Im Februar haben wir den Artikel „Nicht VPN allein. Ein Spickzettel, wie Sie sich und Ihre Daten schützen können.“ veranlasste uns, eine Fortsetzung des Artikels zu schreiben. Bei diesem Teil handelt es sich um eine völlig unabhängige Informationsquelle, dennoch empfehlen wir Ihnen, beide Beiträge zu lesen.
Ein neuer Beitrag widmet sich dem Thema Datensicherheit (Korrespondenz, Fotos, Videos, das ist alles) in Instant Messengern und den Geräten selbst, die für die Arbeit mit Anwendungen verwendet werden.
Sofortige Boten
Telegram
Bereits im Oktober 2018 entdeckte Nathaniel Sachi, Student am Wake Technical College im ersten Jahr, dass der Telegram-Messenger Nachrichten und Mediendateien im Klartext auf dem lokalen Computerlaufwerk speichert.
Der Student konnte auf seine eigene Korrespondenz inklusive Text und Bildern zugreifen. Dazu untersuchte er die auf der Festplatte gespeicherten Anwendungsdatenbanken. Es stellte sich heraus, dass die Daten schwer lesbar, aber nicht verschlüsselt waren. Und sie sind auch dann zugänglich, wenn der Benutzer ein Passwort für die Anwendung festgelegt hat.
In den erhaltenen Daten wurden die Namen und Telefonnummern der Gesprächspartner gefunden, die auf Wunsch abgeglichen werden können. Auch Informationen aus geschlossenen Chats werden im Klartext gespeichert.
Durov erklärte später, dass dies kein Problem sei, da ein Angreifer, wenn er Zugriff auf den PC des Benutzers habe, problemlos an Verschlüsselungsschlüssel gelangen und die gesamte Korrespondenz entschlüsseln könne. Viele Experten für Informationssicherheit argumentieren jedoch, dass dies immer noch schwerwiegend ist.
Darüber hinaus erwies sich Telegram als anfällig für einen Schlüsseldiebstahl-Angriff Habr-Benutzer. Sie können lokale Code-Passwörter beliebiger Länge und Komplexität hacken.
Soweit wir wissen, speichert dieser Messenger auch Daten in unverschlüsselter Form auf der Computerfestplatte. Hat ein Angreifer also Zugriff auf das Gerät des Nutzers, sind auch alle Daten offen.
Aber es gibt ein globaleres Problem. Derzeit werden alle Backups von WhatsApp, die auf Geräten mit Android-Betriebssystem installiert sind, in Google Drive gespeichert, worauf sich Google und Facebook letztes Jahr geeinigt haben. Sondern Backups von Korrespondenz, Mediendateien und dergleichen . Soweit man das beurteilen kann, sind die Strafverfolgungsbehörden derselben USA Daher besteht die Möglichkeit, dass Sicherheitskräfte die gespeicherten Daten einsehen können.
Es ist möglich, Daten zu verschlüsseln, beide Unternehmen tun dies jedoch nicht. Vielleicht einfach, weil unverschlüsselte Backups einfach übertragen und von den Benutzern selbst verwendet werden können. Höchstwahrscheinlich gibt es keine Verschlüsselung, weil sie technisch schwierig zu implementieren ist: Im Gegenteil, Sie können Backups problemlos schützen. Das Problem ist, dass Google seine eigenen Gründe für die Zusammenarbeit mit WhatsApp hat – vermutlich das Unternehmen und nutzt diese zur Anzeige personalisierter Werbung. Wenn Facebook plötzlich eine Verschlüsselung für WhatsApp-Backups einführen würde, würde Google sofort das Interesse an einer solchen Partnerschaft verlieren und eine wertvolle Datenquelle über die Vorlieben von WhatsApp-Nutzern verlieren. Dies ist natürlich nur eine Annahme, aber in der Welt des High-Tech-Marketings sehr wahrscheinlich.
Bei WhatsApp für iOS werden Backups in der iCloud-Cloud gespeichert. Aber auch hier werden die Informationen unverschlüsselt gespeichert, was bereits in den Anwendungseinstellungen angegeben ist. Ob Apple diese Daten auswertet oder nicht, ist nur dem Konzern selbst bekannt. Cupertino verfügt zwar nicht über ein Werbenetzwerk wie Google, daher können wir davon ausgehen, dass die Wahrscheinlichkeit, dass sie die persönlichen Daten von WhatsApp-Nutzern analysieren, viel geringer ist.
