暗号化が役に立たない場合：デバイスへの物理的アクセスについて話す

2月に、「単一のVPNではありません。」という記事を公開しました。 自分とデータを保護する方法に関するチートシート。」 コメントの1つは、記事の続きを書くように促しました。 この部分は完全に独立した情報源ですが、それでも両方の投稿に精通することをお勧めします。







新しい投稿は、アプリケーションの操作に使用されるインスタントメッセンジャーとデバイス自体のデータセキュリティ（通信、写真、ビデオ、それだけです）の問題に当てられています。

インスタントメッセンジャー

電報



2018年10月、ナサニエルサチのウェイクテクニカルカレッジの1年生は、Telegramメッセンジャーがメッセージとメディアファイルをコンピューターのローカルディスクにクリアテキストで保存していることを発見しました。



学生は、テキストや写真を含む彼自身の通信にアクセスすることができました。 これを行うために、彼はHDDに保存されているアプリケーションデータベースを調べました。 データは読みにくいが、暗号化されていないことが判明した。 また、ユーザーがアプリケーションのパスワードを設定していても、それらへのアクセスを取得できます。



取得したデータで、対話者の名前と電話番号が見つかりました。必要に応じて比較できます。 プライベートチャットからの情報もオープン形式で保存されます。



後にDurovは、攻撃者がユーザーのPCにアクセスできる場合、暗号化キーを取得し、問題なくすべての通信をデコードできるため、これは問題ではないと述べました。 しかし、多くの情報セキュリティの専門家は、これはまだ深刻だと主張しています。





さらに、Telegramは、Habrユーザーによって発見されたキー窃盗攻撃に対して脆弱でした。 任意の長さと複雑さのローカルコードパスワードを解読できます。



Whatsapp



私たちの知る限り、このメッセンジャーは暗号化されていない形式でコンピューターのディスクにもデータを保存します。 したがって、攻撃者がユーザーのデバイスにアクセスできる場合、すべてのデータも開かれます。



しかし、よりグローバルな問題があります。 これで、Android OSを搭載したデバイスにインストールされたWhatsAppからのすべてのバックアップがGoogleドライブに保存され、GoogleとFacebookが昨年合意しました。 ただし、通信、メディアファイルなどのバックアップは暗号化されていない形式で保存されます。 判断できる限り、同じ米国の法執行官はGoogleドライブにアクセスできるため、治安部隊が保存されたデータを閲覧できる可能性があります。



データを暗号化できますが、両社は暗号化しません。 おそらく、暗号化されていないバックアップをユーザー自身が簡単に転送して使用できるからです。 ほとんどの場合、暗号化は技術的な実装が難しいためではなく、逆に、バックアップを問題なく保護できます。 問題は、GoogleがWhatsAppと連携する独自の理由があることです。同社は、Googleドライブサーバーに保存されているデータを分析し、それを使用してパーソナライズされた広告を表示します。 FacebookがWhatsAppバックアップ用の暗号化を突然導入した場合、GoogleはWhatsAppユーザー設定に関する貴重なデータソースを失い、そのようなパートナーシップへの関心を即座に失います。 これはもちろん仮定にすぎませんが、ハイテクマーケティングの世界では非常に可能性が高いです。



iOS用WhatsAppの場合、バックアップはiCloudクラウドに保存されます。 ただし、ここでは、情報は暗号化されていない形式で保存され、アプリケーションの設定にも記載されています。 Appleがこのデータを分析するかどうかは、企業自身のみが知っています。 確かに、クパチニアンにはGoogleのような広告ネットワークがないため、WhatsAppユーザーの個人分析の可能性ははるかに低いと想定できます。



上記はすべて、次のように定式化できます-はい、WhatsAppの通信にアクセスできるだけではありません。



TikTokおよびその他のメッセンジャー



この短いビデオ共有サービスは非常に急速に普及する可能性があります。 開発者は、ユーザーの完全なデータセキュリティを確保することを約束しました。 結局のところ、サービス自体はユーザーに通知せずにこのデータを使用していました。 さらに悪いことには、このサービスは13歳未満の子供から親の同意なしに個人データを収集しました。 未成年者の個人情報-名前、電子メール、電話番号、写真、ビデオは公開されていました。



このサービスには数百万ドルの罰金が科され 、規制当局は13歳未満の子供が撮影したすべての動画の削除も要求しました。 TikTokは従った。 それにもかかわらず、他のメッセンジャーとサービスはその目的のために個人データを使用するため、その安全性を確認することはできません。



このリストは無期限に継続できます-ほとんどのメッセンジャーには、攻撃者がユーザーの声を聞く（Viberが優れた例ですが、すべてがそこで修正されているようです）またはデータを盗むことができる1つまたは別の脆弱性があります。 さらに、上位5つのアプリケーションのほとんどすべてが、ユーザーデータを保護されていない形式でコンピューターのハードドライブまたは電話のメモリに保存します。 そしてこれは、法律のおかげでユーザーデータにアクセスできるさまざまな国の特別なサービスを覚えていない場合です。 同じSkype、VKontakte、TamTamなどは、当局（ロシア連邦など）の要求に応じて、ユーザーに関する情報を提供します。

