2月,我们发表了一篇文章“不是一个VPN。 关于如何保护自己和数据的备忘单。”
其中一项评论促使我们写了本文的续篇。 这部分是完全自主的信息源,但是我们仍然建议您熟悉这两篇文章。
一篇新文章专门讨论了即时通讯程序和用于与应用程序一起使用的设备本身中的数据安全性问题(通讯,照片,视频等)。
即时通讯工具
电报早在2018年10月,纳萨尼尔·萨奇(Nathaniel Sachi)韦克技术学院的一年级学生就能发现Telegram Messenger是以明文形式将消息和媒体文件存储在计算机的本地磁盘上。
该学生能够访问他自己的书信,包括文本和图片。 为此,他研究了存储在HDD上的应用程序数据库。 事实证明,数据很难读取,但是没有加密。 即使用户已经为应用程序设置了密码,也可以访问它们。
在获得的数据中,找到了对话者的姓名和电话号码,如果需要,可以将其进行比较。 来自私人聊天的信息也以开放形式存储。
后来,杜罗夫说这不是问题,因为如果攻击者可以访问用户PC,他将能够获得加密密钥并解码所有对应关系而不会出现任何问题。 但是许多信息安全专家声称这很严重。
另外,Telegram证明容易受到Habr用户
发现的密钥盗窃攻击。 您可以破解任何长度和复杂性的本地代码密码。
Whatsapp的据我们所知,该Messenger还以未加密形式将数据存储在计算机磁盘上。 因此,如果攻击者可以访问用户的设备,则所有数据也将打开。
但是,还有一个更全球性的问题。 现在,来自Android操作系统设备上安装的WhatsApp的所有备份都存储在Google云端硬盘中,而Google和Facebook去年同意了该备份。 但是通信,媒体文件等的备份
以未加密的形式存储 。 据人们判断,同一美国的执法人员
可以访问Google云端硬盘 ,因此安全部队有可能查看任何存储的数据。
您可以加密数据,但是两家公司都不能。 可能仅仅是因为未经加密的备份可以由用户自己轻松地传输和使用。 最有可能的是,没有加密不是因为技术上难以实现:相反,您可以毫无困难地保护备份。 问题在于,谷歌有其自身与WhatsApp合作的理由-据称该公司会
分析存储在Google云端硬盘服务器上的数据,并使用它来显示个性化广告。 如果Facebook突然为WhatsApp备份引入了加密功能,那么Google将失去对WhatsApp用户首选项的宝贵数据来源,从而立即失去对这种伙伴关系的兴趣。 当然,这只是一个假设,但是在高科技营销领域很有可能。
至于iOS版WhatsApp,备份将保存到iCloud云中。 但是在这里,信息以未加密的形式存储,甚至在应用程序设置中也有说明。 苹果公司是否分析这些数据,只有公司自己知道。 的确,库珀提尼安主义者没有像Google这样的广告网络,因此我们可以假设,他们对WhatsApp用户进行个人分析的可能性要低得多。
以上所有内容均可表述为-是的,不仅您可以访问WhatsApp通讯。
TikTok和其他使者这种简短的视频共享服务可能很快会变得流行。 开发人员承诺将确保其用户的完整数据安全。 事实证明,服务本身在不通知用户的情况下使用了此数据。 更糟糕的是:该服务未经父母同意就从13岁以下的儿童那里收集了个人数据。 未成年人的个人信息-姓名,电子邮件,电话号码,照片和视频可公开获得。
该服务
被罚款数百万美元,监管机构还要求删除所有13岁以下儿童拍摄的视频。 TikTok服从了。 但是,其他使者和服务会出于个人目的使用其个人数据,因此您无法确定其安全性。
此列表可以无限期地继续-大多数Messenger都具有一个或另一个漏洞,攻击者可以利用该漏洞来监听用户(Viber是
