Jako użytkownik systemu Android możesz sądzić, że bezpiecznie jest pobierać aplikacje ze sklepu Google Play. To zrozumiałe, ale nie do końca prawda.

Rygorystyczne kontrole bezpieczeństwa sprawiają, że Google Play jest najbezpieczniejszym miejscem do pobierania aplikacji na Androida, ale nie jest miejscem całkowicie bezpiecznym. Sklep z aplikacjami Google jest głównym celem zarówno cyberprzestępców, jak i deweloperów, którzy monetyzują (a tym samym narażają na niebezpieczeństwo) Twoje dane, i nigdy nie będzie w 100% wolny od ryzyka.

Dlatego musisz wybierać aplikacje świadomie: weryfikować je przed pobraniem, kontrolować te już pobrane i zabezpieczać dane na swoim urządzeniu na wypadek naruszenia bezpieczeństwa.

Jak złośliwe aplikacje omijają Google

W zeszłym roku Google zablokował publikację 1,75 miliona aplikacji naruszających zasady(nowe okno) i zbanował ponad 80 000 kont deweloperów. Usługa Google Play Protect(nowe okno), wbudowana w większość urządzeń z Androidem, zablokowała 266 milionów ryzykownych prób instalacji.

Jednak możliwości Google są ograniczone. Cyberprzestępcy stale znajdują sposoby na ominięcie skanowania przed publikacją i przed instalacją.

Popularne strategie:

  • Przesyłanie bezpiecznych aplikacji do weryfikacji, a następnie wprowadzanie złośliwych funkcji poprzez zdalne aktualizacje.
  • Ukrywanie złośliwych aplikacji pod postacią prostych (i przydatnych) narzędzi, takich jak skaner dokumentów czy czytnik PDF.
  • Ukrywanie złośliwych aplikacji pod postacią programu zabezpieczającego lub antywirusowego, co jest szczególnie podstępną i skuteczną przykrywką — jeśli użytkownik bardzo chce rozwiązać jakiś problem, rzadziej zachowuje czujność przed instalacją.

Każdego dnia w Google Play publikowanych jest 2029 aplikacji(nowe okno), więc nieuniknione jest, że niektóre złośliwe programy prześlizgną się przez sito Google. W zeszłym roku firma Bitdefender wykryła kampanię oszustw reklamowych o nazwie kodowej Vapor(nowe okno), która obejmowała co najmniej 331 złośliwych aplikacji, z których część zbierała dane logowania użytkowników i dane kart płatniczych.

Aplikacje te zostały pobrane z Google Play ponad 60 milionów razy.

Legalne aplikacje wciąż mogą zagrażać Twoim danym

Złośliwe aplikacje to nie jedyne zagrożenia, na które trzeba uważać w Google Play. Istnieją również legalne aplikacje, które po cichu gromadzą i przechowują Twoje dane osobowe oraz dane śledzące, a następnie udostępniają je stronom trzecim, np. sieciom reklamowym.

W zeszłym roku firma NowSecure przetestowała 25 000 aplikacji(nowe okno) na systemy iOS i Android i odkryła, że 75% przetestowanych aplikacji na iOS i 70% na Androida gromadziło zarówno wrażliwe dane, jak i domeny śledzące.

Google zezwala na te aplikacje w Google Play, ponieważ ich twórcy otwarcie informują w sekcji dotyczącej bezpieczeństwa danych na stronie produktu aplikacji o tym, jakie dane zbierają i w jakim celu.

W 2025 roku Google zaostrzył swoje zasady, blokując 255 000 aplikacji(nowe okno) przed uzyskaniem „nadmiernego dostępu” do wrażliwy danych. Oznacza to, że tysiące aplikacji, które gromadzą dane zgodnie z literą zasad Google, nadal nie są zablokowane, choć zakres zbieranych informacji znacznie wykracza poza to, czego mogą spodziewać się użytkownicy.

To nie tylko kwestia prywatności: to także niebezpieczne. Legalne, ale żądne danych aplikacje rutynowo udostępniają dane użytkowników reklamowym pakietom SDK i partnerom analitycznym. Te podmioty trzecie mogą następnie przekazywać te dane bezskrupulatnym brokerom danych.

Każde ogniwo w tym łańcuchu to potencjalny punkt naruszenia bezpieczeństwa. Jeśli bezpieczeństwo Twoich danych zostanie zagrożone, możesz dowiedzieć się o tym dopiero wtedy, gdy będzie za późno.

Na co zwracać uwagę: pięciopunktowa lista kontrolna

Nie istnieje żadna oficjalna, aktualna czarna lista zablokowanych (i tych, które powinny zostać zablokowane) aplikacji, z której możesz skorzystać.

