Het Nederlands kwaliteitssysteem voert een benchmark- en meer gedetailleerd onderzoek uit naar mobiele apps voor het zoeken naar werk het eerste onderzoek is in april 2023 uitgevoerd . om de dynamiek te volgen en te zien of de gebreken in de loop van het jaar door de ontwikkelaars zijn aangepakt. De volledige resultaten van het onderzoek worden in augustus 2023 gepubliceerd, maar Roskatchestvo meldt nu al verschillende kwetsbare apps. Deskundigen van Roskatchestvo hebben 16 Android- en 15 iOS-apps getest op kwetsbaarheden, malware en beveiliging van gegevensoverdracht. Als onderdeel van de test worden deze toepassingen ook getest op volledigheid van functionaliteit, bruikbaarheid, prestaties, betrouwbaarheid en draagbaarheid.
In een onderzoek naar de beveiliging van apps bleken sommige apps gedeeltelijk onversleuteld te zijn. Deze omvatten:
iOS: Indeed Jobs, Trovit alleen links naar vacatures zijn niet gecodeerd , Avito Ads alleen foto’s zijn niet gecodeerd , PROFI alleen foto’s zijn niet gecodeerd ;
Android: Superjob, Zarplata.rou, Rosrabota, PROFI, Avito Ads alleen foto’s worden niet versleuteld , Worki alleen apparaatgegevens worden niet versleuteld , Trovit alleen links naar opdrachten worden niet versleuteld .
Onversleutelde inhoudstransmissie maakt apparaat kwetsbaar voor aanvallen. Dit betekent dat verzonden inhoud kan worden vervangen door een uitvoerbaar bestand dat bij opening malware kan uitvoeren. Op deze manier, die onwaarschijnlijk is, maar niettemin mogelijk, zou een hacker met de wil en bepaalde vaardigheden van een hacker controle over het apparaat kunnen krijgen. Er zij op gewezen dat alle bovengenoemde toepassingen persoonlijke gegevens doorgeven met behulp van encryptiealgoritmen.
De resultaten van de enquête hebben ook geholpen om apps te identificeren die persoonlijke gebruikersgegevens niet versleutelen. Zij kregen een score van 0,5 op een schaal van 0,5 tot 5,5 voor de beveiliging van gegevensoverdracht:
iOS: Jobrapido
Android: Jobrapido en Careerist.ru
Ilya Loevsky, plaatsvervangend hoofd van het Nederlands kwaliteitssysteem.“Volgens de norm voor kwaliteitseisen voor mobiele apps, die Roskachevo samen met de deskundigengemeenschap heeft ontwikkeld, moet de overdracht van gegevens waaronder persoonlijke gebruikersgegevens en app-inhoud door een mobiele app gebeuren met behulp van versleutelingsalgoritmen. Bijvoorbeeld, de app Careerist.Terwijl Jobrapido voor Android een onversleuteld gebruikersnaam- en wachtwoordbestand verzendt, versleutelt Jobrapido voor beide platforms ook geen gebruikersgegevens. Hierdoor kunnen aanvallers toegang krijgen wanneer hun verkeer wordt onderschept. Bovendien maakt het ontbreken van encryptie het apparaat kwetsbaar voor aanvallen. Wij moedigen ontwikkelaars actief aan de normen te volgen en de belangen van de consument te beschermen”
De veiligste apps die alle gegevens versleuteld verzenden, vrij zijn van malware en aanzienlijke kwetsbaarheden
iOS: SuperJob, Yandex.Banen”, “Werk in Nederland” en FarPost;
Android: HeadHunter, Indeed Werk, Werk in Nederland en FarPost.
De Payroll app kreeg ook hoge cijfers.ru, Careerist.ru, YouDo, Worki, HeadHunter en Job.ru” voor iOS eindscore groter dan 5,0 op een schaal van 0,5 tot 5,5 .
Opmerkelijk is dat de gemiddelde iOS app score 0,67 hoger is dan de gemiddelde Android app score, wat de hogere veiligheid van Apple’s gesloten mobiele platform weerspiegelt. Het testlab overlegde met deskundigen van Group IB, een internationaal bedrijf dat gespecialiseerd is in de preventie van cyberaanvallen en de ontwikkeling van informatiebeveiligingsproducten.
Vyacheslav Vasin, Lead Analyst, Group-IB.“Voor de moderne mens is het gebruik van mobiele apps een vrij gemakkelijke en handige manier om een baan te vinden. De ernstigste bedreiging voor gebruikers van dergelijke apps is ongeoorloofde toegang tot hun persoonsgegevens. Deze bedreiging kan worden gerealiseerd door onveilige opslag en onbedoeld lekken van gegevens of door onveilige gegevensoverdracht. De gevolgen voor de gebruikers kunnen desastreus zijn: van het openbaar worden van hun privégegevens tot het stelen van hun geld van hun bankrekeningen”
Om te voorkomen dat u het slachtoffer wordt, raden deskundigen aan zich aan vrij eenvoudige regels te houden:
download en installeer toepassingen alleen van officiële bronnen winkels ;
de feedback van andere gebruikers en het aantal downloads analyseren;
Beperk de gevraagde toestemmingen bij het installeren van apps;
Gebruik de apps niet wanneer u verbonden bent met openbare gratis Wi-Fi-netwerken;
Voer geen bankkaartgegevens in bij dubieuze toepassingen.
Het belangrijkste is dat u geen informatie met de app deelt die u niet openbaar op het internet wilt zien.
