Что делать, если ты приобрел телефон, который ведет себя странно?
При малейшем подозрении на вредоносное ПО в прошивке зайди в профильную ветку на 4PDA. Вполне вероятно, что ты с такой проблемой не один и на форуме уже есть подробные инструкции по удалению или заморозке малвари.
А что делать, если производитель не выпускает обновлений, а в прошивке прочно прописались зловредные компоненты?
Конечно, разумным поступком было бы избавиться от такого устройства, но в реальном мире так мало кто делает. Поэтому рекомендация:
попробуй разблокировать загрузчик (хуже уже не станет) и установить на телефон официальную сборку Lineage OS. В официальных сборках Lineage (в отличие от, например, Resurrection Remix) все хорошо и с приватностью, и с шифрованием, и с обновлениями «по воздуху». В зависимости от доступной для твоего устройства версии прошивки может использоваться шифрование как FDE, так и FBE; в первом случае рекомендуем настроить Secure Startup. Если же сборок Lineage нет или разблокировать загрузчик невозможно, то даже ребенку я бы такой телефон отдавать не стал.
Если забрали компьютер
Обсудив защищенность твоих данных в мобильном устройстве, поговорим о том, как анализ компьютера может повлиять на безопасность твоих мобильных устройств. Если эксперт получил доступ к твоему компьютеру, а полнодисковое шифрование (например, посредством BitLocker) ты не используешь, то запуском простой утилиты и одним-двумя ленивыми кликами мышки будут извлечены все логины и пароли от всех твоих учетных записей. Откуда? Из базы данных твоего любимого браузера: Chrome, Mozilla, Edge… Пользуешься менеджером паролей? Если разработка тебя в качестве подозреваемого представляет хоть какой-то интерес, то к базе данных паролехранилки попытаются подобрать пароль (тут, впрочем, результат не гарантирован).
Что произойдет, когда пароли будут извлечены?
В зависимости от того, каким смартфоном ты пользуешься, эксперт запустит еще одно приложение, которое извлечет всю информацию из облака Apple, Google или, к примеру, Samsung. (В скобках:
если ты пользуешься смартфоном Samsung, то знаешь ли ты, что именно хранится в соответствующем облаке, даже если ты не включал его сознательно?)
Если ты пользуешься iPhone, из облака можно извлечь:
- резервные копии (кстати, не всегда; если у тебя свежая версия iOS и активирована двухфакторная аутентификация, то резервную копию скачать не удастся. Впрочем, если у тебя остались старые резервные копии, созданные устройствами с iOS 11 или старше, то их извлечь получится. Мораль:
посмотри, что у тебя хранится в облаке, и удали ненужные резервные копии!);
- синхронизированные данные:
контакты, заметки, календари, закладки браузера Safari и прочее;
- фотографии (если у тебя включен iCloud Photo Library), в том числе недавно удаленные;
- журнал звонков и историю браузера;
- некоторые данные карт;
- если узнают код блокировки твоего телефона или пароль от компьютера Mac, то и все облачные пароли (iCloud Keychain) и данные «Здоровья» (журнал твоей повседневной активности), а также SMS и iMessage.
Пользуешься Android?
Google собирает намного больше данных, чем Apple; длиннее и список доступной для извлечения информации:
- резервные копии и данные приложений (кстати, в Android именно в этой категории будут храниться журналы звонков, SMS, а также маркеры аутентификации отдельных приложений);
- синхронизированные данные:
календари, контакты, заметки;
- пароли Chrome (какой-либо дополнительной защиты, как в iOS, для них не предусмотрено);
- подробнейшая история местоположения за последние много лет. Пожалуй, на этот пункт будут обращать внимание в первую очередь;
- история браузера и поисковых запросов. Исследуется в обязательном порядке;
- почта Gmail, которую можно использовать, например, для сброса пароля к другим учетным записям.
Исследование облака Google часто дает более интересный результат, чем даже анализ самого смартфона, так как собираются данные не только с конкретного телефона, но и со всех других устройств (в том числе компьютеров), в которых ты вошел в свой Google Account.
Если у тебя телефон Samsung, то можно вытащить еще кое-что из собственного облака Samsung. Мы понимаем, что для многих читателей наличие у Samsung собственного облачного сервиса станет сюрпризом, а то, что в нем, оказывается, хранятся какие-то данные (и ты с этим в какой-то момент успел согласиться), может сильно удивить.
В облаке Samsung можно найти:
- резервные копии (интересно, что Samsung сохраняет в облаке не только данные приложений, но и APK);
- фотографии (если ты не приложил осознанных усилий, чтобы отключить синхронизацию фотографий в облако);
- данные Samsung Health;а
- резервные копии часов и трекеров Samsung.
Пользователи смартфонов Xiaomi (а также других устройств под управлением MIUI) имеют возможность синхронизировать свои устройства с облаком Mi Cloud (если смартфон «глобальной» версии, то информация сохраняется в дополнение к тому, что сохраняется в Google Account).
В облаке Mi Cloud можно найти следующее:
- резервные копии. Здесь достаточно скудно:
сохраняются APK и настройки телефона, но не сохраняются данные приложений;
- контакты, SMS;
- фотографии, если ты включил синхронизацию.
Как обезопасить себя от облачных атак?
Самые распространенные советы по безопасности, кочующие из одной статьи в другую, оказываются и самыми бесполезными. Ты можешь выбрать длинный и сложный пароль, но извлечение даже самого длинного пароля из встроенного в Chrome хранилища займет те же миллисекунды, что и совсем короткого. Ты можешь включить двухфакторную аутентификацию, но обойти ее будет довольно просто, если эксперт достанет из твоего телефона SIM-карту и использует ее для получения одноразового кода. Более того, если твой браузер залогинен в твой Google Account, можно вытащить cookie, содержащие маркеры аутентификации, — в этом случае не нужен ни одноразовый код, ни пароль, ни даже логин. Это не значит, что двухфакторная аутентификация бесполезна — она вполне эффективна против попыток удаленного взлома. Просто рассчитывать только на эти меры, если работают грамотные эксперты, нельзя.
