Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Mesajele dvs. text pot fi urmărite: O privire aprofundată asupra clienților de mesagerie, a securității și a confidențialității

2016-11-22

Există situații în care puteți primi mesaje legate de o anumită activitate pe care urmează să o faceți sau la care sunteți invitat. Nimeni în afară de dvs. nu ar vrea teoretic să citească mesajul cu pricina. Dar, se poate întâmpla ca din multitudinea de tipuri de utilizatori de SMS să se găsească cineva care să vrea să citească mesajele text ale altcuiva. Ce fel de client SMS utilizează victima? Oare aceasta ia măsuri de precauție pentru a-și proteja datele? Victima este măcar în cunoștință de cauză cu privire la datele stocate pe dispozitiv și la ușurința cu care ar putea fi accesate acestea?

Acestea sunt elemente pe care un posibil atacator le-ar putea filtra mental în momentul unui atac la adresa unui dispozitiv mobil. Spre exemplu, clienții SMS se găsesc în mod nativ pe sistemul de operare Android și totuși, există soluții mai bune care se mândresc cu privire la securitate și la confidențialitate – altele merg chiar mai departe și încorporează trei protocoale criptografice puternice în aplicațiile lor pentru a asigura o comunicație sigură. Au fost, astfel, analizate în cadrul unei cercetări un Samsung Galaxy Note 5 și un Samsung Galaxy S5 cu root, ce rula Cyanogenmod 12.x OS (Android 5.x).

Clienți SMS impliciți pentru Android

Aruncând o privire la setările de bază și citind câteva fragmente ale politicii de confidențialitate oferite, se poate constata că funcționalitatea a fost probabil aleasă în prim plan, în detrimentul securității la utilizarea clienților standard SMS instalați pe dispozitivele Android. Opțiunile nu au cuvinte cheie, precum “criptare” sau “securitate” în nicio listă, iar la vizualizarea politicii de confidențialitate se solicită locația deținătorului la momentul respectiv. Mai departe, în politica de confidențialitate se stipulează că informațiile ce țin de localizare, site-uri web vizitate sau alte informații de identificare vor fi colectate, în speranța de îmbunătățire a programelor publicitare. Există chiar o opțiune mai comodă, de trimitere constantă a locației, parte a utilizării serviciului Glympse de partajare a localizării cu o altă persoană, la alegere. Problema este că această opțiune este activată implicit, fapt ce o face o setare nedorită, iar opțiunea este amplasată în secțiunea de setări de aplicație avansate, unde utilizatorii nu ajung mereu.

Un element interesant este baza de date back-end unde sunt stocate mesajele. Prin ochii unui atacator, deși este posibilă din punct de vedere tehnic interceptarea datelor 3G/4G, este oarecum dificil de realizat și implică utilizarea unui echipament specializat. O opțiune ușoară și deschisă activată pe multe telefoane (pentru utilizatorii de ceasuri smart) este Bluetooth-ul. Cu opțiunea activă, există posibilitatea ca aceasta să fie folosită împotriva dvs., în special atunci când un pin solicitat la asocierea unui dispozitiv este de numai patru cifre.

Prin urmare, simularea unei vulnerabilități a Bluetooth-ului, prin conectarea unui telefon (S5) la distanță a făcut posibilă vizualizarea sistemului de fișiere. Odată ce s-a obținut accesul la sistem, localizarea datei de baze pentru aplicația SMS a durat numai trei minute. Data de baze pentru clienții SMS pare a fi stocată într-o bază de date Sqlite, iar aceasta odată deschisă, pot fi găsite mesajele, datele și orele de trimitere și alte informații care ar putea avea valoare pentru un atacator sau pentru cineva care ar vrea într-adevăr să vadă cui trimiteți mesaje. Chiar dacă simularea și conectarea au făcut referire la un atac de la distanță, în cazul în care lăsați telefonul undeva, rezultatele ar putea fi la fel de cumplite.

Confidențialitatea și securitatea centrate pe clientul de mesagerie

Pasul următor a presupus observarea beneficiilor trecerii la o aplicație care se concentrează asupra “confidențialității și a securității”, ca parte a etosului de bază, cum ar fi WhatsApp. Chiar dacă procesul de instalare este mult mai securizat, aplicația se asociază cu numărul telefonului mobil pentru a-l conecta la serverele acesteia. Mecanismul de trimitere a mesajelor constă în criptare de tip “end-to-end”, ce provine de la dezvoltatorul aplicației Signal, o altă aplicație analizată pe durata cercetării.

O altă caracteristică eficientă este reprezentată de faptul că mesajele nu sunt stocate pe serverele de aplicație ale companiei. Acest lucru este unul benefic, deoarece în “Epoca Breșelor de date”, cheia este responsabilitatea pentru datele personale. Aplicația are, de asemenea, o funcționalitate dedicată apelurilor, unde se folosește aceeași criptare end-to-end. O altă opțiune oferită de WhatsApp este un “lăcățel” afișat care confirmă transmiterea conexiunilor/a datelor într-o stare “criptată”. Aplicația se concentrează pe confidențialitate și pe securitate, dar au existat totuși probleme minore întâmpinate în timpul cercetării și de-a lungul timpului de utilizare a aplicației.

Un element minor care poate reduce gradul de utilizare și de adoptare a aplicației constă în faptul că utilizatorii cărora vrei să le trimiți mesaje trebuie să aibă WhatsApp-ul instalat, mesageria nefiind posibilă în lipsa acestei aplicații și astfel, se solicită invitarea acelor utilizatori să o instaleze. Poate fi dificil să convingeți  utilizatorii sau prietenii să instaleze aceeași aplicație, în special dacă aceștia consider că nu au nevoie să își protejeze confidențialitatea și sunt în regulă cu aplicațiile implicite, dar puteți încerca. O altă problemă identificată a fost faptul că baza de date era încă disponibilă pentru căutare. În cazul în care accesul local era obținut la telefon, o simplă căutare ar fi fost de ajuns pentru a identifica date de valoare și pentru a colecta date importante dintr-o bază de date de mesaje.

În cele din urmă, o problemă majoră a constat în integrarea cu serviciile Facebook, după cumpărarea aplicației WhatsApp în 2016. Ca rezultat, datele sunt transmise către Facebook, pentru diverse servicii publicitare în încercarea de a monetiza serviciul gratuit.

Open sourced – bun venit pentru donații

Aplicația Signal (cunoscută anterior drept TextSecure) are un proces de instalare similar cu cel observat la WhatsApp, dispozitivul și clientul de mesagerie fiind înregistrate pe serverele OpenWhisperSystems și asociate online prin intermediul unui mesaj text primit pe telefonul dvs. pentru validarea identității.

Odată completat procesul de instalare, puteți începe să trimiteți mesaje. La fel ca în cazul WhatsApp, SMS-urile și MMS-urile (text și date) utilizează serviciile de date ale telefonului. În teorie, puteți să nu aveți date 3G/4G și vă puteți baza doar pe o conexiune la internet. Un bonus al acestei aplicații este abilitatea de a trimite mesaje text sau de date către persoane care nu utilizează această aplicație.

Criptarea “end to end” este o combinație între trei algoritmi criptografici: Curve25519AES-256 și HMAC-SHA256, aceeași oferită și de WhatsApp, fără ca datele să fie redirecționate către Facebook. Un element important este codul de sursă pentru Signal, disponibil pe GitHub pentru revizuire, datorită naturii sursei de tip open. În consecință, aveți posibilitatea de a vizualiza aplicația complet pentru a valida faptul că face exact ceea ce ar trebui să facă și nu doar ce susține. În final, baza de date de la Signal este relativ nefolositoare. Deși este accesibilă, datele ce pot fi colectate țin doar de numerele de telefon. Datele legate de mesaje sunt complet alambicate, deoarece baza de date în sine este criptată.

Concluzie

Alegerea unui client de mesagerie ține numai de preferințele utilizatorului. Unii oameni doresc doar ca lucrurile să funcționeze conform standardelor personale și consideră că datele lor sunt triviale, prin urmare de ce ar vrea cineva să le fure sau să le utilizeze în mod abuziv? Alții observă o piață înfloritoare de date și vor să obțină informații personale într-un mediu mai controlat. Există o mulțime de criterii pe baza cărora se poate determina alegerea clientului de mesagerie, dar trebuie să țineți cont de faptul că furtul de date a cunoscut o ascensiune, iar prevenirea poate fi un pas eficient.

 

 

MICHAEL AGUILAR

CORESPONDENT INDEPENDENT

 



Leave a Reply

Your email address will not be published. Required fields are marked *