Zabezpečenie smartfónov je aj dnes nesmierne dôležitou témou, ktorú ale väčšina ľudí prehliada. Pri inštalovaní nových aplikácií sa často ani len nezamýšľajú nad tým, aké údaje o nich bude vývojár získavať a kam poputujú ďalej. Podozrivo veľa povolení, zdieľanie používateľských dát cez viaceré platformy a spoločnosti, či hrozba infikovania malvérom sú stále problémami, s ktorými sa môže stretnúť každý z nás.

Neraz totiž čítame správy, ako smartfóny ohrozuje nový malvér, ktorý môže odcudziť finančné či osobné údaje používateľa, alebo ako si aj známe aplikácie hľadajú cestu k čoraz väčšiemu množstvo používateľských dát. Taký Facebook sa prednedávnom znova „vyfarbil“, keď chcel ľudí donútiť, aby súhlasili so zdieľaním údajov z WhatsApp a mohol ich využiť pre ďalšie účely.

Nekalé praktiky vývojárov a veľkých technologických gigantov, ale aj hrozby útokov prostredníctvom falošných aplikácií alebo hacknutím smartfónu sú však mnohokrát bežnými používateľmi „prehliadané“. Na tieto a ďalšie témy sme sa preto porozprávali s Lukášom Štefankom, analytikom spoločnosti ESET.

V rozhovore sa ďalej dočítaš:

  • Ako aplikácie narábajú s používateľskými dátami a čo predstavuje pre ľudí nedávna „kauza“ s aplikáciou WhatsApp a Facebookom
  • Akú alterantívu používať namiesto WhatsApp
  • Ako dokázal Lukáš hacknút Android za 32 sekúnd
  • Aká je bezpečnosť moderných smartfónov a kde je ich najväčšia slabina
  • Prečo sa treba vyvarovať lacným kúskom od neznámych výrobcov
  • Či je bezpečnejší Android alebo iOS
  • Na čo si dať pozor pri inštalovaní aplikácií a akým aplikáciám sa vyhnúť
V posledných mesiacoch sa hovorí o novinke v iOS 14, ktorá zastaví sledovanie ľudí aplikáciami ako Facebook mimo ich platformy. Mnohí ľudia pritom ani len netušia, že ich sociálna sieť môže sledovať aj pri vyhľadávaní informácií na Google alebo prezeraní e-shopu, dáta potom využije klasicky na marketingové účely. Nie je takéto sledovanie nelegálne a ako vnímaš tento krok Applu?

Zberanie a zdieľanie dát o používateľovi za predpokladu že k tomu dal explicitný súhlas (to je väčšinou to prvé okno, ktoré vyskočí a prekryje polovicu obrazovky) tak nelegálne nie je. V opačnom prípade, to môžeme vnímať ako nelegálne podľa GDPR.

Tento krok od Applu vnímam pozitívne, keďže výmena dát používateľov s inými spoločnosťami za účelom reklamy je nastokrát už za čiarou. Apple to urobil jednoducho a „user friendly“, keďže ľudia častokrát súhlasia s niečím, čo sa im nechce čítať.

Facebook sa bráni tým, že takáto zmena uškodí malým podnikateľom na jeho platforme. Nechce náhodou len silou-mocou mať aj naďalej prístup k dátam zo sledovania ľudí mimo svojej platformy?

Niekto túto zmenu musí pocítiť, nemyslím si, že to budú vo veľkej miere malí podnikatelia, keďže reklamy na Facebooku ostávajú, ale podľa môjho názoru nastane slabšia monetizácia zo strany Facebooku, keďže nebude môcť dáta ďalej predávať a podrobnejšie vyhodnocovať zisk pre budúcich klientov.

Aký najväčší benefit prináša táto zmena pre bežného používateľa?

Za podmienky, že používateľ nepovolí sledovanie, znamená, že jeho dáta nebudú ďalej zdieľané s inými spoločnosťami za účelom zobrazovania tej istej alebo podobnej reklamy vo viacerých aplikáciách.

