Дырка в кармане — Памятка по мобильной безопасности



    Случалось ли вам когда-нибудь доставать телефон из кармана, потому что вам показалось, будто он жужжит, и обнаруживать, что на самом деле он не звонит? По-научному это называется «фантомный вжжж». Фантомный вжжж это побочный эффект древних человеческих инстинктов. В кустах шуршит тигр или мне показалось? Гены тех, кто решил, что тигра нет, или вообще ничего не заметил, очень быстро перестают передаваться по наследству, поэтому люди хорошо научились вычленять информацию даже среди шума. Пропущенный звонок вас наверняка огорчит, вот мозг и адаптируется к вашим потребностям и увеличивает вероятность успешного распознавания вибрации в кармане за счёт небольшого количества ложных срабатываний.

    К чему я веду? Эту реакцию можно проиллюстрировать поговоркой «лучше перебдеть, чем недобдеть». Как часто вы проводите время вдали от мобильного телефона? Чего уж греха таить, скорее всего, вы даже с ним спите. В режиме 24/7 рядом с вами находится устройство с микрофонами, камерами, GPS, всевозможными прочими датчиками и доступом в интернет, а вы доверяете ему свои деньги, распорядок дня, сокровенные мысли… Прямо-таки личный слуга! Насколько он надёжен?

    К сожалению, информационная безопасность в повестке дня всегда стоит на последнем месте, поэтому в каждой технологической отрасли повторяется одна и та же история. Появляются первые пользователи технологии, она становится популярной, количество пользователей резко растёт, предприимчивые люди начинают использовать технологию для нечестного заработка, и только после нескольких крупных скандалов начинаются какие-то движения по части информационной безопасности. Так было и с сотовой связью. Первые мобильные телефоны вообще можно было прослушивать с помощью радиоприёмника.

    Потом появились цифровые стандарты связи, но стало не намного лучше. Для GSM были созданы секретные протоколы шифрования, но, по всей видимости, сердобольные спецслужбы приложили к разработке руку, и протоколы получились так себе. Как будто этого было мало, создали две версии протокола: одна для «своих», другая для «потенциального врага». Защита GSM скорее разрабатывалась для отвода глаз и пресечения бесплатных звонков, ведь только телефон должен представляться сети, а сеть не должна подтверждать свою подлинность. Как только этот факт стал известен взломщикам, появились поддельные сотовые станции, с помощью которых можно подслушивать разговоры и совершать операции со счётом, этот способ популярен и до сих пор. Но похоже, что в ближайшем будущем самодельное оборудование потеснят фемтосоты, которые можно купить прямо у операторов по доступной цене.

    К слову, один из активных исследователей безопасности мобильных технологий, Карстен Нол, вскрывший в 2009 году шифр A5/1, использующийся в GSM, недавно рассказал о найденной уязвимости в старых симкартах, использующих DES. Эту новость про «750 миллионов взломанных телефонов» даже по телевизору показывали. Когда вы в последний раз умышленно меняли симкарту? То-то же! На хабре уже подробно расписали суть проблемы и как с ней бороться, почитайте.

    Ситуация с смсками не лучше. Если забыть про спамеров и мошенников с короткими номерами, то остаётся ещё смс-спуфинг. Спуфинг это когда к вам приходит сообщение с одного номера, а на самом деле его отправили с другого. Например, вы получаете сообщение с ссылкой якобы от вашего друга, открываете, а там может быть что угодно: подписка на платный сервис, вирус, просто реклама. Или может придти смска от вашей пассии с предложением встретиться, вы приезжаете, там никого нету, вы ждёте, а у вас квартиру обчищают.

    Более продвинутый спуфинг может использовать ошибки обработки сообщений в операционной системе устройства получателя, тогда в отправителе сообщения будет отображаться один номер, но ответное сообщение будет отправляться на другой. Возможности для мошенничества открываются безграничные. Если вы думаете, что SMS-спуфинг это дело сложное, спешу вас разуверить, в интернете есть куча сайтов, которые его предлагают как сервис. Достаточно зарегистрироваться и можно начинать вершить судьбы людей.

    Bluetooth и Wi-Fi


    Большинство вышеупомянутых проблем связаны с плохим наследием и слабой проработкой вопросов безопасности в своё время. Однако, с тех пор у телефонов появились и другие интерфейсы, способные доставить вам проблемы. Bluetooth и Wi-Fi во многом похожи и весьма надёжны, все серьёзные уязвимости подразумевают использование устаревших версий протоколов и оборудования. Но даже самая защищённая технология не справится, если вы сами поможете атакующим. Одна из популярных атак через Bluetooth: поменять имя устройства на «Введите 1234», придти в людное место и начать рассылать приглашения на подключение всем вокруг. Получивший приглашение увидит на экране что-нибудь вроде «Введите 1234 хочет подключиться к вашему телефону». Кто-то в суете дня не сразу сообразит что к чему, кому-то станет любопытно, а доступ-то получен. Для борьбы с подобными вещами в некоторых телефонах обнаружение устройства по умолчанию выключено, и для подключения его нужно специально включать, но лучше в этом удостовериться, чтобы в будущем не было проблем. А ещё лучше вообще выключать Bluetooth, когда он не нужен, это экономит нервы и батарею.

    Проблема подключения к непонятным сетям свойственна и для Wi-Fi. В бесплатных сетях без шифрования в кафе и торговых центрах данные передаются в открытом виде, для их перехвата не нужно прилагать никаких усилий. Вообще говоря, точка доступа тоже может быть поддельной. Большинство сайтов не использует https во время авторизации, в том числе Хабрахабр, а значит логин и пароль можно подсмотреть. Даже если угнанная учётка не представляет большой ценности для вас, её могут использовать для мошенничества или рассылки спама.

    Дело усугубляется тем, что многие приложения очень любят без спросу лезть в интернет, при этом, опять-таки, не используя шифрование. Вы можете даже не заметить как какой-нибудь список задач сольёт ваши данные.

    Приложения и личные данные


    Кстати о приложениях и данных. В современных мобильниках приложения используются для работы с множеством разной информации, а облачные хранилища потенциально могут содержать неограниченный объём данных. Более того, многие приложения используют информацию из других приложений, снабжают их метаданными, например временем модификации и местоположением. Настоящая находка для шпиона.

    Зачастую эти данные уже лежат в открытом доступе благодаря разработчикам, которые стараются сделать публикацию в социальных сетях как можно проще. Анализируя эту информацию можно узнать привычки человека, его распорядок дня, место жительства и работы. На первый взгляд это не так много, но достаточно, чтобы использовать эту информацию в какой-нибудь преступной схеме.

    Есть довольно старый трюк с телефонными опросами. Вам звонят якобы для опроса общественного мнения, хотят узнать вашу любимую радиостанцию. Когда вы её слушаете? Вы слушаете её в машине или дома? А другие члены семьи? Как вы относитесь к розыгрышу путёвок по радио? Положительно? А где вы обычно отдыхаете? Такими нехитрыми вопросами можно узнать благосостояние семьи, в какое время в квартире нет хозяев, и когда её можно обчистить. Теперь для этого есть социальные сети.

    Дело даже не в том, что у вас что-то украдут. Интернет большой, и в нём всегда найдутся неадекватные люди, которым нравится оскорблять и донимать людей, и вы бы не хотели, чтобы они воспользовались этой информацией. Подобные случаи не редкость, особенно если жертва прославилась в связи с какой-то новостью. Бороться с лишними метаданными можно отключением опций в настройках приложений или с помощью специальных программ, которые подсовывают ложные данные приложениям, например такой. Последний способ также может помочь в случаях, когда доверенные приложения шалят и собирают лишнюю информацию.

    Но хватит об этом, лучше поговорим о вирусах и кулхацкерах. Грань между компьютерами и мобильными телефонами постепенно стирается, а заодно становятся общими и их проблемы. Даже методы одинаковые: как в старые добрые времена, вирусы распространяют через варезные сайты и сомнительные рассылки. Но, как всегда, история никого ничему не учит, и защищающиеся опять в позиции догоняющих. Некоторые подвижки всё же есть, например обязательная сертификация всех приложений и их централизованное распространение. Правда эта схема не работает, если вы разрешили запуск неподписанных приложений. И получили рут на своём телефоне. И поставили тестовую прошивку с какого-то форума. Ууупс.

    К счастью, вирусы пока что не очень страшные, злобные руткиты ещё не пришли на мобильные телефоны. Пока вирусописатели ограничиваются посылкой смс на платные номера или маскируют вредоносное ПО под популярные игры и требуют деньги для открытия доступа к новым уровням. С учётом современных «прогрессивных» методов монетизации, пользователь может и не заметить подвох.

    Впрочем, даже если вы не любите экспериментировать с прошивками и настройками, то остаются уязвимости ОС. Когда вы в последний раз ставили обновление безопасности на свой телефон? Если вы владелец телефона на Android, то скорее всего никогда. На хабре выкладывали статистику по выходу обновлений для разных телефонов. С тех пор картина слабо изменилась. Возможно в будущем, если производители договорятся друг с другом, то все будут получать обновления вовремя.