Istnieją jednak kwestie, na które warto zwrócić uwagę, aby zidentyfikować ryzykowne aplikacje:

  1. Sprawdź sekcję bezpieczeństwa danych: Czy deweloper wyjaśnił, jakie dane zbiera i jak będzie ich używać? Pusta sekcja bezpieczeństwa danych to oczywiście poważne ostrzeżenie, ale tak samo jest w przypadku zasad, które nie pasują do funkcjonalności aplikacji. Aplikacja latarki nie powinna potrzebować dostępu do Twoich kontaktów.
  2. Sprawdź uprawnienia przy instalacji: Po zainstalowaniu aplikacja często prosi o dostęp do Twojej lokalizacji, kontaktów, przestrzeni dyskowej, lokalizacji i/lub mikrofonu. Czasami ma to sens, ale w innych przypadkach może wydawać się przesadzone. Ponownie: czy aplikacja z tapetami musi znać Twoją lokalizację?
  3. Sprawdź nazwę i historię dewelopera: Czy twórcą jest znana firma mająca na koncie inne opublikowane aplikacje i stronę internetową? Czy może jest to konto jednej osoby z tą jedną aplikacją i bez żadnych dodatkowych informacji pozwalających na poznanie kontekstu? 
  4. Sprawdź, czy opinie są prawdziwe: Fałszywe recenzje zwykle pojawiają się według łatwych do zauważenia schematów. Lawina pięciogwiazdkowych opinii opublikowanych w krótkim czasie to znana taktyka manipulacji. Szukaj krytycznych opinii przeplatanych pozytywnymi oraz szerokiego zakresu dat.
  5. Uważaj na bezpłatne aplikacje narzędziowe: Złośliwe oprogramowanie oraz aplikacje zbierające dane najczęściej maskują się jako darmowe latarki i aplikacje do oszczędzania baterii, klawiatury, darmowe edytory zdjęć, aplikacje pogodowe z dostępem do lokalizacji oraz gry z reklamami. Jeśli aplikacja jest bezpłatna i nie widzisz sposobu, w jaki jej twórcy mogliby na niej zarabiać, odpowiedź brzmi prawdopodobnie tak: to Twoje dane stanowią ich model biznesowy.

Jak chronić swoje dane

Nawet jeśli zachowasz należytą staranność, nadal możesz pobrać złośliwą aplikację z Google Play. Jednak dzięki odpowiednim zabezpieczeniom możesz ograniczyć szkody, jakie może ona wyrządzić.

Zaszyfruj swoje połączenie za pomocą Proton VPN

Złośliwe aplikacje często próbują przesyłać Twoje dane (w tym historię przeglądania, lokalizację i identyfikatory urządzeń) przez niezaszyfrowane połączenie.

Poznaj Proton VPN: bezpieczny VPN(nowe okno), który

  • Szyfruje wszystkie dane przychodzące i wychodzące z telefonu na poziomie sieci, co znacznie utrudnia przesyłanie i przechwytywanie historii przeglądania, lokalizacji oraz identyfikatorów urządzenia
  • Zapobiega inwigilacji na poziomie sieci w publicznych sieciach Wi-Fi (częsty wektor ataków(nowe okno) na zainfekowane aplikacje) 
  • Blokuje przesyłanie danych, na których opierają się analityczne pakiety SDK (dzięki wbudowanej blokadzie elementów śledzących NetShield(nowe okno)), co ogranicza zakres informacji, które deweloperzy mogą udostępniać stronom trzecim

Chroń swoje dane logowania dzięki Proton Pass

Złośliwe aplikacje używają niewidocznych rejestratorów klawiszy (keyloggerów) i nakładek phishingowych do kradzieży danych logowania. Może to być szczególnie szkodliwe, jeśli — jak wiele osób — używasz tych samych haseł na wielu różnych kontach.

Proton Pass to bezpieczny menadżer haseł, który rozwiązuje oba te problemy:

  • Generuje unikalne hasła dla każdego tworzonego konta, więc jeśli dojdzie do naruszenia jednego z nich, nie ucierpią wszystkie
  • Chroni hasła, klucze dostępu i karty płatnicze za pomocą szyfrowania typu end-to-end oraz szyfrowania zero-knowledge. Oznacza to, że Twoje dane logowania są szyfrowane na urządzeniu przed ich wysłaniem i nawet Proton nie ma do nich dostępu.

Dowiedz się, jak usunąć złośliwe oprogramowanie

Jeśli obawiasz się, że bezpieczeństwo Twojego urządzenia mogło zostać zagrożone, lub chcesz wiedzieć, na co zwracać uwagę, upewnij się, że potrafisz rozpoznać oznaki zhakowania telefonu.