступникам по электронной почте копию этих сообщений, тем самым предоставляя им всю необходимые данные для проникновения в банковские аккаунты пользователей.

Небрежность и низкая грамотность при использовании устройств

Ежегодно в России крадут около 200 тыс. телефонов, эксперты говорят, что неофициальные цифры как минимум в пять раз больше, т.к. большинство не заявляет о краже в полицию. Прибавьте сюда устройства, которые люди просто теряют или по собственной воле вручают в разблокированном виде чужим людям, например, мастерам ремонта. 

Неосторожность и небрежность сотрудника может стоить компании очень дорого, если данные компании хранятся на мобильных устройствах, особенно в незашифрованном виде. 

Многие угрозы появляются также и из-за неосторожности с программным обеспечением, например, когда пользователь использует устаревшую операционную систему, открывает вредоносные ссылки или дает приложениям лишние разрешения. Единицы читают, что написано в пользовательском приложении, большинство не глядя нажимает «Ок» на просьбу приложения дать доступ к камере или геоданным. . По информации компании Lookout, каждое четвертое приложение просит предоставить доступ к камере, который может быть использован для скрытого наблюдения, а микрофон – для прослушивания разговоров в компании

По информации компании Lookout, каждое четвертое приложение просит предоставить доступ к камере, который может быть использован для скрытого наблюдения, а микрофон – для прослушивания разговоров в компании.

Даже доступ к календарю или списку контактов – небезобидное разрешение. Похищенная контактная информация может использоваться для фишинговой атаки с похожих адресов. Мошенники используют тот факт, что люди, скорее всего, откроют сообщение от знакомого человека.

Отдельная тема – мобильный фишинг. Киберпреступники активно пользуются слабостями человека, воспринимающего мир через мобильное устройство, поэтому атаки через гаджеты стали не только массовыми, но и очень результативными.

Как отличить фишинговое письмо от реального и не попасться на удочку мошенника? Читать.

Нет готовых решений, можно предложить только рекомендации. В первую очередь – внедрять программы для защиты от угроз на мобильных устройствах, блокировать нежелательные ресурсы на уровне сети. Второе – проводить регулярные тренинги по информационной безопасности среди сотрудников. И последнее – ограничивать доступ личных девайсов в корпоративную инфраструктуру всегда, когда по работе это явно не требуется. 

Анализ приложений известных банков

Мы решили сделать анализ приложений основных банков. Проанализировать три типа мобильных приложений банка:

1. для физических лиц;

2. для юридических лиц;

3. и брокерские приложения для инвестиций в ценные бумаги.

Все сведения мы . Теперь вы можете заранее выбирать нормальный банк, которые не лезет вам нагло в штаны ваш смартфон за вашими данными.

Ситуация не такая уж и угрожающая. Но пока неизвестно куда тренд идёт

Важно, чтобы все клетки в таблице стали зелёными, а не количество красных увеличилось

Права доступа запрашивают почти все. И в идеале надо зелёными отмечать только тех, кто не запрашивает никаких прав доступа, а жёлтым цветом отмечать тех, кто запрашивает, но работает, если в правах доступа отказано. Если представители банков всё же отреагируют на наши недовольства, то через годик будет уместно повторить тестирование.

Мошенники используют уязвимости программного обеспечения

Если описанные выше методы использовали безрассудство пользователей банковских приложений для мобильных устройств, то в случае остальных атак трудно говорить об их беспечности или отсутствии благоразумия.

Всё чаще и чаще киберпреступники используют уязвимости в программном обеспечении, установленном на мобильном телефоне и, таким образом, получают доступ к конфиденциальным данным.

Ошибка Stagefright

Этот метод использует баг Stagefright, то есть уязвимость в библиотеке, ответственной за работу с мультимедиа в операционной системе Android.

Смартфон может быть атакована с помощью правильно созданного текстового сообщения, которое, например, призывает к скачиванию файла MP3 или MP4. Однако, в отличие от типичного «фишинга», здесь не потребуется ни открытие письма или смс, или загрузка файлов. Злоумышленник посылает только сообщение на указанный номер телефона (обычно в виде MMS), а затем начинает исследовать его содержимое, о чем вы не имеете ни малейшего понятия.

Хотя после сообщения о проблеме Google разработал патч, позволяющий ликвидировать пробел, к сожалению, многие пользователи Android ещё не получили его. Распространением исправлений занимаются производители смартфонов и операторы сотовой связи, которые не всегда выполняют эту задачу, особенно в случае старых моделей телефонов.

