XNUMX 月份,我們發表了文章「不僅僅是 VPN。 關於如何保護您自己和您的資料的備忘單。” 促使我們寫這篇文章的續篇。 這部分是完全獨立的資訊來源,但我們仍然建議您閱讀這兩篇文章。
一篇新文章專門討論即時通訊工具和用於處理應用程式的裝置本身的資料安全問題(通訊、照片、影片等等)。
信差
Telegram
早在 2018 年 XNUMX 月,韋克技術學院一年級學生 Nathaniel Sachi 就發現 Telegram Messenger 以明文形式將訊息和媒體檔案保存在本機電腦磁碟機上。
該學生能夠存取自己的信件,包括文字和圖片。 為此,他研究了硬碟上儲存的應用程式資料庫。 事實證明,這些資料很難讀取,而且還沒有加密。 即使用戶為應用程式設定了密碼,也可以存取它們。
在收到的數據中,找到了對話者的姓名和電話號碼,如果需要,可以進行比較。 來自封閉聊天的訊息也以清晰的格式儲存。
杜羅夫後來表示,這不是問題,因為如果攻擊者能夠存取用戶的 PC,他將能夠毫無問題地獲取加密金鑰並解密所有通訊。 但許多資安專家認為,情況仍然很嚴重。
此外,Telegram 很容易受到密鑰盜竊攻擊,這導致 哈布爾用戶。 您可以破解任意長度和複雜程度的本地代碼密碼。
據我們所知,該信使還以未加密的形式將資料儲存在電腦磁碟上。 因此,如果攻擊者可以存取用戶的設備,那麼所有資料也都是開放的。
但還有一個更全球性的問題。 目前,正如Google和 Facebook 去年達成的協議,安裝在 Android 作業系統裝置上的 WhatsApp 的所有備份都儲存在 Google Drive 中。 但信件、媒體文件等的備份 。 據人們判斷,同一美國的執法人員 ,因此安全部隊有可能查看任何儲存的資料。
可以對資料進行加密,但兩家公司都沒有這樣做。 也許只是因為未加密的備份可以輕鬆地由用戶自己傳輸和使用。 最有可能的是,沒有加密並不是因為技術上難以實現:相反,您可以毫無困難地保護備份。 問題是谷歌與 WhatsApp 合作有其自身的原因——該公司大概 並使用它們來展示個人化廣告。 如果 Facebook 突然為 WhatsApp 備份引入加密功能,Google將立即對此合作關係失去興趣,從而失去有關 WhatsApp 用戶偏好的寶貴資料來源。 當然,這只是一個假設,但在高科技行銷領域很有可能。
至於 iOS 版 WhatsApp,備份會儲存到 iCloud 雲端。 但在這裡,資訊也以未加密的形式存儲,甚至在應用程式設定中也有說明。 蘋果是否分析這些數據只有該公司自己知道。 確實,庫比蒂諾沒有像谷歌這樣的廣告網絡,因此我們可以假設他們分析 WhatsApp 用戶個人資料的可能性要低得多。
所有所說的都可以表述如下 - 是的,不僅您可以存取您的 WhatsApp 通訊。
TikTok 和其他即時通訊工具
這種短視頻分享服務很快就會流行起來。 開發人員承諾確保用戶資料的完全安全。 事實證明,該服務本身在沒有通知用戶的情況下使用了這些數據。 更糟的是:該服務在未經父母同意的情況下收集了 13 歲以下兒童的個人資料。 未成年人的個人資訊——姓名、電子郵件、電話號碼、照片和影片——被公開。
服務 監管機構還花費數百萬美元要求刪除所有 13 歲以下兒童製作的影片。 TikTok 答應了。 但是,其他通訊工具和服務將使用者的個人資料用於其自身目的,因此您無法確定其安全性。
這個清單可以無限地繼續下去 - 大多數即時通訊程式都有一個或另一個漏洞,允許攻擊者竊聽使用者( - Viber,儘管一切似乎都已修復)或竊取他們的資料。 此外,前 5 名中的幾乎所有應用程式都以不受保護的形式將用戶資料儲存在電腦硬碟或手機記憶體中。 這還不包括各國的情報部門,由於立法,這些部門可能可以存取用戶資料。 同一 Skype、VKontakte、TamTam 和其他公司應當局(例如俄羅斯聯邦)的要求提供任何用戶的任何資訊。
