Бяспека - энциклопедия цифровой безопасности для журналистов и активистов
 

Уязвимости смартфонов, программные атаки

и способы от них защититься

В этой главе мы поговорим о том, как максимально эффективно и при этом просто обезопасить смартфон от программных угроз. Это не про тот случай, когда к тебе пришли. А про то, как защититься слежки и слива информации, в какой бы стране мира ты ни находился.

Для начала давай уясним, что в этом направлении тебе угрожают два вида атак: целевые и «случайные», и это не взаимоисключающие истории. Поэтому, опять же, ты должен думать про свою безопасность в комплексе, а не «купил новый смартфон – молодец, больше ничего делать не буду».

1. Целевые атаки на активистов и журналистов по мотивам нашумевшей истории с Pegasus

У меня для тебя три новости. Очень плохая состоит в том, что современная техника настолько пронизана уязвимостями, что гарантировать 100%-ю безопасность данным и коммуникациям невозможно. Особенно если ты станешь мишенью для целевой атаки.

Конечно, такие страшилки уже далеко не первый год передаются из уст в уста людей, которые задумываются о своей информационной безопасности, но часто это звучит просто как байка. Поэтому рассмотрим свежий, абсолютно реальный и конкретный кейс. В 2021 году разразился крупный скандал вокруг программы-шпиона Pegasus, основного продукта израильской компании «киберразведки» NSO Group:
"Правительства по всему миру желают заполучить то, что может предоставить Pegasus, так как это даст им свободный доступ к коммуникациям и перемещениям террористов и преступников. Однако Проект Pegasus также показывает, как NSO Group почти наверняка продавала свои технологии странам с сомнительной историей соблюдения прав человека, и как эти технологии использовались для слежки за журналистами и активистами. Доказательства, собранные Проектом Pegasus, говорят о том, что правительства от Индии до Азербайджана и от Руанды до Мексики успешно использовали шпионское ПО NSO Group".

"С помощью Pegasus власти Азербайджана, Бахрейна, Венгрии, Индии, Казахстана, Марокко, Мексики, ОАЭ, Руанды и Саудовской Аравии следили за гражданами, которые не вписывались в представление о добропорядочности. Как ее понимают правящие элиты перечисленных стран".

Новая газета

"Правительства по всему миру желают заполучить то, что может предоставить Pegasus, так как это даст им свободный доступ к коммуникациям и перемещениям террористов и преступников. Однако Проект Pegasus также показывает, как NSO Group почти наверняка продавала свои технологии странам с сомнительной историей соблюдения прав человека, и как эти технологии использовались для слежки за журналистами и активистами. Доказательства, собранные Проектом Pegasus, говорят о том, что правительства от Индии до Азербайджана и от Руанды до Мексики успешно использовали шпионское ПО NSO Group".


"С помощью Pegasus власти Азербайджана, Бахрейна, Венгрии, Индии, Казахстана, Марокко, Мексики, ОАЭ, Руанды и Саудовской Аравии следили за гражданами, которые не вписывались в представление о добропорядочности. Как ее понимают правящие элиты перечисленных стран".


Новая газета

Нажми сюда, чтобы увидеть подробности про Pegasus
Шпион в кармане. Около 200 журналистов по всему миру стали жертвами израильской программы Pegasus, которая следила за сотрудниками СМИ, активистами и чиновниками по запросу клиентов компании

В списке потенциальных целей Pegasus — президент Франции Макрон, король Марокко Мухаммед, президент Казахстана Токаев.

iPhone легко взломать даже без участия жертвы. Шпионское ПО Pegasus делает всех уязвимыми

Хорошая обстоятельная статья о том, как именно Pegasus проникает в телефон, что может делать, и как специалисты по безопасности определяют ее наличие.

Amnesty International выпустила приложение для проверки наличия Pegasus на смартфоне. Им можно воспользоваться бесплатно, но процедура потребует продвинутых технических компетенций. По возможности доверь это дело надежным специалистам.

