Teatr bezpieczeństwa, czyli dlaczego nie powinniśmy bezgranicznie ufać aplikacjom z App Store
Apple cieszy się powszechnie opinią firmy bardzo dbającej o bezpieczeństwo i ochronę prywatności użytkowników. Dla wielu osób jest to jeden z głównych powodów wybierania jej produktów. Każdy słyszał przecież o tym, że macOS łapie mniej wirusów niż Windows, a na iOS nie trafia tyle szkodliwych aplikacji co na Androida. Problem w tym, że poczucie bezpieczeństwa oferowane użytkownikom przez Apple często okazuje się być dość złudne.
Terminem „teatr bezpieczeństwa” określa się działania, które pozwalają niskim kosztem i wysiłkiem zwiększyć poczucie bezpieczeństwa, jednak realnie nie poprawiają poziomu ochrony. Atrapy kamer, tabliczka „obiekt chroniony” wieszana pomimo braku umowy z firmą ochroniarską czy też bramkarz niemrawo poklepujący ludzi po kieszeniach przed wpuszczeniem ich do klubu, to tylko niektóre z przykładów takich praktyk stosowanych w codziennym życiu. Teatr bezpieczeństwa zaczyna też jednak być coraz częściej stosowany w szeroko pojętej branży IT. Przykładem są chociażby serwisy zmuszające nas do używania bardzo długich i skomplikowanych haseł. Takie rozwiązanie chroni znacznie słabiej, niż system dwuetapowej weryfikacji, jednak jest prostsze do wdrożenia, a daje wrażenie dbania o bezpieczeństwo użytkowników. Niestety, Apple również zdarza się czasem stosować praktyki tego typu. Najlepiej widać to na przykładzie sklepu App Store, którego zabezpieczeniami firma ta chwali się przy każdej możliwej okazji.
Etykieta prawdę Ci powie
Jednym z najświeższych, a zarazem najbardziej jaskrawych przykładów stosowania teatru bezpieczeństwa w App Store są wprowadzone pod koniec 2020 roku tzw. etykiety prywatności, czyli oznaczenia umieszczane w opisach aplikacji wyraźnie informujące o tym, jakie dane na temat użytkownika są przez nie zbierane i przetwarzane. Na pierwszy rzut oka pomysł wydawał się genialny w swojej prostocie. Zamiast nakładać na deweloperów kolejne zakazy i ograniczenia Apple po prostu zmusiło ich do gry w otwarte karty w kwestiach związanych z prywatnością, co z kolei pozwoliło nam, klientom, podejmować bardziej świadome decyzje przy wyborze aplikacji i usług, z których korzystamy. Najlepszym dowodem na skuteczność tego rozwiązania wydawała się być reakcja firmy Google, która najpierw wstrzymała na kilka miesięcy aktualizacje swoich aplikacji dla iOS, by nie musieć publikować etykiet prywatności, a następnie wydała krótkie oświadczenie informujące, że zamierza ograniczyć zbieranie danych o użytkownikach i wprowadzić odpowiednik etykiet prywatności w swoim sklepie z aplikacjami dla systemu Android. Wydawało się więc, że Apple jednym prostym ruchem zmieniło podejście do kwestii prywatności na całym rynku szeroko pojętych aplikacji mobilnych.
Niestety, problem, jak to zwykle bywa, tkwi w szczegółach, a w tym przypadku w jednym bardzo ważnym szczególe, którego Apple wprawdzie nie starało się specjalnie ukryć, ale też nie mówiło o nim głośno. Chodzi o to, że etykiety prywatności były generowane wyłącznie na podstawie informacji podawanych przez deweloperów, które nie były w żaden sposób weryfikowane przed publikacją. W praktyce oznaczało to, że nieuczciwi deweloperzy mogli nadal oszukiwać klientów, których czujność została teraz dodatkowo uśpiona przez fałszywe poczucie bezpieczeństwa, jakie dawały im etykiety prywatności. Krótki test przeprowadzony niedługo po ich wprowadzeniu przez dziennikarzy z „The Washington Post” i specjalistów od cyberbezpieczeństwa z firmy Disconnect pokazał, że jedna trzecia sprawdzanych przez nich aplikacji, które deklarowały, że nie zbierają żadnych danych na temat użytkownika, w rzeczywistości gromadziła je i dzieliła się nimi z zewnętrznymi firmami. Okazało się też, że wiele aplikacji gromadzi więcej danych, niż wskazywałyby na to ich etykiety prywatności. Gdy poprosili oni o komentarz w tej sprawie, usłyszeli, że Apple prowadzi rutynowe kontrole dotyczące prawdziwości informacji podawanych przez deweloperów. W przypadku wykrycia nieprawidłowości najpierw stara się z nimi współpracować w celu rozwiązania problemu. Jeśli jednak nadal podają oni fałszywe informacje, grozi im zablokowanie aktualizacji lub wyrzucenie aplikacji z App Store (warto więc zwrócić uwagę, że potencjalne kary za oszukiwanie klientów są znacznie mniej surowe niż np. kary za próbę ominięcia prowizji pobieranych przez Apple).
7 maja 2022 roku badacze z Uniwersytetu Oksfordzkiego opublikowali bardziej szczegółowy raport dotyczący tego zagadnienia. Wynikało z niego, że ponad 80% aplikacji twierdzących, iż nie gromadzą żadnych danych o użytkowniku, w rzeczywistości posiadało przynajmniej jeden element śledzący, a niemal 70% z nich zaczynało przesyłać informacje na nasz temat do zewnętrznych firm od razu po uruchomieniu. Potwierdził on też, że deweloperzy często zatajają lub niewłaściwie oznaczają sposoby, w jakie wykorzystywane są nasze dane. Przykładowo: tylko 66% testowanych aplikacji korzystających z platformy reklamowej Google AdMob wyświetlało w etykietach prywatności informację o zbieraniu danych w celach reklamowych. Rutynowe kontrole prowadzone przez Apple najwyraźniej okazują się więc być niezbyt skutecznym sposobem na powstrzymanie oszustów. Wszystko to oznacza w praktyce, że patrząc na etykiety prywatności, nadal nie możemy mieć pewności, czy nie wprowadzają nas one w błąd. Nie stanowią więc one realnej ochrony przed nieuczciwymi deweloperami. Większość użytkowników nie wie jednak o ich niedoskonałościach, przez co dają im one złudne poczucie zwiększonego bezpieczeństwa oraz przekonanie, że Apple naprawdę dokłada wszelkich starań, by dbać o ich prywatność.
Fleeceware, scareware i inne oszustwa
Wprowadzające w błąd etykiety prywatności stanowią jednak w tym przypadku zaledwie wierzchołek góry lodowej. Tym, co powinno znacznie bardziej martwić użytkowników smartfonów i tabletów firmy Apple, jest podatność App Store na różnego rodzaju finansowe przekręty. Powszechnie uważa się, że w sklepie tym znajdziemy znacznie mniej złośliwych aplikacji niż w Google Play. Nie jest to jednak do końca prawdą. O ile zabezpieczenia stosowane przez Apple rzeczywiście chronią lepiej niż konkurencja przed pewnymi rodzajami szkodliwego oprogramowania, to jednak w niektórych przypadkach okazują się niewystarczające. Przykładem jest tzw. fleeceware - rodzaj złośliwego oprogramowania wykorzystujący niewiedzę bądź nieuwagę użytkowników w celu skłonienia ich do wykupienia absurdalnie drogiej subskrypcji, której cena zazwyczaj nie jest w żaden sposób uzasadniona funkcjonalnością aplikacji (często zdarza się, że programy te nie spełniają nawet swoich podstawowych zadań). Z opublikowanego w ubiegłym roku raportu przygotowanego przez firmę Avast wynika, iż w App Store można było znaleźć dwa razy więcej aplikacji tego typu niż w Google Play, a ich dochody ze wspomnianego procederu wynosiły prawie dziesięciokrotnie więcej, niż w przypadku podobnych aplikacji dla systemu Android. Według szacunków firmy analitycznej Sensor Tower aplikacje tego typu mogły w ostatnich latach „wyssać” z kieszeni użytkowników iOS i iPadOS 365 milionów dolarów (z czego 30% trafiło do Apple w postaci prowizji).
Fleeceware nie są jednak jedynym typem złośliwych aplikacji, który pojawia się w App Store. Innym przykładem są podróbki, które wyłudzają od klientów pieniądze, podszywając się pod istniejące marki, serwisy i aplikacje. W ubiegłym roku głośno było o fałszywej aplikacji firmy Trezor, która zdołała ukraść użytkownikom iOS kryptowaluty o wartości 1,6 miliona dolarów, zanim została usunięta z App Store (wersja dla Androida wykradła w tym samym czasie około 600 tysięcy dolarów). Użytkownicy urządzeń Samsunga mogli zaś jeszcze do niedawna natknąć się w App Store na podróbkę aplikacji SmartThings tej firmy, która w odróżnieniu od bezpłatnego oryginału wymagała opłacania subskrypcji. Kolejna często pojawiająca się we wspomnianym sklepie kategoria szkodliwego oprogramowania to scareware, czyli aplikacje próbujące wystraszyć użytkownika np. fałszywymi powiadomieniami o wirusach wykrytych na jego urządzeniu, by następnie wyciągnąć od niego pieniądze za rozwiązanie tego nieistniejącego problemu. Do tego grona zaliczała się m.in. aplikacja Secure & Fast VPN Protector, która po jakimś czasie od zainstalowania wyświetlała użytkownikom powiadomienie o wykryciu aż 36 złośliwych aplikacji na ich urządzeniu, po czym oferowała możliwość wykupienia płatnej ochrony w formie abonamentu. Zanim została usunięta z App Store (co stało się dopiero po nagłośnieniu sprawy przez The Washington Post), zdążyła zarobić w ten sposób 893 tysiące dolarów.
Często też zdarza się, iż oszuści przemycają szkodliwe aplikacje do App Store pod postacią gier skierowanych do dzieci. Jednym z bardziej nagłośnionych przykładów takich działań była gra Jungle Runner 2k21. Na pierwszy rzut oka była to prosta zręcznościówka, jakich wiele w App Store. Użytkownicy z Turcji (lub łączący się przez VPN) po uruchomieniu jej byli jednak automatycznie przenoszeni do nielegalnego kasyna, pozwalającego grać prawdziwymi pieniędzmi z całkowitym pominięciem systemu płatności Apple. Autorzy gry przyciągali do niej klientów reklamami fałszywie twierdzącymi, że jest ona polecana przez telewizję CNN Türk. W połączeniu z zaufaniem, jakim użytkownicy darzą App Store, wystarczyło to, by zachęcić wielu z nich do podania danych i numerów kart kredytowych. Jakby tego było mało, okazało się, że Jungle Runner 2k21 nie działało nawet jak „uczciwe” kasyno. Wielu z użytkowników pisało w recenzjach w App Store, że zostali oszukani przez aplikację, gdyż nigdy nie otrzymali należnych im wygranych.
Oszuści tworzący opisane powyżej rodzaje szkodliwych programów chętnie biorą na cel użytkowników iOS z trzech powodów. Po pierwsze, większość statystyk pokazuje, że użytkownicy tej platformy są bardziej skłonni do wydawania pieniędzy w aplikacjach. Po drugie, klienci przekonani o wysokim bezpieczeństwie zapewnianym przez Apple są mniej czujni i co za tym idzie bardziej podatni na oszustwa. Po trzecie, samo Apple podchodzi do tego typu aplikacji zaskakująco pobłażliwie. Rok temu w sieci zrobiło się głośno o sprawie Kosty Eleftheriou - dewelopera znanego m.in. za sprawą klawiatur Fleksy i FlickType, który znalazł w App Store podróbki swoich aplikacji naciągające klientów na drogie subskrypcje. Gdy zgłosił problem Apple, nie otrzymał żadnej odpowiedzi. Podróbki zostały usunięte dopiero po tym, jak nagłośnił sprawę w mediach. Apple nie zablokowało jednak ich twórcom kont deweloperskich, dzięki czemu mogli oni dalej publikować w App Store aplikacje opierające się na podobnym schemacie działania.
Plastikowy nóż do masła
21 kwietnia, w dniu, w którym przedstawiciele Apple zeznawali przed senacką komisją antymonopolową, twierdząc m.in., że zamknięty ekosystem kontrolowany przez jedną firmę ma na celu ochronę użytkowników, dziennik The Washington Post przeprowadził wspólnie z firmą Appfigures analizę publikowanej codziennie listy najlepiej zarabiających aplikacji z App Store. Okazało się, że 2% z nich stanowiły szkodliwe programy, najczęściej typu fleeceware i scareware. Według szacunków Appfigures zdążyły one zarobić łącznie około 30 milionów dolarów, zanim Apple usunęło je ze sklepu po publikacji artykułu (co ciekawe, niektóre z nich powróciły później do App Store, wstawione po prostu z nowych kont deweloperskich).
Apple podkreśla przy każdej możliwej okazji, że wszystkie aplikacje dostępne w App Store są sprawdzane przed publikacją. Jak więc to możliwe, że do sklepu trafiają złośliwe programy? Odpowiedź jest prosta - proces kontroli aplikacji to po prostu kolejny przykład stosowania teatru bezpieczeństwa. Z informacji ujawnionych podczas procesu Apple vs. Epic Games wynika, że każdy pracownik zajmujący się sprawdzaniem aplikacji testuje codziennie od 50 do 100 pozycji, poświęcając średnio 13 minut na sprawdzenie nowej aplikacji i 6 minut na sprawdzenie aktualizacji. Takie tempo pracy sprawia, że aplikacje testowane są dość pobieżnie. Jakby tego było mało okazuje się też, że Apple nie wymaga od testerów żadnego doświadczenia w kwestiach związanych z cyberbezpieczeństwem, ani nawet dokładnej znajomości systemu iOS. Wszystko to w praktyce oznacza, że słynny i wychwalany przez Apple proces kontroli przeważnie sprowadza się do sprawdzania, czy aplikacja działa i nie narusza w jakiś oczywisty sposób regulaminu (np. zawierając treści pornograficzne lub nadmierną brutalność). Jeśli jednak chodzi o sprawdzanie oprogramowania pod kątem różnego rodzaju zagrożeń… cóż, jak ujawniono w trakcie procesu z Epic Games, sam Eric Friedman, szef działu zwalczania oszustw w App Store, przyznał, że system ten sprawdza się pod tym względem jak „plastikowy nóż do masła w starciu z bronią palną”.
Co ciekawe, kadra kierownicza Apple wie już od dość dawna, że zabezpieczenia App Store nie są wystarczającą ochroną przed oszustwami, jednak najwyraźniej nie przejmuje się tym zbyt mocno. Ze służbowej korespondencji ujawnionej w trakcie procesu z Epic Games wynika, iż już w 2012 roku ówczesny szef App Store Phil Schiller zwracał współpracownikom uwagę na problemy z kontrolowaniem publikowanych tam aplikacji, pisząc wprost, że firma nie dotrzymuje swoich obietnic dotyczących dbania o wysokie standardy sklepu. Nawoływał on też do wprowadzenia zautomatyzowanego systemu, który usuwałby aplikacje nisko oceniane przez użytkowników, jednak Apple nigdy nie zdecydowało się na taki krok. Takie rozwiązanie niewiele by zresztą dziś zmieniło. Apple na chwilę obecną niezbyt dokładnie przykłada się bowiem do moderowania recenzji zostawianych przez użytkowników, dzięki czemu nieuczciwi deweloperzy mogą sobie po prostu kupować w sieci tysiące pozytywnych ocen.
Podsumowanie
Mimo iż Apple przy każdej możliwej okazji wychwala wysoki poziom bezpieczeństwa App Store, ostatnio coraz częściej używając go też jako argumentu przeciwko otwarciu iOS na alternatywne źródła aplikacji, to w rzeczywistości niektóre spośród stosowanych tam zabezpieczeń sprawdzają się lepiej jako chwyt marketingowy niż realna ochrona przed oszustami i złośliwym oprogramowaniem. Pobierając stamtąd gry i aplikacje, warto więc jednak mimo wszystko zachować trochę ostrożności i zdrowego rozsądku.