Помочь может многослойная защита.
Во-первых, обеспечь физическую безопасность компьютера, включив шифрование системного диска через BitLocker. Кстати, убедись, что ключ шифрования BitLocker Recovery Key не «утек» в облако OneDrive или не сохранился в Active Directory.
Если ты живешь в России, то просто так взять и зашифровать системный диск у тебя не получится. Для того чтобы включить шифрование, тебе нужна как минимум профессиональная редакция Windows и аппаратный модуль доверенной загрузки TPM 2.0. Именно в аппаратном модуле должен храниться сам ключ шифрования, при помощи которого будет зашифрован раздел. Модули TPM 2.0 не получили сертификации ФСБ; соответственно, все продающиеся на территории РФ компьютеры не должны включать этот модуль по умолчанию, даже если он физически распаян на материнской плате. Варианты? Если есть возможность активировать TPM 2.0 в настройках BIOS — сделай это и включи BitLocker. Если такой возможности нет, то разрешить шифрование системного раздела при помощи BitLocker получится и без аппаратного модуля. Сделать это можно вручную, отредактировав групповые политики Windows.
Следующий слой защиты — пароли для облачных учетных записей. Для облачных сервисов Google, Apple, Samsung, Xiaomi используй уникальные пароли, непохожие на все те, что записаны в хранилище браузера. Запусти свой любимый, не самый любимый и совсем нелюбимый браузеры и убедись, что в их хранилище нет данных перечисленных выше учетных записей. Если используешь Chrome — выйди из учетной записи Google. Сотри кеш и куки браузера, после чего закрой все окна. Всё, на какое-то время (пока ты снова не войдешь в Google Account) ты защищен от облачного вектора атаки.
Использование такой системы незначительно повлияет на удобство повседневного использования, но существенно повысит безопасность.
Lockdown
У пользователей iPhone есть дополнительный фактор риска:
файл lockdown, он же — iTunes pairing record. Эти файлы создаются при подключении iPhone или iPad к компьютеру, на котором установлено приложение iTunes; они нужны для того, чтобы при помощи iTunes можно было синхронизировать устройство с компьютером без постоянного ввода кода блокировки. С одной стороны, наличие механизма pairing record — это удобство. С другой — уязвимость. Так, инструменты «Элкомсофт» позволяют использовать файлы lockdown для создания резервной копии телефона, даже если экран заблокирован (но сам телефон был разблокирован хотя бы раз с момента загрузки). Решение GrayKey в тех же условиях и вовсе позволяет создать полный образ файловой системы (правда, пока только для iOS 11).
Как защититься?
С одной стороны, можно удалить файлы lockdown с компьютера; на Windows 10 они находятся в папке C:\Users\<username>\AppData\Roaming\Apple Computer\MobileSync\Backup (если ты устанавливал iTunes с сайта Apple) или в папке C:\Users\<username>\Apple\MobileSync\Backup (если ты используешь версию iTunes из Microsoft Store).
А вот просто так удалить эти записи на iPhone нельзя; можно лишь сбросить все доверенные записи сразу через Settings → General → Reset → Reset Location & Privacy. Кстати, для сброса нужно будет ввести код блокировки. Другой способ удалить доверенные записи — сброс настроек Reset Network Settings. А вот Reset All Settings на записи доверия не влияет никак (зато удаляет пароль на резервную копию).
Насколько реальны риски, связанные с анализом компьютера?
По информации от самих полицейских, исследование компьютеров проводят нечасто.
Как правило, у полиции возникают следующие препятствия:
- препятствия юридического характера: имеющееся постановление разрешает досмотр и анализ улик, бывших у задержанного при себе (но не дает разрешения на обыск в квартире);
- ограничения по времени:
работа эксперта поставлена на поток. В рутинных случаях у эксперта нет месяца, недели или даже нескольких дней, чтобы подробнейшим образом проанализировать все доступные улики;
- пароль к BitLocker чрезвычайно стойкий. Атаки «в лоб» обречены, если полиция не сможет извлечь готовый ключ шифрования посредством, к примеру, FireWire Attack;
- поверхностная экспертиза:
в результате строгих временных рамок содержимое жесткого диска просматривается на предмет вполне конкретных файлов (фото- и видеоматериалы, переписка, базы данных мессенджеров);
- даже если предпринимается полный анализ, очень часто в кеше браузеров не оказывается нужных паролей;
- даже если нужные пароли есть, в облаке подозреваемого не оказывается резервных копий вообще или достаточно свежих резервных копий. Даже для iOS это типичная ситуация:
если оставить все настройки по умолчанию, то мизерные 5 Гбайт бесплатного места в облаке в кратчайшие сроки будут забиты синхронизированными фотографиями. На резервные копии места уже не останется. А вот у пользователей Android — останется:
как резервные копии, так и фотографии в «стандартном» качестве не учитываются в и без того достаточно щедрой квоте в 15 Гбайт.
Заключение
В этой статье мы подробно рассмотрели риски и настройки безопасности, выходящие далеко за рамки стандартных советов «установить код блокировки» и «включить двухфакторную аутентификацию». Надеемся, что понимание рисков, связанных с теми или иными твоими действиями и настройками, поможет тебе адекватно оценить степень безопасности твоих данных — и, возможно, укрепить слабые места без каких-либо заметных неудобств в работе устройства.
