Pada bulan Februari, kami menerbitkan artikel "Bukan VPN sahaja. Helaian tipu tentang cara melindungi diri anda dan data anda.β mendorong kami untuk menulis sambungan artikel. Bahagian ini adalah sumber maklumat yang bebas sepenuhnya, tetapi kami masih mengesyorkan anda membaca kedua-dua siaran.
Siaran baharu ditumpukan kepada isu keselamatan data (surat-menyurat, foto, video, itu sahaja) dalam pemesej segera dan peranti itu sendiri yang digunakan untuk berfungsi dengan aplikasi.
Utusan
Telegram
Kembali pada Oktober 2018, pelajar tahun pertama Kolej Teknikal Wake Nathaniel Sachi mendapati bahawa utusan Telegram menyimpan mesej dan fail media pada pemacu komputer tempatan dalam teks yang jelas.
Pelajar itu dapat mengakses surat-menyuratnya sendiri, termasuk teks dan gambar. Untuk melakukan ini, dia mengkaji pangkalan data aplikasi yang disimpan pada HDD. Ternyata data itu sukar dibaca, tetapi tidak disulitkan. Dan mereka boleh diakses walaupun pengguna telah menetapkan kata laluan untuk aplikasi itu.
Dalam data yang diterima, nama dan nombor telefon pembicara ditemui, yang, jika dikehendaki, boleh dibandingkan. Maklumat daripada sembang tertutup juga disimpan dalam format yang jelas.
Durov kemudiannya menyatakan bahawa ini bukan masalah, kerana jika penyerang mempunyai akses kepada PC pengguna, dia akan dapat mendapatkan kunci penyulitan dan menyahsulit semua surat-menyurat tanpa sebarang masalah. Tetapi ramai pakar keselamatan maklumat berpendapat bahawa ini masih serius.
Di samping itu, Telegram ternyata terdedah kepada serangan kecurian utama, yang Pengguna Habr. Anda boleh menggodam kata laluan kod tempatan dalam sebarang panjang dan kerumitan.
Setahu kami, messenger ini juga menyimpan data pada cakera komputer dalam bentuk yang tidak disulitkan. Sehubungan itu, jika penyerang mempunyai akses kepada peranti pengguna, maka semua data juga terbuka.
Tetapi ada masalah yang lebih global. Pada masa ini, semua sandaran daripada WhatsApp yang dipasang pada peranti dengan OS Android disimpan dalam Google Drive, seperti yang dipersetujui oleh Google dan Facebook pada tahun lepas. Tetapi sandaran surat-menyurat, fail media dan seumpamanya . Setakat yang boleh dinilai, pegawai penguatkuasa undang-undang AS yang sama , jadi terdapat kemungkinan bahawa pasukan keselamatan boleh melihat sebarang data yang disimpan.
Adalah mungkin untuk menyulitkan data, tetapi kedua-dua syarikat tidak melakukan ini. Mungkin semata-mata kerana sandaran yang tidak disulitkan boleh dipindahkan dengan mudah dan digunakan oleh pengguna sendiri. Kemungkinan besar, tiada penyulitan bukan kerana ia secara teknikalnya sukar untuk dilaksanakan: sebaliknya, anda boleh melindungi sandaran tanpa sebarang kesulitan. Masalahnya ialah Google mempunyai sebab sendiri untuk bekerja dengan WhatsApp - syarikat itu mungkin dan menggunakannya untuk memaparkan pengiklanan yang diperibadikan. Jika Facebook tiba-tiba memperkenalkan penyulitan untuk sandaran WhatsApp, Google akan serta-merta kehilangan minat dalam perkongsian sedemikian, kehilangan sumber data berharga tentang keutamaan pengguna WhatsApp. Ini, tentu saja, hanya andaian, tetapi kemungkinan besar dalam dunia pemasaran berteknologi tinggi.
Bagi WhatsApp untuk iOS, sandaran disimpan ke awan iCloud. Tetapi di sini juga, maklumat itu disimpan dalam bentuk yang tidak disulitkan, yang dinyatakan walaupun dalam tetapan aplikasi. Sama ada Apple menganalisis data ini atau tidak hanya diketahui oleh perbadanan itu sendiri. Benar, Cupertino tidak mempunyai rangkaian pengiklanan seperti Google, jadi kita boleh mengandaikan bahawa kemungkinan mereka menganalisis data peribadi pengguna WhatsApp adalah jauh lebih rendah.
Semua yang telah dikatakan boleh dirumuskan seperti berikut - ya, bukan sahaja anda mempunyai akses kepada surat-menyurat WhatsApp anda.
TikTok dan utusan lain
Perkhidmatan perkongsian video pendek ini boleh menjadi popular dengan cepat. Pembangun berjanji untuk memastikan keselamatan lengkap data pengguna mereka. Ternyata, perkhidmatan itu sendiri menggunakan data ini tanpa memberitahu pengguna. Lebih teruk lagi: perkhidmatan mengumpul data peribadi daripada kanak-kanak di bawah 13 tahun tanpa kebenaran ibu bapa. Maklumat peribadi kanak-kanak bawah umur - nama, e-mel, nombor telefon, foto dan video - telah tersedia untuk umum.
Perkhidmatan untuk beberapa juta dolar, pengawal selia juga menuntut penyingkiran semua video yang dibuat oleh kanak-kanak di bawah umur 13 tahun. TikTok mematuhi. Walau bagaimanapun, utusan dan perkhidmatan lain menggunakan data peribadi pengguna untuk tujuan mereka sendiri, jadi anda tidak dapat memastikan keselamatan mereka.
Senarai ini boleh diteruskan tanpa henti - kebanyakan pemesej segera mempunyai satu atau satu lagi kelemahan yang membolehkan penyerang mencuri dengar pengguna ( β Viber, walaupun semuanya nampaknya telah ditetapkan di sana) atau mencuri data mereka. Di samping itu, hampir semua aplikasi daripada 5 teratas menyimpan data pengguna dalam bentuk yang tidak dilindungi pada pemacu keras komputer atau dalam memori telefon. Dan ini tanpa mengingati perkhidmatan perisikan pelbagai negara, yang mungkin mempunyai akses kepada data pengguna terima kasih kepada undang-undang. Skype, VKontakte, TamTam dan lain-lain yang sama memberikan sebarang maklumat tentang mana-mana pengguna atas permintaan pihak berkuasa (contohnya, Persekutuan Rusia).
Keselamatan yang baik di peringkat protokol? Tiada masalah, kami memecahkan peranti itu
Beberapa tahun yang lalu antara Apple dan kerajaan AS. Syarikat itu enggan membuka kunci telefon pintar yang disulitkan yang terlibat dalam serangan pengganas di bandar San Bernardino. Pada masa itu, ini kelihatan seperti masalah sebenar: data dilindungi dengan baik, dan menggodam telefon pintar adalah sama ada mustahil atau sangat sukar.
Sekarang perkara berbeza. Sebagai contoh, syarikat Israel Cellebrite menjual kepada entiti undang-undang di Rusia dan negara lain sistem perisian dan perkakasan yang membolehkan anda menggodam semua model iPhone dan Android. Tahun lepas ada dengan maklumat yang agak terperinci mengenai topik ini.
Penyiasat forensik Magadan Popov menggodam telefon pintar menggunakan teknologi yang sama yang digunakan oleh Biro Siasatan Persekutuan AS. Sumber: BBC
Peranti ini murah mengikut piawaian kerajaan. Untuk UFED Touch2, jabatan Volgograd dari Jawatankuasa Penyiasatan membayar 800 ribu rubel, jabatan Khabarovsk - 1,2 juta rubel. Pada tahun 2017, Alexander Bastrykin, ketua Jawatankuasa Penyiasatan Persekutuan Rusia, mengesahkan bahawa jabatannya syarikat Israel.
Sberbank juga membeli peranti sedemikian - bagaimanapun, bukan untuk menjalankan penyiasatan, tetapi untuk memerangi virus pada peranti dengan OS Android. βJika peranti mudah alih disyaki dijangkiti dengan kod perisian berniat jahat yang tidak diketahui, dan selepas mendapat persetujuan mandatori daripada pemilik telefon yang dijangkiti, analisis akan dijalankan untuk mencari virus baharu yang sentiasa muncul dan berubah menggunakan pelbagai alat, termasuk penggunaan daripada UFED Touch2,β - dalam syarikat.
Orang Amerika juga mempunyai teknologi yang membolehkan mereka menggodam mana-mana telefon pintar. Grayshift berjanji untuk menggodam 300 telefon pintar dengan harga $15 ($50 seunit berbanding $1500 untuk Cellbrite).
Kemungkinan penjenayah siber juga mempunyai peranti yang serupa. Peranti ini sentiasa diperbaiki - saiznya berkurangan dan prestasinya meningkat.
Sekarang kita bercakap tentang telefon yang lebih kurang terkenal daripada pengeluar besar yang prihatin untuk melindungi data pengguna mereka. Jika kita bercakap tentang syarikat yang lebih kecil atau organisasi tanpa nama, maka dalam kes ini data dikeluarkan tanpa masalah. Mod HS-USB berfungsi walaupun semasa pemuat but dikunci. Mod perkhidmatan biasanya merupakan "pintu belakang" yang melaluinya data boleh diambil. Jika tidak, anda boleh menyambung ke port JTAG atau mengeluarkan cip eMMC sama sekali dan kemudian memasukkannya ke dalam penyesuai yang murah. Jika data tidak disulitkan, dari telefon semuanya secara umum, termasuk token pengesahan yang menyediakan akses kepada storan awan dan perkhidmatan lain.
Jika seseorang mempunyai akses peribadi kepada telefon pintar dengan maklumat penting, maka mereka boleh menggodamnya jika mereka mahu, tidak kira apa yang pengeluar katakan.
Jelas sekali bahawa semua yang diperkatakan bukan sahaja digunakan untuk telefon pintar, tetapi juga untuk komputer dan komputer riba yang menjalankan pelbagai OS. Jika anda tidak menggunakan langkah perlindungan lanjutan, tetapi berpuas hati dengan kaedah konvensional seperti kata laluan dan log masuk, maka data akan kekal dalam bahaya. Penggodam yang berpengalaman dengan akses fizikal kepada peranti akan dapat memperoleh hampir semua maklumat - ia hanya menunggu masa.
Jadi apa yang perlu dilakukan?
Mengenai HabrΓ©, isu keselamatan data pada peranti peribadi telah dibangkitkan lebih daripada sekali, jadi kami tidak akan mencipta semula roda itu lagi. Kami hanya akan menunjukkan kaedah utama yang mengurangkan kemungkinan pihak ketiga mendapatkan data anda:
- Ia adalah wajib untuk menggunakan penyulitan data pada kedua-dua telefon pintar dan PC anda. Sistem pengendalian yang berbeza selalunya menyediakan ciri lalai yang baik. Contoh - bekas kripto dalam Mac OS menggunakan alat standard.
- Tetapkan kata laluan di mana-mana dan di mana-mana sahaja, termasuk sejarah surat-menyurat dalam Telegram dan utusan segera yang lain. Sememangnya, kata laluan mestilah kompleks.
- Pengesahan dua faktor - ya, ia boleh menyusahkan, tetapi jika keselamatan diutamakan, anda perlu bersabar dengannya.
- Pantau keselamatan fizikal peranti anda. Bawa PC korporat ke kafe dan lupakan di sana? Klasik. Piawaian keselamatan, termasuk piawaian korporat, ditulis dengan linangan air mata mangsa kecuaian mereka sendiri.
Mari lihat dalam ulasan tentang kaedah anda untuk mengurangkan kemungkinan penggodaman data apabila pihak ketiga mendapat akses kepada peranti fizikal. Kami kemudiannya akan menambah kaedah yang dicadangkan pada artikel atau menerbitkannya dalam kami , di mana kami kerap menulis tentang keselamatan, penggodaman hayat untuk digunakan dan penapisan Internet.
Sumber: www.habr.com