Em fevereiro, publicamos o artigo “Not VPN alone. Uma folha de dicas sobre como proteger você e seus dados.” nos levou a escrever uma continuação do artigo. Esta parte é uma fonte de informação totalmente independente, mas ainda assim recomendamos que você leia os dois posts.
Um novo post é dedicado à questão da segurança dos dados (correspondências, fotos, vídeos, só isso) nos mensageiros instantâneos e nos próprios dispositivos que servem para trabalhar com os aplicativos.
Mensageiros
Telegram
Em outubro de 2018, o aluno do primeiro ano do Wake Technical College, Nathaniel Sachi, descobriu que o mensageiro Telegram salva mensagens e arquivos de mídia na unidade local do computador em texto não criptografado.
O aluno teve acesso à sua própria correspondência, incluindo textos e imagens. Para fazer isso, ele estudou os bancos de dados de aplicativos armazenados no HDD. Descobriu-se que os dados eram difíceis de ler, mas não criptografados. E eles podem ser acessados mesmo que o usuário tenha definido uma senha para o aplicativo.
Nos dados recebidos foram encontrados os nomes e telefones dos interlocutores, que, se desejar, podem ser comparados. As informações dos chats fechados também são armazenadas em formato claro.
Durov afirmou posteriormente que isso não é um problema, pois se um invasor tiver acesso ao PC do usuário, ele poderá obter chaves de criptografia e descriptografar toda a correspondência sem problemas. Mas muitos especialistas em segurança da informação argumentam que isto ainda é grave.
Além disso, o Telegram revelou-se vulnerável a um ataque de roubo de chave, que Usuário Habr. Você pode hackear senhas de códigos locais de qualquer tamanho e complexidade.
Pelo que sabemos, este mensageiro também armazena dados no disco do computador de forma não criptografada. Da mesma forma, se um invasor tiver acesso ao dispositivo do usuário, todos os dados também serão abertos.
Mas há um problema mais global. Atualmente, todos os backups do WhatsApp instalados em dispositivos com sistema operacional Android são armazenados no Google Drive, conforme acordo entre Google e Facebook no ano passado. Mas backups de correspondência, arquivos de mídia e similares . Tanto quanto se pode julgar, os agentes responsáveis pela aplicação da lei dos mesmos , portanto, existe a possibilidade de as forças de segurança visualizarem quaisquer dados armazenados.
É possível criptografar dados, mas ambas as empresas não fazem isso. Talvez simplesmente porque os backups não criptografados podem ser facilmente transferidos e usados pelos próprios usuários. Muito provavelmente, não há criptografia, não porque seja tecnicamente difícil de implementar: pelo contrário, você pode proteger os backups sem qualquer dificuldade. O problema é que o Google tem seus próprios motivos para trabalhar com o WhatsApp – a empresa provavelmente e os utiliza para exibir publicidade personalizada. Se o Facebook introduzisse repentinamente a criptografia para backups do WhatsApp, o Google perderia instantaneamente o interesse em tal parceria, perdendo uma valiosa fonte de dados sobre as preferências dos usuários do WhatsApp. Isto, claro, é apenas uma suposição, mas muito provável no mundo do marketing de alta tecnologia.
Já no WhatsApp para iOS, os backups são salvos na nuvem iCloud. Mas aqui também as informações são armazenadas de forma não criptografada, o que é indicado até nas configurações do aplicativo. Se a Apple analisa esses dados ou não, é do conhecimento apenas da própria corporação. É verdade que Cupertino não possui uma rede de publicidade como o Google, então podemos supor que a probabilidade de eles analisarem os dados pessoais dos usuários do WhatsApp é muito menor.
Tudo o que foi dito pode ser formulado da seguinte forma - sim, não só você tem acesso à sua correspondência do WhatsApp.
TikTok e outros mensageiros
Este pequeno serviço de compartilhamento de vídeos pode se tornar popular muito rapidamente. Os desenvolvedores prometeram garantir total segurança dos dados de seus usuários. Acontece que o próprio serviço utilizou esses dados sem notificar os usuários. Pior ainda: o serviço coletou dados pessoais de menores de 13 anos sem consentimento dos pais. Informações pessoais de menores – nomes, e-mails, números de telefone, fotos e vídeos – foram disponibilizadas publicamente.
Serviço por vários milhões de dólares, os reguladores também exigiram a remoção de todos os vídeos feitos por crianças menores de 13 anos. TikTok obedeceu. No entanto, outros mensageiros e serviços utilizam os dados pessoais dos utilizadores para os seus próprios fins, pelo que não pode ter a certeza da sua segurança.
Esta lista pode continuar indefinidamente - a maioria dos mensageiros instantâneos tem uma ou outra vulnerabilidade que permite que invasores espionem os usuários ( — Viber, embora tudo pareça ter sido consertado lá) ou roubar seus dados. Além disso, quase todos os aplicativos dos 5 principais armazenam dados do usuário de forma desprotegida no disco rígido do computador ou na memória do telefone. E isso sem lembrar dos serviços de inteligência de diversos países, que podem ter acesso aos dados dos usuários graças à legislação. O mesmo Skype, VKontakte, TamTam e outros fornecem qualquer informação sobre qualquer usuário a pedido das autoridades (por exemplo, a Federação Russa).