Facebook nedávno ohlásil, že bude v zahraničí pristupovať k údajom používateľov WhatsAppu a svojim spôsobom ich nútiť, aby s podmienkami súhlasili. Je už takéto správanie vyslovene zneužívanie monopolu? Sú obavy ľudí o zdieľaní týchto údajov opodstatnené a mali by prejsť na inú aplikáciu?

Či je to zneužitie monopolu by asi mal rozhodnúť súd alebo nejaký regulátor. Osobne si však myslím, že svojim spôsobom to zneužívanie je, keďže sa Facebook snaží posúvať hranice toho, čo všetko vie o svojich používateľoch na rôznych platformách a to spojiť dohromady. Obavy tam môžu byť, a či sú opodstatnené, to ukáže čas.

Každopádne, Facebook alebo WhatsApp určite nezačnú poľavovať v zbere informácii o ich používateľoch, skôr naopak. V súčasnosti je na trhu viacero komunikačných aplikácií, a tak sa človek môže slobodne rozhodnúť, ktorú bude používať na základe toho, čo apka zdieľa s inými spoločnosti. Už ste počuli o aplikácii Signal?

Aké dáta a osobné údaje už teraz zdieľajú ľudia s aplikáciami a ani o tom nevedia, lebo si neprečítajú podmienky používania?

Strašne veľa. V podstate ide mnohokrát o zber nezaujímavých informácii, no vo finále vedia vytvoriť užitočný obraz o človeku. K akým základným dátam ma apka prístup, si vedia ľudia overiť cez povolenia aplikácie.

Napríklad WhatsApp zdieľa s Facebookom telefónne číslo používateľa, ako dlho a ako často sa využíva WhatsApp, ako interagujete s kontaktmi, IP adresu, operačný systém a jeho verziu, aký prehliadač používate, stav batérie, operátora, jazyk, časová zóna či informácie o polohe.

Ak by si mal vybrať alternatívnu aplikáciu maximálne využiteľnú aj na Slovensku namiesto WhatsApp, ktorá by to bola?

Signal.

Akú komunikačnú aplikáciu momentálne využívaš a prečo si ju uprednostnil?

Využívam veľa rôznych komunikačných aplikácií vrátane WhatsAppu či Telegramu. Pri svojej práci potrebujem komunikovať s rôznymi ľuďmi, ktorí preferujú tu svoju platformu na ktorú sú zvyknutí. A ak chcem s takými ľuďmi komunikovať, tak sa musím prispôsobiť. Každopádne, primárne využívam a uprednostňujem Signal.

Keď je reč o smartfónoch a hlavne zbieraní dát, ako ich vnímaš z bezpečnostného hľadiska a aké sú ich slabé stránky? Niektorí preferujú Android, iní siahajú po iOS a „žabomyších“ vojen niet konca. Ktorý z nich vnímaš ako bezpečnejší?

Oba systémy sú spoľahlivé a neustále sa snažia zlepšovať bezpečnosť a ochranu osobných údajov ich používateľov. Každopádne, ak porovnávame iOS a Android, máme tu dva pohľady – bezpečnosť operačného systému a ochrana používateľov pred škodlivými aplikáciami.

V minulosti si dovolím povedať, že bezpečnosťou operačného systému dominoval iOS, ale v súčasnosti si myslím, že Android je minimálne na rovnakej úrovni ako iOS, ak nie lepšej, čo odzrkadľuje aj trhová cena „0-day“ zraniteľnosti pre tieto systémy.

Totižto cena neodhalenej zraniteľnosti nájdená v systéme Android je vyššia o $500,000 ako pre iOS (https://zerodium.com/program.html). Ak porovnáme možnosť zložitosti nainštalovania škodlivej aplikácie používateľom, tak tu vyhráva Apple.

Pre bežného používateľa iOS produktu je takmer nemožne nainštalovať aplikáciu (vynímajúc jailbreak), ktorá sa nenachádza na App Store. Android je otvorená platforma, ktorá umožňuje používateľovi inštalovať aplikácie aj mimo Obchodu Play, ale pred inštaláciou žiada explicitne povolenie s upozornením že sa jedná o inštalovanie apky mimo oficiálneho Obchodu.

Je vôbec možné rozdeliť smartfóny na „bezpečné“ a „menej zabezpečené“ a na základe akých kritérií?

V prípade Androidov, áno. Lacné „no-name“ smartfóny z exotických a neregulovaných trhov sa zaradzujú do kategórie menej bezpečných, keďže v minulosti sa už vo viacerých prípadoch v takýchto mobiloch našiel predinštalovaný malware. Taktiež treba počítať s tým že tieto smartfóny nemusia dostavať systémové aktualizácie, ktoré zahrnujú opravy bezpečnostných chýb.

Prednedávnom si na svojom profile zverejnil video, ako si len za 32 sekúnd „hackol“ Android smartfón. Prezraď bližšie detaily, o čom v tomto prípade išlo a akú „slabinu“ zabezpečenia sa ti podarilo obísť.

Išlo o prove of concept – čiže demonštrácia toho, že je to možné, ale len vtedy, ak nie sú splnené základne bezpečnostne opatrenia. V skratke, video poukazuje na to, aby ľudia nepoužívali jednoduché PIN kódy na zablokovanie smartfónu, keďže každoročne sa zverejňuje zoznam najpožuvanejších hesiel, PINov alebo odblokovacích vzorov.

Vo videu nezneužívam zraniteľnosť systému. Cieľom je uhádnuť v čo najkratšom čase PIN, keďže po určitom počte zlých pokusov sa mobil na určitý čas zamkne a až následne tento útok môže pokračovať. Ako náhle uhádnem PIN, automaticky sa nainštaluje malware, ktorý mi dovolí vzdialene ovládať tento smartfón z môjho laptopu. Cely tento útok je v celku nenápadný, keďže na to potrebujem len mobil a káblovú redukciu.

Môže byť takýmto spôsobom hacknutý akýkoľvek smartfón?

Áno, v podstate akýkoľvek Android za predpokladu, že ma zvolený jednoduchý PIN a nepoužíva antivírus. Ak PIN dokonca nie je nastavený, alebo ho útočník vie a smartfón nie je chránený bezpečnostným softvérom, tak to funguje vždy.

Je to práve Obchod Play, ktorý bol mnohokrát kritizovaný za ponuku škodlivých aplikácií. Ako teda Google pristupuje k ochrane používateľa pred takýmto softvérom a aký postoj si zachováva Apple vo svojom App Store?

Ťažko povedať, čo všetko sa odohráva po tom, ako vývojári nahrajú ich aplikácie do týchto obchodov, keďže vo finále Google rozhoduje o spôsobilosti aplikácií. Každopádne ESET patri do App Defense aliancie, čo znamená, že sme jednou z troch externých firiem, ktoré pomáhajú Googlu s vyhodnocovaním bezpečnosti aplikácii.

Pokiaľ viem, tak Google okrem detekcie škodlivého kódu analyzuje aj možné zraniteľnosti. Verím, že obdobne to funguje aj na strane App Storu. Nevýhodou App Store je, že nepovoľuje antivírusové aplikácie, a tým pádom žiadna tretia strana nevie fakticky overiť prítomnosť škodlivých aplikácii u iOS klientov.

Mobilné aplikácie sa dajú stiahnuť aj z neoficiálnych zdrojov a práve to predstavuje veľké riziko pri inštalovaní neznámych aplikácií. Ako ju môžu používatelia pred inštaláciou overiť a zistiť, či je bezpečná?

Ideálne je vedieť dôvod, prečo takúto aplikáciu chcem stiahnuť z neoficiálneho zdroja a či sa nachádza na oficiálnom obchode. Ak je napríklad aplikácia platená na Obchode a dostupná zadarmo na neznámom zdroji, príde mi to podozrivé.

Každopádne by som pred inštaláciou skontroloval vývojára a overil jeho webstránku, ak hovoríme o alternatívnom obchode a skontroloval povolenia aplikácie. Nie je to dostatočné, ale bežný používateľ takto manuálne nevie overiť jej vierohodnosť. Google ponuka aj ich predvolené bezpečnostne riešenie Google Play Protect, ale to bohužiaľ v antivírusových testoch obsadzuje posledné priečky.