    Тренды


    Если пофантазировать дальше, то намечаются интересные перспективы. Мобильные телефоны постоянно наращивают свои сенсорные способности, в них уже есть гироскоп, акселерометр, магнетометр, датчик освещения, датчик приближения, по одной камере с каждой стороны, пара микрофонов, GPS, Bluetooth, Wi-Fi, NFC. Умелое использование этих возможностей позволяет творить удивительные вещи. Ещё два года назад исследователи безопасности использовали акселерометр лежащего рядом с клавиатурой телефона для скрытного распознавания печатаемых слов, а теперь и разработчики телефонов подоспели, и в некоторых новых моделях микрофон вообще всегда будет включён и готов к распознаванию голосовых команд.

    Появляются ботнеты из телефонов, заражённые компьютеры и мобильные устройства начинают работать сообща. Набирает популярность практика Bring Your Own Device, и мишенью может стать не ваши данные, а сеть вашего работодателя. Кроме того, появляются новые мобильные устройства: трекеры, умные часы и очки. Во всем известных очках уже обнаружились первые уязвимости — программное обеспечение камеры автоматически обрабатывало QR-коды попавшие в кадр, что позволяло злоумышленнику загружать вредоносное ПО на устройство.

    Памятка


    Как уследить за всей этой кутерьмой технологий, стандартов, взломщиков и защитников? Можно подписаться на рассылку новостей информационной безопасности, понаставить антивирусы, файрволы и жить в криптоконтейнере. Если у вас не так много времени, то просто запомните несколько несложных советов:

    • Опишите важную информацию, доступ к которой есть с вашего телефона. Составьте список того, что вы не хотели бы потерять или отдать незнакомым людям. Можете просто перечислить в уме: список контактов, фотографии, видеозаписи, заметки, расписание, переписка, настройки, облачные хранилища, банк паролей. За своим имуществом проще следить, когда оно упорядочено.
    • Периодически делайте уборку. Проверяйте установленные программы, удаляйте неиспользуемые, ставьте обновления для приложений и прошивки. Некоторые приложения делают «корзину» для удалённых данных, туда тоже заглядывайте. Если не используете рут или режим разработчика, то может они вам больше и не нужны?
    • Следите за деньгами на телефоне. Денежки счёт любят. Как минимум вы всегда будете в курсе того, что оператор снова подключил вам ненужный сервис.
    • Не забывайте делать бэкапы. И не забывайте их проверять. Если возможно, то делайте полный образ телефона, так его проще будет восстановить.
    • Составьте план на случай потери телефона. Запомните номера людей или организаций, которых нужно предупредить. Разберитесь с процедурой восстановления доступа, если используете где-либо двухфакторную авторизацию. Храните документы к телефону, в которых записан IMEI, спишите его из системных настроек или с корпуса телефона на случай, если придётся идти в полицию. Подумайте об установке программы-антивора.
    • Предупредите близких о возможных опасностях. Почаще общайтесь с ними, чтобы их не смутила смска вида «Срочно брось мне денег на этот телефон! +71234567890».
    • Ну и наконец, будьте настороже. Следите за безопасностью как за своим здоровьем. Избавьтесь от вредных привычек и не лазайте по злачным местам.
    • Купите по липовым документам предоплаченный бабушкофон, держите его выключенным и включайте только для коротких звонков.
    ASUS Russia 143,17
    Компания
    Поделиться публикацией
    Похожие публикации
    Комментарии 16
    • +4
      " программное обеспечение камеры автоматически обрабатывало QR-коды попавшие в кадр, что позволяло злоумышленнику загружать вредоносное ПО на устройство. " — прям как автозапуск с флэшки в Windows XP, чесс слово.
      • +1
        Просто не надо превращать телефон в помойку. Зачем устанавливать 100500 приложений, если пользуешься только 4мя-5ю из них? У меня на смартфоне только необходимый набор приложений, кроме стандартных. Файерволом полностью зарезан выход в сеть всему, кроме тех приложений, которые должны выходить в сеть. Интернет подключается только тогда, когда мне надо зайти в интернет со смартфона. Живу спокойно.
        • 0
          Поставил бы второй плюс за картинку, но низзя :(
          • –2
            А че там такого?! Какие-то измятые джинсы. Явно коротко подрезанные из-за чрезмерной изношенности штанин. Махры неравномерно торчат — стало быть это не замысел, а некая случайность (может в стиральной машинке зажевало… не знаю). Карманы топорщатся. Да и ткань что-то толстовата. Изрядно выцвела джинса…
            Может я чего-то не заметил?
          • +1
            А еще важный совет — установить программный комплекс защиты. Не знаю, есть ли пакеты для обычных телефонов, но пользоваться смартфоном без антивируса или какой-либо Mobile Security — это рискованно.
            Можно подписаться на рассылку новостей информационной безопасности, понаставить антивирусы, файрволы и жить в криптоконтейнере.
            — да простит меня автор, однако не думаю, что ирония здесь уместна. Не хочу быть Кэпом, но есть люди, которые пренебрегают этими советами.:( Ведь не секрет, что системные уязвимости наличествуют и в «Андроиде», и в iOs. И что плохого, когда пароли лежат в зашифрованном файле, а попытки несанкционированного доступа к сети/смартфону пресекаются на корню?

