У лютому ми опублікували статтю «Не VPN єдиним. Шпаргалка про те, як убезпечити себе та свої дані». спонукав нас написати продовження статті. Ця частина — цілком автономне джерело інформації, але все ж таки рекомендуємо ознайомитися з обома постами.
Новий пост присвячений питанню захищеності даних (листування, фото, відео, ось це все) у месенджерах та самих пристроїв, які використовуються для роботи з додатками.
Месенджери
Telegram
Ще в жовтні 2018 року студенту першого курсу коледжу Уейк Текнікал Натаніелю Сачі вдалося виявити, що месенджер Telegram зберігає повідомлення та медіафайли на локальному диску комп'ютера у відкритому вигляді.
Студент зміг отримати доступ до власного листування, включаючи текст та картинки. Для цього він вивчив бази даних програми, що зберігаються на HDD. Виявилося, що дані важко читаються, але не зашифровані. І доступ до них можна отримати навіть у тому випадку, якщо користувач встановив на програму пароль.
В отриманих даних було знайдено імена та номери телефонів співрозмовників, які за бажання можна порівняти. Інформація із закритих чатів теж зберігається у відкритому вигляді.
Пізніше Дуров заявив, що це не проблема, адже якщо у зловмисника є доступ до ПК, він зможе отримати ключі шифрування і без проблем розкодувати все листування. Але багато фахівців з інформаційної безпеки стверджують, що це серйозно.
Крім того, Telegram виявився вразливим до атаки розкрадання ключів, що користувач Хабра. Зламати можна local code пароля будь-якої довжини та складності.
Наскільки відомо, цей месенджер теж зберігає дані на диску комп'ютера у незашифрованому вигляді. Відповідно, якщо зловмисник має доступ до пристрою користувача, то всі дані теж відкриті.
Але є більш глобальна проблема. Наразі всі резервні копії з WhatsApp, встановленого на пристроях з Android OS, зберігаються у Google Drive, про що Google та Facebook домовилися минулого року. Але бекапи листування, медіафайлів тощо . Наскільки можна судити, у співробітників силових відомств того ж таки США , тому існує ймовірність, що силовики можуть переглядати будь-які збережені дані.
Шифрувати дані можна, але обидві компанії цього не роблять. Можливо просто тому, що бекапи без шифрування можна без проблем передавати і використовувати самим користувачам. Швидше за все, шифрування немає не тому, що це складно реалізувати технічно: навпаки, захистити бекапи можна легко. Проблема в тому, що Google має свої причини працювати з WhatsApp — компанія, ймовірно, та використовує їх для показу персоналізованої реклами. Якби Facebook раптово ввела шифрування для бекапів WhatsApp, Google миттєво втратила б інтерес у такому партнерстві, втративши цінне джерело даних про переваги користувачів WhatsApp. Це, звичайно, лише припущення, але дуже ймовірне у світі hi-tech маркетингу.
Що стосується WhatsApp для iOS, то бекапи зберігаються в хмарі iCloud. Але й тут інформація зберігається у незашифрованому вигляді, про що йдеться навіть у налаштуваннях програми. Аналізує Apple ці дані чи ні, відомо лише самої корпорації. Щоправда, купертинівці не мають рекламної мережі, як Google, так що можемо припустити, що ймовірність аналізу ними персональних даних користувачів WhatsApp значно нижча.
Все сказане можна сформулювати в такий спосіб — так, до вашого листування WhatsApp є доступ не тільки у вас.
TikTok та інші месенджери
Цей сервіс обміну короткими відео міг дуже швидко стати популярним. Розробники обіцяли забезпечити повну безпеку даних своїх користувачів. Як виявилось, сам сервіс використовував ці дані без повідомлення користувачів. Найгірше: сервіс збирав персональні дані дітей до 13 років без згоди батьків. Особиста інформація неповнолітніх — імена, e-mail, номери телефонів, фото та відео надавалися у відкритому доступі.
Сервіс на кілька мільйонів доларів, регулятори також вимагали видалити все відео, зняті дітьми до 13 років. TikTok підкорився. Тим не менш, персональні дані користувачів використовують у своїх цілях інші месенджери та сервіси, тому не можна бути впевненими у їхній безпеці.
Цей список можна продовжувати нескінченно — більшість месенджерів мають ту чи іншу вразливість, яка дозволяє зловмисникам прослуховувати користувачів ( - Viber, хоча там все начебто поправили) або викрадати їхні дані. Крім того, практично всі програми з топ-5 зберігають дані користувачів у незахищеному вигляді на жорсткому диску комп'ютера або пам'яті телефону. І це якщо не згадувати про спецслужби різних країн, які можуть мати доступ до даних користувачів завдяки законодавству. Той же Skype, ВКонтакте, TamTam та інші надають будь-яку інформацію про будь-якого користувача на запит влади (наприклад, РФ).