Das Gesagte lässt sich wie folgt formulieren: Ja, nicht nur Sie haben Zugriff auf Ihre WhatsApp-Korrespondenz.
TikTok und andere Messenger
Dieser kurze Video-Sharing-Dienst könnte sehr schnell populär werden. Die Entwickler versprachen, die vollständige Sicherheit der Daten ihrer Benutzer zu gewährleisten. Wie sich herausstellte, nutzte der Dienst selbst diese Daten, ohne die Benutzer zu benachrichtigen. Schlimmer noch: Der Dienst sammelte ohne Zustimmung der Eltern personenbezogene Daten von Kindern unter 13 Jahren. Persönliche Informationen von Minderjährigen – Namen, E-Mails, Telefonnummern, Fotos und Videos – wurden öffentlich zugänglich gemacht.
Service Für mehrere Millionen Dollar forderten die Aufsichtsbehörden außerdem die Entfernung aller Videos, die von Kindern unter 13 Jahren erstellt wurden. TikTok kam dem nach. Andere Messenger und Dienste verwenden jedoch die persönlichen Daten der Benutzer für ihre eigenen Zwecke, sodass Sie sich ihrer Sicherheit nicht sicher sein können.
Diese Liste lässt sich endlos fortsetzen – die meisten Instant Messenger weisen die eine oder andere Schwachstelle auf, die es Angreifern ermöglicht, Benutzer abzuhören ( — Viber, obwohl dort anscheinend alles repariert wurde) oder ihre Daten stehlen. Darüber hinaus speichern fast alle Anwendungen aus den Top 5 Benutzerdaten in ungeschützter Form auf der Festplatte des Computers oder im Speicher des Telefons. Und dabei ist nicht an die Geheimdienste verschiedener Länder zu denken, die aufgrund der Gesetzgebung möglicherweise Zugriff auf Benutzerdaten haben. Skype, VKontakte, TamTam und andere stellen auf Anfrage der Behörden (z. B. der Russischen Föderation) Informationen über jeden Benutzer bereit.
Gute Sicherheit auf Protokollebene? Kein Problem, wir machen das Gerät kaputt
Etwas zurückfliegen zwischen Apple und der US-Regierung. Das Unternehmen weigerte sich, ein verschlüsseltes Smartphone zu entsperren, das an den Terroranschlägen in der Stadt San Bernardino beteiligt war. Damals schien dies ein echtes Problem zu sein: Die Daten waren gut geschützt und das Hacken eines Smartphones war entweder unmöglich oder sehr schwierig.
Jetzt sind die Dinge anders. Beispielsweise verkauft das israelische Unternehmen Cellebrite an juristische Personen in Russland und anderen Ländern ein Software- und Hardwaresystem, mit dem Sie alle iPhone- und Android-Modelle hacken können. Letztes Jahr gab es mit relativ detaillierten Informationen zu diesem Thema.
Der forensische Ermittler Popov aus Magadan hackt ein Smartphone mit der gleichen Technologie, die auch das US Federal Bureau of Investigation verwendet. Quelle: BBC
Das Gerät ist nach staatlichen Maßstäben kostengünstig. Für UFED Touch2 zahlte die Abteilung Wolgograd des Untersuchungsausschusses 800 Rubel, die Abteilung Chabarowsk 1,2 Millionen Rubel. Im Jahr 2017 bestätigte Alexander Bastrykin, Leiter des Untersuchungsausschusses der Russischen Föderation, dass seine Abteilung Israelisches Unternehmen.
Auch die Sberbank kauft solche Geräte – allerdings nicht zur Durchführung von Ermittlungen, sondern zur Virenbekämpfung auf Geräten mit Android-Betriebssystem. „Besteht der Verdacht, dass mobile Geräte mit unbekanntem Schadsoftwarecode infiziert sind, wird nach Einholung der zwingenden Zustimmung der Besitzer infizierter Telefone eine Analyse durchgeführt, um mithilfe verschiedener Tools nach ständig neu auftretenden und sich verändernden neuen Viren zu suchen, einschließlich der Verwendung.“ von UFED Touch2“, - in Gesellschaft.
Auch Amerikaner verfügen über Technologien, die es ihnen ermöglichen, jedes Smartphone zu hacken. Grayshift verspricht, 300 Smartphones für 15 US-Dollar zu hacken (50 US-Dollar pro Einheit gegenüber 1500 US-Dollar für Cellbrite).
Es ist wahrscheinlich, dass auch Cyberkriminelle über ähnliche Geräte verfügen. Diese Geräte werden ständig verbessert – ihre Größe nimmt ab und ihre Leistung steigt.
Jetzt sprechen wir über mehr oder weniger bekannte Telefone großer Hersteller, denen der Schutz der Daten ihrer Nutzer am Herzen liegt. Wenn es sich um kleinere Unternehmen oder No-Name-Organisationen handelt, werden die Daten in diesem Fall problemlos entfernt. Der HS-USB-Modus funktioniert auch, wenn der Bootloader gesperrt ist. Servicemodi sind in der Regel eine „Hintertür“, über die Daten abgerufen werden können. Wenn nicht, können Sie eine Verbindung zum JTAG-Port herstellen oder den eMMC-Chip ganz entfernen und ihn dann in einen kostengünstigen Adapter einsetzen. Wenn die Daten nicht verschlüsselt sind, vom Telefon alles im Allgemeinen, einschließlich Authentifizierungstoken, die den Zugriff auf Cloud-Speicher und andere Dienste ermöglichen.
Wenn jemand persönlichen Zugriff auf ein Smartphone mit wichtigen Informationen hat, kann er es hacken, wenn er will, egal, was die Hersteller sagen.
Es ist klar, dass alles Gesagte nicht nur für Smartphones gilt, sondern auch für Computer und Laptops mit verschiedenen Betriebssystemen. Wenn Sie nicht auf erweiterte Schutzmaßnahmen zurückgreifen, sondern sich mit herkömmlichen Methoden wie Passwort und Login begnügen, bleiben die Daten weiterhin in Gefahr. Ein erfahrener Hacker mit physischem Zugriff auf das Gerät kann an nahezu alle Informationen gelangen – es ist nur eine Frage der Zeit.
Also, was ist zu tun?
Auf Habré wurde das Thema Datensicherheit auf persönlichen Geräten mehr als einmal angesprochen, daher werden wir das Rad nicht noch einmal neu erfinden. Wir nennen nur die wichtigsten Methoden, die die Wahrscheinlichkeit verringern, dass Dritte Ihre Daten erhalten:
- Es ist zwingend erforderlich, sowohl auf Ihrem Smartphone als auch auf Ihrem PC eine Datenverschlüsselung zu verwenden. Verschiedene Betriebssysteme bieten oft gute Standardfunktionen. Beispiel - Krypto-Container unter Mac OS mit Standardtools.
- Legen Sie überall und überall Passwörter fest, einschließlich des Verlaufs der Korrespondenz in Telegram und anderen Instant Messengern. Natürlich müssen Passwörter komplex sein.
- Zwei-Faktor-Authentifizierung – ja, das kann umständlich sein, aber wenn die Sicherheit an erster Stelle steht, muss man sich damit abfinden.
- Überwachen Sie die physische Sicherheit Ihrer Geräte. Einen Firmen-PC in ein Café mitnehmen und ihn dort vergessen? Klassisch. Sicherheitsstandards, auch Unternehmensstandards, wurden mit den Tränen der Opfer ihrer eigenen Nachlässigkeit verfasst.
Schauen wir uns in den Kommentaren Ihre Methoden an, mit denen Sie die Wahrscheinlichkeit eines Datenhackings verringern können, wenn ein Dritter Zugriff auf ein physisches Gerät erhält. Wir werden die vorgeschlagenen Methoden dann dem Artikel hinzufügen oder in unserem veröffentlichen , wo wir regelmäßig über Sicherheit und Life-Hacks für die Nutzung schreiben und Internetzensur.
Source: habr.com