一个很好的例子 ,尽管似乎所有东西都固定在那里)或窃取其数据。 此外,几乎所有前五名应用程序都以不受保护的形式将用户数据存储在计算机的硬盘驱动器或电话的内存中。 这是如果您不记得各个国家的特殊服务,由于法律的原因,这些特殊服务可能会访问用户数据。 相同的Skype,VKontakte,TamTam和其他公司应当局(例如俄罗斯联邦)的要求提供有关任何用户的任何信息。
好的协议级别保护? 没问题,打破设备
几年前,苹果与美国政府之间
爆发了冲突 。 该公司拒绝解锁在圣贝纳迪诺市发生恐怖袭击时使用的加密智能手机。 然后,这似乎是一个真正的问题:数据受到了很好的保护,并且对智能手机进行黑客攻击既不可能,也很难。
现在情况有所不同。 例如,以色列公司Cellebrite正在向俄罗斯和其他国家/地区的法人实体出售软件和硬件,这使您可以入侵所有iPhone和Android模型。 去年
出版了一
本广告手册 ,其中包含有关该主题的相对详细的信息。
马加丹的法医调查员Popov闯入了使用与美国联邦调查局相同技术的智能手机。 资料来源:BBC根据国家标准,该设备价格便宜。 对于UFED Touch2,伏尔加格勒SKR管理局支付了80万卢布,哈巴罗夫斯克支付了120万卢布。 2017年,俄罗斯联邦调查委员会负责人Alexander Bastrykin确认其部门正在
使用以色列公司
的决定 。
Sberbank也购买了此类设备,尽管不是为了进行调查,而是为了在Android设备上对抗病毒。 该公司表示:“如果怀疑移动设备感染了未知的恶意代码,并且在获得被感染手机所有者的强制性同意后,将进行分析,以使用各种工具(包括UFED Touch2)搜索不断出现的变异病毒。”
美国人还拥有可以入侵任何智能手机的技术。 Grayshift承诺以1.5万美元的价格破解300部智能手机(每部售价50美元,Cellbrite则为1,500美元)。
网络犯罪分子很可能具有类似的装置。 这些设备不断改进-尺寸不断减小,生产率不断提高。
现在,我们谈论的是主要制造商或多或少知名的电话,它们担心保护其用户数据。 如果我们在谈论较小的公司或名词名称组织,那么在这种情况下,数据将毫无问题地被删除。 即使引导加载程序被锁定,HS-USB模式也可以工作。 服务模式通常是一个“后门”,您可以通过它提取数据。 如果没有,您可以连接到JTAG端口,甚至卸下eMMC芯片,然后将其插入价格便宜的适配器中。 如果数据未加密,则所有内容都
可以从电话中
取出 ,包括用于访问云存储和其他服务的身份验证令牌。
如果某人可以使用具有重要信息的智能手机进行个人访问,那么无论制造商怎么说,都可以根据需要对其进行破解。
显然,以上所有内容不仅适用于智能手机,而且适用于在各种操作系统上装有笔记本电脑的计算机。 如果您不采取高级保护措施,而是对密码和登录之类的常规方法感到满意,那么数据将处于危险之中。 拥有对设备进行物理访问的经验丰富的破解者将能够获取几乎所有信息-这只是时间问题。
那该怎么办呢?
在Habr上,涉及个人设备的数据安全性的问题已经不止一次地被提及,因此我们不会重蹈覆辙。 我们只会说明减少第三方获取您数据的可能性的主要方法:
- 在智能手机和PC上都必须使用数据加密。 不同的操作系统通常提供良好的默认工具。 一个示例是使用常规工具在Mac OS中创建 cryptocontainer。
- 随时随地设置密码,包括Telegram和其他即时通讯程序中的通信历史记录。 自然,密码必须很复杂。
- 两因素身份验证-是的,这可能会带来不便,但是如果首先遇到安全问题,则必须要接受。
- 监视设备的物理安全性。 在一间咖啡馆拿一台公司PC,忘记了吗? 经典版 安全标准,包括公司标准,都是由自己过失的受害者的眼泪写成的。
让我们在注释中分析您的方法,这可以减少第三方访问物理设备时数据被黑客入侵的可能性。 然后,我们将提议的方法添加到文章中或在
电报频道中发布,在该
电报频道中 ,我们定期撰写有关安全性,使用
VPN的生活攻关和互联网审查的信息。