hero
blog

Bezpieczny smartfon

W debacie publicznej coraz częściej pojawiają się zagadnienia związane z budowaniem cyber-odporności. Nasz kraj zdecydował się powołać do życia nową służbę specjalną - „Centralne Biuro Zwalczania Cyberprzestępczości”. Prezes Rady Ministrów oraz szef KPRM padli ofiarą profilowanego ataku na prywatne skrzynki mailowe. Każdego dnia otrzymujemy prośby o pomoc po i w trakcie ataku na bezpieczeństwo informacji lub próby zaszyfrowania dysków. W pierwszym wpisie blogowym podzielimy się z państwem naszymi spostrzeżeniami nt. urządzeń mobilnych.

Smartfony stały się hackerskim rajem. Rzadko są zabezpieczone tak, jak komputery a przetwarzamy na nich dużo więcej danych. Używamy ich do rozmów z rodziną, znajomymi, współpracownikami i klientami. Instalujemy aplikacje, śledzimy media społecznościowe, robimy przelewy, zarządzamy domową automatyką.

Włamanie się do smartfonu jest jak wycieczka do naszego świata. Hakerzy dowiadują się gdzie mieszkamy, poznają znajomych i rodzinę, a także uzyskają dostęp do aplikacji bankowych, dokumentów i poznają najbardziej skrywane tajemnice. Komputer można zabezpieczyć wpisując skomplikowane i trudne do złamania hasło w komórce wystarczy prosty czterocyfrowy kod.

Co prawda producenci smartfonów jako pierwsi zaczęli na globalną skalę wykorzystywać dane biometryczne (wzór linii papilarnych, face ID lub skan tęczówki), ale ten sposób uwierzytelnienia jest używany zamiennie z kodem PIN. Dodatkowo przestępcy skanując telefon kradną również dane biometryczne, potrzebne w kolejnym etapie ataku.

Jak przestępcy mogą wykorzystać Twój telefon:

  1. Poznać lokalizację i śledzić ją za pomocą GPS

  2. Podsłuchiwać, co mówisz, a nawet nagrywać rozmowy telefoniczne

  3. Przeglądać zapisane zdjęcia i filmy

  4. Włączać aparat fotograficzny w dowolnym momencie
  5. Czytać wszystkie wpisywane teksty i rejestrować każde naciśnięcie klawisza, także numery pin i hasła do kont w aplikacjach bankowych, sklepach internetowych i sieciach społecznościowych

  6. Czytać wiadomości dowolnego typu, nawet te zaszyfrowane

  7. Rejestrować całą aktywność, nawet wtedy gdy urządzenie jest zablokowane

Aplikacje które do tego służą często omijają kwestie prawne, udając narzędzia do monitorowania dzieci lub śledzenia pracowników.

Co możemy zrobić aby ograniczyć ryzyko ?

Z reguły nie potrzebujemy skomplikowanych procedur, aby odeprzeć większość cyberataków. Wystarczy zdrowy rozsądek i konsekwencja.

Najważniejsze działania dla zachowania bezpieczeństwa to:

  1. Regularne aktualizowanie aplikacji i systemu operacyjnego
  2. Włączanie dwuskładnikowego uwierzytelniania
  3. Unikanie publicznych sieci WiFi
  4. Nie instalowanie aplikacji pochodzących z niepewnego źródła*
  5. Korzystanie i aktualizowanie oprogramowania antywirusowego
  6. Niestosowanie jailbreakingu** szczególnie w telefonach Apple.
  7. Nigdy nie klikanie w linki z nieznanych wiadomości e-mail / SMS
  8. Obserwowanie komunikacji dotyczącej statusu urządzenia (np. Apple wprowadziło indykatory, kiedy aplikacja korzysta z mikrofonu lub kamery)
  9. Unikanie obcych ładowarek USB: ładowarki mają własne, niewielkie programy których zadaniem jest np. kontrolowanie poziomu naładowania baterii. Możliwe jest zmodyfikowanie ładowarki a nawet samego kabla aby uruchomić złośliwy kod i zainfekować urządzenie. Aby zobaczyć jakie to proste obejrzyj ten film

 

* Sklep Play został zidentyfikowany jako największe źródło aplikacji ze złośliwym kodem przez Doctor Web

** Jailbreak/Root umożliwia uzyskanie pełnego dostępu do urządzenia i wgrywanie aplikacji i rozszerzeń, które nie są dostępne poprzez oficjalne źródła dystrybucji.

 

Jednak cyberprzestępcy mogą skorzystać też z innych metod, przy których nasz zdrowy rozsądek nic nie pomoże.

  1. Sprzęt niezbędny do podsłuchiwania rozmów telefonicznych kosztuje obecnie tylko kilkaset złotych, pozwala odtworzyć fałszywą wieżę telefonii komórkowej i przejąć komunikację. Prowizoryczne wieże lub femtokomórki są sprzedawane przez firmy telekomunikacyjne jako wzmacniacze sygnału. Te niewielkie urządzenia mogą w rzeczywistości przejąć wszystkie połączenia telefoniczne, wiadomości oraz e-maile i udostępnić je potencjalnemu hakerowi.
  2. Pegasus to najskuteczniejsze narzędzie inwigilacji opracowane przez izraelską firmę NSO Group. Pozwala infekować dowolny telefon z dowolnego miejsca na świecie, wystarczy do tego połączenie telefoniczne lub wiadomość push. Oprogramowanie wykorzystywane jest z reguły przez służby specjalne. Jednak nikt nie jest w stanie zagwarantować kiedy takie i podobne rozwiązania mogą zostać użyte przez przestępców. Tutaj możesz sprawdzić czy twoje urządzenie znalazło się kiedykolwiek w obrębie zainteresowania NSO Group.
  3. Przejęcie naszego numeru telefonu – należy pamiętać, że możliwe jest wyrobienie „kopi” naszej karty SIM u operatora (to najprostsza, choć nie jedyna metoda). Jeżeli ktoś pozna nasze dane i przejdzie weryfikację u operatora może pod pretekstem uszkodzenia karty SIM zamówić jej kopię. Wtedy cała komunikacja trafi do niego: np. kody weryfikacyjne z Banku. Jeżeli wcześniej uzyskał dostęp do naszego maila w zasadzie ma nieograniczony dostęp do większości systemów bankowości internetowej.
  4. Mamy też złą informację dla osób, które są przekonane, że urządzenia z systemem iOS są chronione przed oprogramowaniem szpiegującym. Firma Candiru z siedzibą w Tel Awiwie (Izrael), specjalizuje się w dostarczaniu oprogramowania szpiegowskiego, pozwalającego na infekowanie i monitorowanie iPhone’ów, urządzeń z systemem Android, komputerów Mac, komputerów z systemem Windows oraz kont w chmurze. Głównym produktem firmy jest oprogramowanie szpiegowskie, które pozwala na zainfekowanie urządzenia ofiary przy użyciu wielu różnych wektorów ataków, takich jak: złośliwe linki, ataki typu man-in-the-middle, ataki fizyczne oraz wektor Sherlock (exploit, który nie wymaga żadnej interakcji ze strony ofiary, tzw. zero-click). Oprogramowanie umożliwia wykradanie danych z najpopularniejszych przeglądarek oraz aplikacji, takich jak: Skype, Outlook, Telegram, Facebook, WhatsApp, Signal czy Gmail. Jedną z funkcji jest wysyłanie wiadomości w popularnych komunikatorach w czasie rzeczywistym z urządzenia ofiary, dzięki czemu możemy np. wydobyć interesujące nas informacje lub zainfekować sprzęt osoby z bliskiego otoczenia zaatakowanego. Jak dotąd udało się potwierdzić wykorzystane tego narzędzia do szpiegowania ponad 100 osób, głównie polityków, obrońców praw człowieka, dziennikarzy, naukowców, pracowników ambasad i dysydentów politycznych. Tutaj możesz zobaczyć przykładową wycenę tego narzędzia.

Nowe czasy, nowe zagrożenia, nowe rozwiązania

Wkroczyliśmy do epoki, w której rządzą dane. Od danych osobowych, takich jak: imię i nazwisko, adres zamieszkania, adresy e-mail, numery telefonów, czy w końcu numer PESEL, po mnóstwo śladów, które zostawiamy w Internecie. Dane zebrane za pomocą naszych telefonów mogą dostarczyć przestępcom informacji wystarczających do kradzieży tożsamości i zaciągnięcia pożyczek w naszym imieniu, o czym przekonuje się coraz większa liczba osób. Mogą również okazać się żyłą złota dla reklamodawców i telemarketerów. Dlatego najważniejsza jest świadomość. Niestety, przy bardzo wyrafinowanych zabezpieczeniach stosowanych w różnych warstwach cyfrowego świata, smartfony zostały jakby zapomniane i wystawione są na łup cyberprzestępców.

Dlatego tak ważne jest budowanie świadomości, aby rozumieć zagrożenie i szacować ryzyko. Świadomie wybierajmy komu i jakie dane udostępniamy. Nie instalujmy aplikacji z podejrzanych źródeł – dbajmy o higienę cyfrową. Bądźmy ostrożni, stosujmy adekwatne zabezpieczenia.

Jeżeli masz wątpliwości lub chciałbyś poznać szczegóły skontaktuj się z nami, aby dowiedzieć się więcej: