Хабрахабр

Когда шифрование не поможет: рассказываем про физический доступ к устройству

В феврале мы опубликовали статью «Не VPN-ом единым. Шпаргалка о том, как обезопасить себя и свои данные». Один из комментариев побудил нас написать продолжение статьи. Эта часть — вполне автономный источник информации, но всё же рекомендуем ознакомиться с обоими постами.

image

Новый пост посвящён вопросу защищённости данных (переписка, фото, видео, вот это всё) в мессенджерах и самих устройств, которые используются для работы с приложениями.

Мессенджеры

Telegram

Ещё в октябре 2018 года студенту первого курса колледжа Уэйк Текникал Натаниэлю Сачи удалось обнаружить, что мессенджер Telegram сохраняет сообщения и медиафайлы на локальном диске компьютера в открытом виде.

Для этого он изучил базы данных приложения, хранящиеся на HDD. Студент смог получить доступ к собственной переписке, включая текст и картинки. И доступ к ним можно получить даже в том случае, если пользователь установил на приложение пароль. Оказалось, что данные трудночитаемы, но не зашифрованы.

Информация из закрытых чатов тоже хранится в открытом виде. В полученных данных были найдены имена и номера телефонов собеседников, которые при желании можно сопоставить.

Но многие специалисты по информационной безопасности утверждают, что это всё-таки серьезно. Позже Дуров заявил, что это не проблема, ведь если у злоумышленника есть доступ к пользовательскому ПК, он сможет получить ключи шифрования и без проблем раскодировать всю переписку.

Кроме того, Telegram оказался уязвим к атаке хищения ключей, что обнаружил пользователь Хабра. Взломать можно local code пароля любой длины и сложности.

WhatsApp

Соответственно, если у злоумышленника есть доступ к устройству пользователя, то все данные тоже открыты. Насколько известно, этот мессенджер тоже хранит данные на диске компьютера в незашифрованном виде.

Сейчас все резервные копии из WhatsApp, установленного на устройствах с Android OS, хранятся в Google Drive, о чем Google и Facebook договорились в прошлом году. Но есть более глобальная проблема. Насколько можно судить, у сотрудников силовых ведомств того же США есть доступ к Google Drive, поэтому cуществует вероятность, что силовики могут просматривать любые сохранённые данные. Но бэкапы переписки, медиафайлов и тому подобное хранятся в незашифрованном виде.

Возможно, просто потому, что бэкапы без шифрования можно без проблем передавать и использовать самим пользователям. Шифровать данные можно, но обе компании этого не делают. Проблема в том, что у Google есть свои причины работать с WhatsApp — компания, предположительно, анализирует хранимые на серверах Google Drive данные и использует их для показа персонализированной рекламы. Скорее всего, шифрования нет не потому, что это сложно реализовать технически: наоборот, защитить бэкапы можно без всякого труда. Это, конечно, лишь допущение, но весьма вероятное в мире hi-tech маркетинга. Если бы Facebook внезапно ввела шифрование для бэкапов WhatsApp, Google мгновенно бы потеряла интерес в таком партнёрстве, лишившись ценного источника данных о предпочтениях пользователей WhatsApp.

Но и здесь информация хранится в незашифрованном виде, о чем говорится даже в настройках приложения. Что касается WhatsApp для iOS, то бэкапы сохраняются в облако iCloud. Правда, у купертиновцев нет рекламной сети, как у Google, так что можем предположить, что вероятность анализа ими персональных данных пользователей WhatsApp значительно ниже. Анализирует Apple эти данные или нет, известно только самой корпорации.

Всё сказанное можно сформулировать следующим образом — да, к вашей переписке WhatsApp есть доступ не только у вас.

TikTok и другие мессенджеры

Разработчики обещали обеспечить полную безопасность данных своих пользователей. Этот сервис обмена короткими видео мог очень быстро стать популярным. Хуже того: сервис собирал персональные данные детей до 13 лет без согласия родителей. Как оказалось, сам сервис использовал эти данные без уведомления пользователей. Личная информация несовершеннолетних — имена, e-mail, номера телефонов, фото и видео оказывались в открытом доступе.

TikTok подчинился. Сервис был оштрафован на несколько миллионов долларов, регуляторы также потребовали удалить все видео, снятые детьми до 13 лет. Тем не менее, персональные данные пользователей используют в своих целях другие мессенджеры и сервисы, так что нельзя быть уверенными в их безопасности.

Кроме того, практически все приложения из топ-5 хранят данные пользователей в незащищённом виде на жестком диске компьютера или в памяти телефона. Этот список можно продолжать бесконечно — у большинства мессенджеров есть та или иная уязвимость, которая позволяет злоумышленникам прослушивать пользователей (отличный пример — Viber, хотя там всё вроде бы поправили) или похищать их данные. Тот же Skype, ВКонтакте, TamTam и другие предоставляют любую информацию о любом пользователе по запросу властей (например, РФ). И это если не вспоминать о спецслужбах различных стран, у которых может быть доступ к данным пользователей благодаря законодательству.

Хорошая защита на уровне протокола? Не проблема, ломаем устройство

Несколько лет назад разгорелся конфликт между Apple и правительством США. Корпорация отказывалась разблокировать зашифрованный смартфон, который фигурировал в деле о терактах в городе Сан-Бернардино. Тогда это казалось реальной проблемой: данные были хорошо защищены, и взломать смартфон было либо невозможно, либо очень трудно.

К примеру, израильская компания Cellebrite продаёт юридическим лицам России и других стран программно-аппаратный комплекс, который позволяет взломать все модели iPhone и Android. Сейчас дело обстоит по-другому. В прошлом году был издан рекламный буклет с относительно подробной информацией на эту тему.

Источник: BBC
Магаданский следователь-криминалист Попов взламывает смартфон с помощью той же технологии, что Федеральное бюро расследований США.

За UFED Touch2 волгоградское управление СКР заплатило 800 тысяч рублей, хабаровское — 1,2 млн рублей. Стоит устройство по государственным меркам недорого. В 2017 году Александр Бастрыкин, глава Следственного комитета РФ, подтвердил, что его ведомство использует решения израильской компании.

«При подозрении на заражение мобильных устройств неизвестным вредоносным программным кодом и после получения обязательного согласия владельцев зараженных телефонов будет производиться анализ для поиска постоянно появляющихся и видоизменяющихся новых вирусов c использованием различных инструментов, в том числе с применением UFED Touch2», — заявили в компании. Закупает такие устройства и «Сбербанк» — правда, не для проведения расследований, а для борьбы с вирусами на устройствах с ОС Android.

Компания Grayshift обещает взломать 300 смартфонов за 15 тысяч долларов США (это $50 за единицу против $1500 у Cellbrite). У американцев тоже есть технологии, позволяющие взламывать любые смартфоны.

Эти устройства постоянно совершенствуются — уменьшается размер, увеличивается производительность. Вполне вероятно, что подобные устройства есть и у киберпреступников.

Если же речь о менее крупных компаниях или ноунейм-организациях, то в этом случае данные снимаются без проблем. Сейчас мы говорим о более-менее известных телефонах крупных производителей, которые беспокоятся о защите данных своих пользователей. Сервисные режимы, как правило — «чёрный ход», через который можно извлечь данные. Режим HS-USB работает даже в тех случаях, когда заблокирован загрузчик. Если данные не зашифрованы, из телефона можно вытащить вообще всё, включая маркеры аутентификации, которые предоставляют доступ к облачным хранилищам и другим сервисам. Если нет, то можно подключиться к порту JTAG или вообще извлечь чип eMMC, вставив его затем в недорогой адаптер.

Если у кого-то есть личный доступ к смартфону с важной информацией, то при желании взломать его можно, что бы ни говорили производители.

Если не прибегать к продвинутым защитным мерам, а довольствоваться обычными методами вроде пароля и логина, то данные будут оставаться в опасности. Понятно, что всё сказанное касается не только смартфонов, но и компьютеров с ноутбуками на различных ОС. Опытный взломщик при наличии физического доступа к устройству сможет получить практически любую информацию — это лишь вопрос времени.

Так что делать?

На Хабре вопрос защищённости данных на персональных устройствах затрагивали не раз, поэтому не будем снова изобретать велосипед. Укажем лишь основные методы, которые снижают вероятность получения сторонними лицами ваших данных:

  • В обязательном порядке использовать шифрование данных как на смартфоне, так и на ПК. Разные ОС зачастую предоставляют неплохие средства по умолчанию. Пример — создание криптоконтейнера в Мac OS штатными средствами.

  • Ставить пароли везде и всюду, включая историю переписки в Telegram и прочих мессенджерах. Естественно, пароли должны быть сложными.

  • Двухфакторная аутентификация — да, это может быть неудобно, но если вопрос безопасности стоит на первом месте, приходится смириться.

  • Контролировать физическую безопасность своих устройств. Взять корпоративный ПК в кафе и забыть его там? Классика. Нормы безопасности, включая корпоративную, написаны слезами жертв собственной неосторожности.

Давайте разберём в комментариях ваши способы, которые позволяют снизить вероятность взлома данных при получении сторонним лицом доступа к физическому устройству. Предложенные способы мы потом добавим в статью или опубликуем в нашем телеграм-канале, где регулярно пишем о безопасности, лайфхаках по использованию нашего VPN и цензуре в интернете.

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»