автентикация, авторизация, заключване на SIM, заключване на екрана, нива на достъп, руутване, антивирусни програми, инструменти за откриване на зловреден софтуер, защитна стена, защита от фишинг, шифриране, облачни услуги, защита при изгубване или кражба и др.

1. Икономически университет - гр.Варна
Факултет Информатика
Курсова работа
на тема:
Защита на смартфони с операционна система Андроид
Изготвила:
Марияна Цветанова Колева - фак.№ 117007
Специалност: Приложна информатика, VII курс, задочно обучение
Проверил:
Доц. д-р С.Дражев
Ас.Р.Начева
гр.Варна
2015

2. Съдържание:
Увод............................................................................................................................................ 1
1. Обзор на смартфоните с операционна система Андроид ........................................................ 1
2. Подходи за защита при автентикация и авторизация.............................................................. 3
3. Заключване на SIM картата.................................................................................................... 6
4. Заключване на екрана............................................................................................................. 6
5. Използване и актуализация на лицензирана операционна система......................................... 7
6. Въздържане от руутване на смартфона................................................................................... 7
7. Защита при инсталиране на приложения ................................................................................ 8
8. Използване и актуализация на антивирусни програми и инструменти за откриване на
зловреден софтуер......................................................................................................................11
9. Използване на защитна стена ................................................................................................13
10.Подходи за защита при ползване на интернет .......................................................................14
11.Защита от фишинг, вишинг и смишинг .................................................................................16
12.Предпазливо ползване на Bluetooth .......................................................................................17
13.Шифриране на данните .........................................................................................................18
14.Ограничаване на данните, предавани към облачни услуги ....................................................18
15.Защита при изгубване или кражба на смартфон (Anti-Theft) .................................................18
16.Допълнителни мерки за защита.............................................................................................20
Заключение ................................................................................................................................21
Речник на термините..................................................................................................................22
Използвана литература...............................................................................................................23

3. 1
Увод
Смартфонът (от англ. smartphone - умен телефон) е мобилен телефон, допълнен с
функционалности на персонален компютър. Освен обичайните комуникационни функции, той
има достъп и до огромно количество уеб услуги като Gmail, Twitter, Facebook, Instagram, умее
да прави и съхранява снимки и видеа, да служи за извършване на банкови операции, онлайн
пазаруване и редица др. Т.е. съдържа различна конфиденциална информация. Ако тя попадне в
ръцете на недоброжелатели, това може да доведе понякога до много сериозни последствия,
касаещи собственика и негови близки в личен или финансов план.
Поради това е важно всеки потребител да се погрижи за сигурността на своя мобилен
апарат по време на ползване, а и при кражба или загуба.
Предмет на настоящата курсова работа ще бъде проучване и систематизиране на
основните заплахи, касаещи безопасността и сигурността при ползване на смартфони с
операционна система Андроид и извеждане на препоръки за тяхното преодоляване.
1. Обзор на смартфоните с операционна система Андроид
Андроид (Android) е операционна система за мобилни устройства с отворен
код, създадена от Android Inc., последствие купена от Google Inc. през юли 2005г. Тя
използва в основата си модифицирана версия 2.6 на ядрото на Linux . Към настоящия момент
операционната система се ползва от смартфони, таблети, табфони, смарт телевизори (Android
TV), смарт автомобили (Android Auto) и часовници (Android Wear).
Фиг.1 Пазарни дялове на мобилните операционни системи в световен мащаб (трето тримесечие на 2014г.)

4. 2
Съгласно доклада на International Data Corporation (IDC)1
, лидер на световния пазар за
смартфони е Андроид с 84,4% и с 283 милиона устройства (към октомври 2014), следван от iOS
– 11,7%, Windows Phone – 2,9% и BlackBerry – 0,5% (вж.фиг.1)2
.
Производители на Андроид устройства са Samsung (101,7 млн.), LG (21,8 млн.), Xiaomi
(18 млн.), Alcatel (17,8 млн.), Huawei (16,8 млн.), Lenovo (16 млн.), ZTE (14,5 млн.), Micromax
(10,6 млн.), Sony (9,9 млн.), Motorola (собственост на Lenovo от 30 октомври 2014г. – 8,7 млн.),
CoolPad (8,5 млн.), Oppo (7,8 млн.), Vivo (7 млн.) и HTC (4 млн.)3
(вж.фиг.2).
Фиг.2 Пазарни дялове на производителите на смартфони в световен мащаб (трето тримесечие на 2014г.)
Според проучването на Google - Consumer Barometer, обхващащо периода от януари до
март 2014г. и хора на възраст над 16 години от 47 държави по света (вж.фиг.3), България за
пореден път е сред най-активните нации в онлайн пространството.
Според изследването, 33% от населението у нас ползва смартфон. Анализът по възрасти,
съвсем очаквано показва по-широко използване на интернет сред по-младите хора (16-24г. –
90%; 25-34г. – 88%; 35-44г. – 83%). По-голямата част от населението на България влиза в
интернет всеки ден, като това важи и за 57% от хората на възраст над 55 години.
По отношение целта за ползване на смартфона, 71% от българите заявяват, че извършват
проверка на астрономическото време (часовник), 71% - правят снимки, 57% - слушат музика,
54% - следят прогнозата за времето, 44% - четат новини и 38% - играят игри. България е на
второ място след Китай по брой потребители, ползващи мобилното устройство за пазаруване –
25% и на второ място след Южна корея – за гледане на видео онлайн – 23%. При паралелно
използване на телевизия и свързано с интернет устройство, в 13% от случаите използването на
интернет е пряко свързано с видяното по телевизията.
1
International Data Corporation (IDC) – американска фирма за маркетингови изследвания и анализи, специализирана
в областта на информационните технологии и телекомуникации, извършваща наблюдения на пазарите в над 110
държави.
2
Източник: IDC - Smartphone OS Market Share, Q3 2014
3
По данни на www.androidauthority.com от 19.11.2014г.

5. 3
Фиг.3 Изследване на Google - Consumer Barometer (януари - март 2014г.)
2. Подходи за защита при автентикация и авторизация
Автентикацията е процес на проверка и потвърждаване на самоличността на
клиента, а авторизацията - предоставяне на възможност да предприеме действие или
да получи нещо.
Най-често използваният начин за автентикация е комбинацията от потребителско
име(имейл) и парола.
Потребителите често избират лесни за разгадаване пароли (еднакви или поредни
цифри или букви; съседни клавиши; имена на роднини и домашни любимци; рождени
дати; често употребявани фрази) и лесно са готови да ги разкрият (чрез бележка в
портфейла; съобщаване по имейл или телефон, в отговор на фишинг атаки).
 Избор на специални пароли
Използването на една и съща парола за достъп до всички акаунти е крайно
рисковано. Всеки потребител, изхождайки от индивидуалните си потребности, следва
да подбере различни пароли за достигане до конфиденциалните си данни. Обикновено
те се свеждат до достъп до електронната поща, онлайн банкиране, отдалечен достъп до
устройството (Anti Theft) и профили в социални мрежи. За всички останали случаи би
могло да се ползва отделен, специално създаден за целта имейл и парола.

6. 4
 Избор на силна парола
Една парола се счита за „силна“, ако е съставена от минимум 6 (според някои
автори до минимум 15) символа и съдържа комбинация от малки и големи букви,
цифри и специални символи (! " ? $ ? % ^ & * ( ) _ - + = { [ } ] : ; @ ' ~ # | < , > . ? /).
Подходи при избор на силна парола:
- Използване на няколко български думи, но написани слято и на латиница,
членувани, като някои символи се заместват с други, които визуално си приличат.
(Например, „Учителката Яна“ - „U4it31k@t@9n@“).
- Използване на клавиша Shift при някои от символите. (Например, паролата
„abcd1234“ е в пъти по-слаба от „aBcd1@34“).
- Извличане на първите букви от всяка дума от любим цитат. Например, от „Две
хубави очи. Душата на дете в две хубави очи; - музика - лъчи“, се получава
„ДхоДндвдхомл“. Ако се добави удивителна между двете изречения, буквите „о“ се
заменят с цифрата „0“, а останалите букви се преобразуват в латински, би се получила
достатъчно силна парола – „Dh0!Dndvdh0ml“.
 Честа смяна на паролата
Съгласно проучване на Евробарометър EB79.4 Сигурност в кибер-пространството за
2013г. за последните 12 месеца само 26% от българите са сменили своите пароли в
социалните мрежи, 16% - за достъп до електронна поща, 5% - тези за онлайн банкиране
и 4% - в уебсайт за пазаруване. При това 67% заявяват, че не са сменили нито една
парола, а само 11% - използват различни пароли за различни сайтове.
Добра практика е паролите да се сменят веднъж на всеки 1 или 2 месеца.
 Отказ от запаметяване на потребителско име и парола в браузъра
От съображения за сигурност е удачно потребителя да не използва опциите за
запаметяване (Remember my password) и автоматично въвеждане на потребителското
име и паролата (AutoComplete) в браузъра, дори на личните си смартфони, тъй като те
самите биха могли да бъдат откраднати.
„Всички въведени и запазени в браузъра данни се записват във файла
/data/data/com.android.browser/webview.db, и макар че с вградените средства е
невъзможно да бъде прегледан, имайки руут права (вж.т.7), той лесно би могъл да бъде
копиран на съседен смартфон, а след това анализиран с помощта на кое да е
приложение за четене от SQLite 3 бази“4
.
4
Лучшие приложения, которые превратят андроидофон в неприступный гаджет

7. 5
 Подходи при избор на таен въпрос и таен отговор
При някои регистрации на клиента се предоставя възможност да избере един или
повече въпроси от списък с предварително формулирани такива (моминското име на
съпругата, името на първия домашен любимец, фамилията на първия учител и др.) и да
даде отговор на тях, като втори фактор за автентикация. Добре е при избора на въпрос
той да се ръководи от правилото отговора на кой от тях е известен на най-малко или,
най-добре, на никого от неговото обкръжение.
Ако има възможност сам да формулира и тайния въпрос, сигурността ще се
повиши значително, затова е добре тя да се използва.
Аналогично, може да се избира измежду няколко изображения. В допълнение е
възможно да се прави избор и между няколко заглавия за избраното изображение.
 Използване на списък с кодове, токън устройство и SMS при онлайн
банкиране
Българските търговски банки предоставят на клиентите си различни средства за
допълнителна защита (двуфакторна автентификация) при извършване на финансови
преводи:
- Някои банки (Българо-американска кредитна банка АД, Инвестбанк АД,
Интернешънъл Асет Банк АД, ПроКредит Банк България АД, Търговска банка Д АД)
предоставят готов списък с ТАН-кодове (транзакционен авторизационен номер) на
хартиен носител, които потребителят въвежда последователно при потвърждаване на
всяка транзакция. При този вариант има риск от кражба на списъка.
- Токън устройство, генериращо пароли е отделно физическо устройство, което
извежда еднократни пароли на своя екран (вж.фиг.4). Всяка парола е валидна 30, 45 или
60 секунди. „Потребителят първо въвежда потребителското си име и обичайна парола
(първи фактор), следвана от еднократната парола, генерирана от токъна (втори
фактор).“5
Уникалността на токъновите пароли, тяхната времева чувствителност и
синхронизираност, ги правят трудни за фалшифициране. По своята сигурност токън
устройствата са сравними с квалифицирания електронен подпис. Те са лесни за
използване, евтини са и са компактни за пренасяне (Алианц Банк България АД, Алфа
Банк, Банка ДСК ЕАД, ОББ, Сосиете Женерал Експресбанк, Българо-американска
5
Парушева, С. - „Кражбите на самоличност и защитата на интернет банкирането“, сп.„Икономически
алтернативи“, брой 2, 2009, стр.87

8. 6
кредитна банка АД, Първа Инвестиционна банка АД, Райфайзен Банк ЕАД, Банка
Пиреос АД, СИБанк ЕАД).
фиг.4 Токън устройство на Обединена Българска банка АД
- За високонадежден се счита и метода за автентикация с използването на различен
канал. Някои български банки (Банка ДСК ЕАД, Банка Пиреос АД, БНП Париба С.А.,
Българо-американска кредитна банка АД, ОББ АД, Райфайзен Банк ЕАД, Сосиете
Женерал Експресбанк АД, Ти Би Ай Банк ЕАД, УниКредит Булбанк АД) предоставят
възможност за изпращане на еднократна парола като кратко текстово съобщение (SMS)
към мобилния телефон, която потребителят следва да въведе и едва тогава
транзакцията се приключва. В случай, че недоброжелателите разполагат само с данни
за достъп до банковия акаунт, но не и с такъв до смартфона, финансовите средства не
биха могли да бъдат управлявани.
 Подходи при преотстъпване и отнемане на права на трети лица
Клиентът не бива да преотстъпва смартфона си на никого, както и да разкрива
своите пароли и потребителски имена. Те са лични.
В случай, че все пак това се налага, добре е да създаде отделен профил (напр.
посредством приложението Smart App Lock (App Protector) – вж.т.8) с достатъчно рестрикции
относно личните данни, инсталиране, ползване и деинсталиране на приложения, както
и смяна на настройки.
3. Заключване на SIM картата
В системното подменю Настройки / Защита се предоставя възможност за настройване на
заключването на SIM картата. Желателно е, за повишаване на сигурността, опцията Заключи
SIM картата (Въвеждане на PIN за използване на устройството) да е активна.
Като част от системите за защита от кражба, производителите на мобилни устройства,
както и някои от антивирусните приложения, предоставят възможност на потребителите си да
получат имейл или SMS (на един или няколко други мобилни номера) при смяна на SIM
картата.
4. Заключване на екрана
Като допълнителна защита, най-вече от случаен достъп до телефона, Андроид предлага
няколко варианта за заключване на екрана: Плъзгане (няма защита); Отключване с лице (ниска

9. 7
защита, тъй като може да се ползва снимка или лице, което прилича на собственика, освен това
използваните за идентифициране на лицето данни се съхраняват в самия смартфон);
Отключване с лице и мигане (ниска защита, защото лесно може да се заобиколи с обикновена
GIF-анимация); Лице и глас (ниска защита); Шаблон (средна сигурност); ПИН (средна до
висока сигурност) и Парола (висока защита).
Устройства с Android 5.0 и по-нови версии могат да използват функцията Smart Lock, за
улесняване отключването на телефона. Потребителят може да го настрои така, че той да не се
заключва, когато е свързан с надеждно устройство с Bluetooth (часовник Android Wear,
устройство за следене на физическата активност, автомобилна аудиосистема или слушалки);
намира се на познато местоположение, като дома или работното си място; когато докосне с
устройството си надежден маркер за комуникация в близкото поле (например, стикер за КБП в
автомобил) или разпознае лицето му.
5. Използване и актуализация на лицензирана операционна система
Смартфонът следва да разполага с последната възможна версия на лицензирана
операционна система (ОС) Андроид. Тъй като непрекъснато се откриват нови
уязвими места, от които биха могли да се възползват хакерите, Google често
актуализира защитните характеристики на ОС. Затова е необходимо потребителят
регулярно да я обновява. За да провери за нови актуализациионни пакети, клиентът
трябва да посети подменю Настройки / За устройството / Актуализация на софтуера и
да стартира проверка за актуализация или да конфигурира телефона си за автоматично
проверяване за актуализации.
6. Въздържане от руутване на смартфона
Root-ването в Андроид, познато като jailbreaking за потребителите на iPhone и unlocking –
за притежателите на Windows Phone, е процес, в резултат на който клиентът получава
администраторски права върху мобилното устройство. Т.е. той придобива достъп до всички
функции на смартфона, включително скритите и тези на най-ниско ниво.
Сред предимствата на руутването са възможността за пълно архивиране на данните и
приложенията (създаване на резервно копие на цялата ОС и нейното съдържание); инсталиране
на потребителски теми, модификации, фърмуер, приложения и игри. Администраторските
права позволяват понижаване на честота на процесора, с цел пестене на енергия и удължаване
живота на батерията. Също така дават възможност за деинсталиране на всички Google
приложения и тези, инсталирани от производителя и продавача на смартфона.
Рисковете от неправилно боравене с неограничените права е огромен. Потребител с
недостатъчни познания може лесно да блокира телефона като случайно или по невнимание

10. 8
изтрие критични системни файлове. Промените в честотата на процесора могат да доведат до
изгаряне на различни компоненти. Замените на оригиналните фърмуер версии и приложения с
потребителски биха могли да доведат до нестабилност на ОС, внезапни рестартирания, загуби
на връзка с мрежата и редица др. И не на последно място руутнаният смартфон в повечето
случаи губи своята гаранция.
Предоставянето на пълен контрол на всеки потребител крие съвсем конкретни рискове за
модела на сигурност на Андроид. При неотключен смартфон всяко стартирано приложение има
свое собствено потребителско ID (номер за идентификация), т.е. всяка апликация се изпълнява
така, все едно е стартирана от отделен потребителски акаунт. Тя има строго определено
пространство в системната памет, заделено единствено за нея и използва данни, които не се
споделят по никакъв начин с останалите приложения. Ако обаче мобилното устройство е
руутнато, то апликацията с администраторски права би могла да достъпва данни от всички
останали приложения. В допълнение, зловредният софтуер също би могъл да се възползва от
този достъп.
Официалната позиция на Google относно предоставянето на пълни административни
права на масовия потребител е отрицателна. Но с всяка следваща версия на ОС компанията
добавя все нови и нови функции, които в предходни релийзи са били „заключени“. Така според
нея потребителите са по-малко изкушени самостоятелно да отключват устройствата си.
7. Защита при инсталиране на приложения
Безплатни и платени приложения за Андроид могат да бъдат сваляни от онлайн магазина
на Google - Google Play (наследник на Android Market), както и от различни уеб сайтове.
Един от основните конкуренти на електронния магазин на Google (с над 1 300 000
апликации към юли 2014г.) е Amazon Appstore - с над 250 000 игри и приложения за Андроид.
SlideME е първият в света магазин за Андроид апликации. Samsung - най-големият
производител на смартфони с операционна система Андроид притежава собствен магазин
Samsung Galaxy Apps. Други сайтове, предлагащи апликации за Андроид са 1Mobile Market
(над 1 200 000 приложения), Soc.io Mall и F-droid. Съществуват и магазини, които предлагат
игри и приложения за различни мобилни платформи, напр. Mobile9 (Android, iOS и Windows
Phone), Opera Mobile Store (Android, Java, Symbian, BlackBerry, Windows Mobile, Windows
Phone и iOS), Mobango (Android, Java/J2ME, Symbian, BlackBerry, Windows Mobile и др.) и
GetJar (Android, BlackBerry, Java, Symbian, Windows Mobile и др.)
Може би най-опасната заплаха за сигурността на смартфоните са приложенията с
вредоносен софтуер. Това са апликации, извършващи освен функциите, които потребителя
очаква от тях, също и различни нежелани такива, като например – да изпращат и/или получават
платени SMS, да крадат лични и финансови данни, документи, контакти, имейли и др., да

11. 9
включват поразения мобилен телефон към хакерска мрежа и така той да стане инструмент за
редица кибер престъпления. И всичко това – без знанието на собственика.
Две от най-важните условия, минимизиращи на риска от подобен род заразявания са
инсталирането на приложения само от доверени източници и обръщане на сериозно внимание
на списъка с изискуемите разрешения.
 Инсталиране от доверени източници
Върху Андроид-устройства, за разлика от тези с iOS и Windows, е възможно
инсталирането от други онлайн магазини и сайтове. За това единствено е необходимо
потребителят да сложи отметка в Настройки / Защита / Неизвестни източници (Разрешаване на
инсталация на приложения от източници, различни от Play Store). По подразбиране тази опция
не е активна и е желателно клиентите да се въздържат от активацията й.
Желателно е да е включена и следващата опция в същото подменю, а именно – Проверка
на приложения (Блокиране или предупреждаване преди инсталиране на приложения, които
може да причинят вреди).
Преди свалянето на дадено приложение е добре да се направи уеб проучване
(коментарии, форуми).
 Преглед на разрешенията за приложения
Всяко приложение, работещо под Андроид, изисква разрешение за определено ниво на
достъп, т.е. първоначално се обръща към ОС със запитване дали би могло да извърши
определено действие.
В тази връзка, при инсталиране на ново приложение следва внимателно да се прочетат
разрешенията, които то изисква.
Google Play наскоро направи подобрения в начина на показването им. Те са организирани
в групи (Самоличност, Контакти, SMS, Снимки/Мултимедия/Файлове, Камера/Микрофон,
Данни за идент.№ на устройството и за обажданията, Информация за връзката с Wi-Fi и др.)
Всяко наименование на група е съпроводено от икона (напр. Местоположение ).
Магазинът задължава собствениците на приложения не само да посочат групите
разрешения, но и да спазват правилата на Google Play, част от които касаят сигурността
(раздели Опасни продукти, Намеса в системата и др.6
). Новите приложения и актуализации се
подлагат на анализ и при констатация на нарушения се премахват заедно с профилите на
създалите ги програмисти.
 Проверка за нивата на достъп на инсталираните приложения
Потребителят може да провери какви разрешения ползва всяка една апликация, влизайки
в собствения си акаунт в приложението Google Play Магазин (в подменю Моите приложения /
Инсталирани).
6
Програмни правила за програмистите в Google Play

12. 10
Компанията Bitdefender - лидер в областта на компютърната мрежова
сигурност и антивирусния софтуер, е разработила безплатно приложение Clueful
за оценка на риска, което сканира всички приложения, инсталирани върху
Android устройството от Google Play и извежда подробна информация за потенциалната
опасност за сигурността на данните. В зависимост от нивото на достъп, приложенията се
класифицират като такива с висока, средна и ниска степен на риск. Освен това има възможност
потенциално опасната апликация да бъде деинсталирана директно от Clueful.
Приложението Online Privacy Shield на MyPermissions класифицира
сканираните приложения в 6 основни групи - такива, които извършват действия
от името на потребителя, знаят неговото местоположение, имат достъп до
пощенската му кутия и контактите, до снимки и файлове, до персонална
информация и до друга информация. В рамките на групите, клиентът може да получи по-
подробна информация за всяка една апликация.
В допълнение към горното, Online Privacy Shield предлага и сканиране на приложенията,
свързани с акаунтите в най-популярните онлайн сервизи: Facebook, Google+, Twitter, Instagram,
LinkedIn, FourSquare и Dropbox.
Други подобни приложения Privacy App, SRT Privacy Inspector.
 Парола за всяко приложение
В Андроид не са предвидени никакви средства за заключване на приложенията.
Заключването на екрана би могло да ги предпази само от случайни недоброжелатели.
Посредством приложението Smart App Lock (App Protector) потребителят
може да защити всяко инсталирано приложение с различен ПИН, парола, шаблон
или жест. В допълнение се предлага създаване на профили за достъп; заснимане,
гласово предупреждение и/или видеозапис при неоторизиран достъп; създаване
на бял списък на доверените Wi-Fi мрежи; блокиране на входящи и изходящи обаждания, 3G
данни, USB, Bluetooth; отдалечено заключване и отключване с SMS и др.
Приложението AppLock защитава с един единствен ПИН различните
приложения, но потребителят би могъл да направи „скрити“ отделни снимки и
видеа. Има възможност апликацията да бъде скрита и да се достъпва чрез
позвъняване на определен номер или посредством отваряне на специална
страница в браузъра.
Но и тези ограничения биха могли да бъдат заобиколени като се прекъснат процесите им
или се деактивират от настройките на смартфона.

13. 11
8. Използване и актуализация на антивирусни програми и инструменти за
откриване на зловреден софтуер
Операционната система Андроид е най-разпространена, с открит код и позволява
инсталиране на приложения от всякакви източници. Ето защо тя е и обект на най-много атаки.
Хакерите атакуват мобилните устройства по различни причини. Всеки смартфон има
акаунти (Google, Facebook, Twitter, онлайн-банкиране и др.) Освен кражба на финансови
средства или на профил, целта може да бъде получената информация да се добави към база
данни за кибератаки от всякакъв характер. Реализирайки достъп до устройството, хакерите
биха могли да го управляват отдалечено. Могат да използват данните от него и от името на
притежателя му да изпращат съобщения, реклами и др. Биха могли да присъединят телефона
към бот-мрежа и той да участва в DDoS-атаки върху сървъри и сайтове. И не на последно
място, имат възможност да получат информация относно целия личен живот на жертвата – от
банковите сметки, имейл, кореспонденция, SMS-и, контакти до любими заведения, името на
кучето и бележките в календара.
Едни от най-популярните вируси за смартфони са т.нар. „Троянци-банкери“. При
инсталирането им, те анализират всички SMS-и, проверяват за наличие на приложения за
мобилно банкиране, определят жертвата на коя банка е клиент и инсталират съответен модул.
Така в последствие въвежданите данни се предават както на хакерския сървър, така и на
истинското приложение, като злоупотребите могат да бъдат най-различни.
Ако жертвата ползва SMS-банкиране, то зловредния софтуер може да извърши превод от
банковата сметка към мобилния номер, с който тя е обвързана и за който не се изисква
подтвърждаване, след което да изтегли сумата, например, чрез скрито изпращане на платени
SMS или покупки в фалшив интернет-магазин. Освен това, троянецът може да даде SMS-
команда за превод към чужда сметка.
При безконтактни плащания, например по технологията NFC, има реален риск от
прихващане на конфиденциална информация и кражба на средства.
Антивирусният софтуер проверява надеждността на изтегляните от интернет, копираните
от външни устройства или получаваните по електронна поща файлове. Потребителят следва да
инсталира и редовно да обновява антивирусната програма на телефона си. За предпочитане е
тя да е лицензирана, тъй като това ще гарантира поддръжка при заразяване с вирус и редовно
осъвременяване срещу най-новите заплахи. Добре е да е настроена да проверява за нови
ъпдейти при стартиране и при наличие – да ги инсталира автоматично.
Злонамереният софтуер (malware) би могъл да води както до поява на нежелани реклами
(adware), така и до кражба на информация посредством шпионски програми (spyware).
Някои производители създават свои собствени системи за безопасност, основани на
апаратно-програмните особености на техните смартфони. Например, Samsung използват
технологията Knox, позволяваща инсталиране само на сертифицирани приложения,

14. 12
контролираща целостта на ядрото на ОС, шифрираща информацията с подобрен алгоритъм и
позволяваща стартиране на приложения в сендбокс (изолиран контейнер).
При избор на антивирусен софтуер потребителите биха могли да взимат предвид
отчетите на водещия международен независим институт по ИТ сигурност Av-test (вж.фиг.5).
На всеки два месеца организацията публикува резултатите от проведените изследвания.
Всеки продукт се оценява в две основни категории – Защита (Protection) и Полезност
(Usability). В първата се дава оценка на това как се представя конкретното антивирусно
приложение – дали оказва съществено влияние върху живота на батерията, дали забавя
работата на устройството, дали генерира много трафик, дали издава фалшиви предупреждения
при инсталиране или ползване на апликации от Google Play Store или такива от трети страни.
Втората очертава наличието или отсъствието на полезни допълнителни функции като анти-
кражба (Anti-Theft), включваща отдалечено заключване, локализиране и изтриване на данни от
изгубено или откраднато устройство; блокиране на обажданията (Call Blocker); филтриране на
съобщенията и имейлите (Message Filter); защита от зловредни сайтове и антифишинг защита
при сърфиране (Safe Browsing); родителски контрол върху съдържанието (Parental Control);
запис на личните файлове на SD-карта или в облак (Back Up); различни видове шифриране
(Encryption) и др.
Добре е резултатите да бъдат сортирани низходящо по защита и измежду тези от тях с
най-висок рейтинг да се избират приложения с най-високи показатели и за полезност.
За улеснение на клиентите на всяка страница на антивирусна апликация има линкове към
официалния сайт на разработчика и към Google Play, ако тя се предлага там.

15. 13
фиг.5 Най-добрите антивирусни програми за Андроид към м.ноември 2014, съгласно изследване на Av-test
9. Използване на защитна стена
Защитната стена (firewall) е специализиран хардуер или софтуер, който проверява
информацията, постъпваща и излизаща съответно от и към интернет, като или я блокира, или й
позволява да достигне или да напусне смартфона, в зависимост от настройките.
ОС Андроид няма вградена защитна стена. Едно от малкото приложения,
което не изисква руут права е No Root Firewall.
Добре е клиентът да инсталира защитна стена и да настрои всяко
приложение дали да има или не достъп до интернет при WiFi или 3G връзка.

16. 14
10. Подходи за защита при ползване на интернет
 Подходи при избор на интернет доставчик
Един от важните критерии при избор на доставчик е неговата репутация.
За достъп до глобалната мрежа клиентите ползват безжична (WiFi) или 3G връзка.
По отношение на сигурността, по-застрашена от атаки е WiFi мрежата. Ако
потребителят ползва подобна връзка в своя дом или офис, е добре да подбере силна
парола за рутера и за достъп до Wi Fi мрежата, а също така да го конфигурира като
„невидим“, ползвайки придружаващия го софтуер или сайта на производителя. Още
по-добра защита дава активирането на MAC-филтър. Задавайки MAC-адресите на
своите устройства, клиентът пресича опитите за прикачване към мрежата отвън.
За достъп до интернет извън дома или офиса, желателно е да се ползва 3G
мрежата като по-защитена.
Ако случая изисква да се прибегне до обществена безжична мрежа, то при първа
възможност потребителят трябва да смени всички пароли, които е ползвал в
незащитената среда.
Клиентите не бива да ползват за достъп до конфиденциална информация, като
интернет банкиране, електронна поща и социални мрежи, споделени компютри на
летища, в кафенета, игрални зали, библиотеки и др.
Хакерите обикновено създават открита незащитена Wi-Fi мрежа с вдъхващо
доверие наименование, например името на наблизо намиращо се интернет-кафе,
ресторант или мол. От друга страна, биха могли да пробият и защитена обществена
мрежа. След това с помощта на специални програми, получават достъп до цялото
съдържание на мобилните устройства на жертвите.
 Използване на анонимно сърфиране
Съвременните уебсайтове използват редица техники, с помощта на които могат да
получават разнообразна информация за клиентите си, като се започне от версия на ОС и
браузъра, история на сърфирането, име на компютъра и се стигне до проследяване на онлайн
покупките, IP адрес, местоположение и др.
Добър начин за защита е анонимното сърфиране. При него браузърът на мобилното
устройство не се свързва директно с интернет сайта, а ползва за посредник анонимен прокси
сървър. Така уебсайтът вижда IP адреса на сървъра, а не този на мобилния абонат и съответно
няма достъп до неговите кукита.
За подобно „невидимо“ сърфиране би могло да се използва безплатните приложения
Orweb: Private Web Browser и Orbot: Proxy with Tor.

17. 15
 Ръчно въвеждане на URL адреса на сайта за онлайн банкиране или
пазаруване
Потребителят трябва да запомни пълния уеб адрес на сайта за интернет банкиране
или онлайн магазина и да го въвежда самостоятелно в браузъра. Не бива да се ползват
линкове от имейли или други сайтове, чатове и т.н. (вж.т.12) След зареждане на
съответната страница, от съображения за сигурност, е добре да се увери, че адресът в
адресното поле е същият.
 Проверка за защитеност на връзката
При онлайн пазаруване или банкиране потребителят следва да се увери, че се намира на
търсения сайт и връзката с него е криптирана, т.е. трябва да провери за наличие на буквата „s”
след „http” в адреса на уеб страницата и за символа „заключен катинар“ за криптирана връзка.
Повечето банки в България използват 128-bit SSL-протокол за криптиране преноса на
данни от и към сайтове им. Сосиете Женерал Експресбанк АД ползва 256-битово SSL
криптиране, а ОББ АД и „Търговска Банка Д” АД работят с – най-добрия към момента
криптографски протокол -TLS.
Натискайки върху символа „заключен катинар“ (вж.фиг.6) , клиентът може да
извърши и по-детайлна проверка (да сравни името на сайта, на който е издаден
сертификата и URL адреса на страницата; името на фирмата; сертифициращата
организация, издала сертификата; срок на валидност и др.)
фиг.6 Проверка на сертификат TLS в Google Chrome

18. 16
 Бдителност при въвеждане на конфиденциални данни
Преди да въведе чувствителни данни (потребителско име, пароли и др.подобни),
потребителят следва да се убеди, че не е под наблюдение на трети лица или камери.
 Коректно прекъсване на сесията
Често клиентите вместо да приключат банковата си онлайн сесия или тази в
електронен магазин коректно, натискайки бутона „Изход“ или „Log out“, просто
затварят активния прозорец. Така те я запазват активна, поне за определен период от
време. В допълнение към това, ако браузърът е настроен да съхранява бисквитки
(cookies), последните биха могли да бъдат откраднати.
Клиентите също така не бива да оставят без надзор смартфона си с активна сесия.
Въпреки, че повечето банкови системи и онлайн магазини са програмирани да
прекъсват автоматично сесията на потребителя след определен период от време, добре
е тя да се приключва чрез съответния бутон и затваряне на активния таб или прозорец.
 Абониране за известяване за извършени финансови операции
Банките предлагат широк спектър от безплатни и платени услуги, известяващи
клиента с кратко текстово съобщение SMS за състоянието и всички или определен
набор движения по сметките му. Препоръчително е потребителят да се възползва по
свое усмотрение от тях, с цел още по-добре да защити своите финансови ресурси.
Алианц Банк България АД в допълнение към горното, предлага SMS-
нотификация за всеки успешен или неуспешен опит за използване на дебитна,
спестовна или кредитна карта (0.18 лв.) Освен това предлага безплатна Е-mail-
нотификация в случай, че е осъществен достъп до системата за интернет банкиране със
същото потребителско име и парола от IP адрес, различен от последния използван.
11. Защита от фишинг, вишинг и смишинг
Една от най-разпространените форми на кражба на конфиденциална информация
(потребителско име, парола, номер на банкова карта и др.) е фишингът. Това е разпращане на
имейли, които максимално наподобяват официални писма, най-често от името на известна
търговска или финансова институция, чиято цел е да пренасочат клиента по фалшив линк, с
подобен на оригиналния URL-адрес, за да бъдат поискани и получени съответните лични
данни.
Когато клиентът има съмнения относно легитимността на получения имейл, трябва да
влезе в своя профил на официалния сайт на съответната фирма като лично въведе пълния URL-
адрес в браузера, за да провери дали подобно съобщение съществува.

19. 17
Ако потребителят получи съмнителен имейл от името на търговска или финансова
институция, трябва да я уведоми за наличието му.
В случай, че той се е подвел и е въвел конфиденциални данни, трябва веднага да влезе в
свой оригинален профил и да смени паролата си.
При кражба на конфиденциална информация клиентът следва да подаде сигнал в отдел
"Компютърни престъпления, интелектуална собственост и хазарт" на ГДБОП-МВР, че е
възможно да е станал жертва на фишинг. При спешни случаи се ползва телефон 112. Според
случая се предприема и блокиране на банкови сметки, карти, акаунти, закриване на сметки,
откриване на нови и др.
Вишингът и смишингът са разновидности на фишинга, като при първия се ползват
гласово съобщение, VoIP, стационарен или мобилен телефон, а при втория – SMS съобщение.
SMS-мошеничеството е една от най-разпространените заплахи. Целта на
недоброжелателите е да накарат жертвата да изпрати платен SMS и така «законно» да присвоят
средства. Обикновено схемата е следната: чрез спам с обещание за награда или на сайт
клиентът бива помолен да въведе номера на мобилния си телефон, за да получи код за
активация или за да подтвърди, че не е робот. В резултат на което той всъщност се абонира за
получаване на платени SMS. Тъй като формално погледнато потребителят се е абонирал
доброволно, един от изходите е да се прекрати абонамента в сайта на оператора.
Като превантивна мярка срещу фишинг атаки, клиентът следва да активира антифишинг
филтрите на браузърите, които ползва.
Би трябвало освен това да включи и настрои филтър за спам в електронната си поща,
който автоматично да пренасочва всички съмнителни писма в отделна папка.
Клиентът трябва да инсталира и често да проверява за нови ъпдейти на антивирусната си
програма, защитната стена (firewall) и инструментите за защита от шпионски софтуер и да
предприема пълно сканиране на смартфона си.
12. Предпазливо ползване на Bluetooth
Типична заплаха за мобилните устройства е възможността за прихващане на данни и
взлом посредством безжичния интерфейс Bluetooth, който потребителите твърде често държат
постоянно включен.
За взлом през Bluetooth се изисква специално оборудване и подготовка, като при него се
ползват методите на социалното инженерство, изпращане на съобщения през Bluejacking,
заразяване на смартфона с вируси-червеи, способни да изпратят на хакера всички данни,
необходими за пробива.

20. 18
13. Шифриране на данните
ОС Андриод (след версия 4.0) предлага шифриране на данните на устройството и на
външната SD-карта.
С функцията „Шифроване на устройството“ могат да се закодират акаунти, настройки,
изтеглени приложения и данните за тях, мултимедийни и други файлове. След като смартфонът
бъде шифрован, при всяко негово включване потребителят следва да въвежда ПИН или парола
(с поне 6 знака, която съдържа поне една цифра), за да го дешифрира.
За „Шифроване на външна SD-карта“ също се ползва парола с поне 6 знака, поне един от
които е цифра.
Проблемите обаче са в това, че тази функционалност не се поддържа все още от всички
моделителефони, от друга страна,зашифрованата SD-карта не може да бъде разчетена на друго
устройство, а веднъж дешифрирани данните остават достъпни докато смартфонът е включен.
Съществуват редица апликации, които позволяват създаване на шифровани контейнери
(директории), но позволяват достъп до данните в тях само чрез себе си.
Приложението Cryptonite може да създава шифрирани директории, достъпни за всички
приложения, при това данните се дешифрират само, когато са необходими, но изисква Android
4.0 и руут.
14. Ограничаване на данните, предавани към облачни услуги
„Съвременните мобилни устройства и приложения са ориентирани към използване на
множество облачни услуги. Необходимо е да се следи за това, конфиденциалните данни и
данните, отнасящи се до търговски тайни случайно да не са синхронизирани или изпратени в
една от тези услуги.7
“
15. Защита при изгубване или кражба на смартфон (Anti-Theft)
Производителите на мобилни телефони (напр.Samsung), антивирусните програми и
отделни приложения предлагат разнообразни мерки, които собственикът на устройството би
могъл да приложи по отношение на него при констатиране на загуба или кражба. За да се
възползва от тях, той следва предварително да е регистрирал акаунт в съответния фирмен сайт.
 Локализиране на устройството – потребителят може да получи карта с
координати на смартфона си;
 Защита на устройството – да накара телефона да звъни с максимална сила
определен период от време; да заключи екрана; да изтрие всички данни;
 Да получи информация от устройството – например, за повикванията и SMS-ите
от последните седем дни, IMEI номер, състояние на батерията и др.
7
С.Дражев, Р.Начева–"Безопасност и защита на компютърни системи и приложения",Варна, 2013, стр.193

21. 19
Ако телефонът вече е загубен, а потребителят не се е регистрирал предварително по нито
един от описаните начини, съществуват апликации, които биха му помогнали дори и в тази
критична ситуация.
Android Device Manager е официално приложение на Google, което не
изисква допълнителна инсталация, единствено да е активирано (по подраздиране
е включено), устройството да е свързано с Google акаунт и да има достъп до
интернет. Може да се ползва самото приложение (с профил Guest от друго
мобилно устройство) или браузър. Позволява локализиране, звънене и изтриване на данните.
Ако клиентът е с Андроид версия 2.0-2.3 и мобилният апарат е свързан с
Gmail акаунт, то той може да влезе чрез друго устройство в личния си акаунт в
Google Play и да инсталира в изчезналия си смартфон приложението Plan B,
стига последният да има достъп до интернет. Апликацията може да определи
местоположението на телефона и да изпраща на всеки 10 минути координатите по имейл. При
включен GPS данните ще бъдат много по-точни, но дори и при изключен, приложението ще
намери апарата според информацията на мобилния оператор. Потребителят може да изпрати
SMS с текст “locate” до изчезналия си смартфон и така да получи координатите му по имейл.
Приложението Android Lost изисква смартфонът да е свързан с клиентски
Google акаунт и да има достъп до интернет. Посредством потребителския акаунт
в Google Play e възможно отдалечено инсталиране на апликацията в изгубения
мобилен телефон. После трябва да се изпрати до него активиращ SMS
“androidlost register”. След което, от сайта www.androidlost.com, освен установяване на
местоположението, клиентът има възможност да блокира телефона, да изтрие данните не само
от устройството, но и от SD-картата, да управлява GPS и WiFi настройките, да стартира
алармен сигнал, да изведе съобщение на екрана, да направи снимка, да запише звук от
микрофона, да прегледа SMS-ите и обажданията, да пренасочи обажданията, да получи
информация относно IMEI номера, състоянието на батерията и много др.
Проблемът на всичките тези решения е в това, че те лесно могат да бъдат
заобиколени, след като откраднатия телефон бъде върнат до фабричните си
настройки. Единствено може би би оцеляла анти-кражба апликацията на Avast
Anti Theft.
„В Avast това е отделно компактно приложение, което може не само да бъде инсталирано
и скрито от списъка с приложения, но и (при наличие на руут права) би могло да бъде записано
в системния дял, и то така, че да оцелее не само след дистанционно изтриване на данните, но и
след актуализация на системата с помощта на потребителска конзола за възстановяване (в него
има скрипт, който задължава конзолата да направи бекъп на апликацията преди обновяването).
Фактически анти-кражба приложението може да бъде убито само по два начина: да се
инсталира официална актуализация от производителя на смартфона (OTA, fastboot или

22. 20
специално приложение) или да се изтрие ръчно от системния дял. Но и това не е всичко,
специално за устройства със заключен системен дял (S-ON) в инсталатора на апликацията е
реализиран механизъм за автоматична инсталация с помощта на рестартиране в конзолата за
възстановяване.“8
Тъй като всичките досегашни приложения за защита при кражба работят, но само при
определени и не винаги възможни обстоятелства, Apple, Google, HTC, Huawei, Motorola,
Microsoft, Nokia и Samsung са се обединили в усилията си да разработят унифициран
механизъм, който не само отдалечено да блокира мобилния телефон, но и да забранява достъпа
до неговите настройки и записаните в паметта данни, като при това, след като смартфонът бъде
върнат на стопанина си, последният да може бързо и лесно да възстанови достъпа си. Целта е
този единен стандарт да бъде вграден в операционните системи. Към този проект са
привлечени и петте основни американски оператори - AT&T, Sprint, T-Mobile, US Cellular и
Verizon Wireless. Резултати се очакват през юли 2015г.
16. Допълнителни мерки за защита
Потребителят не биследвало да записва паролите си на хартиен носител иливъв файл.
Ако все пак желае да го направи, трябва да избере възможно най-сигурното място за
съхраняването им.
Клиентът трябва редовно да преглежда извлеченията от банковите си сметки и
кредитни карти за наличие на необичайни транзакции или тегления и незабавно да уведоми
банката, ако подозира, че има някакви несъответствия.
Той следва своевременно да уведомява финансовата институция при промени в
неговите лични данни (като адрес на електронна поща и др.)
Ако възнамерява да анулира банкова карта (или ако изтече нейният срок на валидност),
потребителят трябва да я върне в банката, където тя ще бъде перфорирана през номера на
сметката и магнитната лента.
Банковият клиент е длъжен да съхранява своите карти, списъци с ТАН-кодове, и токъни
на сигурно място, така че никой друг да не ги употреби.
Добре е всички оригинални ПИН-кодове на SIM-картата, банковата картата или токъна,
да бъде смененис нови. Не бива да се съхраняват на едно място паролите и съответните карти
или устройства. Не е редно да се споделят и да се преотстъпват на трети лица.
Някои финансови институции предлагат застраховки на банкови карти срещу
злоупотреби с тях (Алианц Банк АД, Сосиете Женерал Експресбанк АД). Така клиентът би
могъл да възстанови в пълен или частичен размер откраднатите финансови средства.
8
Лучшие приложения, которые превратят андроидофон в неприступный гаджет

23. 21
Заключение
Употребата на смартфони в България е в крак със световните тенденции.
Потребителите обаче в по-голямата си част не знаят и/или не прилагат усилия да защитят
личните си данни в интернет.
Банките на българския пазар прилагат най-съвременни методи за защита. Всички
използват криптиране на обмена на данни. Повечето прилагат двуфакторна автентикация.
Магазинът Google Play предлага много и с разнообразна функционалност антивирусни и
антишпионски програми, инструменти за откриване на зловреден софтуер, анти-кражба
приложения и др.
От изложеното до тук, се налага изводът, че към момента няма абсолютна защита при
ползване на смартфон. За да защити в определена степен мобилното си устройство, клиентът
следва да прилага съвместно мерките за безопасност и сигурност.
Потребителят следва да се ръководи от правилото колкото по-малко информация
предоставя, толкова е по-добре защитен. Всеки къс информация се съхранява някъде
(смартфон, сървър и др.) и практически може да бъде достигнат, ако не с технически средства,
то с помощта на методите на социалното инженерство.
За повишаване на сигурността следва клиентите да бъдат отговорни и бдителни в
опазването на конфиденциалната си информация, да следят новите тенденции в защитата на
мобилните устройства и да ги прилагат.
М.Колева

24. 22
Речник на термините
Автентикация = процес на проверка и потвърждаване на самоличността на клиента
Авторизация = предоставяне на възможност да предприеме действие или да получи нещо
Андроид (Android) = операционна система за мобилни устройства, създадена от Android Inc.,
последствие купена от Google Inc. през юли 2005г.
Антивирусен софтуер = проверява надеждността на изтегляните от интернет, копираните от външни
устройства или получаваните по електронна поща файлове
Вишинг = разновидност на фишинг, при който се ползва гласово съобщение, VoIP, стационарен или
мобилен телефон
Защита при кражба (Anti-Theft) = мерки, които собственикът би могъл да приложи по отношение на
смартфона при констатиране на загуба или кражба
Защитна стена (firewall) = специализиран хардуер или софтуер, който проверява информацията,
постъпваща и излизаща съответно от и към интернет, като или я блокира, или й позволява да достигне
или да напусне смартфона, в зависимост от настройките
Злонамерен софтуер (malware) = би могъл да води както до поява на нежелани реклами (adware), така и
до кражба на информация посредством шпионски програми (spyware)
ПИН (от англ.PIN) = персонален идентификационен номер
Руутване = процес, в резултат на който клиентът получава администраторски права върху мобилното
устройство
Смартфон (от англ. smartphone — умен телефон) = мобилен телефон, допълнен с функционалности на
джобен персонален компютър
Смишинг = разновидност на фишинга, при който се ползва SMS съобщение
Фишинг = разпращане на имейли, които максимално наподобяват официални писма най-често от името
на известена търговска или финансова институция, чиято цел е да пренасочат клиента по фалшив линк, с
подобен на оригиналния URL-адрес, за да бъдат поискани и получени съответните лични данни
SMS (от англ. Short Message Service) = кратко текстово съобщение

25. 23
Използвана литература
А. Литературни източници:
 Илиев П., Кашева М., Сълова С. - „Електронен бизнес“ – I част, издателство „Наука и икономика“,
ИУ Варна, 2011
 Колева М. - Подходи за защита при интернет банкиране от страна на потребителя, 2014
 Колева М. - Защита на електронното банкиране, 2014
 Парушева С., Несторов К. - „Електронен бизнес“ – II част, издателство „Наука и икономика“, ИУ
Варна, 2014
 Парушева С. - „Кражбите на самоличност и защитата на интернет банкирането“, сп.„Икономически
алтернативи“, брой 2, 2009
 Учебни материали по “ Безопасност и защита на компютърни системи и приложения ” – ИУ – Варна,
специалност „Приложна информатика“, VII курс с преподавател доц. д-р С.Дражев и ас.Р.Начева,
2014
 Учебни материали по “Електронни финанси” – ИУ – Варна, специалност „Приложна информатика“,
VI курс с преподавател доц. д-р С.Парушева, 2014
Б. Интернет ресурси:
 Дражев С., Начева Р. – "Безопасност и защита на компютърни системи и приложения", Варна, 2013
 Евробарометър EB79.4 Сигурност в кибер-пространството за 2013г.
 Лучшие приложения, которые превратят андроидофон в неприступный гаджет
 Начева Р. - Упражнения по "Безопасност и защита на компютърни системи и приложения" :
Упражнение 1, Упражнение 2
 Програмни правила за програмистите в Google Play
 IDC - Smartphone OS Market Share, Q3 2014
 http://www.av-test.org/en/