https://thebestvpn.com/android-vpn-permissions/.
Угроза кражи данных особенно актуальна для устройств с разъемом для карт памяти (компания Apple предусмотрительно не допускает использование съемных карт памяти в своих устройствах, взамен предоставляя каждому владельцу пространство в облачном хранилище). По данным на июнь 2020 г., около 75 %[925] используемых в мире смартфонов работало под управлением операционной системы Android. Свыше 90 % из них были оборудованы слотом для карты памяти, причем на многих из них не использовалось шифрование данных на съемных носителях, т. е. информация, находившаяся на множестве устройств, могла быть похищена.
Чаще всего владелец смартфона настраивает устройство так, чтобы все данные хранились на отдельной карте памяти, а внутренняя память гаджета оставалась свободной. Многие приложения, например мессенджеры типа WhatsApp, могут устанавливаться и хранить данные, в том числе мультимедийные файлы, в незашифрованном виде на карте памяти. Некоторые устройства также используют карты памяти для записи резервных копий установленных приложений, часто без достаточно надежного шифрования. Для получения доступа к таким данным злоумышленнику не потребуется взламывать и даже похищать сам девайс: достаточно извлечь карту памяти и установить ее в другое устройство. В ряде моделей для доступа к карте памяти не нужно даже снимать крышку смартфона и аккумуляторную батарею: достаточно тонким предметом типа скрепки открыть крышку на корпусе, под которой находится соответствующий разъем.
Для решения проблемы хищения данных путем извлечения SD-карты некоторые современные модели Android-устройств позволяют настраивать SD-карты в составе внутренней памяти устройства, шифруя все данные на ней (если SD-карту вытащить и вставить в другое устройство, файлы на ней невозможно будет просмотреть), а также допускают установку пользовательского пароля на резервные копии памяти устройства в облачном хранилище, защищая их не только от злоумышленников, но и от самой компании Google[926]. Резервные копии устройств под управлением операционной системы iOS/iPadOS в облаке не поддерживают сквозного шифрования.
SIM-карты, используемые в каждом смартфоне и большинстве планшетов, а также других устройствах, включая IoT, не лишены уязвимостей. В главе 4 мы говорили о недостатках защиты данных в сотовых сетях. Известны случаи, когда злоумышленники перехватывали ключи из эфира, раскодировали и создавали временные «клоны» SIM-карт для списания денег со счетов абонентов мобильной сети[927]. Или, используя бреши в наборе сигнальных протоколов ОКС-7, перехватывали SMS-сообщения и даже прослушивали разговоры[928]. ИБ-специалисты и сотрудники компаний сотовой связи стараются защитить абонентские коммуникации от несанкционированного доступа, но злоумышленники тоже не дремлют и разрабатывают все новые способы перехвата данных. Так, в атаке на мобильные устройства, зафиксированной в 2019 г. специалистами компании AdaptiveMobile Security[929], были использованы уязвимости SIM-карт. Атака проводилась через одно из приложений на SIM-карте – S@T Browser, входящее в набор программ STK (SIM Toolkit). Именно STK отвечает за работу меню оператора, отображаемого на устройстве, и выполнение определенных действий, например отправку USSD-команд (к примеру, *102# или *105#, позволяющих узнать остаток на счете). С помощью S@T Browser злоумышленники смогли взломать SIM-карту и заставить ее выполнять определенные SMS-команды без уведомления пользователя. Следуя полученным инструкциям, SIM-карта запрашивает у мобильного телефона его серийный номер и идентификатор базовой станции (Cell ID), в зоне действия которой находится устройство, а затем отправляет SMS-сообщение с собранными данными на номер злоумышленника. Тот с помощью полученной информации может с небольшой погрешностью (в зависимости от местности) определить местоположение владельца телефона, используя координаты базовых станций, которые доступны в интернете. Все SMS-сообщения скрыты от пользователя и не попадают в интерфейс телефона (в папки «Входящие» и «Отправленные»).
По словам сотрудников компании AdaptiveMobile Security, атака, названная Simjacker (вы уже читали о ней в главе 4), ведется с целью слежки за конкретными гражданами в нескольких странах. Исследователи отмечают, что в ходе таких атак можно инициировать телефонные вызовы и отправлять сообщения на произвольные номера, открывать ссылки в браузере и даже отключать SIM-карту, оставляя жертву без связи[930]. Сам пользователь не может защититься от таких атак; обеспечить безопасность абонентов может только оператор сотовой связи, используя алгоритмы перехвата и блокирования недопустимых SMS-сообщений и усиливая криптографическую защиту[931].
КЕЙС В 2019 г. Шон Кунс за 24 часа лишился 100 000 долларов из-за того, что злоумышленники из другого штата смогли перевыпустить его SIM-карту и перехватить доступ к адресу электронной почты (в числе прочего защищенного двухфакторной аутентификацией), к которому были привязаны персональные аккаунты, в том числе аккаунт криптовалютной платформы[932],[933]. В России преступники аналогичным образом перевыпустили SIM-карту Даниила Бондаря и украли у него 26 млн рублей[934].
Если мошенникам требуется перехватить одноразовый код, они могут действовать методами социальной инженерии. Такие методы рассчитаны на доверчивых и невнимательных пользователей. Например, злоумышленники со взломанного аккаунта вашего знакомого могут прислать SMS-сообщение или сообщение в мессенджере/социальной сети с просьбой помочь разблокировать SIM-карту с помощью одноразового кода. Они могут взломать аккаунт или подменить номер друга жертвы, чтобы усыпить бдительность последней, и действовать от имени этого друга. Перехваченный одноразовый код может быть использован, к примеру, для взлома электронной почты жертвы, платной подписки или регистрации на сомнительных сайтах[935].
КЕЙС Перехваченные коды подтверждения могут быть использованы преступниками для несанкционированного доступа к переписке в мессенджерах, таких как Telegram. В декабре 2019 г. компания Group-IB зафиксировала подобные атаки в России. Во всех случаях аккаунты не были защищены средствами многофакторной аутентификации и для подтверждения доступа использовали лишь SMS-оповещения. На момент написания книги механизм перехвата SMS-сообщений не был установлен: было известно, что смартфоны жертв не взламывались и не заражались вредоносным кодом, а SIM-карты не перевыпускались. Предполагается использование уязвимостей протоколов ОКС-7/Diameter, а также инсайдов в компаниях – операторах сотовой связи[936].
Отдельно следует рассказать об опасности утечки финансовых средств с мобильного счета при подписке на платные услуги. Нередко недобросовестные коммерсанты используют уловки, поддавшись на которые пользователь подписывается на доступ к какой-либо услуге с абонентской платой. Это может происходить из-за невнимательного чтения условий регистрации. Например, чтобы получить временный (на неделю и т. д.) бесплатный доступ к сайту (для просмотра фильмов онлайн, скачивания файлов без ограничений и т. п.), требуется указать реквизиты банковской карты, ввести номер мобильного телефона или отправить SMS-сообщение на короткий номер. По истечении бесплатного периода автоматически начинается платный, со списанием средств с карты или мобильного счета (на что абонент дал согласие при получении доступа к бесплатному периоду). Как правило, соответствующий пункт правил пользования сервисом находится на отдельной странице или набран мелким шрифтом. Или же оформить платную подписку может недобросовестный оператор сотовой связи – например, навязать услугу смены гудка на мелодию; после бесплатного периода действие услуги будет автоматически продлено, и при этом она станет платной.
КЕЙС В 2018 г. на платные рассылки самостоятельно подписались ворота, оборудованные GSM-реле компании МТС для управления с мобильного устройства. Как выяснил владелец, ворота выбрали «Полезные советы» и «Новости», самостоятельно оформив платную подписку за 15 рублей в сутки. Об этом владелец узнал, когда счет обнулился и ворота перестали реагировать на команды (видимо, соскучились по новостям). Устройство неспособно отправлять SMS-сообщения и USSD-команды, поэтому вероятно, что сотрудники компаний сотовой связи оформляют подписки без ведома абонентов[937].
Примечание. Несанкционированные платные подписки замечены и абонентами компании «Мегафон». Соответствующее исследование провел один из пользователей ресурса Habr[938].
Также платные подписки часто из-за невнимательности оформляют дети, переходя по различным ссылкам в поисках контента.
Для борьбы с платными подписками можно подключить услугу «Контентный счет». Это отдельный лицевой счет, с которого списываются средства в случае совершения вызова или отправки SMS-сообщения на номер, связанный с контентной услугой; перехода на платную страницу в интернете; оформления мобильной подписки и использования прочих платных сервисов, которые не связаны с основными услугами связи. Соответственно, если баланс такого счета нулевой, то и услуга оказана не будет. А с основного лицевого счета будут списываться средства только за основные услуги связи – голосовые вызовы и SMS на обычные номера, интернет-трафик, роуминг, разные пакеты и дополнительные услуги операторов связи и т. п.