Шрифт:
Интервал:
Закладка:
КЕЙС В апреле 2020 г. в серверы провайдера Encrochat правоохранительными органами были внедрены инструменты для перехвата трафика. Таким образом сотрудники Европола смогли получить доступ к большинству сообщений внутри защищенной сети и начать идентифицировать пользователей. Мобильные устройства Encrochat позиционировались как наиболее безопасные для общения: из них были удалены модуль GPS, камера, микрофон и USB-порт и они работали под управлением специальной модифицированной версии операционной системы Android. Для обмена сообщениями использовались специальные программы с шифрованием на основе криптографического протокола Signal[323]. Устройства были защищены от внедрения средств слежки и прослушки и уничтожали все содержимое памяти при нажатии специальной кнопки либо после нескольких попыток ввести неправильный ПИН-код. Несмотря на серьезную защиту самих устройств, сервис был скомпрометирован через серверы провайдера Encrochat. В июне сотрудники Encrochat обнаружили компрометацию серверов и разослали всем пользователям сервиса широковещательное уведомление о взломе и рекомендации немедленно отключить и уничтожить устройство. Благодаря операции сотрудникам правоохранительных органов удалось арестовать множество преступников на территории Европы и только в Нидерландах обнаружить и закрыть 19 нарколабораторий[324],[325].
Примечание. Данная уязвимость угрожает прежде всего владельцам устройств под управлением операционной системы Android, так как в качестве облачного хранилища они могут использовать только «Google Диск». Пользователи iOS-устройств могут выбрать хранилище iCloud, где все данные шифруются по умолчанию.
Приложения, предназначенные для перехвата, могут не только пересылать злоумышленникам текстовые сообщения (SMS, MMS, Skype, Viber, Whatsapp, «ВКонтакте», «Одноклассники», Facebook и др.), но и записывать телефонные разговоры и окружающие звуки, скрытно использовать камеру и пересылать фотографии из альбома пользователя, а также многое другое, при этом позволяя злоумышленникам удаленно управлять устройством. Это больше касается операционной системы Android; в подавляющем большинстве случаев для перехвата сообщений и звонков в iOS требуется джейлбрейк. В современных версиях Android пользовательские данные охраняются лучше, усилена защита от опасных разрешений (приложение не может получить таковых без явного согласия владельца гаджета), но некоторые пользователи не следят за безопасностью своих устройств либо пользуются старыми, уязвимыми аппаратами.
Также способны перехватывать трафик вредоносные приложения, имитирующие оригинальные мессенджеры, и некоторые клиенты, альтернативные официальным. Большинство альтернативных клиентов для «ВКонтакте» и Telegram, как и любые другие вредоносные приложения, создается для кражи персональных данных[326].
Такие программы могут даже перехватывать секретные чаты – например, воспользовавшись штатной функцией кеширования в оперативной памяти смартфона (с ОС Android) снимков экранов запущенных приложений. Существуют приложения, способные извлекать из памяти смартфона такие снимки, в том числе и скриншоты секретных чатов Telegram и Signal; в этих чатах пользователь не может скопировать изображение на экране[327]. Даже если антивирусное приложение заблокирует такие вредоносные программы, сам пользователь может разрешить с виду легитимным приложениям доступ к функциям записи данных, вводимых с клавиатуры; снятия скриншотов и буферу обмена. Иногда утечка информации из секретного чата может произойти, если гаджет находится в поле зрения видеокамеры или за его владельцем кто-то наблюдает сзади.
■ Замена SIM-карты. Злоумышленник может перевыпустить SIM-карту, подкупив сотрудника компании сотовой связи[328] или предоставив доверенность от имени владельца с его паспортными данными (подделав ее или приобретя в интернете)[329],[330], а затем получить доступ к чатам в мессенджерах, перехватив код аутентификации из текстового сообщения[331]. Используя в мессенджере аккаунт жертвы, злоумышленник не только сможет писать сообщения от ее имени, но и (не во всех мессенджерах) получит доступ ко всей прошлой переписке, кроме секретных и зашифрованных чатов. Поэтому важно защищать переписку в мессенджерах не только с помощью пароля и двухфакторной аутентификации, но и дополнительными методами – используя зашифрованные секретные чаты (приватные беседы), которые нельзя просматривать на постороннем устройстве.
■ Дополнительные сеансы (для мессенджеров). Необязательно взламывать сложные алгоритмы шифрования, когда можно пойти простым путем. Например, если пользователь общается в WhatsApp, злоумышленник может подсмотреть графический ключ для доступа к его устройству, дождаться, когда жертва на пару минут оставит смартфон без присмотра, затем запустить на своем компьютере или мобильном устройстве мессенджер и отсканировать смартфоном показанный в нем QR-код. С этого момента злоумышленник может читать всю переписку жертвы, пока в WhatsApp не будет сменен ключ и не потребуется вновь отсканировать QR-код[332]. Аналогичным образом перехватывается переписка и в других мессенджерах, например Signal, Viber и Telegram. Как вариант, злоумышленник может вместо физического доступа к смартфону жертвы запустить на нем троян, отправив пользователю фишинговую ссылку[333].
■ За пользователем могут подсматривать посторонние люди. При этом они могут видеть сообщения, содержащиеся в уведомлениях на экране блокировки. Как правило, в этом случае виден только фрагмент сообщения, но он может быть крайне важным. Например, пытаясь получить доступ к аккаунту жертвы в Сети и оплатить с ее счета покупку, злоумышленник может подсмотреть на смартфоне жертвы код подтверждения, и ему для этого даже не понадобится разблокировать устройство (например, оставленное без присмотра). К тому же уведомления на экране блокировки могут содержать имя отправителя, связь с которым в определенных случаях может скомпрометировать жертву или привести к другим нежелательным последствиям.