            Кроме того, не стоит устанавливать ПО из сомнительных источников. К примеру, с неизвестного бангладешского форума.

            А за текст — спасибо.
            • +1
              Согласен, но абсолютно автономные вирусы, которые для распространения не требуют взаимодействия с пользователем, это скорее исключение, подавляющее большинство всё равно требует какой-то интерактивности. Банальное повышение компьютерной грамотности может защитить не хуже антивируса, ведь им же для эффективной работы нужно быть частью операционной системы, а не обычным приложением, как это всегда бывает. Голова на плечах важнее. Благодаря работе маркетологов многие и так считают, что раз есть антивирус, значит полностью защищён. В делах защиты информации всегда надо начинать с людей, остальное опционально.
              • 0
                В делах защиты информации всегда надо начинать с людей, остальное опционально.
                — поддерживаю. К сожалению, не все пользователи смартфонов (ПК тоже) могут похвастать логикой. Это как баннер на сайте «Ваша система устарела и подвержена опасности. Хотите обновить сейчас?». И ведь нажимают и пускают к себе на устройство заразу.

                Я в «Чипе» читал, что обезопасить себя от сомнительных коннектов по Wi-Fi можно через VPN. Полезная штука, хоть и близкая к паранойе. Но это [изучение VPN] тоже вопрос пользовательской грамотности.

                В то же время, мне кажется, хороший пакет безопасности от проверенного производителя (а не Essential Safe Lite либо Freeze Invaders Total Care от безымянных компаний; названия случайны) будет полезен «чайнику», которому/-рый подарили/приобрел смартфон первый раз в жизни/привык пользоваться гаджетом из коробки. Взять, скажем, молоденькую студентку гуманитарного факультета, которая уверена, что слово «кастом» нужно писать через «о» и «ю». Или тут опять ловушка маркетологов? Хочется узнать ваше мнение по поводу этой коллизии.
            • +1
              Когда вы в последний раз ставили обновление безопасности на свой телефон?

              Это скорее вопрос к компаниям, в частности и к Asus, когда вы выпускали обновления последний раз? И не для сегоднешней-последней-топовой модели, а к смартфону выпущенному год или два назад?
              • +1
                Для первого PadFone, который вышел полтора года назад, последнее обновление прошивки выпущено две недели назад. PadFone 2 и PadFone Infinity, которые вышли после него, тоже не обидели.
              • +2
                А куда делась эта милая картинка с девушкой в шортиках?
              • 0
                В СНГ странах не так уж и много людей, которые умеют/могут/имеют соответствующие аппаратные средства для осуществления прослушки gsm (да и при осуществлении такого мониторинга есть довольно много нюансов, входящие довольно сложно прослушать, исходящие значительно легче). Подумайте, насколько важными должны быть Ваши звонки/смс, чтобы осуществлять за Вами такой мониторинг

                Уязвимость в симкартах очень сильно преувеличена (там действительно есть два интересных момента, но для их реализации нужно обладать разносторонними знаниями в телекоме (желательно проработать несколько лет в тех отделе оператора)

                Спуфинг sms или голосовых звонков действительно существует (но для чего-то кроме примитивных разводов его практически не используют)

                Наибольшую опасность таит в себе человеческий фактор (не оставляйте телефон без присмотра, не давайте его в руки ненадолго другим людям, не устанавливайте чего попало) и все будет ОК
                • 0
                  >К сожалению, информационная безопасность в повестке дня всегда стоит на последнем месте

                  Не обобщайте. Вообще, советую избегать слов «всегда», «никогда» и прочих — чаще всего они приведут вас к ложным заявлениям.

                  Я, конечно, не знаю, как с этим обстоит в компании Asus (возможно, именно так, как написано), но я знаю как минимум одну компанию, где любая фича в первую очередь рассматривается через призму информационной безопасности: BlackBerry. Знаю именно изнутри, т.к. участвовал в проектировании и создании нескольких её программных продуктов.
                  • +1
                    да-да! мы уже все наслышаны об «одной компании», где все пропускают через ПРИЗМУ :)
                    • 0
                      Об «одной»? Насколько я помню, их там как минимум с полдесятка было, а то и с десяток.
                  • 0
                    Тема CDMA не раскрыта. Вообще.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое