Примечание. Во всех моделях смартфонов компании Samsung, выпущенных до 2019 г., используется устаревшее шифрование FDE. Для многих моделей смартфонов можно использовать инженерные загрузчики, утекшие с завода-производителя. При отключенном режиме безопасного запуска такой загрузчик помогает обойти пароль блокировки и расшифровать содержимое устройства. Шифрование FBE применяется лишь в современных моделях Samsung, начиная с моделей Galaxy S10 и S10+, хотя данная технология появилась еще в 7-й версии операционной системы Android. Многие производители, в том числе Huawei, Sony, Motorola, Xiaomi и OnePlus, стали использовать шифрование FBE еще в моделях под управлением Android 7[915].
Для надежной защиты данных на мобильном устройстве следует обратить внимание на современные Android-модели с шифрованием FBE или устройства компании Apple либо, если используется девайс с полнодисковым шифрованием FDE, использовать на нем режим безопасного запуска, несмотря на некоторые неудобства.
Отложенная блокировка
Функция отложенной блокировки, которой любят пользоваться владельцы смартфонов, чтобы избавиться от необходимости разблокировки девайса после каждого выключения экрана, также угрожает безопасности мобильного устройства. Эта функция поддерживает устройство в разблокированном состоянии после выключения экрана в течение указанного пользователем времени (как правило, несколько секунд или минут). Это рискованно. Если даже пользователь выключит экран, перед тем как устройство попадет в руки злоумышленнику, тот сможет получить доступ к содержимому девайса, который не успеет заблокироваться. Поэтому лучше выбрать вариант мгновенной блокировки устройства после выключения экрана.
Примечание. На устройствах Apple мгновенная блокировка после выключения экрана – единственный доступный вариант (при условии использования биометрической аутентификации). А если аутентификация по отпечатку пальца или лицу отключена (используется ПИН-код или пароль), то можно выбрать промежуток времени, спустя который устройство будет заблокировано.
Доверенные компьютеры и облачные хранилища
Стоит иметь в виду, что утечка данных пользователя может произойти и через доверенный компьютер, к которому он подключает свое мобильное устройство для загрузки контента, создания резервных копий и т. п. Мало кто применяет полнодисковое шифрование на компьютерах, с которыми связаны мобильные девайсы. Получив доступ к такому компьютеру (удаленно или даже физически, если это ноутбук, который пользователь носит с собой), злоумышленник может извлечь из базы данных браузера все необходимые логины и пароли. С помощью этих данных он может авторизоваться в облачном хранилище с учетными данными жертвы и скачать внушительное количество информации с мобильного устройства без непосредственного доступа к нему, а также узнать, где оно находится. Преступнику порой проще (и интереснее, потому что в облаке, как правило, хранятся данные с нескольких девайсов пользователя) получить доступ к облаку iCloud или Google, чем к самому мобильному устройству, и найти там контакты, фотографии, документы жертвы и т. п. Он может совершить это как дистанционно, выяснив логин и пароль (к примеру, методами социальной инженерии), так и с помощью доверенного компьютера жертвы.
Если используется устройство Apple, то – в зависимости от настроек – из облака можно извлечь резервные копии, синхронизированные данные (контакты; заметки; календари; закладки и историю браузера Safari и т. п.); фотографии, в том числе недавно удаленные; журнал звонков; некоторые данные, связанные с картами. Если злоумышленник узнает код блокировки телефона или пароль от компьютера Mac, то ему станут доступны все пароли из iCloud Keychain и данные о повседневной активности (приложение «Здоровье»), а также сообщения SMS и iMessage.
Примечание. Для устройств, работающих под управлением версии iOS 11.4 и ниже, существуют устройства типа GrayKey, позволяющие при подключении к порту Lightning методом перебора взломать ПИН-код для разблокировки девайса. Подбор четырехзначного кода занимает несколько часов, а шестизначного – несколько дней[916]. В версии iOS 11.4.1 данная уязвимость была устранена: специальная настройка блокирует передачу данных через интерфейс Lightning спустя час после блокировки экрана[917].
В облаке мобильных устройств под управлением операционной системы Android хранится намного больше данных: резервные копии[918] и данные приложений (в том числе журналы звонков, SMS-сообщений, история браузера и поисковых запросов, а также маркеры аутентификации отдельных приложений), синхронизированные данные (контакты, заметки, календари и т. п.), пароли Chrome (без защиты), детализированная история местонахождения устройств за все время использования, почта Gmail и др.
Примечание. В устройствах компании Samsung используется не связанное с Google облачное хранилище. Там хранятся резервные копии, фотографии, данные приложения Samsung Health, резервные копии часов и трекеров Samsung. А в облаке Xiaomi Mi Cloud, помимо прочего, хранятся контакты и SMS-сообщения.
Важно обратить внимание: сквозное шифрование используется при сохранении в облаке резервных копий в Android 9 и более поздних версиях[919]. В этом случае данные может расшифровать только сам пользователь. Ранние версии операционной системы Android не предусматривают сквозного шифрования резервных копий в облаке.
В операционной системе iOS сквозное шифрование не используется (копии в облаке шифруются, но ключами дешифровки также располагает компания Apple), поэтому данные могут предоставляться государственным организациям по их запросу[920]. В этом случае для надежной защиты данных их резервные копии следует создавать с помощью приложения iTunes (macOS Mojave 10.14 и ранее или Windows) либо Finder (macOS Catalina 10.15 и поздние версии) на компьютере, установив флажок «Зашифровать локальную копию» (по умолчанию копии не шифруются)[921].
Помимо прочего, следует пристально следить за данными, которые публикуются в облачных хранилищах вне зашифрованных резервных копий.
Примечание. В некоторых случаях злоумышленники могут в погоне за особенно ценными для них конфиденциальными данными, находящимися на мобильном устройстве, внедрить в него аппаратные компоненты для перехвата информации. Согласно данным, полученным исследователями из Университета имени Бен-Гуриона[922], внедрить такие компоненты для реализации так называемой атаки chip-in-the-middle относительно несложно. После компрометации модифицированный сенсорный экран (если пользователь обратился для замены разбитого экрана) может фиксировать пароли для разблокировки устройства, камера – делать снимки (без уведомлений) и отсылать их на удаленный сервер[923].
Современный смартфон или планшет нельзя представить без доступа к интернету через беспроводные сети, такие как 4G или Wi-Fi. Вопросы безопасности подключения к таким сетям мы обсуждали ранее в этой книге, в частности в главе о безопасном интернете. Как и в случае с компьютерами, следует уделять пристальное внимание защите соединений и устройств для доступа в интернет, таких как точки доступа Wi-Fi. Особенную опасность представляют собой бесплатные публичные точки доступа, трафик с которых может перехватываться злоумышленником. В общедоступных Wi-Fi, а также корпоративных и прочих сетях, где вы не можете быть уверены в защите передаваемого трафика, нельзя использовать персональные данные и особенно производить банковские транзакции. Вместо оригинального интерфейса веб-службы может быть отображен фишинговый с целью кражи логина и пароля; банковские реквизиты, как и любые другие особо важные данные: Ф.И.О., сведения о возрасте, электронные и почтовые адреса и т. п. могут быть перехвачены.
Если крайне необходимо передать важные персональные данные через общедоступную сеть, необходимо использовать надежный VPN-сервис. Такая служба организует защищенный виртуальный канал для передачи данных в зашифрованном виде. При этом важно отметить, что не каждый VPN-сервис безопасен. Многие из них, особенно бесплатные, открывают доступ к данным своих пользователей для третьих лиц, а также требуют разрешения получать конфиденциальные данные клиентов – информацию о местоположении, идентификаторы устройств, список контактов, содержимое сообщений, системный журнал и файлы, хранящиеся в памяти.
КЕЙС Команда специалистов с ресурса The Best VPN протестировала 81 VPN-приложение для мобильных устройств под управлением операционной системы Android, проверив запрашиваемые ими разрешения[924]. Выяснилось, что больше половины из них пытаются получать доступ к конфиденциальным данным пользователя. Так, 27 приложений требовали доступ к чтению и записи файлов в памяти (в том числе на SD-карте) устройства, 18 пытались узнать номер телефона и информацию о вызовах, 16 для определения местоположения запрашивали сведения о подключенных Wi-Fi-сетях и базовых станциях, а 9 пытались выяснить точную геопозицию устройства. Сводная таблица со списком VPN-сервисов с запрашиваемыми ими обычными и опасными разрешениями доступна на странице