Случалось ли вам когда-нибудь доставать телефон из кармана, потому что вам показалось, будто он жужжит, и обнаруживать, что на самом деле он не звонит? По-научному это называется «фантомный вжжж». Фантомный вжжж это побочный эффект древних человеческих инстинктов. В кустах шуршит тигр или мне показалось? Гены тех, кто решил, что тигра нет, или вообще ничего не заметил, очень быстро перестают передаваться по наследству, поэтому люди хорошо научились вычленять информацию даже среди шума. Пропущенный звонок вас наверняка огорчит, вот
К чему я веду? Эту реакцию можно проиллюстрировать поговоркой «лучше перебдеть, чем недобдеть». Как часто вы проводите время вдали от мобильного телефона? Чего уж греха таить, скорее всего, вы даже с ним спите. В режиме 24/7 рядом с вами находится устройство с микрофонами, камерами, GPS, всевозможными прочими датчиками и доступом в интернет, а вы доверяете ему свои деньги, распорядок дня, сокровенные мысли… Прямо-таки личный слуга! Насколько он надёжен?
К сожалению, информационная безопасность в повестке дня всегда стоит на последнем месте, поэтому в каждой технологической отрасли повторяется одна и та же история. Появляются первые пользователи технологии, она становится популярной, количество пользователей резко растёт, предприимчивые люди начинают использовать технологию для нечестного заработка, и только после нескольких крупных скандалов начинаются какие-то движения по части информационной безопасности. Так было и с сотовой связью. Первые мобильные телефоны вообще можно было прослушивать с помощью радиоприёмника.
Потом появились цифровые стандарты связи, но стало не намного лучше. Для GSM были созданы секретные протоколы шифрования, но, по всей видимости, сердобольные спецслужбы приложили к разработке руку, и протоколы получились так себе. Как будто этого было мало, создали две версии протокола: одна для «своих», другая для «потенциального врага». Защита GSM скорее разрабатывалась для отвода глаз и пресечения бесплатных звонков, ведь только телефон должен представляться сети, а сеть не должна подтверждать свою подлинность. Как только этот факт стал известен взломщикам, появились поддельные сотовые станции, с помощью которых можно подслушивать разговоры и совершать операции со счётом, этот способ популярен и до сих пор. Но похоже, что в ближайшем будущем самодельное оборудование потеснят фемтосоты, которые можно купить прямо у операторов по доступной цене.
К слову, один из активных исследователей безопасности мобильных технологий, Карстен Нол, вскрывший в 2009 году шифр A5/1, использующийся в GSM, недавно рассказал о найденной уязвимости в старых симкартах, использующих DES. Эту новость про «750 миллионов взломанных телефонов» даже по телевизору показывали. Когда вы в последний раз умышленно меняли симкарту? То-то же! На хабре уже подробно расписали суть проблемы и как с ней бороться, почитайте.
Ситуация с смсками не лучше. Если забыть про спамеров и мошенников с короткими номерами, то остаётся ещё смс-спуфинг. Спуфинг это когда к вам приходит сообщение с одного номера, а на самом деле его отправили с другого. Например, вы получаете сообщение с ссылкой якобы от вашего друга, открываете, а там может быть что угодно: подписка на платный сервис, вирус, просто реклама. Или может придти смска от вашей пассии с предложением встретиться, вы приезжаете, там никого нету, вы ждёте, а у вас квартиру обчищают.
Более продвинутый спуфинг может использовать ошибки обработки сообщений в операционной системе устройства получателя, тогда в отправителе сообщения будет отображаться один номер, но ответное сообщение будет отправляться на другой. Возможности для мошенничества открываются безграничные. Если вы думаете, что SMS-спуфинг это дело сложное, спешу вас разуверить, в интернете есть куча сайтов, которые его предлагают как сервис. Достаточно зарегистрироваться и можно начинать вершить судьбы людей.
