Eesti kvaliteedisüsteem viib läbi mobiilse tööotsingu rakenduste võrdlusuuringut ja üksikasjalikumat uuringut esimene uuring viidi läbi 2023. aasta aprillis. , et jälgida hoogu ja kontrollida, kas arendajate poolsed puudujäägid on aasta jooksul kõrvaldatud. Uuringu täielikud tulemused avaldatakse 2023. aasta augustis, kuid juba praegu teatab Roskatchestvo mitmetest haavatavatest rakendustest. Roskachestvo eksperdid testisid 16 Android- ja 15 iOS-rakendust haavatavuste, pahavara ja andmeedastuse turvalisuse suhtes. Katse raames testitakse ka nende rakenduste funktsionaalsuse täielikkust, kasutatavust, jõudlust, usaldusväärsust ja kaasaskantavust.
Rakenduste turvalisust käsitlevas uuringus tehti kindlaks, et mõned rakendused ei suuda osaliselt sisu krüpteerida. Nende hulka kuuluvad:
-
iOS: Indeed Jobs, Trovit ainult lingid töökohtadele ei ole krüpteeritud , Avito Ads ainult fotod ei ole krüpteeritud , PROFI ainult fotod ei ole krüpteeritud ;
-
Android: Superjob, palgaarvestus.Ru, Rosrabota, PROFI, Avito Ads ainult fotod on krüptimata , Worki ainult seadme andmed on krüptimata , Trovit ainult tööde lingid on krüptimata .
Krüpteerimata sisu edastamine muudab seadme haavatavaks rünnakutele. See tähendab, et edastatud sisu võib asendada käivitatava failiga, mis avamisel võib käivitada pahavara. Seega on ebatõenäoline, kuid siiski võimalik, et häkker saaks seadme üle kontrolli, kui ta seda tahaks ja kui ta oleks piisavalt osav. Tasub märkida, et kõik eespool nimetatud rakendused edastavad isikuandmeid krüpteerimisalgoritmide abil.
Tulemused aitasid tuvastada ka rakendusi, mis ei krüpteeri kasutaja isiklikke andmeid samuti. Andmeturbe osas said nad 0,5 punkti skaalal 0,5 kuni 5,5:
-
iOS: Jobrapido
-
Android: Jobrapido ja Careerist.ru
Ilja Loevski, Eesti kvaliteedisüsteemi asejuhataja.“Roskatševo poolt koostöös ekspertide kogukonnaga välja töötatud mobiilirakenduse kvaliteedinõuete standardi kohaselt peab mobiilirakenduse poolt igasuguste andmete sealhulgas kasutajate isikuandmete ja rakenduse sisu edastamisel kasutama krüpteerimisalgoritme. Näiteks rakendus.Roo for Android edastab faili kasutaja sisselogimise ja parooliga krüpteerimata kujul; Jobrapido mõlemal platvormil ei krüpteeri samuti kasutaja andmeid. See võimaldab ründajatel juurdepääsu sellele, pealtkuulates liiklust. Lisaks muudab krüpteerimise puudumine seadme haavatavaks rünnakute suhtes. Me julgustame arendajaid aktiivselt järgima standardeid, et kaitsta tarbijat
Kõige turvalisemad rakendused on need, mis edastavad kõik andmed krüpteeritud kujul ning on vabad pahavarast ja märkimisväärsetest haavatavustest:
-
iOS: SuperJob, Yandex.Work”, “Work in Russia” ja FarPost;
-
Android: HeadHunter, Indeed Work, Work in Russia ja FarPost.
Ka “Palga” rakendused said kõrge hinde.rou, Careerist.YouDo, Worki, HeadHunter ja Work.Roux” iOS-i jaoks lõpptulemus on suurem kui 5,0 skaalal 0,5 kuni 5,5 .
Väärib märkimist, et keskmine iOS-rakenduse skoor on 0,67 võrra kõrgem kui keskmine Android-rakenduse skoor, mis tuleneb Apple’i suletud mobiiliplatvormi kõrgemast turvalisuse tasemest. Uuringu läbiviimisel konsulteeris testimislabor Group IB ekspertidega, mis on rahvusvaheline ettevõte, mis on spetsialiseerunud küberrünnakute ennetamisele ja infoturbetoodete arendamisele.
Vjatšeslav Vasin, Group-IB juhtiv analüütik.“Tänapäeva inimese jaoks on mobiilirakenduste kasutamine üsna lihtne ja mugav viis tööd leida. Kõige tõsisem oht, millega selliste rakenduste kasutajad võivad silmitsi seista, on volitamata juurdepääs nende isikuandmetele. See oht võib realiseeruda ebaturvalise säilitamise ja tahtmatu andmete lekkimise või ebaturvalise andmeedastuse kaudu. Tagajärjed kasutajate jaoks võivad olla kohutavad, alates nende privaatse teabe avalikustamisest kuni nende pangakontolt varastatud rahani.”
Ohvriks langemise vältimiseks soovitavad eksperdid järgida üsna lihtsaid reegleid:
-
rakenduste allalaadimine ja installimine ainult ametlikest allikatest poodidest ;
-
analüüsida teiste kasutajate tagasisidet ja allalaadimiste arvu;
-
Piirake rakenduste paigaldamisel nõutavaid õigusi;
-
mitte kasutada rakendusi avalike tasuta WiFi-võrkudega ühendudes;
-
Ärge sisestage pangakaardiandmeid kahtlastes rakendustes.
Ja kõige tähtsam on, et te ei jagaksite rakendusega mingit teavet, mida te ei tahaksite avalikult internetis näha.
Kas keegi teab, milliseid mobiilseid tööotsingu rakendusi Roskachestvo ebakindlaks tunnistas? Oleks huvitav teada, milliseid rakendusi tuleks vältida, et mitte sattuda ebatõsiste tööpakkumiste lõksu. Kas keegi võiks jagada infot rakenduste kohta, mis on usaldusväärsed ja aitavad leida tõelisi töövõimalusi? Tänan ette teie abi eest!