Vào tháng XNUMX, chúng tôi đã xuất bản bài viết “Không chỉ riêng VPN. Một bảng tóm tắt về cách bảo vệ bản thân và dữ liệu của bạn.” đã thôi thúc chúng tôi viết phần tiếp theo của bài viết. Phần này là nguồn thông tin hoàn toàn độc lập nhưng chúng tôi vẫn khuyên bạn nên đọc cả hai bài viết.
Một bài đăng mới dành cho vấn đề bảo mật dữ liệu (thư từ, ảnh, video, chỉ vậy thôi) trong các trình nhắn tin tức thời và chính các thiết bị được sử dụng để hoạt động với các ứng dụng.
Người đưa tin
Telegram
Trở lại tháng 2018 năm XNUMX, sinh viên năm thứ nhất trường Cao đẳng Kỹ thuật Wake, Nathaniel Sachi, đã phát hiện ra rằng ứng dụng nhắn tin Telegram lưu tin nhắn và tệp phương tiện trên ổ đĩa máy tính cục bộ ở dạng văn bản rõ ràng.
Học sinh này có thể truy cập thư từ của chính mình, bao gồm cả văn bản và hình ảnh. Để làm được điều này, anh đã nghiên cứu cơ sở dữ liệu ứng dụng được lưu trữ trên ổ cứng HDD. Hóa ra dữ liệu khó đọc nhưng không được mã hóa. Và chúng có thể được truy cập ngay cả khi người dùng đã đặt mật khẩu cho ứng dụng.
Trong dữ liệu nhận được, tên và số điện thoại của những người đối thoại đã được tìm thấy, nếu muốn, có thể so sánh được. Thông tin từ các cuộc trò chuyện đã đóng cũng được lưu trữ ở định dạng rõ ràng.
Durov sau đó tuyên bố rằng đây không phải là vấn đề, bởi vì nếu kẻ tấn công có quyền truy cập vào PC của người dùng, hắn sẽ có thể lấy được khóa mã hóa và giải mã tất cả thư từ mà không gặp vấn đề gì. Nhưng nhiều chuyên gia bảo mật thông tin cho rằng điều này vẫn còn nghiêm trọng.
Ngoài ra, Telegram hóa ra còn dễ bị tấn công trộm chìa khóa. Người dùng Habr. Bạn có thể hack mật khẩu mã cục bộ ở bất kỳ độ dài và độ phức tạp nào.
Theo những gì chúng tôi được biết, trình nhắn tin này cũng lưu trữ dữ liệu trên đĩa máy tính ở dạng không được mã hóa. Theo đó, nếu kẻ tấn công có quyền truy cập vào thiết bị của người dùng thì tất cả dữ liệu cũng được mở.
Nhưng có một vấn đề toàn cầu hơn. Hiện tại, tất cả các bản sao lưu từ WhatsApp được cài đặt trên các thiết bị chạy hệ điều hành Android đều được lưu trữ trong Google Drive, như Google và Facebook đã đồng ý vào năm ngoái. Nhưng bản sao lưu thư từ, tập tin media và những thứ tương tự . Theo như người ta có thể đánh giá, các quan chức thực thi pháp luật của cùng một Hoa Kỳ , nên có khả năng lực lượng an ninh có thể xem được bất kỳ dữ liệu nào được lưu trữ.
Có thể mã hóa dữ liệu nhưng cả hai công ty đều không làm điều này. Có lẽ đơn giản vì các bản sao lưu không được mã hóa có thể được chính người dùng dễ dàng chuyển và sử dụng. Rất có thể, không có mã hóa không phải vì nó khó thực hiện về mặt kỹ thuật: ngược lại, bạn có thể bảo vệ các bản sao lưu mà không gặp bất kỳ khó khăn nào. Vấn đề là Google có lý do riêng để hợp tác với WhatsApp - có lẽ là công ty và sử dụng chúng để hiển thị quảng cáo được cá nhân hóa. Nếu Facebook bất ngờ giới thiệu tính năng mã hóa cho các bản sao lưu WhatsApp, Google sẽ ngay lập tức mất hứng thú với mối quan hệ hợp tác như vậy, mất đi nguồn dữ liệu quý giá về sở thích của người dùng WhatsApp. Tất nhiên, đây chỉ là giả định nhưng rất có thể xảy ra trong thế giới tiếp thị công nghệ cao.
Đối với WhatsApp dành cho iOS, bản sao lưu sẽ được lưu vào đám mây iCloud. Nhưng ở đây, thông tin cũng được lưu trữ ở dạng không được mã hóa, thông tin này được nêu ngay cả trong cài đặt ứng dụng. Việc Apple có phân tích dữ liệu này hay không chỉ có chính tập đoàn này biết. Đúng, Cupertino không có mạng quảng cáo như Google, vì vậy chúng ta có thể cho rằng khả năng họ phân tích dữ liệu cá nhân của người dùng WhatsApp là thấp hơn nhiều.
Tất cả những gì đã nói có thể được trình bày như sau - vâng, không chỉ bạn mới có quyền truy cập vào thư từ WhatsApp của mình.
TikTok và các ứng dụng nhắn tin khác
Dịch vụ chia sẻ video ngắn này có thể trở nên phổ biến rất nhanh. Các nhà phát triển hứa sẽ đảm bảo an toàn tuyệt đối cho dữ liệu của người dùng. Hóa ra, chính dịch vụ này đã sử dụng dữ liệu này mà không thông báo cho người dùng. Tệ hơn nữa: dịch vụ đã thu thập dữ liệu cá nhân của trẻ em dưới 13 tuổi mà không có sự đồng ý của cha mẹ. Thông tin cá nhân của trẻ vị thành niên - tên, e-mail, số điện thoại, ảnh và video - đã được công khai.
Dịch vụ với giá vài triệu USD, cơ quan quản lý cũng yêu cầu xóa tất cả video do trẻ em dưới 13 tuổi thực hiện. TikTok đã tuân thủ. Tuy nhiên, các ứng dụng nhắn tin và dịch vụ khác sử dụng dữ liệu cá nhân của người dùng cho mục đích riêng của họ nên bạn không thể chắc chắn về tính bảo mật của chúng.
Danh sách này có thể được tiếp tục vô tận - hầu hết các trình nhắn tin tức thời đều có lỗ hổng này hoặc lỗ hổng khác cho phép kẻ tấn công nghe lén người dùng ( — Viber, mặc dù mọi thứ dường như đã được sửa ở đó) hoặc đánh cắp dữ liệu của họ. Ngoài ra, hầu hết tất cả các ứng dụng trong top 5 đều lưu trữ dữ liệu người dùng ở dạng không được bảo vệ trên ổ cứng máy tính hoặc trong bộ nhớ điện thoại. Và điều này là không nhớ các cơ quan tình báo của nhiều quốc gia khác nhau, những cơ quan này có thể có quyền truy cập vào dữ liệu người dùng nhờ luật pháp. Cùng một Skype, VKontakte, TamTam và những người khác cung cấp bất kỳ thông tin nào về bất kỳ người dùng nào theo yêu cầu của chính quyền (ví dụ: Liên bang Nga).
Bảo mật tốt ở cấp độ giao thức? Không vấn đề gì, chúng tôi phá vỡ thiết bị
Vài năm trước giữa Apple và chính phủ Mỹ. Tập đoàn đã từ chối mở khóa một chiếc điện thoại thông minh được mã hóa có liên quan đến vụ tấn công khủng bố ở thành phố San Bernardino. Vào thời điểm đó, đây dường như là một vấn đề thực sự: dữ liệu được bảo vệ tốt và việc hack điện thoại thông minh là không thể hoặc rất khó khăn.
Bây giờ mọi chuyện đã khác. Ví dụ: công ty Cellebrite của Israel bán cho các pháp nhân ở Nga và các quốc gia khác một hệ thống phần mềm và phần cứng cho phép bạn hack tất cả các mẫu iPhone và Android. Năm ngoái đã có với thông tin tương đối chi tiết về chủ đề này.
Điều tra viên pháp y Popov của Magadan hack một điện thoại thông minh bằng công nghệ tương tự được Cục Điều tra Liên bang Hoa Kỳ sử dụng. nguồn: BBC
Thiết bị này không đắt tiền theo tiêu chuẩn của chính phủ. Đối với UFED Touch2, cơ quan Volgograd của Ủy ban điều tra đã trả 800 nghìn rúp, cơ quan Khabarovsk - 1,2 triệu rúp. Năm 2017, Alexander Bastrykin, người đứng đầu Ủy ban điều tra Liên bang Nga, xác nhận rằng cơ quan của ông Công ty Israel.
Sberbank cũng mua những thiết bị như vậy - tuy nhiên, không phải để tiến hành điều tra mà để chống vi-rút trên các thiết bị chạy hệ điều hành Android. “Nếu thiết bị di động bị nghi ngờ bị nhiễm mã phần mềm độc hại không xác định và sau khi nhận được sự đồng ý bắt buộc của chủ sở hữu điện thoại bị nhiễm, một phân tích sẽ được thực hiện để tìm kiếm các loại vi-rút mới liên tục xuất hiện và thay đổi bằng nhiều công cụ khác nhau, bao gồm cả việc sử dụng của UFED Touch2,” - trong công ty.