Apple подала в суд на израильского разработчика шпионского ПО Pegasus. Только это совершенно не значит, что теперь разработчики вот так просто закроют компанию и пойдут работать дворниками.
Неплохая новость в том, что нормальные корпорации (читай: не бренды-однодневки) все-таки не игнорируют такие серьезные бреши в системах безопасности своих устройств и по возможности максимально быстро их исправляют. Но для этого тебе нужно регулярно обновлять операционную систему, программы и даже сами смартфоны до свежих версий, в которых исправлены старые уязвимости. И вот довод в пользу этого совета: Apple выпустила срочное обновление iOS 14.8, которая может противостоять шпионскому ПО Pegasus. Мораль: обновляйся!
После описанного кейса США ввели санкции против компаний Positive Technologies из России и NSO Group из Израиля. Их обвиняют в торговле ПО для взлома и шпионажа. Обрати внимание: рядом с названием компании из Израиля стоит имя российского разработчика. Это значит, прямо сейчас могут разворачиваться аналогичные события вокруг этой российской компании. Тебе стоит держать себя в тонусе постоянно, а не только когда читаешь про громкие кейсы из медиа.

После описанного кейса США ввели санкции против компаний Positive Technologies из России и NSO Group из Израиля. Их обвиняют в торговле ПО для взлома и шпионажа. Обрати внимание: рядом с названием компании из Израиля стоит имя российского разработчика. Это значит, прямо сейчас могут разворачиваться аналогичные события вокруг этой российской компании. Тебе стоит держать себя в тонусе постоянно, а не только когда читаешь про громкие кейсы из медиа.

И наконец хорошая новость. Она заключается в том, что использование того же Pegasus или чего-то похожего для целевых атак на конкретного человека стоит денег. Очень больших денег: "Каждая лицензия Pegasus стоит сотни тысяч долларов, поэтому слежение в основном ведется за теми, кто владеет ценной информацией: политиками, бизнесменами и журналистами крупных изданий".

А некоторые источники уровня Одна Бабка Сказала утверждают, что стоимость лицензии на заражение всего лишь одного устройства может доходить до миллиона долларов.

Что это значит? Ресурсы в авторитарных странах часто небезграничные, иначе были бы заражены все граждане условных России, Беларуси, Казахстана и Азербайджана. Проводить такие дорогие атаки против десятков тысяч активистов и журналистов тоже слишком дорого. А если это и получится сделать, то нужно будет выделять значительные ресурсы на то, чтобы прочитать и проанализировать информацию со всех зараженных устройств.

Поэтому, скорее всего, для атаки на твой смартфон недоброжелатели воспользуются другими, гораздо более доступными и очевидными методами. Про физические атаки и способы от них обезопаситься максимально эффективно минимальными средствами мы говорили в предыдущей главе. А про действенные (и часто очень банальные) методы противостояния программным атакам и уязвимостям говорим дальше.

2. Ты уверен в установленных на твоем смартфоне приложениях?

Знаешь, что самое трагичное? Слишком часто люди своими руками устанавливают черт-те что на свои смартфоны, а потом удивляются, как это про них все стало известно. Я уверен, что раз тебя интересует тема цифровой безопасности, то и к выбору приложений ты подходишь ответственно. Но все же давай поговорим на эту тему, потому что здесь есть много неочевидных ловушек, в которые иногда попадаются и очень ответственные люди.

1. Приложения из неизвестных источников – вот откуда берутся шпионы и прочая нечисть на твоем смартфоне. Пожалел $3 и скачал программу не из App Store/Google Play, а взломанную со сторонних сайтов? Поздравляю.

Но оказывается, иногда даже сторонние официальные источники, как тот же AppGallery от Huawei, небезопасны. Смотри: Более 9 миллионов Android-устройств заразились серьёзным трояном через Huawei AppGallery. Но есть одно «но»…
2. …даже в App Store/Google Play есть риск нарваться на очень сомнительные приложения. В App Store меньше, в Google Play больше. Относительно свежая новость по теме: За последние месяцы более 300 000 пользователей загрузили малварь из Play Store. Вирус маскировался под работающие сканеры QR-кодов, PDF-сканеры, приложения для фитнеса и двухфакторной аутентификации, а проникнув на устройство пытался похитить учетные данные пользователей, когда те входили в приложения.

2. …даже в App Store/Google Play есть риск нарваться на очень сомнительные приложения. В App Store меньше, в Google Play больше. Относительно свежая новость по теме: За последние месяцы более 300 000 пользователей загрузили малварь из Play Store. Вирус маскировался под работающие сканеры QR-кодов, PDF-сканеры, приложения для фитнеса и двухфакторной аутентификации, а проникнув на устройство пытался похитить учетные данные пользователей, когда те входили в приложения.

Ходят слухи, что Google нормально проверяет приложение на вредоносность, только если у него есть более миллиона скачиваний. Официальных подтверждений этой информации нет, но выглядит довольно убедительно, потому что глубокая проверка требует человеческих и финансовых ресурсов, которые даже у Google небезграничные.
Из интервью бывшего хакера: "Кстати, второй по частоте метод распространения вирусов — магазины мобильных приложений. Около десяти лет назад я написал приложение фонарика для Android, бесплатно выложил его в Google Play, прикрутил донат: мол, кто хочет поддержать разработчика, закиньте сколько не жалко. Недавно мне прилетает сообщение от каких-то индусов: предлагают $50 тыс. за продажу этого приложения. В чем смысл? Приложение прошло премодерацию, у него есть рейтинг и реальные отзывы, оно закреплено как легальное и легитимное.

Что было бы при продаже? Новые владельцы получили доступ к приложению, они внесут какой-нибудь «малварь» с очередным обновлением. Ты себе это ставишь, и затем они получают доступ к твоему устройству. И ты даже знать об этом не будешь. То же самое, кстати, с плагинами для браузеров".

Онлайнер

Из интервью бывшего хакера: "Кстати, второй по частоте метод распространения вирусов — магазины мобильных приложений. Около десяти лет назад я написал приложение фонарика для Android, бесплатно выложил его в Google Play, прикрутил донат: мол, кто хочет поддержать разработчика, закиньте сколько не жалко. Недавно мне прилетает сообщение от каких-то индусов: предлагают $50 тыс. за продажу этого приложения. В чем смысл? Приложение прошло премодерацию, у него есть рейтинг и реальные отзывы, оно закреплено как легальное и легитимное.


Что было бы при продаже? Новые владельцы получили доступ к приложению, они внесут какой-нибудь «малварь» с очередным обновлением. Ты себе это ставишь, и затем они получают доступ к твоему устройству. И ты даже знать об этом не будешь. То же самое, кстати, с плагинами для браузеров".


Онлайнер

Именно по этим причинам удели пять минут своего драгоценного времени: прямо сейчас зайди в настройки смартфона и посмотри, какие приложения у тебя установлены. Нещадно наводи порядок: удаляй все, чем давно не пользуешься, что вызывает подозрение, от сомнительных разработчиков (например, базирующихся в автократиях и/или замеченных в излишне тесных связях с такими правительствами), непонятно как попавшее на твой смартфон и так далее. Можешь перепроверять при этом количество скачиваний из Google Play/App Store, маленькая популярность (меньше миллиона) – повод задуматься. А если очень сомневаешься, не сломается ли смартфон, если вдруг удалишь системную программу (что сделать довольно сложно), перепроверь в поисковике, для чего предназначено приложение.

Именно по этим причинам удели пять минут своего драгоценного времени: прямо сейчас зайди в настройки смартфона и посмотри, какие приложения у тебя установлены. Нещадно наводи порядок: удаляй все, чем давно не пользуешься, что вызывает подозрение, от сомнительных разработчиков (например, базирующихся в автократиях и/или замеченных в излишне тесных связях с такими правительствами), непонятно как попавшее на твой смартфон и так далее. Можешь перепроверять при этом количество скачиваний из Google Play/App Store, маленькая популярность (меньше миллиона) – повод задуматься. А если очень сомневаешься, не сломается ли смартфон, если вдруг удалишь системную программу (что сделать довольно сложно), перепроверь в поисковике, для чего предназначено приложение.

