Firmy a technologie

7 aplikací, které mohou ohrozit vaše data

12 min. čtení

Kolik aplikací máte nainstalováno ve svých zařízeních? V dnešní době používáme aplikace téměř ke všemu, od komunikace s ostatními až po zapisování nákupních seznamů. Některé aplikace však mohou představovat nenápadné nebezpečí pro bezpečnost vašich dat (a soukromí). Společně s Danielem Chromkem, manažerem informační bezpečnosti ve společnosti ESET, jsme probrali běžné způsoby, jakými lidé ohrožují svá data prostřednictvím aplikačních služeb.

Jaký typ dat je třeba chránit?

Denně pracujeme s vlastními osobními údaji, ale také s digitálními informacemi našich zaměstnavatelů, zaměstnanců, spolupracovníků a klientů. Zatímco veřejná data mohou být snadno dostupná každému, kdo je vyhledá, s mnoha typy digitálních informací je třeba zacházet a chránit je pečlivě. Mezi ně patří např:

Interní data -  např. interní komunikace

Důvěrná data - např. rodná čísla

Vyhrazená data - např. obchodní tajemství

Pochopení rozdílů mezi veřejnými a citlivými údaji vám může pomoci vyhnout se ohrožení dat, která by měla zůstat soukromá. Stav dat se však může změnit i z osobních, profesních nebo dokonce politických důvodů, proto vždy zacházejte se všemi typy digitálních informací opatrně.

Roe vs. Wade: Když se citlivost dat nečekaně zvýší

 

Na otázku, zda může uvést příklad, kdy si lidé neuvědomili, že mohou sdílet velmi citlivé údaje, Chromek zmiňuje situaci v USA po rozhodnutí ve věci Roe vs. Wade. Poté, co se potraty staly v několika amerických státech potenciálně nelegálními, byly ženy varovány před používáním aplikací pro sledování menstruačního cyklu nebo sexuálního života.

 

Různé zdroje naznačují, že tyto aplikace mohou být nyní použity proti svým uživatelkám, pokud k nim získají přístup orgány činné v trestním řízení, aby odhalily případné nelegální potraty. Jak vysvětluje deník The Washington Post, například v případě trestného činu potratu by byla relevantní IP adresa, protože s pomocí poskytovatelů internetových služeb mohou orgány činné v trestním řízení vysledovat IP adresy až k jednotlivým osobám. V tomto případě se údaje, které se dříve sdílely bez obav, jako jsou IP adresy, rychle staly citlivými.

Běžně používané aplikace a jejich bezpečnostní rizika

Mnoho lidí přeskakuje čtení smluvních podmínek, přestože se důrazně doporučuje, abyste si je před použitím jakékoli nové aplikace nebo registrací k jakékoli nové službě prošli. Platí to zejména v případě, že aplikaci plánujete používat nejen k nakládání s vlastními osobními údaji, ale také s pracovními daty. Mnohé aplikace jsou tak běžně používané, že se možná ani nezamýšlíme nad jejich možným dopadem na digitální bezpečnost. Podívejme se na některé aplikace, které mohou potenciálně ohrozit bezpečnost vašich dat.

1) Bezplatné překladatelské aplikace

Překladatelské aplikace často musí zpracovat velké množství dat, aby z nich vytvořily konečný přeložený text. „Není problém přeložit konkrétní slovo, ale problém narůstá s celými odstavci a dokumenty. Když například právník zadá obsah citlivé smlouvy do nezabezpečené překladatelské aplikace, možné následky jsou vážné - porušení GDPR, odhalení vysoce citlivých firemních informací a podobně,“ vysvětluje Chromek. Dávejte si pozor na to, jaký typ dat do překladatelských aplikací zadáváte, a zvláště opatrní buďte u bezplatných aplikací bez licence.

2) Aplikace měnící formát souborů

Potřebovali jste někdy rychle zkomprimovat dokument, aby se vešel do e-mailu? Nebo změnit jeho formát, například na PDF? Jedním z běžných způsobů, jak to udělat, je použít online převodní nástroj nebo aplikaci pro změnu formátu. „Vše, co bylo řečeno o aplikacích pro překlady, platí i pro aplikace pro změnu formátu,“ pokračuje Chromek. Tyto služby zpracovávají potenciálně citlivé údaje v nahraných dokumentech, proto vždy zůstaňte opatrní a používejte pouze předem schválené aplikace.

3) Sdílené kalendáře

„Sdílené kalendáře často obsahují seznamy kontaktů. Chcete-li s někým sdílet svůj kalendář, potřebujete alespoň jeho e-mailovou adresu. Pokud tedy nejsou dostatečně zabezpečeny, mohou tyto aplikace představovat problém s GDPR,“ upozorňuje Chromek. Některé sdílené kalendáře navíc mohou být pro své uživatele poněkud matoucí, takže si nemusí být jisti, jaké údaje s kým sdílejí: zda svůj kalendář sdílejí pouze s lidmi, kterým jej zamýšleli poslat, například se svými spolupracovníky, nebo zda svůj kalendář zviditelnili tak, aby jej mohl vidět kdokoli cizí.

