Zrádné smartphony aneb chytré telefony, které vás mohou i zničit
Únik informací, naprostá ztráta soukromí, kompromitace a finanční problémy, to jsou největší rizika, kterým jsou vystaveni uživatelé smartphonů. A většina z nich si tato rizika vůbec neuvědomuje nebo je přesvědčena, že se jich netýkají.
Bohužel tomu tak není. Těmto rizikům jsou vystaveni prakticky všichni a to od čelních představitelů vlády, police, armády, přes vlastníky firem, profesionální manažery a jejich asistentky, až po drobné a střední podnikatele, živnostníky či prosté občany.
Uživatelé si jaksi neuvědomují, že se na jejich smartphonu může nacházet software, který je schopen bez jejich vědomí aktivovat GPS, akcelometr, kameru, mikrofon a zaznamenávat probíhající rozhovor včetně přesného určení místa, kde se jejich majitelé právě nachází. Kromě toho se může připojit do internetu a přeposílat na server útočníka kompletní obsah SMS zpráv, uložené kontakty a informace o uskutečněných hovorech. Avšak tím výčet schopností softwaru tohoto typu zdaleka nekončí, neboť kromě výše uvedeného umožňuje nepozorovaně připojit do hovoru dalšího účastníka, realizovat skryté hovory a uživatele tak odposlouchávat. Stejně tak může volat na placená čísla, posílat drahé SMS apod. A vězte, že způsobů, jak se může do vašeho telefonu tento software dostat, je mnoho a často k tomu nejsou nutné ani žádné znalosti.
Možné způsoby zavlečení škodlivého kódu
Jak již bylo naznačeno, škodlivý kód se může na váš smartphone dostat mnoha různými způsoby. Škodlivý kód se může dokonce nacházet i na zcela novém telefonu, neboť na něj mohl být nahrán samotným útočníkem. A vy prakticky nemáte moc možností jak zjistit, které aplikace pochází přímo od výrobce operačního systému, a které do něj byly přidány později. Nehledě na to, že škodlivý kód může běžet na pozadí a vy tak o něm vůbec nemusíte vědět. Nakažené smartphony mohou být dodány do konkrétní společnosti nebo organizace, která je předmětem zájmu útočníka. A může se jednat jak o sponzorský dar, tak i dodávku na základě zcela transparentního tendru, neboť se ví, která firma v něm zvítězila a jaký typ smartphonů je předmětem dodávky např. pro konkrétní ministerstvo apod.
Testovali jsme několik telefonů stejného typu s operačním systémem Google Android od různých prodejců a vězte, že na všech byla jiná verze firmwaru, aplikací a dokonce i různá výchozí úroveň zabezpečení. Neděláme si iluze, že kdybychom stejný test zopakovali se smartphony od jiných výrobců, tak že bychom dospěli k jinému výsledku. Musíme proto konstatovat, že za takovéto situace nelze smartphony považovat za důvěryhodné.
Majitelé chytrých telefonů si však mohou škodlivý kód stáhnout do svého smartphonu sami, neboť zcela běžně na něj instalují spoustu nejrůznějších aplikací a ne vždy z důvěryhodných zdrojů. Stačí také, když smartphone ponecháte chvíli bez dozoru a někdo jiný, třeba váš kolega, přítelkyně, obchodní partner, vám tam může cokoliv nainstalovat. Ale ani v případě, že si dáváte pozor a aplikace instalujete pouze z oficiálního marketu, si nemůžete být zcela jisti, že aplikace nedělá krom požadovaných funkcí ještě něco naprosto nežádoucího. Nebyl by to ostatně první případ, kdy byla nějaká aplikace právě z tohoto důvodu z marketu na základě četných stížností odstraněna.
Přemýšlejte, mnohé z aplikací, které jsou na marketu k dispozici, požadují plný přístup k internetu. Proč, když jej naprostá většina z nich vůbec nepotřebuje? Máte vůbec možnost aplikaci přístup na internet zakázat? Bohužel, můžete ji jen používat nebo nepoužívat. Nic mezitím není, citelně zde schází jemnozrnné řízení přístupu a možnost nastavit, k čemu všemu bude mít aplikace přístup.
Jedno je jisté, za útoky vždy stojí člověk nebo nějaká zájmová skupina, která využívá skutečnosti, že se na smartphonech nachází poměrně výkonný procesor, velkokapacitní paměť a plnohodnotný operační systém. Alespoň v případě nejrozšířenějších smartphonů tomu tak je a je celkem jedno, zda se jedná o iOS (iPhone) nebo Linux (Google Android). Musíme proto konstatovat, že uživatelé smartphonů jsou vystaveny minimálně stejným rizikům jako uživatelé klasického počítače a tato rizika jsou často mnohem větší. Důvod je prostý, tyto systémy trpí stejnými zranitelnostmi a jsou vystaveny i působení stejných hrozeb. Pojďme se nyní s jednotlivými riziky blíže seznámit.
Únik informací
Dnes a denně se z médií dozvídáme, že došlo k nějakému úniku informací. Ale jen málokdy se podaří zjistit, jakým způsobem v daném případě k úniku informací došlo, a kdo je za něj odpovědný. Je zřejmé, že pokud chceme riziko úniku citlivých informací minimalizovat, musíme zavést určitá bezpečnostní opatření, protože jedině tak je možné zajistit ochranu informací během celého jejich životního cyklu. K úniku informací může dojít v zásadě dvěma způsoby a to úmyslně nebo neúmyslně z nedbalosti či z neznalosti.
V dobách, kdy se veškeré informace uchovávaly především v papírové podobě, musel ten, kdo je chtěl získat, proniknout do střežených prostor a fyzicky se daných dokumentů zmocnit nebo je na místě ofotografovat. Další oblíbenou metodou jak získat citlivé informace byla instalace odposlouchávacích zařízení v zasedacích místnostech a prostorách, kde probíhala nejrůznější jednání. Dostat se k informacím tímto způsobem představovalo pro útočníka poměrně velké riziko, neboť mohl být snadno chycen přímo při činu. Od té doby se však situace v mnohém změnila. Především oběť a útočník se nemusí nikdy setkat, stačí jen nainstalovat škodlivý software do chytrého telefonu osoby, která je oprávněna se s danými informacemi seznamovat v rámci své pracovní náplně.
Samozřejmě, informace může vynést i samotná osoba, která se s nimi smí seznamovat v rámci plnění svých pracovních povinností a má k nim tak legitimní přístup. Smartphone pak může použít jako velkokapacitní médium a informace na něj zkopírovat přes Wi-Fi, Bluetooth, USB nebo využít vestavěnou kameru a mikrofon za účelem pořízení audio či video záznamu.
Vzhledem k tomu, že většina dnešních smartphonů je vybavena velkokapacitní pamětí, může na nich být a často také je uloženo značné množství poměrně citlivých informací. Kolikrát zde najdeme hesla k nejrůznějším službám, PINy k platebním kartám, čísla bankovních účtů, důvěrné SMS, e-maily, kontakty, úkoly, schůzky, dokumenty, fotografie, seznam uskutečněných hovorů, finančních transakcí apod. Může se jednat jak o citlivé osobní údaje, tak i o důvěrné informace, které mohou být předmětem obchodního tajemství. A ke všem těmto informacím se lze poměrně snadno dostat. Škodlivý kód může vytočit číslo a aktivovat mikrofon a veškeré vaše informace se tak dostanou k útočníkovi v reálném čase anebo je vše, co je řečeno, nahráno a později přes internet uloženo na server.
Je zřejmé, že tímto způsobem mohou unikat citlivé informace nejen z tajných jednání, kterých se účastní čelní představitelé vlády, police a armády, ale i z nejrůznějších obchodních jednání, kde se setkávají vlastníci firem, manažeři, jejich asistentky apod.
Riziko úniku citlivých informací je v případě smartphonů dokonce mnohem vyšší než v případě klasických počítačů, protože ty sebou nenosíme. Tomu odpovídá i počet zcizených a ztracených zařízení, který roste. A nelze se čemu divit, neboť smartphony jsou zařízení malá, snadno přenositelná a tedy je lze i snadno někde odložit, zapomenout, vytrousit a bohužel i ukrást. Byť existují nejrůznější statistiky o počtu ztracených či ukradených mobilních zařízení, tak dost často nerozlišují, zda se jednalo o soukromé nebo firemní zařízení.
Zaměstnanci mají většinou větší bezpečnostní povědomí a jejich zařízení, která jim pořídil jejich zaměstnavatel, jsou obvykle i lépe zabezpečena, uzamykání a šifrování je vynuceno politikou a nastaveno před předáním telefonu do užívání.
K úniku informací dochází také v okamžiku, kdy se uživatelé svých starých zařízení zbavují, neboť dost často opomínají zlikvidovat data na nich uložená. Je jedno, zda se tato zařízení prodávají přes eBay, Aukro nebo skončí v obyčejném bazaru. Podstatné je, že jejich nový majitel se k datům, která nebyla smazána, dostane a může je zneužít.
V této souvislosti nelze nezmínit případ Sarah Palin, guvernérky Aljašky, kdy mobilní zařízení jejího štábu skončilo po neúspěšných prezidentských volbách v bazaru a našly se na něm citlivé informace.
Finanční problémy
Jako uživatel smartphonu můžete utrpět i citelnou finanční ztrátu. Škodlivý kód na vašem smartphonu totiž může logovat veškeré informace, které zadáváte a to od přihlašovacích údajů k nejrůznějším webovým službám (e-mail, e-shop, PayPal), až po přihlašovací údaje do internetového bankovnictví, které jsou neprodleně zasílány na server útočníka. V okamžiku, kdy zná útočník vaše přihlašovací údaje, můžeme hovořit o krádeži identity. V takovém případě může útočník pod vaším jménem nakupovat na e-shopu, platit na internetu, rozesílat SPAM apod. Aplikace na vašem smartphonu se také může chovat jako diallerware a bez vašeho vědomí volat na placená telefonní čísla nebo na ně zasílat SMS a vy to zjistíte až v okamžiku, kdy obdržíte účet za telefon nebo najednou nebudete mít na svém telefonu žádný kredit. Vzhledem k tomu, že k hovoru a rozesílání SMS došlo z vašeho telefonu, tak nepočítejte s tím, že by vám operátor peníze vrátil nebo by vám platbu odpustil.
Kompromitace
A nemusí dojít jen k úniku informací, naopak vám někdo může do vašeho smartphonu nějaké kompromitující informace nahrát. Způsobů, jak to může udělat, je opět více. Podstatné je, že budete v takové situaci velice obtížně vysvětlovat, jak je možné, že zrovna na vašem telefonu se nachází důvěrné dokumenty nebo kontakty na osoby napojené na organizovaný zločin nebo zapletené v nějaké médii zrovna propírané kauze. Pokud se navíc na vašem smartphonu bude nacházet aplikace, která má oprávnění vytáčet telefonní čísla, může být na tato čísla i voláno. A nežijte v iluzi, že se vám takové podezření povede snadno vyvrátit, a i kdyby, stín pochybností zůstává a vaše pověst tím značně utrpí.
Takovou přítomnost choulostivých fotografií nebo informací, které by na vašem telefonu neměly co dělat, budete asi dost těžko vysvětlovat, zvlášť když na vaše aktivity někdo jakoby náhodou upozorní.
Naprostá ztráta soukromí
Jak již bylo uvedeno výše, na vašem chytrém telefonu se může nacházet škodlivý kód, který dokáže pomocí mikrofonu, akcelometru a GPS zjistit, kde se právě nacházíte a co děláte, včetně toho, zda sedíte, stojíte nebo jdete (Sensor logger) a dokonce i zda máte telefon v kapse u kalhot nebo u saka (Jigsaw) a tyto informace zasílat agresorovi, který tak o vás získá naprosto detailní informace, které pak může zneužít. Kromě toho mnozí uživatelé sami a zcela dobrovolně umožňují ostatním sledovat jejich polohu a aktivity, neboť často si ani neuvědomují, že mnohé aplikace, které si stáhli z marketu, takovéto informace odesílají. A pokud si to uvědomují, tak jim mnohdy ani nedochází, jak by takové informace mohly být zneužity a vězte, že mohou být zneužity i naprosto nevinné informace, které se týkají i běžného občana.
Pokud uživatel publikuje např. své fotky na internetu a ty jsou opatřeny metadaty obohacenými o informace z GPS, tak se útočník dozví, kde přesně se uživatel nachází a pokud zjistí, že daleko od svého domova, může ho mezitím vykrást.
Další rizika
Pokud si myslíte, že v okamžiku kdy nebudete žádné aplikace instalovat, se nemáte čeho obávat, mýlíte se. Pořád jste vystaveni riziku spoofingu, phishingu, vishingu a SMShingu, které je možná ještě větší než na desktopu, protože se můžete třeba i z neopatrnosti připojit k falešnému AP, kliknout na odkaz nebo přílohu v zaslané zprávě.
Displej smartphonů je příliš malý, klávesy jsou příliš blízko u sebe a možnost ověření certifikátu nebo verze SSL, aby člověk pohledal.
Opatření ke snížení rizik
Níže uvedená opatření by měla přispět ke snížení rizika zavlečení škodlivého kódu, úniku citlivých informací, špehování a finanční ztrátě:
- Nastavte si na smartphonu heslo nebo PIN.
- Nastavte smartphone tak, aby se sám uzamykal po určité době nečinnosti.
- Nastavte smartphone tak, aby se po určitém počtu neúspěšných pokusů o přihlášení všechna data smazala. Jedná se tzv. auto-wipe nebo remote-wipe funkci, kdy lze obsah smartphonu smazat vzdáleně např. v případě ztráty nebo krádeže.