3. Хорошенько подумай о том, чтобы начать использовать альтернативные, заточенные на безопасность приложения. Вместо Maps.me, напичканного рекламой и отслеживающими технологиями, можно смело переходить на Organic Maps. Это карты с открытым исходным кодом, из которых разработчики убрали все лишнее в угоду конфиденциальности пользователей. А вместо стандартной клавиатуры смартфона, по умолчанию отправляющей вводимые тобой тексты на сторонние сервера, можешь попробовать воспользоваться клавиатурой с открытым исходным кодом Open Board или другими аналогами.

3. Разрешения приложений, или Не слишком ли много хотят знать про тебя третьи лица?

Удалил все лишнее? Молодец! Давай теперь усилим защиту. Ты знал, что можешь просто зайти в настройки смартфона Android и iOS и найти там прекрасный раздел «Разрешения приложений»? (В разных смартфонах может называться по-разному, но суть та же). Это один из самых элементарных способов значительно повысить уровень безопасности устройства за пару минут.

Зачем условному приложению «Фонарик» доступ к твоей камере и СМС? Зачем «Будильнику» доступ к контактам и микрофону? Зачем приложению твоего оператора сотовой связи доступ вообще ко всему вышеперечисленному? Зачем условному Яндексу или Viber разрешение на отслеживание действий в приложениях и на веб-сайтах других (!) компаний? Вот и я думаю, что абсолютно не за чем.
Подробнее об этом можешь почитать в статье «Опасные разрешения для приложений на Android: как избежать риска». Неплохо написано, например, про разрешение доступа к камере кому угодно:

"Разрешение на работу с камерой, позволяющее делать фотоснимки и записывать видео. Риски: Приложение сможет снимать фото и записывать видеоролики без предупреждения и согласия пользователя".

Подробнее об этом можешь почитать в статье «Опасные разрешения для приложений на Android: как избежать риска». Неплохо написано, например, про разрешение доступа к камере кому угодно:


"Разрешение на работу с камерой, позволяющее делать фотоснимки и записывать видео. Риски: Приложение сможет снимать фото и записывать видеоролики без предупреждения и согласия пользователя".

А какие тогда разрешения нужно выставить? К сожалению, я не дам ответ на этот вопрос. Потому что никто, кроме тебя самого, не знает, в каких сценариях ты используешь те или иные приложения. Вася по Telegram звонит с видео маме, Петя звонит без видео коллегам, а Коля только иногда переписывается. Значит, Вася оставит доступ и к камере, и к микрофону, Петя только к микрофону, а Коля может запретить все.

Не бойся. Ты можешь абсолютно спокойно запретить всем приложениям доступ ко всему. Даже приложению «Камера» к камере, и ничего страшного не произойдет! Нигде в мире из-за этого не упадет самолет, нигде во Вселенной не взорвется сверхновая. А когда ты в следующий раз запустишь приложение «Камера», оно предложит тебе все-таки предоставить соответствующее разрешение, иначе просто не будет работать. Вернуть приложению доступ к чему угодно ты сможешь в любой момент, как и отменить его.
Еще перед тем, как установить то или иное приложение, ты можешь посмотреть, какие разрешения оно запросит у твоего смартфона. Если какой-то пункт выглядит слишком подозрительно, возможно, имеет смысл поискать альтернативу? В App Store на странице приложения ищи пункт «Конфиденциальность приложения», а в Google Play этот пункт называется «Разрешения» в разделе «ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ» на странице приложения.

Еще перед тем, как установить то или иное приложение, ты можешь посмотреть, какие разрешения оно запросит у твоего смартфона. Если какой-то пункт выглядит слишком подозрительно, возможно, имеет смысл поискать альтернативу? В App Store на странице приложения ищи пункт «Конфиденциальность приложения», а в Google Play этот пункт называется «Разрешения» в разделе «ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ» на странице приложения.