Гарний захист на рівні протоколу? Не проблема, ламаємо пристрій
Кілька років тому між Apple та урядом США. Корпорація відмовлялася розблокувати зашифрований смартфон, який фігурував у справі про теракти у місті Сан-Бернардіно. Тоді це здавалося реальною проблемою: дані були добре захищені і зламати смартфон було або неможливо, або дуже важко.
Зараз справа по-іншому. Наприклад, ізраїльська компанія Cellebrite продає юридичним особам Росії та інших країн програмно-апаратний комплекс, який дозволяє зламати всі моделі iPhone та Android. Торік був із відносно детальною інформацією на цю тему.
Магаданський слідчий-криміналіст Попов зламує смартфон за допомогою тієї ж технології, що Федеральне бюро розслідувань США. Джерело: BBC
Коштує пристрій за державними мірками недорого. За UFED Touch2 волгоградське управління СКР заплатило 800 тисяч рублів, хабарівське - 1,2 млн рублів. У 2017 році Олександр Бастрикін, голова Слідчого комітету РФ, підтвердив, що його відомство ізраїльської компанії.
Закуповує такі пристрої і Ощадбанк - правда, не для проведення розслідувань, а для боротьби з вірусами на пристроях з ОС Android. «При підозрі на зараження мобільних пристроїв невідомим шкідливим програмним кодом і після отримання обов'язкової згоди власників заражених телефонів проводитиметься аналіз для пошуку нових вірусів, що постійно з'являються і видозмінюються, з використанням різних інструментів, у тому числі із застосуванням UFED Touch2», — у компанії.
Американці теж мають технології, що дозволяють зламувати будь-які смартфони. Компанія Grayshift обіцяє зламати 300 смартфонів за 15 тисяч доларів США (це $50 за одиницю проти $1500 у Cellbrite).
Цілком ймовірно, що подібні пристрої є й у кіберзлочинців. Ці пристрої постійно вдосконалюються - зменшується розмір, продуктивність.
Зараз ми говоримо про більш-менш відомі телефони великих виробників, які переймаються захистом даних своїх користувачів. Якщо ж мова про менші компанії або ноунейм-організаціях, то в цьому випадку дані знімаються без проблем. Режим HS-USB працює навіть у випадках, коли заблоковано завантажувач. Сервісні режими, як правило, «чорний хід», через який можна отримати дані. Якщо ні, то можна підключитися до порту JTAG або взагалі витягти чіп eMMC, вставивши його потім у недорогий адаптер. Якщо дані не зашифровані, з телефону взагалі все, включаючи маркери автентифікації, які надають доступ до хмарних сховищ та інших сервісів.
Якщо у когось є особистий доступ до смартфона з важливою інформацією, то за бажання зламати його можна, хоч би що казали виробники.
Зрозуміло, що все сказане стосується не лише смартфонів, а й комп'ютерів із ноутбуками на різних ОС. Якщо не вдаватися до просунутих захисних заходів, а задовольнятися звичайними методами на кшталт пароля та логіну, то дані залишатимуться в небезпеці. Досвідчений зломщик за наявності фізичного доступу до пристрою зможе отримати практично будь-яку інформацію - це лише питання часу.
Так що робити?
На Хабре питання захищеності даних на персональних пристроях порушували не раз, тому не будемо знову винаходити велосипед. Вкажемо лише основні методи, які знижують можливість отримання сторонніми особами ваших даних:
- Обов'язково використовувати шифрування даних як на смартфоні, так і на ПК. Різні ОС найчастіше надають непогані кошти за умовчанням. Приклад - криптоконтейнера в Мac OS штатними засобами.
- Ставити паролі скрізь і всюди, включаючи історію листування в Telegram та інших месенджерах. Звісно, паролі мають бути складними.
- Двофакторна автентифікація — так, це може бути незручно, але якщо питання безпеки стоїть на першому місці, то доводиться змиритися.
- Контролювати фізичну безпеку своїх пристроїв. Взяти корпоративний ПК у кафе та забути його там? Класика. Норми безпеки, включаючи корпоративну, написані сльозами жертв власної необережності.
Давайте розберемо у коментарях ваші способи, які дозволяють знизити ймовірність злому даних при отриманні сторонньою особою доступу до фізичного пристрою. Запропоновані способи ми потім додамо до статті або опублікуємо у нашому , де регулярно пишемо про безпеку, лайфхаки з використання та цензурі в інтернеті.
Джерело: habr.com