Informacje

Hack-a-Phone Samsung / autor: Max Wysocki
Hack-a-Phone Samsung / autor: Max Wysocki

On wie o tobie za dużo. Zobacz jak się zabezpieczyć

Maksymilian Wysocki

Maksymilian Wysocki

Dziennikarz, publicysta, ekspert w dziedzinie wizerunku i marketingu internetowego, redaktor zarządzający portalu wGospodarce.pl

  • Opublikowano: 21 listopada 2018, 20:21

    Aktualizacja: 22 listopada 2018, 10:57

  • Powiększ tekst

Przykłady najbardziej zuchwałych ataków na urządzenia mobilne; jak łatwo można ukraść dane ze smartfonu; sposoby na ochronę wrażliwych danych przechowywanych na urządzeniach mobilnych ; dlaczego bezpieczeństwo sieci Wi-Fi ma znaczenie dla bezpieczeństwa publicznego i czy nasze dane są bezpieczne w sieciach szkieletowych – o tym i innych ciekawych zagrożeniach czyhających na właścicieli smartfonów dziennikarze mogli posłuchać na konferencji Hack-a-Phone z udziałem ekspertów redakcji Niebezpiecznik oraz ekspertów firm Samsung R&D Institute Poland i EXATEL

Każdy z nas jest na celowniku super szpiega, przy którym Bond wygląda jak niewinny Kubuś Puchatek. Nasz telefon codziennie, niestrudzenie, nieprzerwanie zbiera o nas masę informacji, a jeśli nie zbiera, to w każdej chwili może zebrać i dostarczyć tak przerażająco szczegółowe dane, że zabawki Bonda dostarczane mu przez Q budzą dzisiaj śmiech. Do tego może komuś dostarczyć bardzo niepożądanych informacji o tobie, a ktoś, kto się na niego włamie, może otrzymać dostęp do całego twojego świata i w sekundę go zniszczyć.

Nasze życie się zmienia. Zaczyna się świat internetu rzeczy (IoT), ale to nasz telefon staje się w coraz większym stopniu „centrum zarządzania naszym światem”. Coraz więcej naszych czynności uzależniamy od naszego telefonu, w tym te związane z finansami. A my, nadal, myśląc o cyberbezpieczeństwie, patrzymy tylko na nasze komputery – laptopy i desktopy. Tymczasem, ile informacji zbiera o nas nasz telefon i jakich to informacji, może dać do myślenia nawet tym, którzy aktywność ograniczają do grania w Candy Crush Saga.

72 proc. zagrożeń wykrytych w 2017 r. dotyczyło smartfonów lub tabletów. W ciągu ostatnich pięciu lat liczba danych wytwarzanych przez smartfony wzrosła 18-krotnie. To musi zmienić sposób myślenia o bezpieczeństwie. zwłaszcza, ze ludzie mają tendencje do tworzenia zbyt prostych i typowych zabezpieczeń (czy znajdziesz na poniższym obrazu swój wzór zabezpieczenia ekranu?).

Hack-a-Phone - najczęstsze wzory zabezpieczeń ekranu / autor: Max Wysocki
Hack-a-Phone - najczęstsze wzory zabezpieczeń ekranu / autor: Max Wysocki

Zaradny cracker, gdyby złamał zabezpieczenia i wkradł się do twojego telefonu, co jest czasem banalnie proste, nie tylko zobaczy dokładnie to, co teraz robisz, i to w 360 stopniach, ale i zobaczy, gdzie jesteś, gdzie byłeś wczoraj, jak wracałeś do domu, gdzie mieszkasz, włamie się do twojej firmy podszywając się pod ciebie. Może też podejrzeć twoje kody, hasła, szyfry, a także wyciągnąć inne, skrywane tajemnice. Wszystko nie tylko przez dane aplikacji, ale przez dziesiątki czujników w twoim telefonie.

I tak kamera i akcelerometr (pozwala wykryć położenie urządzenia), same w sobie nie wydają się aż tak niebezpieczne, ale zaprzęgnięte razem do pracy, wyrywkowo robiąc zdjęcia naszym telefonem, potrafią złożyć kompletny obraz pomieszczenia, w którym posługujemy się naszym telefonem.