Ktoré aplikácie zvyknú najčastejšie hackeri falšovať, aby infikovali smartfóny?

Aplikácie s erotickým obsahom alebo často populárne hry či aplikácie napr. Cyberpunk 2077, Microsoft Flight Simulator, Fortnite, Pokemon Go alebo ich rôzne prémiovo znejúce varianty PUBG PRO, Minecraft Gold Edition, Whatsapp 2021 atď.

Týka sa tento problém aj inštitúcií ako sú banky alebo aj iných oficiálnych štátnych programov?

Áno. Štandardne sa šíria podvodné maily alebo SMSky ktoré využívajú sociálne inžinierstvo a vydávajú sa za banku, kde ich cieľom je ponúknuť napríklad nový bezpečnostný mobilný prvok, ktorý si je nutné nainštalovať ako komponent k pôvodnej bankovej aplikácií. Cieľom tohto komponentu je odchytávanie prihlasovacích údajov a overovacích kódov.

Z pohľadu štátu je to výraznejšie skôr posledný rok, kedy sa malware vydával za legitímnu Covid-19 aplikáciu, ktorá slúži na overenie symptómov, získavanie posledných správ, sledovanie pohybu, získanie tlačiva na vycestovanie z krajiny a podobne.

Mnohé aplikácie dnes od používateľa žiadajú po prvom spustení rad najrôznejších povolení. Medzi najčastejšie patrí napríklad prístup ku kontaktom, správam, fotoaparátu, či aplikácii pre volania, hoci to aplikácia pre svoj účel nepotrebuje. Dajú sa na základe toho odhadnúť nebezpečné aplikácie, ktoré by sme nemali inštalovať?

Áno, toto je jedna z doporučených kontrol pred samotnou inštaláciou – skontrolovať povolenia. Ak aplikácia žiada netypické povolenia – kalkulačka prístup ku kontaktom – tak by som odporučil nainštalovať inú kalkulačku.

Prečo vôbec žiada aplikácia ako napríklad mediálny prehrávač MX Player prístup k fotoaparátu?

Populárne apky ako táto k tomu väčšinou majú dôvod napríklad pre pridanie fotky do profilu, skenovanie QR kódov alebo posielanie fotiek prostredníctvom správ. MX Playera, toto som si osobne overil, žiada povolenie prístupu k fotoaparátu až vtedy, keď chce používateľ zdieľať súbory a potrebuje načítať QR kód, čo je úplne v poriadku.

Ako pristupuješ ty k svojmu smartfónu z hľadiska zabezpečenia? Máš nejaké špeciálne tipy / triky a ponaučenia z minulosti?

Špeciálne nie, keďže tie si väčšinou žiadajú vykonať viac úkonov od používateľa, a tým prispievajú k menej komfortnému využívaniu smartfónu.

Čo by si poradil absolútne základnému používateľovi smartfónu, aby maximalizoval svoju ochranu na internete?

Zamykať si smartfón pomocou hesla (ja používam kombináciu odtlačok prsta a PIN), neprihlasovať na akýkoľvek osobný účet, ak ste na „free wifi“, pripájať sa k svojim službám a účtom (sociálne siete, email, bankovníctvo atď.) cez dedikované aplikácie, nie z mobilného prehliadača.

Pre zvýšenie bezpečnosti prístupu k svojim účtom odporúčam používať dvojfaktorovú autentifikáciu minimálne pre aplikácie, cez ktoré kontrolujete svoje financie, platenie mobilom cez Google Pay je bezpečnejšie ako kartou – keďže táto služba vytvára jednorazove virtuálne číslo karty, ktoré aj pri odchytení útočníkom sa už nedá použiť, aktualizujte operačný systém a nainštalované aplikácie, používajte dôveryhodný antivírus, pre väčší pocit súkromia alebo anonymity aj službu VPN alebo TOR (prehliadač).

Pošli nám TIP na článok



Teraz čítajú