Разгадан способ прослушки любого смартфона.

Обсуждаем информационную и кадровую безопасность на работе и в жизни. Конфиденциальность, личные и персональные данные. Служба безопасности. Воровство на рабочем месте. Ссылка на отдельную (прежнюю) тему.

Разгадан способ прослушки любого смартфона.

Непрочитанное сообщение Adm » 06 июн 2018, 18:31

Специалист разгадал способ прослушки любого смартфона.

Эксперт по кибербезопасности фирмы Asterix Питер Хенвей рассказал о методе прослушки смартфонов через микрофон устройства. По его мнению, это происходит через установку слов-триггеров. Среди наиболее вероятных «шпионов» Хенвей назвал сервисы социальной сети Facebook, использующие данные телефона без согласия владельца.

Изображение

Прослушку на смартфоне могут активировать специальные слова-триггеры, уверен эксперт по кибербезопасности фирмы Asterix Питер Хенвей (Peter Henway). Об этом сообщает Vice.

Большинство приложений запрашивают доступ к микрофону устройства, но, вопреки расхожему мнению, не передают услышанное третьим лицам. Запись и обработка данных зачастую происходит после произнесения слов-триггеров (к примеру, «Привет, Siri» и «Окей, Google»). Специалист полагает, что подобные механизмы могут работать и в других приложениях.

Хенвей предположил, что Facebook или Instagram могут использовать тысячи слов-триггеров, запускающих анализ речи владельца смартфона. «Это имеет смысл с точки зрения маркетинга, а законы и соглашения об использовании продукта такое позволяют, поэтому я бы предположил, что они это делают, но нет никакого способа это проверить», — уточнил исследователь.

Журналист Vice проверил эту теорию. В течение пяти дней он произносил фразы, которые могли бы стать «зацепкой» для шпионского механизма. В его случае сработали реплики об учебе и покупке дешевых рубашек. Неожиданно в ленте новостей стали всплывать рекламные предложения различных учебных заведений и недорогой одежды.

Хенвей выразил уверенность, что ни одна компания не продает собранные данные напрямую рекламодателям, а обрабатывает их самостоятельно. Кроме того, он заверил, что информация скорее бесполезна для спецслужб и используется в основном для таргетирования рекламных объявлений.

Специалист разгадал способ прослушки любого смартфона.
Это интересно? Поделитесь с друзьями! —→

Не знаешь, чем заняться и как заработать? Кризис и безденежье портят настроение? Найди вакансии и работу своей мечты на нашем портале 9955599 (ЖМИ СЮДА!) быстро и легко!
Adm
Администратор
 
Сообщения: 92346
Зарегистрирован: 27 сен 2011, 13:33

ADV2

AdveR3

MG

TG

Разгадан способ прослушки любого смартфона.

Непрочитанное сообщение Adm » 09 июл 2019, 20:22

WhatsApp выкрутился из большого скандала со взломом. Чему это нас должно научить?

Пока все обсуждают новости о запуске Facebook собственной криптовалюты, оказались позабыты недавние скандалы, в центре которых оказался WhatsApp. Выяснилось, что WhatsApp превращал мобильные телефоны фактически в шпионские устройства, давая хакерам возможность получить доступ к пользовательскому контенту: фотографиям, почте, SMS.

Вот краткая хроника майских событий:

- Financial Times размещает статью о взломе WhatsApp. Выяснилось, что одного звонка на WhatsApp жертвы было достаточно для установки шпионского ПО. Это стало возможно из-за уязвимости в мессенджере

- FT выяснила, что шпионское ПО разработала израильская компания NSO Group. Ключевой продукт NSO Group — программа Pegasus. Она открывает полный доступ к смартфону жертвы. По словам разработчиков, программа используется для борьбы с терроризмом. Однако в СМИ неоднократно встречались упоминания об использовании программы для преследования правозащитников, журналистов и членов оппозиции на Ближнем Востоке, в Европе, США и других странах

- В компании заявили, что «атака была целевой». У неё все признаки государственной кампании — пострадала «избранная группа лиц»

- WhatsApp выпустил обновление

Какие личные данные доступны Facebook?

Марк Цукерберг и его сервисы (Facebook, WhatsApp) регулярно оказываются в центре скандалов с личными данными пользователей. В этой статье мы рассмотрим наиболее показательные случаи утечки данных, которые произошли за последние несколько лет, а также то, как сегодня обстоят дела с защитой личной информации в крупнейших мессенджерах.

Начнём с того, что до августа 2012 года сообщения в WhatsApp никак не шифровались, а отправлялись в виде обычного текста. Это означает, что получить к ним доступ могли не только правительства и хакеры через специальные программы, но мобильные операторы и даже владельцы точек Wi-Fi.

В августе 2012 компания якобы добавила «шифрование». Однако, как выяснилось позже, это была маркетинговая уловка — ключи доступа получили сразу несколько спецслужб.

Через 3 года мессенджер всё-таки внедрил шифрование, не позволяющее третьим лицам получать доступ к сообщениям. Но и тут не обошлось без уловок — одновременно компания стала призывать пользователей сохранять резервные копии чатов в облаке. При этом WhatsApp, конечно же, умалчивал, что на резервные копии новое шифрование не распространяется — сообщения с облака были по-прежнему доступны хакерам и властям. Но не думайте, что отключив резервные копии чатов, вы спасёте личные данные — на этот случай у WhatsApp есть ещё несколько вариантов: доступ к резервным копиям собеседников и подмена ключей шифрования в чатах.

Метаданные, или почему Цукерберг знает о вас все

В январе 2017 года стало известно, что WhatsApp передаёт властям потоки метаданных — данные о том, где, с кем, когда и как долго общается пользователь. Эта информация нужна корпорации для улучшения настроек таргетированной рекламы.

Есть также кейсы, доказывающие передачу метаданных пользователей по запросу властей. В мае 2016 года (уже после внедрения p2p-шифрования) власти штата Огайо попросили WhatsApp отследить, с каких номеров звонили подозреваемому в распространении наркотиков. (Доступна копия заявления в суд). Представители WhatsApp отказались комментировать эту ситуацию.

Разногласия внутри Facebook

Не только журналисты и общественные деятели выступают против политики Facebook — некоторые сотрудники корпорации тоже не разделяют взгляды основателя. В апреле 2018 года соучредитель WhatsApp Ян Кум покинул Facebook из-за противоречий в отношении конфиденциальности пользовательских данных. Он был против введения инструментов для бизнеса, платной рекламы и задействования пользовательских данных в коммерческих целях. Кум также был против сбора информации о номерах телефонов друзей пользователей WhatsApp.

Ещё один сооснователь WhatsApp, Брайан Эктон, покинул компанию в ноябре 2017 года. В ходе конфликта вокруг Cambridge Analytica он поддержал кампанию #DeleteFacebook и пожертвовал 50 миллионов долларов мессенджеру Signal, который часто рекомендовал использовать Эдвард Сноуден. Об этом мессенджере – ниже.

Как построена защита у популярных мессенджеров?

1. Степень централизации.

Здесь возможны 3 варианта:

- централизованный — такой мессенджер требует наличия сервера, и, следовательно, его можно заблокировать;
- федеративный — он составляет сеть из серверов, которые общаются друг с другом;
- децентрализованный (имеется в виду P2P) — клиент является одновременно сервером.

2. Возможность анонимной регистрации и использования

В большинстве случаев аккаунт в мессенджере привязан к номеру телефона. В этом случае, если не включена двухфакторная аутентификация, получив доступ к телефону, злоумышленник получает все данные аккаунта. Некоторые же мессенджеры позволяют регистрироваться через почтовый ящик или аккаунт в другой соцсети;

3. End-to-End Encryption (сквозное шифрование)

В некоторых мессенджерах данная функция предустановлена по умолчанию, в некоторых её нужно включить, а где-то её просто нет.

4. E2EE-чаты (секретные чаты): синхронизация, групповые чаты, возможность сделать скриншот, проверка отпечатков всех участников

5. Защита социального графа

Некоторые мессенджеры собирают информацию о контактах и другую метаинформацию: кому звонил пользователь, как долго разговаривал и прочее.

Если брать западные месседжеры, ситуация выглядит так:

Telegram

Мессенджер построен с использованием технологии шифрования переписки MTProto. Вопреки позиционированию мессенджера, с его безопасностью не всё так однозначно. Нет защиты социального графа — контакты и сообщения хранятся на серверах Telegram, нет групповых E2EE-чатов, секретные чаты не поддерживаются в десктопной версии. Более того, зарегистрироваться в Telegram можно только при помощи мобильного.