Hack-a-Phone - sensory smartfona / autor: Max Wysocki
Hack-a-Phone - sensory smartfona / autor: Max Wysocki

To dużo? To dopiero początek. Przykład: aplikacja Abuzzz, której autorem był Stanford University, potrafi i rozpoznaje… gatunek komara krążącego wokół telefonu! To daje pojęcie o tym, jak czułe i dokładne są mikrofony w telefonach. Czy to jest to, co już dziś potrafią czujniki naszych telefonów? Nie. Był to przykład aplikacji stworzonej już w 2007 roku.

Aplikacja Sonar Soop, autorstwa Lancaster University, wykrywała ruch odblokowujący blokadę ekranu (zdjęcie). Najpopularniejsze techniki łamania zabezpieczeń ekranu są przynajmniej dwie. Jedna to właśnie śledzenie powierzchni ekranu. Druga to żyroskop i czujnik wychylenia i ruchu telefonu. W ten sposób tez można wykryć i odgadnąć wzór hasła blokującego nasz telefon.

Dużo mówi się dziś w marketingu, że Voice Marketing czeka świetlana przyszłość i jest to obecnie temat tak popularny, z tak sztucznie pompowaną popularnością (hypem), że trzeba wspomnieć o… łamaniu haseł przed podszywanie się pod komendy głosowe. A można to zrobić ujarzmiając techniki… ultradźwięków – można sterować ultradźwiękami tak, by nasz smartfon, czy inne urządzenie, odebrało je jako polecenia głosowe. Jak zaznaczali trenerzy na konferencji: „Bez Siri da się żyć, a jest ona może i wygodna, ale bardzo niebezpieczna”.

Również do biometrii zaufanie powinno być mocno ograniczone – to nie jest zupełnie bezpieczny sposób autoryzacji. Mimo, że False Acceptance Rate (stopień możliwości błędu zabezpieczenia) wynosi min. 0,002 proc. w systemach Android. To oznacza, że biometria może 1 raz na 50 tysięcy przypadków zaakceptować dane fałszywe. Dla porównania, w przypadku skanu tęczówek, to 1 na 1 mln przypadków, a w przypadku kodów PIN to 1 na 10 tys. przypadków. Skuteczność samych haseł pisanych trudno określić - to zależy od siły hasła. Trenerzy twierdzą, że najsilniejsze hasła to te składające się z długiego ciągu rzeczowników bez logicznego powiązania ze sobą.

Hack-a-Phone - biometria to nie do końca to... / autor: Max Wysocki
Hack-a-Phone - biometria to nie do końca to… / autor: Max Wysocki

Nie ufaj aplikacjom, nawet z oficjalnych sklepów Apple i Google Play

Wiele aplikacji podszywa się pod inne, popularne aplikacje, np. w wersji „light”. Ich logo, celowo, ma przypominać oficjalną aplikację. Należy zachować wyjątkową czujność, bo znane są nawet w Polsce przypadki takich aplikacji, które połączyły się potem z aplikacją bankowości mobilnej, autoryzując przelewy po 10 tysięcy złotych, o czym właściciele kont i telefonów nie wiedzieli. Podszywanie się pod wersje Light aplikacji to najpopularniejsza metoda.

Co dalej może taka fake-app? Aplikacja Cyrpto Monitor, teoretycznie mająca służyć do śledzenia zmian kursowych Bitcoinów i kryptowalut, wyświetlała prośbę o połączenie z kontem bankowym. Aplikacja logowała się, zbierała przelew i sama siebie autoryzując, przelewała 10 tysięcy na inne, wskazane przez nią konto.

Wiem gdzie mieszkasz

Czy nas szpiegują? Cały czas. Chiński telefon pewnego producenta posiadał trojan (ukryte oprogramowanie) wysyłający informacje o użytkowniku bezpośrednio do producenta – oprogramowanie to było zainstalowane fabrycznie. Całkiem legalnie zbiera o nas dane Google, zbiera Facebook (ten przyznał, że testował możliwości reklam dzięki „nasłuchowi” użytkowników – innymi słowy podsłuchując nasze telefony przez wykorzystanie mikrofonu), choć wielu użytkowników twierdzi, że tak dzieje się nadal. My możemy z naszej strony dodać, nieco na obronę Facebooka, że nie musi być tu winien tylko Facebook, a problem z nadmiarem uprawnień aplikacji, których to uprawnień dana aplikacja od nas zwyczajnie żąda, by funkcjonować, jest problemem ogromnym.

