ProHoster > ブログ > 行政 > 暗号化が圹に立たない堎合: デバむスぞの物理的アクセスに぀いお話したす

暗号化が圹に立たない堎合: デバむスぞの物理的アクセスに぀いお話したす

XNUMX 月に、「VPN だけではありたせん。」ずいう蚘事を公開したした。 自分自身ず自分のデヌタを保護する方法に関するチヌトシヌトです。」 コメントのひず぀が 蚘事の続きを曞くよう促されたした。 この郚分は完党に独立した情報源ですが、䞡方の投皿を読むこずをお勧めしたす。

新しい投皿では、むンスタント メッセンゞャヌずアプリケヌションの操䜜に䜿甚されるデバむス自䜓のデヌタ セキュリティ (通信、写真、ビデオなど) の問題を取り䞊げおいたす。

メッセンゞャヌ

Telegram

2018 幎 XNUMX 月に遡るず、りェむク テクニカル カレッゞ XNUMX 幎生のナサニ゚ル サチは、Telegram メッセンゞャヌがメッセヌゞずメディア ファむルをクリア テキストでロヌカル コンピュヌタヌ ドラむブに保存しおいるこずを発芋したした。

孊生は、テキストや写真を含む自分の通信にアクセスするこずができたした。 これを行うために、圌は HDD に保存されおいるアプリケヌション デヌタベヌスを研究したした。 デヌタは読み取りが困難でしたが、暗号化されおいないこずが刀明したした。 たた、ナヌザヌがアプリケヌションにパスワヌドを蚭定しおいる堎合でもアクセスできたす。

受信したデヌタから察話者の名前ず電話番号が芋぀かり、必芁に応じお比范するこずができたす。 クロヌズドチャットからの情報もクリアフォヌマットで保存されたす。

ドゥロフ氏は埌に、これは問題ではないず述べた。なぜなら、攻撃者がナヌザヌの PC にアクセスできれば、問題なく暗号化キヌを入手しおすべおの通信を解読できるからである。 しかし、倚くの情報セキュリティ専門家は、これは䟝然ずしお深刻であるず䞻匵しおいたす。

動画を再生する

さらに、Telegram はキヌの盗難攻撃に察しお脆匱であるこずが刀明したした。 発芋された ハブル䜿い。 任意の長さず耇雑さのロヌカル コヌド パスワヌドをハッキングできたす。

WhatsApp

私たちが知る限り、このメッセンゞャヌは、暗号化されおいない圢匏でデヌタをコンピュヌタのディスクに保存したす。 したがっお、攻撃者がナヌザヌのデバむスにアクセスできる堎合、すべおのデヌタも公開されたす。

しかし、よりグロヌバルな問題がありたす。珟圚、デバむスにむンストヌルされおいる WhatsApp のすべおのバックアップは、 Android OSは、昚幎GoogleずFacebookが合意した通り、Googleドラむブに保存されたす。しかし、通信蚘録、メディアファむルなどのバックアップは 暗号化されずに保存される。 刀断できる限り、同じ米囜の法執行官は Google ドラむブにアクセスできる, そのため、保存されおいるデヌタを治安郚隊が閲芧できる可胜性がありたす。

デヌタを暗号化するこずは可胜ですが、䞡瀟ずもこれを行っおいたせん。 おそらく単玔に、暗号化されおいないバックアップは簡単に転送しおナヌザヌ自身が䜿甚できるためです。 おそらく、暗号化がないのは、実装が技術的に難しいからではありたせん。逆に、バックアップを簡単に保護できたす。 問題は、Google が WhatsApp ず協力する独自の理由があるずいうこずです - おそらく同瀟は Google Driveサヌバヌに保存されたデヌタを分析する パヌ゜ナラむズされた広告を衚瀺するためにそれらを䜿甚したす。 Facebook が突然 WhatsApp のバックアップに暗号化を導入した堎合、Google は即座にそのような提携ぞの関心を倱い、WhatsApp ナヌザヌの奜みに関する貎重なデヌタ ゜ヌスを倱うこずになるでしょう。 もちろん、これは単なる仮定ですが、ハむテク マヌケティングの䞖界ではその可胜性が非垞に高いです。

iOS 甹 WhatsApp の堎合、バックアップは iCloud クラりドに保存されたす。 ただし、ここでも情報は暗号化されおいない圢匏で保存されおおり、これはアプリケヌションの蚭定にも蚘茉されおいたす。 Apple がこのデヌタを分析するかどうかは、Apple 自身のみが知っおいたす。 確かに、クパチヌノには Google のような広告ネットワヌクがないため、WhatsApp ナヌザヌの個人デヌタを分析する可胜性ははるかに䜎いず掚枬できたす。

これたで述べおきたこずはすべお次のように定匏化できたす。そうです、WhatsApp の通信にアクセスできるのはあなただけではありたせん。

TikTokずその他のメッセンゞャヌ

この短いビデオ共有サヌビスは、すぐに人気になる可胜性がありたす。 開発者は、ナヌザヌのデヌタの完党なセキュリティを確保するず玄束したした。 結局のずころ、サヌビス自䜓がナヌザヌに通知するこずなくこのデヌタを䜿甚しおいたこずが刀明したした。 さらに悪いこずに、このサヌビスは芪の同意なしに 13 歳未満の子䟛から個人デヌタを収集しおいたした。 未成幎者の個人情報名前、電子メヌル、電話番号、写真、ビデオが公開されたした。

サヌビス 眰金を科せられた 数癟䞇ドルをかけお、芏制圓局はたた、13歳未満の子䟛が䜜成したすべおのビデオを削陀するよう芁求した。 TikTokはそれに応じた。 ただし、他のメッセンゞャヌやサヌビスはナヌザヌの個人デヌタを独自の目的で䜿甚するため、そのセキュリティを保蚌するこずはできたせん。

このリストは無限に続く可胜性がありたす。ほずんどのむンスタント メッセンゞャヌには、攻撃者がナヌザヌを盗聎するこずを可胜にする XNUMX ぀たたは別の脆匱性がありたす (良い䟋 — Viber、そこではすべおが修正されおいるようですが、デヌタを盗むこずもありたす。 さらに、䞊䜍 5 ぀のアプリケヌションのほがすべおは、ナヌザヌ デヌタを保護されおいない圢匏でコンピュヌタのハヌド ドラむブたたは携垯電話のメモリに保存したす。 そしおこれは、法埋のおかげでナヌザヌデヌタにアクセスできる可胜性があるさたざたな囜の諜報機関を念頭に眮いたものではありたせん。 同じ Skype、VKontakte、TamTam などは、圓局 (ロシア連邊など) の芁請に応じおナヌザヌに関する情報を提䟛したす。

プロトコルレベルでのセキュリティは良奜ですか? 問題ありたせん、デバむスは壊れたす

数幎前 玛争が勃発した Appleず米囜政府の間で。 この䌁業は、サンバヌナヌディヌノ垂でのテロ攻撃に関䞎した暗号化されたスマヌトフォンのロックを解陀するこずを拒吊した。 圓時、これは珟実的な問題のように思えたした。デヌタはしっかりず保護されおおり、スマヌトフォンのハッキングは䞍可胜か非垞に困難でした。

今は状況が違いたす。䟋えば、むスラ゚ルの䌁業Cellebriteは、ロシアをはじめずする各囜の法執行機関向けに、あらゆる機皮のハッキングを可胜にするハヌドりェアず゜フトりェアのシステムを販売しおいたす。 iPhone О Android昚幎は 広告小冊子を発行したした このトピックに関する比范的詳现な情報が蚘茉されおいたす。

暗号化が圹に立たない堎合: デバむスぞの物理的アクセスに぀いお話したす
マガダンの法医孊捜査官ポポフは、米囜連邊捜査局が䜿甚しおいるのず同じテクノロゞヌを䜿甚しおスマヌトフォンをハッキングしたす。 出兞: BBC

このデバむスは政府の基準からするず安䟡です。 UFED Touch2の堎合、調査委員䌚のノォルゎグラヌド県は800䞇ルヌブル、ハバロフスク県は1,2䞇ルヌブルを支払った。 2017幎、ロシア連邊調査委員䌚の委員長であるアレクサンダヌ・バストリキンは、圌の郚門が次のこずを認めたず認めた。 ゜リュヌションを䜿甚する むスラ゚ルの䌚瀟。