Người Mỹ cũng có những công nghệ cho phép họ hack bất kỳ điện thoại thông minh nào. Grayshift hứa hẹn sẽ hack 300 điện thoại thông minh với giá 15 USD (50 USD mỗi chiếc so với 1500 USD của Cellbrite).
Rất có thể tội phạm mạng cũng có những thiết bị tương tự. Các thiết bị này liên tục được cải tiến - kích thước của chúng giảm đi và hiệu suất của chúng tăng lên.
Bây giờ chúng ta đang nói về những chiếc điện thoại ít nhiều nổi tiếng của các nhà sản xuất lớn quan tâm đến việc bảo vệ dữ liệu của người dùng. Nếu chúng ta đang nói về các công ty nhỏ hơn hoặc các tổ chức không có tên tuổi, thì trong trường hợp này, dữ liệu sẽ bị xóa mà không gặp vấn đề gì. Chế độ HS-USB hoạt động ngay cả khi bộ nạp khởi động bị khóa. Các chế độ dịch vụ thường là “cửa sau” để có thể truy xuất dữ liệu. Nếu không, bạn có thể kết nối với cổng JTAG hoặc tháo hoàn toàn chip eMMC rồi lắp nó vào một bộ chuyển đổi rẻ tiền. Nếu dữ liệu không được mã hóa, từ điện thoại mọi thứ nói chung, bao gồm cả mã thông báo xác thực cung cấp quyền truy cập vào bộ lưu trữ đám mây và các dịch vụ khác.
Nếu ai đó có quyền truy cập cá nhân vào điện thoại thông minh có thông tin quan trọng thì họ có thể hack nó nếu muốn, bất kể nhà sản xuất nói gì.
Rõ ràng là mọi điều đã nói không chỉ áp dụng cho điện thoại thông minh mà còn cho máy tính và máy tính xách tay chạy nhiều hệ điều hành khác nhau. Nếu bạn không sử dụng các biện pháp bảo vệ nâng cao mà hài lòng với các phương pháp thông thường như mật khẩu và thông tin đăng nhập, thì dữ liệu sẽ vẫn gặp nguy hiểm. Một hacker có kinh nghiệm với quyền truy cập vật lý vào thiết bị sẽ có thể lấy được hầu hết mọi thông tin - đó chỉ là vấn đề thời gian.
Vậy lam gi?
Trên Habré, vấn đề bảo mật dữ liệu trên thiết bị cá nhân đã được nêu ra hơn một lần, vì vậy chúng tôi sẽ không phát minh lại bánh xe nữa. Chúng tôi sẽ chỉ chỉ ra các phương pháp chính làm giảm khả năng bên thứ ba lấy được dữ liệu của bạn:
- Bắt buộc phải sử dụng mã hóa dữ liệu trên cả điện thoại thông minh và PC của bạn. Các hệ điều hành khác nhau thường cung cấp các công cụ tốt theo mặc định. Ví dụ - vùng chứa mật mã trong Mac OS bằng các công cụ tiêu chuẩn.
- Đặt mật khẩu ở mọi nơi, bao gồm cả lịch sử thư từ trong Telegram và các ứng dụng nhắn tin tức thời khác. Đương nhiên, mật khẩu phải phức tạp.
- Xác thực hai yếu tố - vâng, điều này có thể bất tiện, nhưng nếu bảo mật là ưu tiên hàng đầu, bạn phải chấp nhận nó.
- Giám sát an ninh vật lý của thiết bị của bạn. Mang PC của công ty đến quán cà phê và để quên nó ở đó? Cổ điển. Các tiêu chuẩn an toàn, bao gồm cả các tiêu chuẩn của công ty, được viết ra bằng nước mắt của những nạn nhân vì sự bất cẩn của chính họ.
Hãy xem nhận xét về phương pháp của bạn để giảm khả năng bị hack dữ liệu khi bên thứ ba giành được quyền truy cập vào thiết bị vật lý. Sau đó chúng tôi sẽ thêm các phương pháp được đề xuất vào bài viết hoặc xuất bản chúng trên tạp chí của chúng tôi. , nơi chúng tôi thường xuyên viết về sự an toàn, mẹo vặt cuộc sống khi sử dụng và kiểm duyệt Internet.
Nguồn: www.habr.com