Hack-a-Phone - pamięć lokalizacji urządzenia / autor: Max Wysocki
Hack-a-Phone - pamięć lokalizacji urządzenia / autor: Max Wysocki

Nasz telefon ma o nas informacje z danych przeglądarek, z pazernych na dane wszelkich aplikacji, w końcu, w razie włamania, może zdobyć niemal każdą informację o nas aktywnie i sprytnie wykorzystując różne smartfonowe możliwości.

Np. przez roboczo nazwaną Fake ap – udającą nasz smartfon, próbujący podłączyć się do naszej sieci Wi-Fi domowej lub firmowej. Eksperci twierdzą, że włamanie się dalej jest wyjątkowo proste. Na dowód, na szkoleniu pokazano wyłapane sieci bezprzewodowe z historii połączeń telefonów uczestników. Gdyby taki haker-cracker miał zamiar nas prześladować, za pomocą np. Wiggle.net – po tej informacji dostarczonej przez smartfon, dojdzie do tego, w którym dokładnie miejscu pracuje użytkownik danego smartfona, albo gdzie dokładnie mieszka.

Hack-a-Phone - jak włamują się do Wi-Fi / autor: Max Wysocki
Hack-a-Phone - jak włamują się do Wi-Fi / autor: Max Wysocki

Samsungowy Fort Knox – bezpieczne kontenery na urządzeniach Samsunga

Eksperci ostrzegają, że zabezpieczenia firmowe nie są skuteczne, jeśli na telefonie służbowym pracownik ma już choćby tylko dostęp do prywatnego maila. Tym bardziej upowszechnić się muszą takie rozwiązania, jak te oferowane już fabrycznie na telefonach Samsung. Bo tak, jak jedne firmy okazały się instalować fabrycznie trojany, tak inne – jak Samsung – instalują już bezpieczne systemy kontenerów z myślą szczególnie o bezpieczeństwie danych firmowych. Arm Trust Zone, to architektura zabezpieczania procesorów Samsung (rozdziela dane bez znaczenia od danych wrażliwych). Na telefonie dostępne są zabezpieczone kontenery (szyfrowane foldery) ”Mój Sejf” i kontener „Workspace”. „Mój Sejf” jest tylko dla użytkownika prywatnego. „Workspace” jest tym samym, co „Mój Sejf”, tylko zarządzany jest przez pracodawcę. Strefy kontenera i dysku/folderów w telefonie są w 100 proc. rozdzielne. Ktoś, kto nawet włamałby się do telefonu nie zobaczy plików z szyfrowanego kontenera.

Dane zawsze zaszyfrowane, zawsze wymaga dodatkowej autoryzacji. Można zarządzać polityką bezpieczeństwa zdalnie, co ma kolosalne znaczenie dla firm mających dużą liczbę pracowników. Dzięki temu nikt nie złamie zabezpieczenia firmowego naszego telefonu i nie wykorzysta go do ataku na firmę, w której pracujemy. Takie rozwiązania w rezultacie daje cyberbezpieczny telefon służbowy i prywatny w jednym (jeśli użytkownik trzyma się zasad umieszczania wrażliwych plików w szyfrowanych folderach na telefonie). To rozwiązanie certyfikowane przez rządy wielu krajów.

Postanowienia końcowe

Wracając do pytania: Czy nasz szpiegują? A skądże! Ale! Jeśli chcesz posłuchać, co twój telefon o tobie nagrał, zajrzyj na:

History.google.com/history/audio lub https://myactivity.google.com/myactivity?restrict=vaa, a jeśli ktoś miał zbyt udany wieczór i nie pamięta swojej trasy do domu z imprezy, może kliknąć tu: https://google.com/maps/timeline.

A poza tym: zaszyfrujcie smartfony i miejcie do nich kopię bezpieczeństwa danych, bezwzględnie telefon zahasłujcie, gdy niepotrzebne - wyłączcie Wi-Fi, koniecznie wyłączcie Bluetooth, aktualizujcie oprogramowanie tak często, jak tylko to możliwe, nie rootujcie (tuningujcie) smartfonów i nie podłączajcie hot spotów. A jeśli wśród powyższych najbardziej popularnych wzorców zabezpieczeń znaleźliście własny – lepiej je zmieńcie.

Maksymilian Wysocki

Powiązane tematy

Zapraszamy do komentowania artykułów w mediach społecznościowych