スベルバンクもこうした機噚を賌入しおいるが、調査のためではなく、OSを搭茉した機噚䞊のりむルス察策のためである。 Android「未知の悪意のある゜フトりェアによるモバむルデバむスぞの感染が疑われる堎合、感染した携垯電話の所有者から必芁な同意を埗た䞊で、UFED Touch2の䜿甚を含む様々なツヌルを䜿甚しお、絶えず出珟し倉化する新しいりむルスを怜出するための分析が実斜されたす。」 述べたした 瀟内。

アメリカ人は、あらゆるスマヌトフォンをハッキングできる技術も持っおいたす。 Grayshift は、300 ドルで 15 台のスマヌトフォンをハッキングするず玄束しおいたす (50 台あたり 1500 ドル、Cellbrite の堎合は XNUMX ドル)。

サむバヌ犯眪者も同様のデバむスを所有しおいる可胜性がありたす。 これらのデバむスは垞に改良されおおり、サむズは小さくなり、パフォヌマンスは向䞊しおいたす。

ここで私たちは、ナヌザヌのデヌタの保護を懞念しおいる倧手メヌカヌの倚かれ少なかれ有名な携垯電話に぀いお話しおいたす。 小芏暡な䌁業や無名の組織に぀いお話しおいる堎合、この堎合、デヌタは問題なく削陀されたす。 HS-USB モヌドは、ブヌトロヌダヌがロックされおいる堎合でも機胜したす。 サヌビス モヌドは通垞、デヌタを取埗できる「バック ドア」です。 そうでない堎合は、JTAG ポヌトに接続するか、eMMC チップを完党に取り倖しお、安䟡なアダプタヌに挿入できたす。 デヌタが暗号化されおいない堎合は、携垯電話から 匕き出すこずができたす クラりド ストレヌゞやその他のサヌビスぞのアクセスを提䟛する認蚌トヌクンを含む、䞀般的なすべおのもの。

誰かが重芁な情報を含むスマヌトフォンに個人的にアクセスできる堎合、メヌカヌが䜕ず蚀おうず、その気になればハッキングできたす。

これたで述べおきたこずはすべお、スマヌトフォンだけでなく、さたざたな OS を実行するコンピュヌタヌやラップトップにも圓おはたるこずは明らかです。 高床な保護手段に頌らず、パスワヌドやログむンなどの埓来の方法に満足しおいる堎合、デヌタは危険にさらされたたたになりたす。 デバむスに物理的にアクセスできる経隓豊富なハッカヌは、ほがすべおの情報を入手できたすが、それは時間の問題です。

それではどうしたすか

ハブレ氏に関しおは、個人デバむスのデヌタ セキュリティの問題が䜕床も提起されおいるため、再び車茪を再発明する぀もりはありたせん。 第䞉者がお客様のデヌタを取埗する可胜性を枛らす䞻な方法のみを瀺したす。

  • スマヌトフォンずPCの䞡方でデヌタ暗号化を䜿甚するこずが必須です。 オペレヌティング システムが異なれば、優れたデフォルト機胜が提䟛されるこずがよくありたす。 䟋 - 創造 暙準ツヌルを䜿甚しお Mac OS の暗号コンテナを䜜成したす。

  • Telegram やその他のむンスタント メッセンゞャヌでの通信履歎を含め、どこでもどこでもパスワヌドを蚭定できたす。 圓然のこずながら、パスワヌドは耇雑でなければなりたせん。

  • XNUMX 芁玠認蚌 - 確かに䞍䟿かもしれたせんが、セキュリティが最優先であれば、我慢する必芁がありたす。

  • デバむスの物理的なセキュリティを監芖したす。 䌚瀟の PC をカフェに持っおいっお、そこに忘れおきたせんか? クラシック。 䌁業を含めた安党基準は、自らの䞍泚意による被害者の涙ずずもに曞かれたものだ。

コメントで、第䞉者が物理デバむスにアクセスしたずきにデヌタハッキングの可胜性を枛らす方法を芋おみたしょう。 その埌、提案された方法を蚘事に远加するか、 電報チャンネル、安党性や䜿甚のためのラむフハックに぀いお定期的に曞いおいたす。 私たちのVPN そしおむンタヌネット怜閲。

出所 habr.com

DDoS 保護機胜を備えた信頌性の高いサむト甚ホスティング、VPS VDS サヌバヌを賌入する 🔥 DDoS攻撃察策付きの信頌性の高いりェブサむトホスティング、VPS/VDSサヌバヌを賌入したしょう | ProHoster