- Neinstalujte si na svůj smartphone žádné aplikace nebo jen ty z důvěryhodných zdrojů. Nezapomínejte, že to, že je aplikace podepsaná, automaticky neznamená, že je důvěryhodná.
- Pozorně si přečtěte, k čemu všemu bude mít daná aplikace přístup a pokud bude vyžadovat více práv, než je nutné, tak ji raději vůbec neinstalujte.
- Věnujte pozornost parametrům zajišťujícím soukromí. Zde se dá nastavit, které informace, např. vaše poloha apod. mohou být odesílány ke zpracování na server kdesi na internetu.
- Neukládejte lokálně žádná důvěrná data, a pokud je to nutné, tak je šifrujte a snažte se zjistit, zda daný produkt nabízí opravdu kvalitní šifrování.
- Když se telefonu chcete zbavit, proveďte reset a smažte veškerá data na něm uložená. Nezapomínejte na data uložena na paměťové kartě.
- Připojujte se pouze přes důvěryhodné AP.
- Ověřte si, zda je v telefonu nainstalována poslední oficiální verze firmwaru a pokud ne, tak stávající firmware přehrajte.
- Zálohujte si svá data. Toto opatření vás sice neochrání před výše uvedenými riziky, ale nepřijdete o veškerá svá data v případě krádeže nebo ztráty vašeho zařízení.
Těm, co přicházejí do styku s důvěrnými informacemi, zúčastňují se tajných jednání apod., doporučujeme:
- smartphony na jednáních vypínejte, tím je zaručeno, že i kdyby se na nich nacházel škodlivý kód, tak nebude moci dojít k odposlechu,
- před vstupem do místnosti, kde se dané jednání odehrává, smartphone odevzdejte službě konající dozor. Je to jediné opatření, které zabrání odposlechu v případě, že by byl modifikován samotný firmware a smartphone by se pouze tvářil, že je vypnutý.
- firmware ve smartphonu pravidelně přehrávejte. Neeliminuje se tím riziko, pouze se snižuje doba, po kterou by mohl být smartphone v případě modifikace firmwaru zneužit.
Poznámka: Odevzdáváním smartphonu před vstupem do prostor, kde se probírají citlivé informace, se snižuje riziko úniku informací, ale uživatel se vystavuje riziku zavlečení škodlivého kódu, protože po tuto dobu nemá nad svým přístrojem kontrolu. V takovém případě musí být přijata další opatření.
V tomto příspěvku jsme se věnovali především rizikům, kterým jsou vystaveni uživatelé smartphonů. Rizikům práce z domova nebo využívání služeb cloud computingu, které se smartphony samozřejmě souvisí, jsme se již věnovali v samostatných příspěvcích.
Závěr: Uživatelé chytrých telefonů by se měli ve vlastním zájmu seznámit se všemi funkcemi, které jejich přístroj nabízí a nemalou pozornost věnovat i nastavení jednotlivých parametrů, které bezpečnost a soukromí ovlivňují. K rozhodnutí, která opatření by měla být zavedena, by mělo dojít na základě analýzy rizik v konkrétním prostředí.
ČERMÁK, Miroslav, 2011. Zrádné smartphony aneb chytré telefony, které vás mohou i zničit. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/zradne-smartphony-aneb-chytre-telefony-ktere-vas-mohou-i-znicit/. [citováno 07.12.2024].
Štítky: informační bezpečnost, smartphone
K článku “Zrádné smartphony aneb chytré telefony, které vás mohou i zničit” se zde nachází 4 komentáře.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Misto odevzdavani telefonu nejakemu dozoru pred vstupem na jednani bych radeji vyndal baterku z telefonu, jak to delaval redaktor Josef Klima :-)
Ano, vyndat baterku je také řešení, tedy pokud chcete mít jistotu, že vás nikdo nebude odposlouchávat přes váš mobil. Je otázka, zda se pan Klíma snažil tímto způsobem vzbudit důvěru druhé strany, aby otevřeně hovořila, anebo mu šlo jen o to upoutat pozornost. To by nám musel říci on sám. Pokud byste však šel k nám na jednání, tak bychom se s vyndáním baterky nespokojili. U nás byste musel projít bezpečnostním rámem a všechny kovové předměty včetně mobilu odevzdat, protože co kdybyste tu baterku zapomněl vyndat nebo ji tam zase vložil a všechno nahrával.
Předinstalovaný spyware http://thehackernews.com/2014/06/chinese-android-smartphone-comes-with.html, který nelze odinstalovat.
Nemám Android, mám bud Firefox OS nebo Windows Phone….