Jak Netflix, Spotify i Epic Games narażają dla zysku Wasze bezpieczeństwo

dodał 29 sierpnia 2018 o 18:44 w kategorii Info  z tagami:
Jak Netflix, Spotify i Epic Games narażają dla zysku Wasze bezpieczeństwo

Edukacja jest bardzo ważnym elementem budowania bezpieczeństwa użytkowników. Jest mozolna, długotrwała i łatwo ją zepsuć – tak jak pokazały właśnie duże firmy, które dla swoich zysków namawiają klientów do instalacji aplikacji spoza sklepu.

Netflix to kolejny gracz, zaraz po Spotify i Epic Games, który opuszcza oficjalne sklepy dostawców mobilnych urządzeń. Robi to, by nie płacić prowizji właścicielowi sklepu. Prowizji, która przy dużej skali sprzedaży idzie w miliony dolarów.

Skąd ten pomysł

Zacznijmy od genezy całej sytuacji. Wszyscy producenci aplikacji na urządzenia mobilne, którzy chcą dystrybuować swoje dzieła przez oficjalne kanały, takie jak sklep Google Play czy Apple Store, muszą oddawać ok. 30% swoich zysków dla właścicieli tych marek. Na początku były próby negocjacji z Google’em oraz Apple’em, aby obniżyć wartość myta, lecz zakończyły się one fiaskiem. Skoro pokojowe rozwiązania zawiodły, trzeba było przejść do ofensywy – dlatego duzi gracze postanowili wypisać się z interesu. Na początek Spotify i Epic Games, producent gry Fortnite, postanowili zmienić możliwość rejestracji i płatności, a teraz przyszedł czas na Netflixa. Wielka trójka zaczęła od zmiany sposobu tworzenia nowych kont i wnoszenia opłat przez oficjalne sklepy – wcześniej było to możliwe z poziomu zainstalowanej aplikacji na urządzeniu, teraz już tylko przez strony dostawców. Prawdopodobne jest również wycofanie aplikacji ze sklepów. W przypadku urządzeń z Androidem nie będzie z tym większego problemu, gdyż instalowanie aplikacji spoza środowiska jest możliwe, ale w przypadku iOS-u będzie to bardziej skomplikowane (a wręcz niewykonalne). Nasuwa się jednak pytanie: co z bezpieczeństwem użytkowników i dlaczego nie jest to do końca dobre rozwiązanie?

Jak to się ma do bezpieczeństwa?

Na naszych szkoleniach regularnie przypominamy użytkownikom, by nigdy, pod żadnym pozorem, nie instalowali aplikacji spoza sklepu producenta. Niestety w przypadku Androida nie gwarantuje to bezpieczeństwa. Złośliwe aplikacje znaleźć można także w sklepie (przykładem są chociażby ciągle powtarzające się ataki na użytkowników aplikacji BZ WBK, fałszywe aplikacje Netflixa z trojanem na pokładzie czy podrobione aplikacje Spotify, które omijają darmowe limity), ale generalnie aplikacje w sklepie są bardziej zaufane niż te z innych źródeł. Z kolei w urządzeniach Apple’a praktycznie nie ma możliwości instalacji aplikacji innej niż sklepowa (są jeszcze rozwiązania MDM, ale ich skala jest niewielka).

Edukacja użytkownika jest bardzo mozolnym procesem i gdy posiadacz Androida usłyszy od zaufanego podmiotu takiego jak np. Netflix „pobierz aplikację z naszej strony”, poczuje się zagubiony. To ma pobierać czy nie? To bez wątpienia wykorzystają przestępcy.

W pierwszym momencie po usunięciu możliwości płatności za subskrypcje przez Google Play czy Apple Store lub jeszcze w trakcie wdrażania zmian mogą nasilić się akcje phishingowe ukierunkowane na użytkowników wspominanych aplikacji. Wydaje się to jednym z prostszych ataków: „W związku z brakiem możliwości płatności przez Apple Store/Google Play informujemy, że płatności należy dokonywać przez naszą stronę: [fałszywy_link]” lub „Prosimy o wprowadzenie danych karty w związku ze zmianą systemu płatności” czy coś w stylu „W załączeniu znajdziesz fakturę za nasze usługi”. Podobne ataki były już przeprowadzane, a wprowadzane teraz zmiany mogą zwiększyć ich wiarygodność.

Mając powyższe na uwadze, prawdopodobne wydaje się również tworzenie fałszywych stron logowania, pomocnych w zdobywaniu danych uwierzytelniających użytkowników oraz danych kart płatniczych. Opisy podobnych kampanii phishingowych można znaleźć w internecie – przestępcy zbierali już zarówno dane kart, jak i dane logowania do kont na Netflixie.

Czy to się opłaca

Epic Games w marcu 2018 r. wprowadził swoją grę do Apple Store i do sierpnia zarobił ponad 200 milionów dolarów – widać, że oddanie 30% jest ogromną stratą. Netflix, który w 2017 r. zanotował zysk na poziomie ponad 550 milionów, również nie chciałby się nim dzielić. Mieć, a nie mieć – to zasadnicza różnica. Dane zebrane przez MacPaw zdają się potwierdzać, że nie każdy jest zadowolony z takiego rozwiązania, aż 30% dostawców wybiera alternatywny kanał dystrybucji aplikacji do Mac App Store (dla zainteresowanych – szczegółowy raport znajdziecie tutaj).

Co na to Google? Nie zdziwimy się, jeśli pójdzie śladem Apple’a i znacząco ograniczy dostęp do swojego ekosystemu, odbierając użytkownikom możliwość instalacji aplikacji spoza firmowego sklepu. Nie będzie w tym odosobnione – pojawiały się już wersje Windowsa bez możliwości instalacji programów innych niż sklepowe. Ten kierunek zmian, jak pokazał Apple, wydaje się być nieuchronny nie tylko, by zachować przychody oligopolistów, ale także by podnieść bezpieczeństwo nieświadomych użytkowników.

Dopóki wyżej wymienione aplikacje znaleźć można w sklepie, to gorąco rekomendujemy używanie wyłącznie tego kanału dystrybucji.