4) Aplikace pro psaní poznámek a diáře

U těchto aplikací většinou záleží na tom, k čemu je chcete používat. Pokud používáte aplikace pro psaní poznámek pouze k vytváření nákupních seznamů, nehrozí takové nebezpečí, jako by mohlo hrozit, pokud je využíváte k zapisování poznámek z obchodních schůzek nebo dokonce k zapamatování si hesel (k tomu byste měli vždy používat správce hesel, nikoliv jinou aplikaci). „Je také třeba si uvědomit, že tyto aplikace často umožňují přidávat k poznámkám obrázky, videa nebo hlasové záznamy, což je další možnost úniku dat,“ dodává Chromek.

5) Veřejné aplikace pro sdílení souborů

Kromě potenciálního přístupu k citlivým informacím funguje většina veřejných aplikací pro sdílení souborů v cloudu. Pokud dojde ke kompromitaci poskytovatele cloudu nebo vašeho účtu, existuje šance úniku dat. Některé aplikace pro sdílení souborů však lze kombinovat s řešeními pro transparentní šifrování dat, která lze doporučit pro zvýšení bezpečnosti vašich dat.

6) Aplikace pro zasílání zpráv

Aplikace pro zasílání zpráv často umožňují širokou škálu činností - sdílení souborů, telefonní hovory, videohovory, zasílání textových zpráv, hlasové nahrávky atd. V důsledku toho potřebují ve vašem mobilním zařízení spoustu oprávnění, včetně přístupu k fotoaparátu, mikrofonu nebo datům v úložišti. Některé aplikace pro zasílání zpráv navíc shromážděné informace nešifrují, takže po jejich napadení mají útočníci všechna shromážděná data, včetně citlivých informací, na dosah. Chromek dále dodává: „Je také rozdíl v tom, jaké zabezpečení tyto aplikace nabízejí z hlediska šifrování. Většina messengerů šifruje data během přenosu přes internet (data v přenosu), některé messengery však nabízejí dodatečné zabezpečení pomocí end-to-end šifrování, což znamená, že zprávy nemůže dešifrovat ani poskytovatel aplikace, ale pouze komunikující strany.“

7) Aplikace pro vzdálený přístup

Potřebujete zkontrolovat svého psa, když jste v práci? Nebo chcete spustit topení ještě před příchodem domů? Aplikace pro vzdálený přístup vám to umožní. Fungují však i obráceně a nikdy nevíte, kdo koho spravuje. „Služby vzdáleného přístupu se mohou stát portálem pro útočníky, kteří mohou vstoupit do vašeho zařízení, spravovat ho a krást v něm uložená data,“ varuje Chromek.

daniel chromek ciso eset

Většina výše uvedených aplikací sdílí některá stejná rizika. Především cloud, který používají k ukládání dat, nemusí být bezpečný. Díky ukládání osobních údajů se tyto cloudové služby rázem stávají nejen vašimi dodavateli, ale také zpracovateli dat podle GDPR. Nesmíme také zapomínat, že některé aplikace využívají služby, které za nimi stojí, takže vždy existuje riziko výpadku služby. A konečně, aby aplikace zůstaly funkční, potřebují finance. Bezplatné aplikace mají jen několik možností, jak financovat svou činnost: prostřednictvím reklamy, darů, využitím dat pro komerční účely nebo prodejem vašich dat jiným službám. To se děje pouze v případě, že s tím souhlasíte - možnost sdílení dat je obvykle zmíněna v podmínkách, které mnoho lidí při čtení přeskočí.

Podmínky služby: Nečetl jsem

 Webová stránka Terms of Service Didn’t read (a související doplněk prohlížeče) hodnotí smluvní podmínky různých aplikací na stupnici od A do F. Nenabízí sice úplný přehled o bezpečnosti aplikací, ale může uživatelům poskytnout lepší představu o tom, co mohou od aplikace z hlediska bezpečnosti očekávat.

Vždy se poraďte se svými IT nebo bezpečnostními specialisty

Závěrem lze říci, že aplikace mohou být užitečné v našem každodenním i profesním životě, ale všechny s sebou nesou svá rizika. Bez zkušeností v oblasti IT nemusíte být schopni plně rozpoznat závažnost jejich potenciálních nebezpečí, proto vždy doporučujeme, abyste se s každou novou aplikací, kterou hodláte používat, obrátili na svůj IT/bezpečnostní tým. To se týká aplikací, které chcete používat z pracovních důvodů, ale také služeb, které snad využijete jen pro zábavu nebo relaxaci, ale které budou uloženy ve stejném zařízení jako vaše pracovní soubory. Váš IT tým by vám měl pomoci určit, zda je aplikace ve vaší společnosti považována za bezpečnou, případně vám může pomoci vymyslet bezpečnější variantu.