Google хоче допомогти користувачам Android знайти надійніші VPN-додатки. Для цього пошуковий гігант проведе аудит таких додатків та позначить прийнятні відповідним символом. Утім, варто пам’ятати, що це не особливо ретельний аудит.
Програми VPN першими отримують таке спеціальне ставлення, пояснила в повідомленні Наталія Станецька з групи безпеки та конфіденційності Google Android, оскільки вони обробляють значні обсяги конфіденційних даних. І тому вони є популярною мішенню для підривної діяльності зловмисників.
«Коли користувач шукає програми VPN, він тепер побачить банер у верхній частині Google Play, який інформує його про значок «Незалежна перевірка безпеки» в розділі безпеки даних», — сказаа Станецька.
Минулого року партнерство Google із App Defense Alliance (ADA), розпочате в 2019 році, було розширено й охопило оцінку безпеки мобільних додатків (MASA), спосіб перевірки додатків Android на їх відповідність стандарту безпеки, визначеному OWASP.
Це не особливо ретельний аудит. Як зазначено на веб-сайті ADA, «MASA має на меті забезпечити більшу прозорість архітектури безпеки програми, однак обмежений характер тестування не гарантує повної безпеки програми».
ADA також повідомляє, що MASA не обов’язково перевіряє декларації безпеки розробників додатків. Очевидно, що альянс не хоче, щоб його звинувачували, якщо він щось упустить і проскочить програма для крадіжки інформації, але підтримка групи MASA має певне значення.
MASA шукає очевидні погані практики, наприклад, чи записуються конфіденційні дані до файлів журналу програми та чи повторно використовує програма криптографічні ключі для багатьох цілей. Можна з упевненістю сказати, що вам краще використовувати програми, які уникають подібних помилок, навіть якщо не можна повністю гарантовати їхню безпечність.