暗号化が役に立たない場合: デバイスへの物理的アクセスについて話します

XNUMX 月に、「VPN だけではありません。」という記事を公開しました。 自分自身と自分のデータを保護する方法に関するチートシートです。」 コメントのひとつが 記事の続きを書くよう促されました。 この部分は完全に独立した情報源ですが、両方の投稿を読むことをお勧めします。

新しい投稿では、インスタント メッセンジャーとアプリケーションの操作に使用されるデバイス自体のデータ セキュリティ (通信、写真、ビデオなど) の問題を取り上げています。

メッセンジャー

Telegram

2018 年 XNUMX 月に遡ると、ウェイク テクニカル カレッジ XNUMX 年生のナサニエル サチは、Telegram メッセンジャーがメッセージとメディア ファイルをクリア テキストでローカル コンピューター ドライブに保存していることを発見しました。

学生は、テキストや写真を含む自分の通信にアクセスすることができました。 これを行うために、彼は HDD に保存されているアプリケーション データベースを研究しました。 データは読み取りが困難でしたが、暗号化されていないことが判明しました。 また、ユーザーがアプリケーションにパスワードを設定している場合でもアクセスできます。

受信したデータから対話者の名前と電話番号が見つかり、必要に応じて比較することができます。 クローズドチャットからの情報もクリアフォーマットで保存されます。

ドゥロフ氏は後に、これは問題ではないと述べた。なぜなら、攻撃者がユーザーの PC にアクセスできれば、問題なく暗号化キーを入手してすべての通信を解読できるからである。 しかし、多くの情報セキュリティ専門家は、これは依然として深刻であると主張しています。

さらに、Telegram はキーの盗難攻撃に対して脆弱であることが判明しました。 発見された ハブル使い。 任意の長さと複雑さのローカル コード パスワードをハッキングできます。

WhatsApp

私たちが知る限り、このメッセンジャーは、暗号化されていない形式でデータをコンピュータのディスクに保存します。 したがって、攻撃者がユーザーのデバイスにアクセスできる場合、すべてのデータも公開されます。

しかし、もっと世界的な問題があります。 現在、Google と Facebook が昨年合意したように、Android OS を搭載したデバイスにインストールされている WhatsApp からのバックアップはすべて Google ドライブに保存されます。 ただし通信やメディアファイルなどのバックアップ 暗号化されずに保存される。 判断できる限り、同じ米国の法執行官は Google ドライブにアクセスできる, そのため、保存されているデータを治安部隊が閲覧できる可能性があります。

データを暗号化することは可能ですが、両社ともこれを行っていません。 おそらく単純に、暗号化されていないバックアップは簡単に転送してユーザー自身が使用できるためです。 おそらく、暗号化がないのは、実装が技術的に難しいからではありません。逆に、バックアップを簡単に保護できます。 問題は、Google が WhatsApp と協力する独自の理由があるということです - おそらく同社は Google Driveサーバーに保存されたデータを分析する パーソナライズされた広告を表示するためにそれらを使用します。 Facebook が突然 WhatsApp のバックアップに暗号化を導入した場合、Google は即座にそのような提携への関心を失い、WhatsApp ユーザーの好みに関する貴重なデータ ソースを失うことになるでしょう。 もちろん、これは単なる仮定ですが、ハイテク マーケティングの世界ではその可能性が非常に高いです。

iOS 用 WhatsApp の場合、バックアップは iCloud クラウドに保存されます。 ただし、ここでも情報は暗号化されていない形式で保存されており、これはアプリケーションの設定にも記載されています。 Apple がこのデータを分析するかどうかは、Apple 自身のみが知っています。 確かに、クパチーノには Google のような広告ネットワークがないため、WhatsApp ユーザーの個人データを分析する可能性ははるかに低いと推測できます。

これまで述べてきたことはすべて次のように定式化できます。そうです、WhatsApp の通信にアクセスできるのはあなただけではありません。

TikTokとその他のメッセンジャー

この短いビデオ共有サービスは、すぐに人気になる可能性があります。 開発者は、ユーザーのデータの完全なセキュリティを確保すると約束しました。 結局のところ、サービス自体がユーザーに通知することなくこのデータを使用していたことが判明しました。 さらに悪いことに、このサービスは親の同意なしに 13 歳未満の子供から個人データを収集していました。 未成年者の個人情報（名前、電子メール、電話番号、写真、ビデオ）が公開されました。

サービス 罰金を科せられた 数百万ドルをかけて、規制当局はまた、13歳未満の子供が作成したすべてのビデオを削除するよう要求した。 TikTokはそれに応じた。 ただし、他のメッセンジャーやサービスはユーザーの個人データを独自の目的で使用するため、そのセキュリティを保証することはできません。

このリストは無限に続く可能性があります。ほとんどのインスタント メッセンジャーには、攻撃者がユーザーを盗聴することを可能にする XNUMX つまたは別の脆弱性があります (良い例 — Viber、そこではすべてが修正されているようですが）、データを盗むこともあります。 さらに、上位 5 つのアプリケーションのほぼすべては、ユーザー データを保護されていない形式でコンピュータのハード ドライブまたは携帯電話のメモリに保存します。 そしてこれは、法律のおかげでユーザーデータにアクセスできる可能性があるさまざまな国の諜報機関を念頭に置いたものではありません。 同じ Skype、VKontakte、TamTam などは、当局 (ロシア連邦など) の要請に応じてユーザーに関する情報を提供します。

プロトコルレベルでのセキュリティは良好ですか? 問題ありません、デバイスは壊れます

数年前 紛争が勃発した Appleと米国政府の間で。 この企業は、サンバーナーディーノ市でのテロ攻撃に関与した暗号化されたスマートフォンのロックを解除することを拒否した。 当時、これは現実的な問題のように思えました。データはしっかりと保護されており、スマートフォンのハッキングは不可能か非常に困難でした。

今は状況が違います。 たとえば、イスラエルの企業 Cellebrite は、iPhone および Android のすべてのモデルをハッキングできるソフトウェアおよびハードウェア システムをロシアおよびその他の国の法人に販売しています。 去年もありました 広告小冊子を発行しました このトピックに関する比較的詳細な情報が記載されています。

マガダンの法医学捜査官ポポフは、米国連邦捜査局が使用しているのと同じテクノロジーを使用してスマートフォンをハッキングします。 出典: BBC

このデバイスは政府の基準からすると安価です。 UFED Touch2の場合、調査委員会のヴォルゴグラード県は800万ルーブル、ハバロフスク県は1,2万ルーブルを支払った。 2017年、ロシア連邦調査委員会の委員長であるアレクサンダー・バストリキンは、彼の部門が次のことを認めたと認めた。 ソリューションを使用する イスラエルの会社。

Sberbank もそのようなデバイスを購入していますが、調査を行うためではなく、Android OS を搭載したデバイス上のウイルスと戦うためです。 「モバイルデバイスが未知の悪意のあるソフトウェアコードに感染している疑いがある場合、感染した携帯電話の所有者の強制的な同意を得た後、分析が実行され、さまざまなツールを使用して常に出現し、変化する新しいウイルスを検索します。 UFED Touch2の」 - 述べました 社内。

アメリカ人は、あらゆるスマートフォンをハッキングできる技術も持っています。 Grayshift は、300 ドルで 15 台のスマートフォンをハッキングすると約束しています (50 台あたり 1500 ドル、Cellbrite の場合は XNUMX ドル)。

サイバー犯罪者も同様のデバイスを所有している可能性があります。 これらのデバイスは常に改良されており、サイズは小さくなり、パフォーマンスは向上しています。

ここで私たちは、ユーザーのデータの保護を懸念している大手メーカーの多かれ少なかれ有名な携帯電話について話しています。 小規模な企業や無名の組織について話している場合、この場合、データは問題なく削除されます。 HS-USB モードは、ブートローダーがロックされている場合でも機能します。 サービス モードは通常、データを取得できる「バック ドア」です。 そうでない場合は、JTAG ポートに接続するか、eMMC チップを完全に取り外して、安価なアダプターに挿入できます。 データが暗号化されていない場合は、携帯電話から 引き出すことができます クラウド ストレージやその他のサービスへのアクセスを提供する認証トークンを含む、一般的なすべてのもの。

誰かが重要な情報を含むスマートフォンに個人的にアクセスできる場合、メーカーが何と言おうと、その気になればハッキングできます。

これまで述べてきたことはすべて、スマートフォンだけでなく、さまざまな OS を実行するコンピューターやラップトップにも当てはまることは明らかです。 高度な保護手段に頼らず、パスワードやログインなどの従来の方法に満足している場合、データは危険にさらされたままになります。 デバイスに物理的にアクセスできる経験豊富なハッカーは、ほぼすべての情報を入手できますが、それは時間の問題です。

それではどうしますか？

ハブレ氏に関しては、個人デバイスのデータ セキュリティの問題が何度も提起されているため、再び車輪を再発明するつもりはありません。 第三者がお客様のデータを取得する可能性を減らす主な方法のみを示します。

• スマートフォンとPCの両方でデータ暗号化を使用することが必須です。 オペレーティング システムが異なれば、優れたデフォルト機能が提供されることがよくあります。 例 - 創造 標準ツールを使用して Mac OS の暗号コンテナを作成します。

• Telegram やその他のインスタント メッセンジャーでの通信履歴を含め、どこでもどこでもパスワードを設定できます。 当然のことながら、パスワードは複雑でなければなりません。

• XNUMX 要素認証 - 確かに不便かもしれませんが、セキュリティが最優先であれば、我慢する必要があります。

• デバイスの物理的なセキュリティを監視します。 会社の PC をカフェに持っていって、そこに忘れてきませんか? クラシック。 企業を含めた安全基準は、自らの不注意による被害者の涙とともに書かれたものだ。

コメントで、第三者が物理デバイスにアクセスしたときにデータハッキングの可能性を減らす方法を見てみましょう。 その後、提案された方法を記事に追加するか、 電報チャンネル、安全性や使用のためのライフハックについて定期的に書いています。 私たちのVPN そしてインターネット検閲。

出所： habr.com