Атака по протоколу SSDP

В этом случае киберпреступники перехватывают контроль над планшетом/смартфоном или компьютером, используя старый, немного забытый, протокол SSDP Discovery Service из Windows 8.1, работающий с протоколом UpnP (Universal Plug and Play).

Последнее решение позволяет осуществлять прямую связь между компьютером и сетевыми устройствами, такими как принтеры, камеры, телевизоры или медиа-сервера.

К сожалению, оно имеет, так называемые, ошибки удаленного выполнения кода, которые позволяют злоумышленникам обойти защиту компьютера и выполнить на нём различных операций с правами верхнего уровня, например, загрузка без ведома пользователя вредоносного программного обеспечения.

Чтобы обезопасить себя от злоумышленников, владелец компьютера или смартфона, должен установить соответствующий патч или, по крайней мере, выключить поддержку UpnP.

Три уровня безопасности

Как сообщает портал InfoWorld, у всех смартфонов есть три базовых уровня безопасности. Пользователю смартфонов в первую очередь нужно знать об этих трех уровнях и включить их на своих устройствах:

1. Защита устройства: разрешение на удаленное удаление данных в случае кражи или утери устройства.
2. Защита данных: предотвращение передачи корпоративных данных личным приложениям, выполняемым на том же устройстве или в той же личной сети.
3. Безопасность при управлении приложениями: Защита от компрометации ваших данных, используемых в приложениях.

Безопасность смартфона зависит не только от самого устройства, но и от технологии управления мобильными устройствами, установленной на корпоративных серверах и управляющей безопасностью устройства. Чтобы обеспечить должную безопасность, эти два компонента должны работать вместе – нужно смотреть ситуацию в общем. Например, телефоны BlackBerry спроектированы и изготавливаются для коммерческого использования. Уровень их безопасности безупречен, однако на этой платформе предлагается мало популярных пользовательских приложений. Для личного использования – в частности, для совершения покупок и онлайн-банкинга –  может понадобиться смартфон другого типа, о безопасности которого придется думать отдельно. Чем больше устройств вы используете (особенно соединенных друг с другом непосредственно или через облако), тем больше у вас оснований беспокоиться о безопасности всей вашей мобильной сети.

На рынок выходит все больше приложений, особенно для популярных телефонов iOS и Android, так что их безопасность становится все большей проблемой вне зависимости от того, какое именно мобильное устройство используется

Как сообщает специалист по мобильным технологиям Ира Гроссман на портале CRN, «если вы используете небезопасное приложение, то неважно, насколько безопасна операционная система». Когда профессионалы говорят о безопасности устройства в целом, они имеют в виду безопасность и операционной системы, и приложения, которое в ней выполняется

Чаще всего устройства настраиваются так, что перед скачиванием приложений из неизвестных источников требуется подтверждение пользователя. В качестве общего правила, приложения следует скачивать из магазинов Apple, Google Play и Microsoft, и воздерживаться от сторонних магазинов. При этом рекомендуется всегда читать отзывы, чтобы случайно не скачать на устройство ничего подозрительного.

Перехват звонков и текстовых сообщений

Мобильные сети обычно являются частной собственностью коммерческих компаний. Иногда вся инфраструктура мобильной сети принадлежит самому оператору связи. Бывает, что оператор перепродает мобильную связь, которую арендует у другой компании. Текстовые SMS-сообщения не шифруются. Голосовая связь не шифруется или шифруется слабо. Оба вида коммуникаций не защищены от контроля внутри самой сети. В итоге и ваш оператор связи, и владелец сотовых вышек имеют неограниченный доступ к вашим звонкам, текстовым сообщениям и данным о местонахождении. Правительство во многих случаях тоже получает этот доступ, даже когда само не владеет инфраструктурой.

Во многих странах есть законы и правила, которые требуют от операторов связи записывать и хранить SMS-сообщения клиентов. Большинство операторов, впрочем, и так это делает ради своих бизнес-задач, отчетности и разрешения возможных конфликтов. В некоторых странах похожие правила действуют и в отношении голосовой связи.

Более того, операционная система, которая установлена на мобильном телефоне, вполне может быть изначально спроектирована или изменена для конкретного оператора связи. Соответственно, операционная система может сама содержать скрытые функции, которые делают мониторинг еще более проникающим. Это относится как к простым мобильным телефонам, так и к смартфонам.

Третья сторона также иногда может перехватывать голосовые и текстовые коммуникации. Например, злоумышленник может воспользоваться недорогим устройством под названием ловец IMSI. Если такое устройство разместить в зоне приема мобильного телефона, тот может принять «ловца» за настоящую вышку сотовой связи. (Иногда «ловцов IMSI» называют стингреями — известное у специалистов название, под которым эти устройства позиционируются на рынке для нужд правоохранительных органов). В нескольких случаях третьи лица даже сумели получить доступ к ресурсам мобильной сети, находясь на другой стороне земного шара. Они использовали уязвимости в системе сигнализации 7 (Signalling System Number 7, SS7), совокупности протоколов международного обмена голосовыми и SMS-сообщениями.

Хотите защитить самые важные передаваемые сообщения? Для начала задайте себе несколько вопросов:

• С кем, когда и как часто вы общаетесь?
• Кого еще может заинтересовать информация о том, что вы общаетесь с этим человеком?
• Насколько вы уверены, что ваш собеседник — тот, за кого себя выдает?
• Каково содержание ваших звонков и сообщений?
• Кого еще может заинтересовать это содержание?
• Откуда выходите на связь вы, где находится ваш собеседник?

Если ответы на эти вопросы вызывают у вас беспокойство в смысле безопасности, следует подумать о том, чтобы свести к минимуму соответствующие риски. Для этого, возможно, придется помочь собеседнику с освоением новой технологии или программы. В некоторых ситуациях, вероятно, лучше отказаться от мобильного телефона как средства связи.

Перехват данных, передаваемых по незащищенным беспроводным сетям

Wi-fi или 3G

Если пользователь подключается к сети отеля, кафе или гостевой сети другой компании, то передаваемые данные могут быть перехвачены третьей стороной и, возможно, даже изменены, поскольку передаются в незашифрованном виде. Таким образом, пароли от электронной почты, социальных сетей и онлайн-банкинга могут стать легкой добычей для злоумышленников.

Bluetooth или NFC

NearFieldCommunications (NFC) – это сравнительно новый тип беспроводной связи, позволяющий смартфонам или другим аналогичным устройствам обмениваться данными на расстоянии нескольких сантиметров.

Мобильные устройства с активированным модулем Bluetooth или технологией NFC (ближняя бесконтактная связь) также являются излюбленной мишенью злоумышленников. Мошенник может отправить запрос на соединение, после чего подобрать код для синхронизации устройств. В случае успеха он получит полный доступ к папкам и файлам, находящимся в памяти устройства. Кроме того, с помощью технологий ближней бесконтактной связи может быть передано вредоносное ПО, способное удалять или похищать из памяти любые данные, такие как веб-адреса, контакты, телефонные номера, фотографии, или нарушить работу мобильного устройства.

Просмотр веб-сайтов

Самые простые мобильные телефоны не могут подключаться к интернету, но такие в наши дни уже редко встретишь. Если вы используете браузер на Android-устройстве, чтобы ходить, в том числе, на сайты с ограниченным доступом, присмотритесь к использованию виртуальной частной сети (VPN) или приложению Orbot (Android-версии Tor Browser).

VPN на устройстве Android

VPN создает зашифрованный туннель от вашего устройства к VPN-серверу где-то в интернете. VPN помогает защищать исходящий и входящий трафик

Это особенно важно, если трафик проходит через небезопасную локальную или национальную сеть. Однако, поскольку весь трафик идет через VPN-провайдера, тот может видеть все, что теперь стало недоступно для просмотра из локальной сети или провайдером доступа к интернету

Важно выбрать тот VPN-сервис, которому вы доверяете, и не забывать использовать HTTPS при передаче ценных данных.

В некоторых странах VPN вне закона или имеют ограниченый доступ. Узнайте, как обстоит дело в той стране, где вы собираетесь использовать VPN. Помните, что VPN не скрывает того факта, что вы используете VPN.

Для использования VPN вам понадобится установить приложение-клиент и создать аккаунт у провайдера VPN. Команда Riseup предлагает бесплатный VPN-клиент с открытым кодом для Android под названием RiseupVPN.

Tor на устройстве Android

Чтобы иметь анонимный доступ к сайтам, можно использовать пару Android-приложений: Orbot и Orfox. Orbot направляет интернет-трафик через анонимную сеть Tor. Orfox — мобильная версия Firefox, которая использует Orbot и предоставляет дополнительную защиту вашей приватности. Вместе эти два приложения позволяют обходить онлайновые фильтры и посещать веб-сайты анонимно, то же самое, что дает Tor Browser для Windows, Mac и Linux.