Signal

Signal — продукт американского стартапа Open Whisper Systems, в котором работают всего несколько человек. Компания разработала собственный протокол шифрования — Signal Protocol. Он используется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Сейчас протокол Signal используют WhatsApp, Facebook Messenger, Google Allo. Правда, в отличие от Signal, где шифрование работает по умолчанию, в этих продуктах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo — режим инкогнито (Incognito Mode). Кроме всего прочего, Signal децентрализирован и поддерживает групповые E2EE-чаты. При этом Signal не анонимен: при регистрации нужно указывать номер телефона.

Viber

Viber — централизованный мессенджер, в котором аккаунт пользователя привязывается к номеру телефона. С другой стороны, шифрование в Viber основано на протоколе Signal и доступно даже в десктопной версии. Также есть групповые E2EE-чаты с возможностью настраивать самоуничтожение сообщений — текст будет удален через определенное время после прочтения.

Дополнительно Viber позволяет создавать «скрытые секретные чаты» — они не отображаются в общем списке.

WhatsApp

WhatsApp использует Signal-протокол, но это не даёт никаких гарантий безопасности личных данных. С 2016 мессенджер не хранит переписки пользователей на своих серверах — данные хранятся на телефоне, а также в облачных хранилищах. Хоть WhatsApp не получает самой переписки, у его владельцев есть доступ к метаданным пользователя (телефонная книга, время звонков и сообщений, длительность бесед). Помимо этого WhatsApp узнает массу информации о пользователе: модель телефона, ОС, данные из браузера, IP-адрес, номер мобильного и т.д.

Кейс с WhatsApp показывает нам, что наличие p2p-шифрования не гарант защиты от перехвата переписки — его можно обойти путем использования уязвимости приложения.

Ни один из популярных мессенджеров не может гарантировать пользователям 100-процентную защиту данных, не говоря уже о периодически обнаруживаемых хакерами уязвимостях. Как отметил Дуров в своей колонке, посвященной скандалу с WhatsApp: «Каждый раз, когда WhatsApp приходится исправлять критическую уязвимость в своем приложении, на ее месте появляется новая».

Можно ли найти безопасный мессенджер?

Очевидно, что засекретить личную информацию на 100% в современных условиях у вас не получится. Конечно, можно использовать мессенджеры, созданные помешанными на криптографии «гиками» для таких же «гиков». Однако вряд ли этими мессенджерами будут пользоваться ваши коллеги и друзья.

Есть несколько критериев, на которые стоит обратить внимание при выборе мессенджера. Мы подготовили краткое руководство по оценке безопасности мессенджера.

Итак, ответьте для себя на вопросы:

— Какие функции безопасности есть в приложении? Их мы перечисляли в статье: децентрализация, возможность анонимной регистрации, наличие сквозного шифрования и E2EE-чатов.

— В какой юрисдикции зарегистрирован мессенджер? Как в этой стране обстоят дела с информационной безопасностью и регулированием индустрии связи?

— Хранит ли мессенджер метаданные пользователей на серверах? Если да — есть ли в СМИ описанные случаи, когда компания использовала метаданные в своих интересах?

— Есть ли прецеденты взаимодействия мессенджера со спецслужбами?

— Публикует ли мессенджер отчеты о прозрачности и безопасности?

Вот несколько вопросов, на которые вы должны получить ответы, прежде чем принять решение об использовании того или иного мессенджера. После этого, вы получите представление о политике мессенджера в вопросах безопасности пользовательских данных. Однако не забывайте, что в любой момент злоумышленники могут найти уязвимость и воспользоваться ею — поэтому тщательно обдумывайте, какую информацию вы отправляете через мессенджер.

В современных реалиях невозможно игнорировать популярные мессенджеры, но каждый может минимизировать ущерб от возможного взлома. Достаточно не отправлять через мессенджеры личные данные, не пересылать пароли и другую чувствительную личную информацию.

Автор: Алекс Райнхардт (Германия) – венчурный инвестор, основатель и CEO ELVN.

WhatsApp выкрутился из большого скандала со взломом. Чему это нас должно научить?
Это интересно? Поделитесь с друзьями! —→

Не знаешь, чем заняться и как заработать? Кризис и безденежье портят настроение? Найди вакансии и работу своей мечты на нашем портале 9955599 (ЖМИ СЮДА!) быстро и легко!
Adm
Администратор
 
Сообщения: 92346
Зарегистрирован: 27 сен 2011, 13:33


BH

SaB

AdveR2

DA

BD

ADV

Ads

AdveR

TN


SaT

IPVid

Вернуться в Информационная и кадровая безопасность.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

ђҐ©вЁ­Ј@Mail.ru