Noong Pebrero, nai-publish namin ang artikulong "Hindi VPN nag-iisa. Isang cheat sheet kung paano protektahan ang iyong sarili at ang iyong data." nag-udyok sa amin na magsulat ng isang pagpapatuloy ng artikulo. Ang bahaging ito ay isang ganap na independiyenteng mapagkukunan ng impormasyon, ngunit inirerekomenda pa rin namin na basahin mo ang parehong mga post.
Ang isang bagong post ay nakatuon sa isyu ng seguridad ng data (correspondence, mga larawan, mga video, iyon lang) sa mga instant messenger at ang mga device mismo na ginagamit upang gumana sa mga application.
Mga Mensahero
Telegrama
Noong Oktubre 2018, natuklasan ng mag-aaral sa unang taon ng Wake Technical College na si Nathaniel Sachi na ang Telegram messenger ay nagse-save ng mga mensahe at media file sa lokal na computer drive sa malinaw na text.
Na-access ng mag-aaral ang sarili niyang sulat, kasama ang teksto at mga larawan. Upang gawin ito, pinag-aralan niya ang mga database ng application na nakaimbak sa HDD. Ito ay lumabas na ang data ay mahirap basahin, ngunit hindi naka-encrypt. At maaari silang ma-access kahit na ang user ay nagtakda ng password para sa application.
Sa data na natanggap, ang mga pangalan at numero ng telepono ng mga interlocutors ay natagpuan, na, kung ninanais, ay maaaring ihambing. Ang impormasyon mula sa mga saradong chat ay nakaimbak din sa malinaw na format.
Nang maglaon, sinabi ni Durov na hindi ito isang problema, dahil kung ang isang umaatake ay may access sa PC ng gumagamit, makakakuha siya ng mga susi sa pag-encrypt at i-decrypt ang lahat ng mga sulat nang walang anumang mga problema. Ngunit maraming mga eksperto sa seguridad ng impormasyon ang nangangatuwiran na ito ay seryoso pa rin.
Bilang karagdagan, ang Telegram ay naging mahina sa isang pangunahing pag-atake ng pagnanakaw, na gumagamit ng Habr. Maaari mong i-hack ang mga password ng lokal na code sa anumang haba at kumplikado.
Sa pagkakaalam namin, ang messenger na ito ay nag-iimbak din ng data sa computer disk sa hindi naka-encrypt na anyo. Alinsunod dito, kung may access ang isang umaatake sa device ng user, bukas din ang lahat ng data.
Ngunit mayroong isang mas pandaigdigang problema. Sa kasalukuyan, lahat ng backup mula sa WhatsApp na naka-install sa mga device na may Android OS ay naka-store sa Google Drive, gaya ng napagkasunduan ng Google at Facebook noong nakaraang taon. Ngunit ang mga backup ng sulat, mga file ng media at iba pa . Sa abot ng mahuhusgahan ng isa, ang mga opisyal ng pagpapatupad ng batas ng parehong US , kaya may posibilidad na matingnan ng mga pwersang panseguridad ang anumang nakaimbak na data.
Posibleng i-encrypt ang data, ngunit hindi ito ginagawa ng parehong kumpanya. Marahil dahil lamang sa hindi naka-encrypt na mga backup ay madaling mailipat at magamit ng mga gumagamit mismo. Malamang, walang pag-encrypt hindi dahil mahirap itong ipatupad: sa kabaligtaran, maaari mong protektahan ang mga backup nang walang anumang kahirapan. Ang problema ay ang Google ay may sariling mga dahilan para sa pakikipagtulungan sa WhatsApp - ang kumpanya siguro at ginagamit ang mga ito upang magpakita ng personalized na advertising. Kung biglang ipinakilala ng Facebook ang pag-encrypt para sa mga backup ng WhatsApp, agad na mawawalan ng interes ang Google sa naturang pakikipagsosyo, na mawawalan ng mahalagang mapagkukunan ng data tungkol sa mga kagustuhan ng mga gumagamit ng WhatsApp. Ito, siyempre, ay isang pagpapalagay lamang, ngunit malamang sa mundo ng hi-tech na marketing.
Tulad ng para sa WhatsApp para sa iOS, ang mga backup ay nai-save sa iCloud cloud. Ngunit dito, masyadong, ang impormasyon ay naka-imbak sa hindi naka-encrypt na form, na nakasaad kahit na sa mga setting ng application. Kung sinusuri ng Apple ang data na ito o hindi ay alam lamang ng korporasyon mismo. Totoo, ang Cupertino ay walang isang network ng advertising tulad ng Google, kaya maaari naming ipagpalagay na ang posibilidad ng kanilang pagsusuri sa personal na data ng mga gumagamit ng WhatsApp ay mas mababa.
Ang lahat ng nasabi ay maaaring mabalangkas tulad ng sumusunod - oo, hindi lamang ikaw ang may access sa iyong sulat sa WhatsApp.
TikTok at iba pang messenger
Ang maikling serbisyo sa pagbabahagi ng video ay maaaring maging sikat nang napakabilis. Nangako ang mga developer na tiyakin ang kumpletong seguridad ng data ng kanilang mga user. Tulad ng nangyari, ginamit mismo ng serbisyo ang data na ito nang hindi inaabisuhan ang mga user. Mas masahol pa: ang serbisyo ay nangolekta ng personal na data mula sa mga batang wala pang 13 taong gulang nang walang pahintulot ng magulang. Ang personal na impormasyon ng mga menor de edad - mga pangalan, e-mail, numero ng telepono, larawan at video - ay ginawang available sa publiko.
Tools sa ilang milyong dolyar, hiniling din ng mga regulator na alisin ang lahat ng video na ginawa ng mga batang wala pang 13 taong gulang. Sinunod ng TikTok. Gayunpaman, ang ibang mga messenger at serbisyo ay gumagamit ng personal na data ng mga user para sa kanilang sariling mga layunin, kaya hindi ka makakasiguro sa kanilang seguridad.
Ang listahang ito ay maaaring ipagpatuloy nang walang hanggan - karamihan sa mga instant messenger ay may isa o isa pang kahinaan na nagpapahintulot sa mga umaatake na mag-eavesdrop sa mga user ( β Viber, kahit na ang lahat ay tila naayos na doon) o nakawin ang kanilang data. Bilang karagdagan, halos lahat ng mga application mula sa nangungunang 5 ay nag-iimbak ng data ng user sa isang hindi protektadong form sa hard drive ng computer o sa memorya ng telepono. At ito ay hindi naaalala ang mga serbisyo ng katalinuhan ng iba't ibang mga bansa, na maaaring magkaroon ng access sa data ng gumagamit salamat sa batas. Ang parehong Skype, VKontakte, TamTam at iba pa ay nagbibigay ng anumang impormasyon tungkol sa sinumang gumagamit sa kahilingan ng mga awtoridad (halimbawa, ang Russian Federation).
Magandang seguridad sa antas ng protocol? Walang problema, sinira namin ang device
Ilang taon na ang nakakalipas sa pagitan ng Apple at ng gobyerno ng US. Tumanggi ang korporasyon na i-unlock ang isang naka-encrypt na smartphone na sangkot sa pag-atake ng mga terorista sa lungsod ng San Bernardino. Sa oras na iyon, ito ay tila isang tunay na problema: ang data ay mahusay na protektado, at ang pag-hack ng isang smartphone ay imposible o napakahirap.
Ngayon iba na ang mga bagay. Halimbawa, ang Israeli company na Cellebrite ay nagbebenta sa mga legal na entity sa Russia at iba pang mga bansa ng software at hardware system na nagbibigay-daan sa iyong i-hack ang lahat ng iPhone at Android na modelo. Noong nakaraang taon meron na may medyo detalyadong impormasyon sa paksang ito.
Magadan forensic investigator Popov hacks isang smartphone gamit ang parehong teknolohiya na ginamit ng US Federal Bureau of Investigation. Pinagmulan: BBC
Ang aparato ay mura ayon sa mga pamantayan ng gobyerno. Para sa UFED Touch2, ang departamento ng Volgograd ng Investigative Committee ay nagbabayad ng 800 libong rubles, ang departamento ng Khabarovsk - 1,2 milyong rubles. Noong 2017, kinumpirma ni Alexander Bastrykin, pinuno ng Investigative Committee ng Russian Federation, na ang kanyang departamento kumpanyang Israeli.
Bumibili din ang Sberbank ng mga naturang device - gayunpaman, hindi para sa pagsasagawa ng mga pagsisiyasat, ngunit para sa paglaban sa mga virus sa mga device na may Android OS. "Kung ang mga mobile device ay pinaghihinalaang nahawaan ng hindi kilalang malisyosong software code, at pagkatapos makuha ang mandatoryong pahintulot ng mga may-ari ng mga nahawaang telepono, isang pagsusuri ay isasagawa upang maghanap para sa patuloy na umuusbong at nagbabago ng mga bagong virus gamit ang iba't ibang mga tool, kabilang ang paggamit ng UFED Touch2,β - sa kumpanya.