Заодно заведи две привычки. Первая: каждый раз после установки нового приложения убирать те разрешения, которые тебе кажутся излишними. Вторая: иногда заходить в настройки смартфона и там перепроверять разрешения приложений, ведь даже Google Play предупреждает: «После каждого обновления набор разрешений для приложения может быть расширен».

Естественно, нет гарантии, что вся информация про тебя, ставшая доступной различным приложениям, которым ты не запретил доступы, напрямую отправляется товарищам в штатском. Но ты ведь помнишь, что чем сложнее какая-то система, тем больше риск утечки вследствие ошибок и поломок, даже если речь про мировых гигантов типа Facebook?
На компьютере ты можешь сделать очень похожую штуку (и я рекомендую это сделать).

На компьютере ты можешь сделать очень похожую штуку (и я рекомендую это сделать).

Кстати, в последних версиях Android, начиная с 11-й, появилась возможность выдавать приложениям одноразовые разрешения: «Разрешить только в этот раз». Эта функция выглядит привлекательно и добавляет еще один довод в копилку аргументов за своевременные обновления ПО и техники. Потому что на более старых Android возможности выдавать приложениям одноразовые разрешения не было.

4. Гостевой аккаунт и второе пространство как простой метод обезопаситься

Я уже писал об этом в предыдущей главе, почитай, если пропустил. А сейчас лишь отмечу, что создание гостевого аккаунта или второго пространства на Android – это неплохая идея не только с точки зрения безопасности в случае угрозы физической атаки, но и с точки зрения довольно эффективной и простой защиты от программных уязвимостей. Потому что программы, устанавливаемые в гостевой аккаунт, не должны оставлять следы в аккаунте администратора устройства (но это неточно – точно знают только разработчики ОС).

5. Браузеры

Логика выбора браузера и работа в нем на смартфоне очень схожа с теми правилами и лайфхаками, про которые мы уже говорили в аналогичной главе про компьютерную безопасность. Коротко:

- Используй браузер, которому действительно будешь доверять, а не первый попавшийся от базирующихся в автократиях разработчиков.

- В интернете регулярно публикуют «рейтинги самых безопасных браузеров для смартфонов». Я бы этим рейтингам не очень доверял, но к ним стоит присмотреться, чтобы ориентироваться в этой сфере и выбрать оттуда парочку подходящих именно тебе браузеров. Главное – качать только из официального магазина приложений твоего смартфона. Если же любишь простые советы, держи названия: Brave и DuckDuckGo.

- Google Chrome, как и все остальные популярные браузеры, регулярно подвергается нападкам со стороны экспертов по кибербезопасности. И все же, для жителей авторитарных стран даже такой выбор чуть лучше, чем браузеры с яркой буквой «Я» на логотипе, «Атом» от Mail.ru или Mi Браузер, предустановленный китайским производителем твоего смартфона.
Не стесняйся покопаться в настройках своего браузера, ведь там можно обнаружить много удивительного. Сохранение паролей и платежных данных – так себе идея. В разделах, связанных с конфиденциальностью и безопасностью данных, скорее всего, удивишься. Разрешения для сайтов тоже пересмотри: возможно, всем сайтам подряд не нужно давать безлимитный доступ на «Использование устройства» или к той же камере?

Не стесняйся покопаться в настройках своего браузера, ведь там можно обнаружить много удивительного. Сохранение паролей и платежных данных – так себе идея. В разделах, связанных с конфиденциальностью и безопасностью данных, скорее всего, удивишься. Разрешения для сайтов тоже пересмотри: возможно, всем сайтам подряд не нужно давать безлимитный доступ на «Использование устройства» или к той же камере?

- Как и на компьютере, на смартфоне имеет смысл пользоваться двумя браузерами. Один, защищенный, строго для работы, в том числе требующей конфиденциальности. А второй для различных развлечений и посещений сайтов, на которых есть риск нарваться на разного рода неприятности.

- Не игнорируй режим «Инкогнито», позволяющий более или менее приватно заходить на сайты, следы посещения которых крайне нежелательно иметь на смартфоне. Только помни, что без VPN провайдер и обитатели различных трехбуквенных ведомств все равно знают, на какие сайты ты ходишь и на каких сервисах пользуешься секретной безопасной почтой.

6. Антивирусы на смартфоны – действительно ли они (не) нужны?

С iPhone все довольно просто: если никто не модифицировал и не перепрошивал твой смартфон, если регулярно обновляешь ОС и качаешь приложения только из официального App Store, то исследователи в сфере кибербезопасности говорят, что антивирус нужен всего лишь для дополнительной перестраховки. Но от целевой профессиональной атаки типа Pegasus он вряд ли спасет.

С Android все намного сложнее, и здесь по этому вопросу нет единого мнения. Подцепить вирус на Android довольно легко. Не туда нажал, не то скачал, не убедился в надежности издателя, оставил смартфон разблокированным на минутку, когда рядом был злоумышленник… Зачастую против тебя играет пресловутый человеческий фактор. То есть ты сам.

С одной стороны, в современный Android встроена Google Play Защита, которая проверяет приложения во время установки, а также периодически сканирует устройство. С другой, работает эта защита далеко не идеально. Свидетелем этому выступают многочисленные новости, которые мы уже упоминали, профильные рейтинги и даже обзоры официальных сайтов производителей смартфонов на Andorid!

А официальный сайт Samsung резюмирует свою статью:
"Если вы начинающий пользователь и не уверены в своих силах – антивирус нужен. Но только один. Если пользуетесь устройством осторожно и соблюдаете правила безопасности, антивирус можно не устанавливать".

"Если вы начинающий пользователь и не уверены в своих силах – антивирус нужен. Но только один. Если пользуетесь устройством осторожно и соблюдаете правила безопасности, антивирус можно не устанавливать".

Пожалуй, соглашусь, и выбор, устанавливать ли антивирус на Android, оставлю за тобой. Но если все же решишь, держи пару советов:

1. Выбирай надежного разработчика, хорошо себя зарекомендовавшего. Можешь ориентироваться на профильные исследования, но не принимай их слишком близко к сердцу.

2. Обрати внимание, не были ли замешаны разработчики в компрометирующих новостях.

3. Не бойся посмотреть настройки антивируса после установки. Там часто можно встретить много интересных штук: например, антивора, безопасность Wi-Fi или защиту от фишинговых сайтов.
Антивирусы вряд ли спасут тебя от приложений абсолютно легальных, но часто используемых в «неэтичных» (а если точнее, незаконных) целях. Вот и в одной из тысяч похожих друг на друга новостей о том, как белоруска скачала приложение и лишилась более $500, злую шутку сыграл человеческий фактор. Само приложение AnyDesk вполне легальное, размещено на официальном Google Play, скачано более 10 миллионов раз, наверняка проходило проверки безопасности и вряд ли было бы опознано даже продвинутыми антивирусами как вредоносное.

Лучший способ защиты от таких угроз – активация мыслительных процессов. Думать и не поддаваться на эмоции.

Антивирусы вряд ли спасут тебя от приложений абсолютно легальных, но часто используемых в «неэтичных» (а если точнее, незаконных) целях. Вот и в одной из тысяч похожих друг на друга новостей о том, как белоруска скачала приложение и лишилась более $500, злую шутку сыграл человеческий фактор. Само приложение AnyDesk вполне легальное, размещено на официальном Google Play, скачано более 10 миллионов раз, наверняка проходило проверки безопасности и вряд ли было бы опознано даже продвинутыми антивирусами как вредоносное.


Лучший способ защиты от таких угроз – активация мыслительных процессов. Думать и не поддаваться на эмоции.

Про программные атаки на смартфон и способы безболезненной защиты понятно? Тогда дальше поделюсь несколькими лайфхаками, которые сделают твою жизнь немножечко безопаснее и лучше.
Следующая глава 
3. Очевидное-невероятное. Бесплатные лайфхаки по выбору и использованию смартфонов
Содержание
Навигатор по энциклопедии ⏬
Содержание 
Навигатор по энциклопедии ⏬ 
Следующая глава
3. Очевидное-невероятное. Бесплатные лайфхаки по выбору и использованию смартфонов