Wenn Verschlüsselung nicht hilft: Wir informieren über physischen Zugang zu Geräten

Im Februar haben wir den Artikel „Nicht nur VPN: Ein Leitfaden, wie Sie sich und Ihre Daten schützen“ veröffentlicht. Ein Kommentar hat uns dazu angeregt, eine Fortsetzung des Artikels zu schreiben. Dieser Teil ist eine völlig eigenständige Informationsquelle, wir empfehlen jedoch, beide Beiträge zu lesen.

Der neue Beitrag befasst sich mit der Sicherheit von Daten (Kommunikation, Fotos, Videos, all das) in Messengern und den Geräten, die verwendet werden, um mit diesen Anwendungen zu arbeiten.

Messenger

Telegram

Bereits im Oktober 2018 gelang es einem Studenten des ersten Studienjahres am Wake Technical College, Nathaniel Sachi, herauszufinden, dass der Messenger Telegram Nachrichten und Mediendateien unverschlüsselt auf der Festplatte des Computers speichert.

Der Student konnte auf seine eigene Kommunikationshistorie, einschließlich Text und Bilder, zugreifen. Dazu untersuchte er die auf der HDD gespeicherten Datenbanken der Anwendung. Es stellte sich heraus, dass die Daten schwer lesbar, aber nicht verschlüsselt waren. Und der Zugang zu ihnen war selbst dann möglich, wenn der Benutzer ein Passwort für die Anwendung eingerichtet hatte.

In den erhaltenen Daten wurden Namen und Telefonnummern von Gesprächspartnern gefunden, die auf Wunsch zugeordnet werden können. Informationen aus geschlossenen Chats werden ebenfalls unverschlüsselt gespeichert.

Später erklärte Durov, dass dies kein Problem sei, denn wenn ein Angreifer Zugriff auf den Benutzer-PC hat, kann er die Verschlüsselungsschlüssel erhalten und ohne Probleme die gesamte Korrespondenz entschlüsseln. Viele IT-Sicherheitsexperten behaupten jedoch, dass dies dennoch ernst zu nehmen ist.

Video abspielen

Darüber hinaus war Telegram anfällig für Angriffe zur Schlüsselentwendung, was entdeckte Benutzer von Habra. Ein Passwort kann in beliebiger Länge und Komplexität lokal geknackt werden.

WhatsApp

Soweit bekannt, speichert auch dieser Messenger Daten unverschlüsselt auf der Festplatte des Computers. Wenn ein Angreifer also Zugriff auf das Gerät des Benutzers hat, sind auch alle Daten offen.

Aber es gibt ein noch umfassenderes Problem. Momentan werden alle Backup-Daten von WhatsApp, das auf Geräten mit Android-Betriebssystemen installiert ist, in Google Drive gespeichert, wie Google und Facebook im letzten Jahr vereinbart haben. Doch die Backups von Chats, Mediendateien und ähnlichem werden unverschlüsselt gespeichert.. Soweit man beurteilen kann, haben Mitarbeiter der Sicherheitsbehörden in den USA Zugang zu Google Drive, daher besteht die Möglichkeit, dass die Sicherheitsbehörden auf sämtliche gespeicherten Daten zugreifen können.

Daten können verschlüsselt werden, aber beide Unternehmen tun dies nicht. Wahrscheinlich einfach, weil unverschlüsselte Backups problemlos von den Nutzern übertragen und genutzt werden können. Höchstwahrscheinlich fehlt die Verschlüsselung nicht, weil es technisch schwierig wäre: Im Gegenteil, es ist recht einfach, Backups zu schützen. Das Problem ist, dass Google eigene Gründe hat, mit WhatsApp zu arbeiten – das Unternehmen analysiert die auf den Servern von Google Drive gespeicherten Daten und nutzt sie zur Anzeige personalisierter Werbung. Wenn Facebook plötzlich die Verschlüsselung für WhatsApp-Backups einführen würde, würde Google sofort das Interesse an einer solchen Partnerschaft verlieren und wertvolle Daten über die Präferenzen der WhatsApp-Nutzer abgeben. Dies ist natürlich nur eine Vermutung, aber durchaus wahrscheinlich in der Welt des Hi-Tech-Marketings.

Was WhatsApp für iOS betrifft, werden Sicherungen in der iCloud gespeichert. Doch auch hier werden die Informationen unverschlüsselt aufbewahrt, was sogar in den Einstellungen der App erwähnt wird. Ob Apple diese Daten analysiert oder nicht, wissen nur die Verantwortlichen des Unternehmens. Allerdings hat die Firma aus Cupertino kein Werbenetzwerk wie Google, daher können wir annehmen, dass die Wahrscheinlichkeit, dass sie persönliche Daten von WhatsApp-Nutzern analysieren, erheblich geringer ist.

Alles Gesagte lässt sich folgendermaßen zusammenfassen – ja, auf Ihre WhatsApp-Nachrichten haben nicht nur Sie Zugriff.

TikTok und andere Messenger

Dieser Dienst zum Austausch von kurzen Videos konnte sehr schnell an Popularität gewinnen. Die Entwickler versprachen, die vollständige Sicherheit der Daten ihrer Nutzer zu gewährleisten. Wie sich herausstellte, verwendete der Dienst diese Daten jedoch ohne Benachrichtigung der Nutzer. Schlimmer noch: Der Dienst sammelte persönliche Daten von Kindern unter 13 Jahren ohne Zustimmung der Eltern. Die persönlichen Informationen von Minderjährigen – Namen, E-Mail-Adressen, Telefonnummern, Fotos und Videos – waren für jedermann zugänglich.

Dienste wurde bestraft In Höhe von mehreren Millionen Dollar haben die Regulierungsbehörden auch gefordert, alle Videos, die von Kindern unter 13 Jahren aufgenommen wurden, zu entfernen. TikTok hat dem nachgegeben. Dennoch nutzen andere Messenger und Dienste die persönlichen Daten der Nutzer für ihre eigenen Zwecke, sodass man sich nicht sicher sein kann, dass diese Daten geschützt sind.

Diese Liste könnte endlos fortgesetzt werden – die meisten Messenger haben irgendeine Art von Schwachstelle, die es Angreifern ermöglicht, Nutzer abzuhören (ein hervorragendes Beispiel – Viber, obwohl dort anscheinend alles behoben wurde) oder ihre Daten zu stehlen. Darüber hinaus speichern praktisch alle Anwendungen aus den Top 5 die Nutzerdaten ungeschützt auf der Festplatte des Computers oder im Speicher des Telefons. Und das, ohne die Geheimdienste verschiedener Länder zu erwähnen, die möglicherweise Zugang zu den Nutzerdaten haben, dank entsprechender Gesetzgebung. Auch Skype, VKontakte, TamTam und andere stellen auf Anfrage der Behörden (z. B. in der RF) jegliche Informationen über jeden Nutzer bereit.

Ein guter Schutz auf Protokollebene? Kein Problem, wir hacken das Gerät

Vor einigen Jahren entbrannte ein Konflikt zwischen Apple und der US-Regierung. Das Unternehmen weigerte sich, ein verschlüsseltes Smartphone zu entsperren, das in einen Fall von Terroranschlägen in San Bernardino verwickelt war. Damals schien das ein echtes Problem zu sein: Die Daten waren gut geschützt, und es war entweder unmöglich oder sehr schwierig, das Smartphone zu knacken.

Heute sieht die Situation anders aus. Beispielsweise verkauft das israelische Unternehmen Cellebrite Software- und Hardwarelösungen an juristische Personen in Russland und anderen Ländern, die es ermöglichen, alle Modelle von iPhone und Android zu hacken. Im letzten Jahr wurde ein Werbefolder veröffentlicht mit relativ detaillierten Informationen zu diesem Thema.

Wenn Verschlüsselung nicht hilft: Wir informieren über physischen Zugang zu Geräten
Der magadanische Kriminaltechniker Popov hackt ein Smartphone mit der gleichen Technologie, die auch das FBI der USA verwendet. Quelle: BBC

Das Gerät kostet aus staatlicher Sicht relativ wenig. Das UFED Touch2 hat die Wolgograder Ermittlungsbehörde 800.000 Rubel gekostet, die aus Chabarowsk 1,2 Millionen Rubel. 2017 bestätigte Alexander Bastrykin, der Leiter des russischen Ermittlungsausschusses, dass sein Amt Lösungen verwendet von der israelischen Firma.

