Перейти к основному содержанию

2853 просмотра

Неуважаемые подписчики

Управляющий директор «Лаборатории Касперского» в Казахстане, Центральной Азии и Монголии о том, как избежать ненужных подписок

Фото: Shutterstock

С подписками на услуги мобильных контент-провайдеров сталкивались многие. Обычно их обнаруживают только в тот момент, когда на мобильном счете не остается средств, хотя никаких длинных разговоров и поездок в роуминге не было.

С платными подписками вы могли также сталкиваться либо в виде мелодии гудка, вдруг подключившейся у вас или у кого-то из ваших близких, либо в виде WAP- или SMS-рассылок, которые обычно никому не нужны, но за которые требуют деньги. Чаще всего люди оказываются подписанными на них по неосторожности: где-нибудь не прочел надпись мелким шрифтом – и всё, уже платишь за гороскоп.

Может показаться, что для защиты достаточно не посещать сомнительные сайты и не устанавливать приложения из сторонних источников, но, увы, сегодня этого явно недостаточно. Каждый раз, рассказывая про безопасность на Android, мы советуем скачивать приложения только из Google Play – там значительно меньше зловредов, однако и там они есть. Как же не натолкнуться на что-нибудь нехорошее, скачивая очередное приложение из этого интернет-магазина? 

Недавно мы обнаружили в Google Play несколько приложений, имеющих самое непосредственное отношение к этим навязываемым услугам. Посмотрите на приложения Pink Camera и Pink Camera 2: программы выдают себя за приложения для фотосъемки с набором «улучшалок», ничем друг от друга не отличаются, кроме цифры в названии, у каждой более 10 тыс. установок. Заявленные функции они худо-бедно выполняли, это были обычные программы класса «еще один фоторедактор».

Единственная деталь, которая могла заставить пользователя насторожиться, – оба приложения запрашивали доступ к уведомлениям, причем настойчиво: пока не согласишься, не отстанут. В уведомлениях отображается текст всех пришедших сообщений, то есть, получив разрешение, фоторедакторы могли их читать. Обычно доступ к уведомлениям используется для работы с «умными» часами, фоторедактору такое разрешение точно не нужно. 

Зачем же оно тут?

Также приложениям требуется доступ к управлению Wi-Fi, что довольно нетипично для ПО такого класса. Пока пользователь пытается приукрасить свою фотографию (с помощью скудной функциональности), приложение в фоновом режиме собирает информацию об устройстве и отправляет ее на свой сервер. Пример запроса, полученного после расшифровки трафика приложения, – передача информации об устройстве и сети оператора связи. В ответ ПО получает набор ссылок (зависит от страны и оператора связи), которые после нескольких редиректов (автоматических перенаправлений) приводят пользователя на страницу оформления подписки. Получив адреса вредоносных страниц, программа загружает их в невидимом для пользователя окне. Перед этим приложение отключает модуль Wi-Fi в телефоне пользователя, тем самым активируя подключение по мобильной сети для упрощения оформления подписки.

Далее приложение выполняет действия, необходимые для активации подписки:

  • подставляет номер телефона пользователя (полученный в ходе сбора информации) в соответствующее поле;
  • если страница подписки защищена с помощью CAPTCHA, приложение выполняет ее распознавание с помощью сервиса распознавания изображений и автоматически вставляет в нужное поле на странице;
  • если для активации подписки необходимо ввести код из SMS, приложение получает его (вот для чего нужны были уведомления!);
  • самостоятельно нажимает нужную для оформления подписки кнопку.

Как избежать нежелательных подписок

Довольно сложно с ходу выявить «вредоносность» приложения, когда загружаешь его из официального магазина Google. Тем не менее способы распознать сомнительное приложение и защититься от такой вот недокументированной функциональности есть:

  • внимательно изучайте список разрешений, которые требуются программе для работы. Если какая-то программа требует доступ к опасным разрешениям, которые, на ваш взгляд, ей ни к чему, смело отказывайте, а если настаивает – удаляйте;
  • используйте надежное защитное решение, позволяющее детектировать такие «подписочные страницы», предупреждая вас об опасности;
  • некоторые сотовые операторы позволяют через личный кабинет отключить саму возможность оформления таких подписок, открыв отдельный «контентный счет» или подключив услугу блокирования подписок.

3750 просмотров

Что не так с поправками в закон о защите прав потребителей в Казахстане

Рассказывает председатель общественного объединения «Гарант» Жаслан Айтмаганбетов

Фото: Shuttertock

Официально в Казахстане 208 неправительственных организаций занимаются защитой прав потребителя, в их числе 55 общественных организаций.

Я в этой сфере с 2005 года и могу уверенно заявить, что из них добросовестное отношение к делу показывают не больше 15. Причина простая: нет денег, общественная нагрузка дивидендов не приносит. 

Мы, общественники, не можем нормально зарабатывать на небольших делах, и потребители не могут оплачивать сумму, достаточную, чтобы их интересы представляли профессионалы. Со старым законом мы могли через суд взыскивать затраты, потом эту возможность отменили. В сегодняшнем проекте мы не видим никакой финансовой поддержки общественных объединений. 

Кто же будет вести основную работу? Мой анализ поправок показывает, что главными проводниками прав потребителей разработчики поправок видят саморегулируемые организации (СРО). Это новый термин, за которым скрываются все те же предприниматели, которые объединяются для защиты своих интересов. Именно они наделяются правом досудебного рассмотрения споров. Получается, что нас, общественные организации, кто все эти годы проделал 90% всей профильной работы и накопил большой опыт, просто отодвигают. И с этим не согласны все мои коллеги со всех областей Казахстана.

Если оценивать предлагаемые поправки в целом, то я вынужден отметить: много лишнего, второстепенного, уже прописанного в законах. Хотя есть и то, что порадовало. Например, предлагается ужесточить наказание для предпринимателей, скрывающих информацию о себе. По закону таблички с данными должны быть на каждом торговом месте, но где вы такое видели?

А без этих данных у обманутого покупателя не принимают материалы для судебного разбирательства. Он может обратиться в администрацию, в полицию, в налоговую – везде ему отказывают под предлогом сохранения налоговой тайны. Мы пять лет предлагаем решить эту проблему, и лучше было бы просто обязать госорганы делиться такими данными, но и маленький шаг к решению проблемы – тоже хорошо.  

Нет заслуженного внимания к системе приобретения товаров через интернет-магазины. Сейчас у нас покупатель – добросовестный, но самый уязвимый участник этой системы. Он получает товар только после внесения всей оплаты и часто видит в посылке вовсе не то, что хотел. Самый циничный пример – кусок хозяйственного мыла вместо айфона, купленного со скидкой. Периодически регион захлестывает вал мошенничества с разными товарами: тапочки вместо модельных ботинок, например. Раскручивать эту цепочку в обратном направлении, чтобы найти мошенника, нет смысла: на посылке указан несуществующий адрес, сайт уничтожен, а люди обмануты.

У нас принято обвинять граждан в незнании законов о защите потребителей. А каково столкнуться с тем, когда незнанием или вольной трактовкой закона грешит судья? У меня много отказов в принятии к рассмотрению исков в области финансовых, туристических, медицинских услуг. И везде одна аргументация: это не относится к потребительским правам. Виной тому – вольная трактовка закона, который и в самом деле можно понимать как удобно. Мне кажется, что в первую очередь надо все законы пересмотреть на предмет такой двусмысленности. Может, с обретением категорической формы законы заработают так, как надо.

Читайте нас в TELEGRAM | https://t.me/kursivkz

drweb_ESS_kursiv.gif