Boa segurança no nível do protocolo? Não tem problema, quebramos o aparelho
Alguns anos atrás entre a Apple e o governo dos EUA. A corporação se recusou a desbloquear um smartphone criptografado envolvido nos ataques terroristas na cidade de San Bernardino. Na época, isso parecia um problema real: os dados estavam bem protegidos e hackear um smartphone era impossível ou muito difícil.
Agora as coisas são diferentes. Por exemplo, a empresa israelense Cellebrite vende para pessoas jurídicas na Rússia e em outros países um sistema de software e hardware que permite hackear todos os modelos de iPhone e Android. No ano passado houve com informações relativamente detalhadas sobre este tópico.
O investigador forense de Magadan, Popov, hackeia um smartphone usando a mesma tecnologia usada pelo Federal Bureau of Investigation dos EUA. Fonte: BBC
O dispositivo é barato para os padrões governamentais. Para o UFED Touch2, o departamento de Volgogrado do Comitê de Investigação pagou 800 mil rublos, o departamento de Khabarovsk - 1,2 milhão de rublos. Em 2017, Alexander Bastrykin, chefe do Comitê de Investigação da Federação Russa, confirmou que seu departamento empresa israelense.
O Sberbank também compra esses dispositivos - porém, não para conduzir investigações, mas para combater vírus em dispositivos com sistema operacional Android. “Se houver suspeita de infecção de dispositivos móveis com código de software malicioso desconhecido, e após obter o consentimento obrigatório dos proprietários dos telefones infectados, será realizada uma análise para procurar novos vírus emergentes e em constante mudança usando várias ferramentas, incluindo o uso do UFED Touch2,” - em companhia.
Os americanos também possuem tecnologias que lhes permitem hackear qualquer smartphone. Grayshift promete hackear 300 smartphones por US$ 15 mil (US$ 50 por unidade contra US$ 1500 da Cellbrite).
É provável que os cibercriminosos também possuam dispositivos semelhantes. Esses dispositivos estão sendo constantemente aprimorados - seu tamanho diminui e seu desempenho aumenta.
Agora estamos falando de telefones mais ou menos conhecidos de grandes fabricantes que se preocupam em proteger os dados de seus usuários. Se estamos falando de empresas menores ou organizações sem nome, neste caso os dados são removidos sem problemas. O modo HS-USB funciona mesmo quando o bootloader está bloqueado. Os modos de serviço são geralmente uma “porta dos fundos” através da qual os dados podem ser recuperados. Caso contrário, você pode conectar-se à porta JTAG ou remover completamente o chip eMMC e inseri-lo em um adaptador barato. Se os dados não estiverem criptografados, do telefone tudo em geral, incluindo tokens de autenticação que fornecem acesso ao armazenamento em nuvem e outros serviços.
Se alguém tiver acesso pessoal a um smartphone com informações importantes, poderá hackeá-lo se quiser, independentemente do que os fabricantes digam.
É claro que tudo o que foi dito se aplica não apenas aos smartphones, mas também aos computadores e laptops que executam diversos sistemas operacionais. Se você não recorrer a medidas de proteção avançadas, mas se contentar com métodos convencionais, como senha e login, os dados permanecerão em perigo. Um hacker experiente com acesso físico ao dispositivo será capaz de obter quase qualquer informação – é apenas uma questão de tempo.
Então o que fazer?
Em Habré, a questão da segurança dos dados nos dispositivos pessoais foi levantada mais de uma vez, por isso não reinventaremos a roda. Indicaremos apenas os principais métodos que reduzem a probabilidade de terceiros obterem seus dados:
- É obrigatório o uso de criptografia de dados tanto no smartphone quanto no PC. Diferentes sistemas operacionais geralmente oferecem bons recursos padrão. Exemplo - contêiner criptográfico no Mac OS usando ferramentas padrão.
- Defina senhas em qualquer lugar e em qualquer lugar, incluindo o histórico de correspondência no Telegram e outros mensageiros instantâneos. Naturalmente, as senhas devem ser complexas.
- Autenticação de dois fatores - sim, pode ser inconveniente, mas se a segurança estiver em primeiro lugar, você terá que aturar isso.
- Monitore a segurança física dos seus dispositivos. Levar um PC corporativo para um café e esquecê-lo lá? Clássico. Os padrões de segurança, incluindo os corporativos, foram escritos com as lágrimas das vítimas do seu próprio descuido.
Vejamos nos comentários seus métodos para reduzir a probabilidade de invasão de dados quando terceiros obtêm acesso a um dispositivo físico. Em seguida, adicionaremos os métodos propostos ao artigo ou os publicaremos em nosso , onde escrevemos regularmente sobre segurança, truques para usar e censura na Internet.
Fonte: habr.com