Auch die „Sberbank“ beschafft solche Geräte – allerdings nicht zur Durchführung von Ermittlungen, sondern zur Bekämpfung von Viren auf Android-Geräten. „Im Falle eines Verdachts auf die Infektion von Mobilgeräten mit unbekanntem Schadcode und nach Einholung der notwendigen Zustimmung der Besitzer der infizierten Telefone wird eine Analyse zur Auffindung neu auftretender und sich verändernder Viren mit verschiedenen Werkzeugen, einschließlich UFED Touch2, durchgeführt“, angekündigt in der Firma.

Amerikaner verfügen ebenfalls über Technologien, die es ermöglichen, beliebige Smartphones zu hacken. Das Unternehmen Grayshift verspricht, 300 Smartphones für 15.000 US-Dollar zu hacken (das sind 50 Dollar pro Gerät im Vergleich zu 1.500 Dollar bei Cellbrite).

Es ist durchaus möglich, dass solche Geräte auch von Cyberkriminellen verwendet werden. Diese Geräte werden ständig verbessert – die Größe wird reduziert, die Leistung erhöht.

Aktuell sprechen wir über mehr oder weniger bekannte Smartphones von großen Herstellern, die sich um den Datenschutz ihrer Nutzer kümmern. Bei weniger bekannten Unternehmen oder No-Name-Organisationen hingegen können Daten ohne Probleme extrahiert werden. Der HS-USB-Modus funktioniert sogar, wenn der Bootloader gesperrt ist. Service-Modi sind in der Regel ein „Hintertür“, über die man Daten abrufen kann. Andernfalls kann man den JTAG-Port anschließen oder sogar den eMMC-Chip ausbauen und ihn in einen günstigen Adapter einsetzen. Wenn die Daten nicht verschlüsselt sind, kann man alles aus dem Telefon herausziehen einschließlich der Authentifizierungsmarker, die Zugang zu Cloud-Speichern und anderen Diensten gewähren.

Wenn jemand persönlichen Zugriff auf ein Smartphone mit wichtigen Informationen hat, kann es bei Bedarf gehackt werden, egal was die Hersteller sagen.

Es ist offensichtlich, dass alles Gesagte nicht nur für Smartphones, sondern auch für Computer und Laptops mit verschiedenen Betriebssystemen gilt. Wenn man nicht auf fortgeschrittene Sicherheitsmaßnahmen zurückgreift und sich mit gewöhnlichen Methoden wie Benutzername und Passwort begnügt, bleiben die Daten gefährdet. Ein erfahrener Hacker, der physischen Zugang zum Gerät hat, kann praktisch jede Information erlangen – es ist nur eine Frage der Zeit.

Was ist zu tun?

Auf Habré wurde das Thema Datensicherheit auf persönlichen Geräten bereits mehrfach angesprochen, daher wollen wir das Rad nicht neu erfinden. Wir werden lediglich die wesentlichen Methoden aufführen, die die Wahrscheinlichkeit verringern, dass Dritte Zugriff auf Ihre Daten erlangen:

  • Verwenden Sie unbedingt die Datenverschlüsselung sowohl auf dem Smartphone als auch auf dem PC. Verschiedene Betriebssysteme bieten oft ganz gute Standardmittel. Ein Beispiel dafür ist die Erstellung eines Kryptobehälters in macOS mit Bordmitteln.

  • Setzen Sie überall Passwörter ein, auch in der Chatverlaufsgeschichte von Telegram und anderen Messenger-Diensten. Natürlich sollten die Passwörter komplex sein.

  • Zwei-Faktor-Authentifizierung – ja, das kann lästig sein, aber wenn die Sicherheit an erster Stelle steht, muss man sich damit abfinden.

  • Achten Sie auf die physische Sicherheit Ihrer Geräte. Den Firmen-PC ins Café mitnehmen und dort vergessen? Klassiker. Sicherheitsrichtlinien, einschließlich der für Unternehmen, sind oft das Resultat von bedauerlichen Fehlern.

Lassen Sie uns in den Kommentaren über Ihre Methoden diskutieren, um die Wahrscheinlichkeit eines Datendiebstahls zu reduzieren, wenn unbefugte Dritte Zugriff auf ein physisches Gerät erhalten. Die vorgeschlagenen Methoden werden wir später in den Artikel integrieren oder auf unserem Telegram-Kanal, auf dem wir regelmäßig über Sicherheit und Lifehacks zur Nutzung berichten. unserem VPN und der Zensur im Internet.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster