En février, nous avons publié un article «Pas un seul VPN. Une feuille de triche sur la façon de vous protéger et de protéger vos données. "
L'un des commentaires nous a incités à rédiger une suite de l'article. Cette partie est une source d'informations complètement autonome, mais nous vous recommandons néanmoins de vous familiariser avec les deux publications.
Un nouveau billet est consacré à la question de la sécurité des données (correspondance, photos, vidéos, c'est tout) dans les messageries instantanées et les appareils eux-mêmes, qui sont utilisés pour travailler avec des applications.
Messagers instantanés
TélégrammeEn octobre 2018, Nathaniel Sachi, étudiant de première année au Wake Technical College, a pu constater que le messager Telegram stockait les messages et les fichiers multimédias sur le disque local de l'ordinateur en clair.
L'élève a pu accéder à sa propre correspondance, y compris du texte et des photos. Pour ce faire, il a étudié les bases de données d'application stockées sur le disque dur. Il s'est avéré que les données sont difficiles à lire, mais pas cryptées. Et leur accès peut être obtenu même si l'utilisateur a défini un mot de passe pour l'application.
Dans les données obtenues, les noms et numéros de téléphone des interlocuteurs ont été trouvés, qui, si vous le souhaitez, peuvent être comparés. Les informations des chats privés sont également stockées sous forme ouverte.
Plus tard, Durov a déclaré que ce n'était pas un problème, car si un attaquant a accès à un PC utilisateur, il pourra obtenir des clés de cryptage et décoder toute correspondance sans aucun problème. Mais de nombreux experts en sécurité de l'information affirment que c'est grave.
De plus, Telegram s'est révélé vulnérable à une attaque par vol de clé, qui a été
découverte par un utilisateur Habr. Vous pouvez casser le mot de passe du code local de n'importe quelle longueur et complexité.
WhatsappÀ notre connaissance, ce messager stocke également des données sur le disque de l'ordinateur sous forme non cryptée. En conséquence, si un attaquant a accès au périphérique d'un utilisateur, toutes les données sont également ouvertes.
Mais il y a un problème plus global. Maintenant, toutes les sauvegardes de WhatsApp installées sur les appareils Android OS sont stockées dans Google Drive, ce que Google et Facebook ont convenu l'année dernière. Mais les sauvegardes de la correspondance, des fichiers multimédias et similaires
sont stockées sous forme non cryptée . Pour autant que l'on puisse en juger, les responsables de l'application des lois des mêmes États
- Unis
ont accès à Google Drive , il est donc possible que les forces de sécurité puissent afficher toutes les données stockées.
Vous pouvez crypter des données, mais pas les deux sociétés. Peut-être simplement parce que les sauvegardes sans chiffrement peuvent être facilement transférées et utilisées par les utilisateurs eux-mêmes. Très probablement, il n'y a pas de chiffrement non pas parce qu'il est difficile à mettre en œuvre techniquement: au contraire, vous pouvez protéger les sauvegardes sans aucune difficulté. Le problème est que Google a ses propres raisons de travailler avec WhatsApp - la société
analyse prétendument
les données stockées sur les serveurs Google Drive et les utilise pour afficher des publicités personnalisées. Si Facebook introduisait soudainement le cryptage pour les sauvegardes WhatsApp, Google perdrait instantanément l'intérêt pour un tel partenariat, ayant perdu une précieuse source de données sur les préférences des utilisateurs de WhatsApp. Bien sûr, ce n'est qu'une hypothèse, mais très probablement dans le monde du marketing de haute technologie.
Comme pour WhatsApp pour iOS, les sauvegardes sont enregistrées dans le cloud iCloud. Mais ici, les informations sont stockées sous forme non cryptée, ce qui est même indiqué dans les paramètres de l'application. Qu'Apple analyse ou non ces données n'est connu que de la société elle-même. Certes, les Cupertiniens n'ont pas de réseau publicitaire comme Google, nous pouvons donc supposer que la probabilité qu'ils analysent les données personnelles des utilisateurs de WhatsApp est beaucoup plus faible.
Tout ce qui précède peut être formulé comme suit - oui, non seulement vous avez accès à votre correspondance WhatsApp.
TikTok et autres messagersCe court service de partage de vidéos pourrait très rapidement devenir populaire. Les développeurs ont promis d'assurer une sécurité complète des données pour leurs utilisateurs. Il s'est avéré que le service lui-même a utilisé ces données sans en informer les utilisateurs. Pire encore: le service a collecté des données personnelles d'enfants de moins de 13 ans sans autorisation parentale. Les informations personnelles des mineurs - noms, e-mail, numéros de téléphone, photos et vidéos étaient accessibles au public.
Le service a
été condamné à une amende de plusieurs millions de dollars, les régulateurs ont également exigé de retirer toutes les vidéos tournées par des enfants de moins de 13 ans. TikTok obéit. Néanmoins, d'autres messagers et services utilisent leurs données personnelles à leurs fins, vous ne pouvez donc pas être sûr de leur sécurité.
Cette liste peut être prolongée indéfiniment - la plupart des messagers ont l'une ou l'autre vulnérabilité qui permet aux attaquants d'écouter les utilisateurs (Viber est
un excellent exemple , bien que tout semble y être corrigé) ou de voler leurs données. En outre, la quasi-totalité des 5 principales applications stockent les données des utilisateurs sous une forme non protégée sur le disque dur de l'ordinateur ou dans la mémoire du téléphone. Et c'est si vous ne vous souvenez pas des services spéciaux de divers pays, qui peuvent avoir accès aux données des utilisateurs grâce à la loi. Les mêmes Skype, VKontakte, TamTam et autres fournissent des informations sur n'importe quel utilisateur à la demande des autorités (par exemple, la Fédération de Russie).
Bonne protection au niveau du protocole? Pas de problème, cassez l'appareil
Il y a quelques années,
un conflit a éclaté entre Apple et le gouvernement américain. La société a refusé de déverrouiller le smartphone crypté présenté lors de l'attentat terroriste dans la ville de San Bernardino. Ensuite, cela a semblé être un vrai problème: les données étaient bien protégées et le piratage d'un smartphone était soit impossible, soit très difficile.
Maintenant, la situation est différente. Par exemple, la société israélienne Cellebrite vend des logiciels et du matériel à des entités juridiques en Russie et dans d'autres pays, ce qui vous permet de pirater tous les modèles d'iPhone et d'Android. Un
livret publicitaire a été
publié l'année dernière avec des informations relativement détaillées sur ce sujet.
L'enquêteur judiciaire de Magadan Popov s'introduit dans un smartphone en utilisant la même technologie que le Federal Bureau of Investigation des États-Unis. Source: BBCL'appareil est peu coûteux selon les normes de l'État. Pour UFED Touch2, l'administration Volgograd de SKR a payé 800 000 roubles, Khabarovsk - 1,2 million de roubles. En 2017, Alexander Bastrykin, chef du comité d'enquête de la Fédération de Russie, a confirmé que son département
utilisait les décisions d' une entreprise israélienne.
Sberbank achète également de tels appareils, mais pas pour mener des enquêtes, mais pour lutter contre les virus sur les appareils Android. "Si un appareil mobile est soupçonné d'être infecté par un code malveillant inconnu et après avoir obtenu le consentement obligatoire des propriétaires de téléphones infectés, une analyse sera effectuée pour rechercher de nouveaux virus émergents et mutants en permanence à l'aide de divers outils, notamment en utilisant UFED Touch2", a indiqué la société.
Les Américains ont également des technologies qui permettent de pirater n'importe quel smartphone. Grayshift promet de casser 300 smartphones pour 15 mille dollars américains (c'est 50 $ par unité contre 1500 $ pour Cellbrite).
Il est probable que les cybercriminels disposent d'appareils similaires. Ces appareils sont constamment améliorés - la taille diminue, la productivité augmente.
Nous parlons maintenant des téléphones plus ou moins connus des grands fabricants soucieux de protéger les données de leurs utilisateurs. Si nous parlons de petites entreprises ou d'organisations de nom, alors dans ce cas, les données sont supprimées sans problème. Le mode HS-USB fonctionne même lorsque le chargeur de démarrage est verrouillé. Les modes de service, en règle générale - une «porte dérobée» à travers laquelle vous pouvez extraire des données. Sinon, vous pouvez vous connecter au port JTAG ou même retirer la puce eMMC, puis l'insérer dans un adaptateur peu coûteux. Si les données ne sont pas chiffrées,
vous pouvez tout
retirer du téléphone, y compris les jetons d'authentification qui donnent accès au stockage cloud et à d'autres services.
Si quelqu'un a un accès personnel à un smartphone contenant des informations importantes, vous pouvez le pirater si vous le souhaitez, quoi qu'en disent les fabricants.
Il est clair que tout ce qui précède s'applique non seulement aux smartphones, mais aussi aux ordinateurs avec des ordinateurs portables sur différents systèmes d'exploitation. Si vous n'avez pas recours à des mesures de protection avancées, mais que vous vous contentez de méthodes conventionnelles telles que le mot de passe et la connexion, les données resteront en danger. Un pirate expérimenté ayant un accès physique à l'appareil pourra obtenir presque toutes les informations - ce n'est qu'une question de temps.
Alors que faire?
Sur Habr, la question de la sécurité des données sur les appareils personnels a été abordée plus d'une fois, donc nous ne réinventerons pas la roue. Nous n'indiquerons que les principales méthodes qui réduisent la probabilité que des tiers obtiennent vos données:
- Il est impératif d'utiliser le cryptage des données à la fois sur un smartphone et sur un PC. Différents systèmes d'exploitation fournissent souvent de bons outils par défaut. Un exemple est la création d'un cryptoconteneur sous Mac OS à l'aide d'outils classiques.
- Définissez des mots de passe partout et partout, y compris l'historique de la correspondance dans Telegram et autres messageries instantanées. Naturellement, les mots de passe doivent être complexes.
- Authentification à deux facteurs - oui, cela peut être gênant, mais si le problème de sécurité vient en premier, vous devez vous entendre.
- Surveillez la sécurité physique de vos appareils. Prendre un PC d'entreprise dans un café et l'oublier là-bas? Classique Les normes de sécurité, y compris d'entreprise, sont écrites par les larmes des victimes de leur propre négligence.
Analysons vos méthodes dans les commentaires, ce qui peut réduire la probabilité de piratage de données lorsqu'un tiers a accès à un appareil physique. Nous ajouterons ensuite les méthodes proposées à l'article ou publierons sur notre
chaîne de télégramme , où nous écrivons régulièrement sur la sécurité, les hacks à vie sur l'utilisation de
notre VPN et la censure sur Internet.