プロトコルレベルの保護は良好ですか？ 問題ありません、デバイスを破壊します

数年前、アップルと米国政府の間で紛争が発生しました 。 この企業は、サンバーナーディーノ市でのテロ攻撃の際に登場した暗号化されたスマートフォンのロック解除を拒否しました。 その後、それは本当の問題のように見えました。データは十分に保護され、スマートフォンのハッキングは不可能または非常に困難でした。



今、状況は異なります。 たとえば、イスラエルの企業Cellebriteは、ロシアおよびその他の国の法人にソフトウェアとハ​​ードウェアを販売しているため、すべてのiPhoneおよびAndroidモデルをハッキングできます。 このトピックに関する比較的詳細な情報を記載した広告ブックレットが昨年発行されました。





マガダンの法医学捜査官ポポフは、米国連邦捜査局と同じテクノロジーを使用してスマートフォンに侵入します。 出典：BBC



州の標準により安価にデバイスの費用がかかります。 UFED Touch2の場合、SKRのヴォルゴグラード政権は80万ルーブル、ハバロフスク-120万ルーブルを支払いました。 2017年、ロシア連邦調査委員会の委員長であるアレクサンダーバストリキンは、彼の部門がイスラエルの会社の決定を使用していることを確認しました。



Sberbankは、調査を行うためではなく、Androidデバイス上のウイルスと戦うために、このようなデバイスも購入しています。 「モバイルデバイスが未知の悪意のあるコードに感染している疑いがあり、感染した電話の所有者の義務的な同意を得た後、UFED Touch2の使用を含むさまざまなツールを使用して、絶えず出現し、変異している新しいウイルスを検索するための分析が実行されます。



アメリカ人には、スマートフォンをハッキングできる技術もあります。 Grayshift社は、1万5,000ドルで300台のスマートフォンをハッキングすることを約束しています（これは、Cellbriteの場合1,500ドルに対して、ユニットあたり50ドルです）。



サイバー犯罪者も同様のデバイスを持っている可能性があります。 これらのデバイスは絶えず改善されています。サイズは縮小し、生産性は向上しています。



現在、ユーザーのデータを保護することを心配している大手メーカーの多かれ少なかれ有名な電話について話しています。 中小企業や名詞組織について話している場合、この場合、データは問題なく削除されます。 HS-USBモードは、ブートローダーがロックされている場合でも機能します。 通常、サービスモード-データを抽出できる「バックドア」。 そうでない場合は、JTAGポートに接続するか、eMMCチップを取り外してから、安価なアダプターに挿入します。 データが暗号化されていない場合は、クラウドストレージや他のサービスへのアクセスを提供する認証トークンなど、すべてを電話から引き出すことができます。



誰かが重要な情報を持つスマートフォンに個人的にアクセスできる場合、メーカーが何と言っても、必要に応じてそれをハッキングできます。



上記のすべてがスマートフォンだけでなく、さまざまなオペレーティングシステム上のラップトップを搭載したコンピューターにも適用されることは明らかです。 高度な保護対策に頼らずに、パスワードやログインなどの従来の方法で満足している場合、データは危険にさらされたままになります。 デバイスに物理的にアクセスできる経験豊富なクラッカーは、ほぼすべての情報を取得できます。これは時間の問題です。

それではどうしますか？

Habrでは、個人用デバイスのデータセキュリティの問題に何度も触れられているため、車輪の再発明は行いません。 サードパーティがデータを取得する可能性を減らす主な方法のみを示します。

• スマートフォンとPCの両方でデータ暗号化を使用することが不可欠です。 多くの場合、異なるオペレーティングシステムが適切なデフォルトツールを提供します。 例は、通常のツールを使用したMac OS での暗号コンテナーの作成です 。
  
  

• Telegramやその他のインスタントメッセンジャーでの通信履歴など、あらゆる場所にパスワードを設定します。 当然、パスワードは複雑でなければなりません。
  
  

• 二要素認証-はい、それは不便な場合がありますが、セキュリティの問題が最初に来る場合は、条件に合わせる必要があります。
  
  

• デバイスの物理的なセキュリティを監視します。 カフェで企業のPCを持ち帰り、そこを忘れてしまいましたか？ クラシック 企業を含む安全基準は、彼ら自身の過失の犠牲者の涙によって書かれています。

コメントでメソッドを分析してみましょう。これにより、第三者が物理デバイスにアクセスしたときにデータがハッキングされる可能性を減らすことができます。 次に、提案されたメソッドを記事に追加するか、 電報チャネルで公開します。ここでは、VPN 、インターネット検閲のセキュリティ、ライフハックについて定期的に書いています 。