Узнать больше об анонимности и обходе цензуры вы можете в соответствующем руководстве.

Проблема копий паспорта

И чтобы два раза не вставать поговорим про копии паспортов ещё. Нигде никаким законом не предписано коллекционировать копии паспортов. Смысла в их коллекционировании нет. Например, у нас в ITSOFT были перегибы на местах, когда сотрудники брали копии паспортов, но я это запретил делать категорически.

Рынку вообще нужна система идентификации по одному ИНН+TOTP вместо кучи реквизитов и персональных данных. 

Никогда никому старайтесь не давать копии паспортов. Всегда требуйте законное обоснование, чтобы потом кредит на вас не повесили или ещё что, а вам не пришлось доказывать, что подпись не ваша. Если же там упираются, то когда снимаете копию с паспорта нужно приложить 2-3 листочка на пустое место в паспорте с указанием куда предоставляется копия паспорта. Потом такой копией невозможно воспользоваться, если она уйдёт на чёрный рынок. А у вас будет хотя бы теоретическая возможность привлечь виновника к ответственности в суде. 

Банки пока в массе не применяют ЕБС (единую биометрическую систему).

63-ФЗ об электронной подписи принят уже лет 10 как. Но банки его игнорируют и упорно не хотят работать с документами подписанными УКЭП, хотя согласно п. 1 ст. 6 63-ФЗ они обязаны. По сути мы уже год с ВТБ за это и судимся.

Меры по защите вашего устройства

Итак, как защитить ваше мобильное устройство от вредоносного кода? Попробуйте выполнить эти простые шаги:

• Используйте безопасный Wi-Fi. Хотя переход на зараженный веб-сайт это не предотвратит, использование защищенных паролем Wi-Fi-соединений не позволяет нежелательным третьим сторонам следить за вами или совершать атаки типа «man-in-the-mobile» между вашим устройством и нужным вам адресатом.
• Следите за своей электронной почтой. Возможно, устройства и изменились, но угроза остается неизменной: многие злоумышленники все еще используют вредоносные вложения электронной почты, чтобы заразить ваш телефон или планшет. Не нажимайте на ссылки в письмах и других сообщениях, так как они могут направить вас на фишинговые или вредоносные сайты. Это относится ко всем мобильным платформам.
• Быть последовательным. Скачивайте приложения только из надежных источников. Это гарантия того, что приложения являются легитимными и не содержат вредоносных мобильных программ.
• Установите антивирусную защиту. Теперь антивирусные решения есть и для мобильных устройств. Установите антивирусное решение из надежного источника, запускайте его регулярно, чтобы обеспечить чистоту вашего устройства. Также следите за тем, чтобы вредоносное ПО не маскировалось под защиту от вирусов: скачивайте только легитимные приложения из надежных источников.
• Не получайте на своем устройстве права суперпользователя. Это увеличивает риск заражения со стороны недоверенных сторонних источников. Оставайтесь в курсе и получайте выгоду от автоматических обновлений и исправлений безопасности.

Количество вредоносного мобильного ПО растет, а злоумышленники переключают свои усилия на смартфоны и планшеты, подвергая рискам вредоносных атак глобальные мобильные рынки. Обеспечение безопасности означает понимание ваших рисков, общих угроз и соблюдение основных правил безопасности мобильных устройств.

Мобильный банкинг: удобно, но безопасно ли

В последнее время уязвимости в операционных системах, установленных на смартфонах и планшетах, выявляются всё чаще. Клиенты банковских мобильных приложений гораздо более уязвимы для атак хакеров, чем пользователи ноутбуков или настольных компьютеров.

К аналогичным выводам склоняется также отчет компании Akamai Technologies, касающийся угроз и безопасности сети

Обращает внимание тот факт, что до 20% всех кибер-атак происходило при подключении смартфонов и планшетов к сети интернет. Мобильные устройства также заражались вредоносными программами, скрытыми в бесплатных играх, файлах MP3 или SMS

Такой большой рост виртуальных преступлений можно интерпретировать следующим образом:

• пользователи мобильных устройств в меньшей степени, чем пользователи компьютеров, заботятся о безопасности, например, не устанавливают на телефоны антивирусные программы, читают SMS-сообщений с неизвестных номеров, не устанавливают лимиты операций
• одновременно мошенники используют все более изощренные методы, используя уязвимости в операционных системах, устанавливаемых в телефонах и планшетах (например, протокол SSDP в операционной системе Windows или ошибки в библиотеке Android).

К сожалению, большинство пользователей банковских приложений не понимают масштаб угроз. Как показал очередной отчет, до 52% пользователей считают мобильный банкинг исключительно безопасным способом проведения финансовых операций.

Возможные решения проблемы

Пинать и стыдить постоянно банки и всех, кто пытается без нужды получить доступ к нашим данным. Проверьте какие права имеют все ваши мобильные приложения и запретить всё лишнее. Это можно сделать в Настройки → Приложения → Менеджер настроек. Не бойтесь запретить нужные права, если потребуются, потом можно всегда разрешить.

Если вы не пишете видео со звуком из Facebook и Instagram, то этим приложениям не нужен доступ к микрофону. 

Если вы используете приложения соцсетей только для чтения и не постите фотки, то и доступ к камере им ни к чему.

Зачем доступ к камере смартфона имеют некоторые банковские приложения вообще непонятно. Ещё они доступ к диску имеют. Они вполне могут работать и без него.

Тем банковским приложениям, которые отказываются работать без прав ставим единицу в рейтингах Google Play, пишем отзывы на банкиру.

С этим нужно что-то делать на законодательном уровне. Отчасти даже сделано — ст. 5 152-ФЗ. Там сказано, что собирать персональные данные можно только те, которые реально нужны. Есть ст. 15 152-ФЗ, где запрещено без нашего согласия использовать наши данные для того, чтобы нам что-то впарить. Но банки в своих кабальных договорах уже получают от нас согласие и большинство это подписывает не глядя. Хотя согласно закону мы можем отказать банку в части его хотелок. Тут нужно внимательно читать договор и приложения к нему.

Совсем отвратительно то, что согласно ст. 14 152-ФЗ  мы не можем получить информацию об обработке наших данных указанную в п. 7., так как согласно подпункту 3) п. 8 наше право может быть ограничено. Банк же всегда может сослаться, что он залезает к нам в трусы смартфон не чтобы лучше нам рекламу показывать и продвигать свои услуги, а чтобы с терроризмом бороться. Мало ли кто чего не то думает про власть.

Банки ловили уже за руку на утечке персональных данных, но им ничего не было по сути, а пострадавшие клиенты существенных компенсаций не получали.

Сейчас пора предвыборных кампаний начинается. Можно обратиться к депутатам и к кандидатам в депутаты, что есть конкретная проблема. Отличный повод с ними познакомиться. Со своими я знакомился в битве за поправками против судебных приказов. В очередной раз напишу письма со ссылкой на данную статью. Тема очень больная. Статей и откликов много. Давно пора навести порядок в том, какие данные банки могут получать, а какие не могут. Ст. 5 152-ФЗ должна работать, а те, кто без необходимости собирает данные, должны за это дело отвечать очень серьёзно и не перед государством, а перед физическими лицами. А то права нарушаются наши, а штрафы собирает государство обычно. В результат я, конечно, не верю, но времени это тоже много не занимает.

В ЦБ РФ жалобы писать бесполезно, они там одни отписки дают, что не вправе вмешиваться в деятельность банков.

Если у вас есть возможность совсем не пользоваться телефонной связью, то лучше не пользуйтесь. Банки почему-то не внедряют общение через Telegram. Мы давно внедрили и всем рекомендуем телебота. Телефонная связь пишется в нескольких местах. Все данные озвученные по телефонной связи почти в открытом доступе. Прослушки сливают регулярно в сеть и к вашим телефонным переговорам имеет доступ большой круг лиц.

Не светите личную мобилу для банков.

В идеале СМС принимать на одном телефоне, а приложение банка на другом.

Совсем в идеале банкам уйти от СМС и сим-карт. Сим-карты бывает и подделывают в смысле перевыпускают незаконно. И СМС-ки дорого стоят. Ведь TOTP куда безопаснее и дешевле. Но банкам, за редким исключением, почему-то проще за смски платить, чем перейти на аппаратные токены. Сейчас начали внедрять некоторые банки программные генераторы кодов, но они инициализируются через смс, т.е. деньги они экономят, а безопасности не дают.

Дата-центр ITSOFT — размещение и аренда серверов и стоек в двух дата-центрах в Москве. За последние годы UPTIME 100%. Размещение GPU-ферм и ASIC-майнеров, аренда GPU-серверов, лицензии связи, SSL-сертификаты, администрирование серверов и поддержка сайтов.