Ang mga Amerikano ay mayroon ding mga teknolohiya na nagpapahintulot sa kanila na i-hack ang anumang smartphone. Nangangako ang Grayshift na ihack ang 300 smartphone sa halagang $15 ($50 kada yunit kumpara sa $1500 para sa Cellbrite).
Malamang na ang mga cybercriminal ay mayroon ding mga katulad na device. Ang mga device na ito ay patuloy na pinapabuti - ang kanilang laki ay bumababa at ang kanilang pagganap ay tumataas.
Ngayon ay pinag-uusapan natin ang tungkol sa higit pa o hindi gaanong kilalang mga telepono mula sa malalaking tagagawa na nag-aalala tungkol sa pagprotekta sa data ng kanilang mga gumagamit. Kung pinag-uusapan natin ang tungkol sa mas maliliit na kumpanya o mga organisasyong walang pangalan, kung gayon sa kasong ito ang data ay tinanggal nang walang mga problema. Gumagana ang HS-USB mode kahit na naka-lock ang bootloader. Ang mga mode ng serbisyo ay karaniwang isang "pinto sa likod" kung saan maaaring makuha ang data. Kung hindi, maaari kang kumonekta sa JTAG port o tanggalin ang eMMC chip nang buo at pagkatapos ay ipasok ito sa isang murang adaptor. Kung ang data ay hindi naka-encrypt, mula sa telepono lahat sa pangkalahatan, kabilang ang mga token sa pagpapatotoo na nagbibigay ng access sa cloud storage at iba pang mga serbisyo.
Kung ang isang tao ay may personal na pag-access sa isang smartphone na may mahalagang impormasyon, maaari nila itong i-hack kung gusto nila, anuman ang sabihin ng mga tagagawa.
Malinaw na ang lahat ng sinabi ay nalalapat hindi lamang sa mga smartphone, kundi pati na rin sa mga computer at laptop na nagpapatakbo ng iba't ibang mga OS. Kung hindi ka gagawa ng mga advanced na hakbang sa proteksiyon, ngunit kontento ka sa mga kumbensyonal na pamamaraan tulad ng password at pag-login, mananatili sa panganib ang data. Ang isang bihasang hacker na may pisikal na pag-access sa device ay makakakuha ng halos anumang impormasyon - ito ay sandali lamang.
Ano ang gagawin?
Sa HabrΓ©, ang isyu ng seguridad ng data sa mga personal na device ay itinaas nang higit sa isang beses, kaya hindi na namin muling iimbento ang gulong. Ipahiwatig lamang namin ang mga pangunahing pamamaraan na nagbabawas sa posibilidad na makuha ng mga third party ang iyong data:
- Kinakailangang gumamit ng data encryption sa iyong smartphone at PC. Ang iba't ibang mga operating system ay kadalasang nagbibigay ng magagandang default na feature. Halimbawa - crypto container sa Mac OS gamit ang mga karaniwang tool.
- Magtakda ng mga password saanman at saanman, kabilang ang kasaysayan ng mga sulat sa Telegram at iba pang mga instant messenger. Naturally, ang mga password ay dapat na kumplikado.
- Dalawang-factor na pagpapatotoo - oo, maaari itong maging abala, ngunit kung ang seguridad ang mauna, kailangan mong tiisin ito.
- Subaybayan ang pisikal na seguridad ng iyong mga device. Dalhin ang isang corporate PC sa isang cafe at kalimutan ito doon? Classic. Ang mga pamantayan sa kaligtasan, kabilang ang mga corporate, ay isinulat na may mga luha ng mga biktima ng kanilang sariling kapabayaan.
Tingnan natin sa mga komento ang iyong mga pamamaraan para mabawasan ang posibilidad ng pag-hack ng data kapag nakakuha ng access ang isang third party sa isang pisikal na device. Pagkatapos ay idaragdag namin ang mga iminungkahing pamamaraan sa artikulo o i-publish ang mga ito sa aming , kung saan regular kaming nagsusulat tungkol sa kaligtasan, mga life hack para sa paggamit at censorship sa Internet.
Pinagmulan: www.habr.com