協議級別的安全性好嗎? 沒問題,我們破壞設備
若干年前 蘋果和美國政府之間。 該公司拒絕解鎖參與聖貝納迪諾市恐怖攻擊的加密智慧型手機。 當時,這似乎是一個真正的問題:數據得到了很好的保護,破解智慧型手機要么是不可能的,要么是非常困難的。
現在情況不同了。 例如,以色列公司 Cellebrite 向俄羅斯和其他國家的法人實體出售軟體和硬體系統,可讓您破解所有 iPhone 和 Android 機型。 去年有 有關此主題的相對詳細的資訊。
馬加丹法醫調查員波波夫使用美國聯邦調查局使用的相同技術破解了一部智慧型手機。 資料來源:英國廣播公司
依照政府標準,該設備價格低廉。 對於UFED Touch2,調查委員會伏爾加格勒部門支付了800萬盧布,哈巴羅夫斯克部門支付了1,2萬盧布。 2017年,俄羅斯聯邦調查委員會主席亞歷山大·巴斯特里金證實,他的部門 以色列公司。
俄羅斯聯邦儲蓄銀行也購買這類設備,但不是為了進行調查,而是為了對抗 Android 作業系統設備上的病毒。 「如果行動裝置疑似感染未知惡意軟體程式碼,在獲得受感染手機所有者的強制同意後,將使用各種工具進行分析,搜尋不斷出現和變化的新病毒,包括使用UFED Touch2,」- 在公司。
美國人還擁有可以破解任何智慧型手機的技術。 Grayshift 承諾以 300 美元的價格破解 15 部智慧型手機(每部 50 美元,而 Cellbrite 為 1500 美元)。
網路犯罪分子很可能也有類似的設備。 這些設備不斷改進——尺寸減小,性能提高。
現在我們談論的是來自大型製造商的或多或少知名的手機,他們關心保護用戶的資料。 如果我們談論的是較小的公司或無名組織,那麼在這種情況下,資料將毫無問題地被刪除。 即使引導程式被鎖定,HS-USB 模式也能正常運作。 服務模式通常是可以檢索資料的「後門」。 如果沒有,您可以連接到 JTAG 連接埠或完全卸下 eMMC 晶片,然後將其插入便宜的適配器。 如果資料未加密,則來自手機 一般的一切,包括提供對雲端儲存和其他服務的存取的身份驗證令牌。
如果有人可以個人存取包含重要資訊的智慧型手機,那麼他們可以根據需要破解它,無論製造商怎麼說。
顯然,上述內容不僅適用於智慧型手機,也適用於運行各種作業系統的電腦和筆記型電腦。 如果您不採取先進的保護措施,而是滿足於密碼和登入等傳統方法,那麼資料仍將面臨危險。 經驗豐富的駭客可以實際存取設備,幾乎能夠獲取任何資訊 - 這只是時間問題。
那麼該怎麼辦?
在 Habré 上,個人設備上的資料安全問題已不只一次被提出,因此我們不會再次重新發明輪子。 我們只會指出減少第三方獲取您資料的可能性的主要方法:
- 您的智慧型手機和 PC 上都必須使用資料加密。 不同的作業系統通常提供良好的預設功能。 例子 - Mac OS 中使用標準工具的加密容器。
- 隨時隨地設定密碼,包括 Telegram 和其他即時通訊工具中的通訊歷史記錄。 當然,密碼必須很複雜。
- 雙重認證 - 是的,這可能會很不方便,但如果安全性是第一位的,那麼您就必須忍受它。
- 監控設備的實體安全。 將公司電腦帶到咖啡館卻忘了? 經典的。 安全標準,包括企業標準,都是因自己粗心大意的受害者的眼淚而製定的。
讓我們在評論中看看您在第三方存取實體設備時減少資料駭客攻擊可能性的方法。 然後,我們會將建議的方法添加到文章中或將其發佈在我們的文章中 ,我們定期撰寫有關使用的安全、生活小技巧的文章 和網路審查制度。
來源: www.habr.com