Bluetooth и Wi-Fi
Большинство вышеупомянутых проблем связаны с плохим наследием и слабой проработкой вопросов безопасности в своё время. Однако, с тех пор у телефонов появились и другие интерфейсы, способные доставить вам проблемы. Bluetooth и Wi-Fi во многом похожи и весьма надёжны, все серьёзные уязвимости подразумевают использование устаревших версий протоколов и оборудования. Но даже самая защищённая технология не справится, если вы сами поможете атакующим. Одна из популярных атак через Bluetooth: поменять имя устройства на «Введите 1234», придти в людное место и начать рассылать приглашения на подключение всем вокруг. Получивший приглашение увидит на экране что-нибудь вроде «Введите 1234 хочет подключиться к вашему телефону». Кто-то в суете дня не сразу сообразит что к чему, кому-то станет любопытно, а доступ-то получен. Для борьбы с подобными вещами в некоторых телефонах обнаружение устройства по умолчанию выключено, и для подключения его нужно специально включать, но лучше в этом удостовериться, чтобы в будущем не было проблем. А ещё лучше вообще выключать Bluetooth, когда он не нужен, это экономит нервы и батарею.
Проблема подключения к непонятным сетям свойственна и для Wi-Fi. В бесплатных сетях без шифрования в кафе и торговых центрах данные передаются в открытом виде, для их перехвата не нужно прилагать никаких усилий. Вообще говоря, точка доступа тоже может быть поддельной. Большинство сайтов не использует https во время авторизации, в том числе Хабрахабр, а значит логин и пароль можно подсмотреть. Даже если угнанная учётка не представляет большой ценности для вас, её могут использовать для мошенничества или рассылки спама.
Дело усугубляется тем, что многие приложения очень любят без спросу лезть в интернет, при этом, опять-таки, не используя шифрование. Вы можете даже не заметить как какой-нибудь список задач сольёт ваши данные.
Приложения и личные данные
Кстати о приложениях и данных. В современных мобильниках приложения используются для работы с множеством разной информации, а облачные хранилища потенциально могут содержать неограниченный объём данных. Более того, многие приложения используют информацию из других приложений, снабжают их метаданными, например временем модификации и местоположением. Настоящая находка для шпиона.
Зачастую эти данные уже лежат в открытом доступе благодаря разработчикам, которые стараются сделать публикацию в социальных сетях как можно проще. Анализируя эту информацию можно узнать привычки человека, его распорядок дня, место жительства и работы. На первый взгляд это не так много, но достаточно, чтобы использовать эту информацию в какой-нибудь преступной схеме.
Есть довольно старый трюк с телефонными опросами. Вам звонят якобы для опроса общественного мнения, хотят узнать вашу любимую радиостанцию. Когда вы её слушаете? Вы слушаете её в машине или дома? А другие члены семьи? Как вы относитесь к розыгрышу путёвок по радио? Положительно? А где вы обычно отдыхаете? Такими нехитрыми вопросами можно узнать благосостояние семьи, в какое время в квартире нет хозяев, и когда её можно обчистить. Теперь для этого есть социальные сети.
Дело даже не в том, что у вас что-то украдут. Интернет большой, и в нём всегда найдутся неадекватные люди, которым нравится оскорблять и донимать людей, и вы бы не хотели, чтобы они воспользовались этой информацией. Подобные случаи не редкость, особенно если жертва прославилась в связи с какой-то новостью. Бороться с лишними метаданными можно отключением опций в настройках приложений или с помощью специальных программ, которые подсовывают ложные данные приложениям, например такой. Последний способ также может помочь в случаях, когда доверенные приложения шалят и собирают лишнюю информацию.
Но хватит об этом, лучше поговорим о вирусах и кулхацкерах. Грань между компьютерами и мобильными телефонами постепенно стирается, а заодно становятся общими и их проблемы. Даже методы одинаковые: как в старые добрые времена, вирусы распространяют через варезные сайты и сомнительные рассылки. Но, как всегда, история никого ничему не учит, и защищающиеся опять в позиции догоняющих. Некоторые подвижки всё же есть, например обязательная сертификация всех приложений и их централизованное распространение. Правда эта схема не работает, если вы разрешили запуск неподписанных приложений. И получили рут на своём телефоне. И поставили тестовую прошивку с какого-то форума. Ууупс.
К счастью, вирусы пока что не очень страшные, злобные руткиты ещё не пришли на мобильные телефоны. Пока вирусописатели ограничиваются посылкой смс на платные номера или маскируют вредоносное ПО под популярные игры и требуют деньги для открытия доступа к новым уровням. С учётом современных «прогрессивных» методов монетизации, пользователь может и не заметить подвох.
Впрочем, даже если вы не любите экспериментировать с прошивками и настройками, то остаются уязвимости ОС. Когда вы в последний раз ставили обновление безопасности на свой телефон? Если вы владелец телефона на Android, то скорее всего никогда. На хабре выкладывали статистику по выходу обновлений для разных телефонов. С тех пор картина слабо изменилась. Возможно в будущем, если производители договорятся друг с другом, то все будут получать обновления вовремя.
Тренды
Если пофантазировать дальше, то намечаются интересные перспективы. Мобильные телефоны постоянно наращивают свои сенсорные способности, в них уже есть гироскоп, акселерометр, магнетометр, датчик освещения, датчик приближения, по одной камере с каждой стороны, пара микрофонов, GPS, Bluetooth, Wi-Fi, NFC. Умелое использование этих возможностей позволяет творить удивительные вещи. Ещё два года назад исследователи безопасности использовали акселерометр лежащего рядом с клавиатурой телефона для скрытного распознавания печатаемых слов, а теперь и разработчики телефонов подоспели, и в некоторых новых моделях микрофон вообще всегда будет включён и готов к распознаванию голосовых команд.
Появляются ботнеты из телефонов, заражённые компьютеры и мобильные устройства начинают работать сообща. Набирает популярность практика Bring Your Own Device, и мишенью может стать не ваши данные, а сеть вашего работодателя. Кроме того, появляются новые мобильные устройства: трекеры, умные часы и очки. Во всем известных очках уже обнаружились первые уязвимости — программное обеспечение камеры автоматически обрабатывало QR-коды попавшие в кадр, что позволяло злоумышленнику загружать вредоносное ПО на устройство.
Памятка
Как уследить за всей этой кутерьмой технологий, стандартов, взломщиков и защитников? Можно подписаться на рассылку новостей информационной безопасности, понаставить антивирусы, файрволы и жить в криптоконтейнере. Если у вас не так много времени, то просто запомните несколько несложных советов:
- Опишите важную информацию, доступ к которой есть с вашего телефона. Составьте список того, что вы не хотели бы потерять или отдать незнакомым людям. Можете просто перечислить в уме: список контактов, фотографии, видеозаписи, заметки, расписание, переписка, настройки, облачные хранилища, банк паролей. За своим имуществом проще следить, когда оно упорядочено.
- Периодически делайте уборку. Проверяйте установленные программы, удаляйте неиспользуемые, ставьте обновления для приложений и прошивки. Некоторые приложения делают «корзину» для удалённых данных, туда тоже заглядывайте. Если не используете рут или режим разработчика, то может они вам больше и не нужны?
- Следите за деньгами на телефоне. Денежки счёт любят. Как минимум вы всегда будете в курсе того, что оператор снова подключил вам ненужный сервис.
- Не забывайте делать бэкапы. И не забывайте их проверять. Если возможно, то делайте полный образ телефона, так его проще будет восстановить.
- Составьте план на случай потери телефона. Запомните номера людей или организаций, которых нужно предупредить. Разберитесь с процедурой восстановления доступа, если используете где-либо двухфакторную авторизацию. Храните документы к телефону, в которых записан IMEI, спишите его из системных настроек или с корпуса телефона на случай, если придётся идти в полицию. Подумайте об установке программы-антивора.
- Предупредите близких о возможных опасностях. Почаще общайтесь с ними, чтобы их не смутила смска вида «Срочно брось мне денег на этот телефон! +71234567890».
- Ну и наконец, будьте настороже. Следите за безопасностью как за своим здоровьем. Избавьтесь от вредных привычек и не лазайте по злачным местам.
Купите по липовым документам предоплаченный бабушкофон, держите его выключенным и включайте только для коротких звонков.
Автор: BasmanovDaniil