Руководство по обеспечению безопасности мобильных устройств

Смартфоны и планшеты все чаще и шире применяются в нашей жизни. Не только как персональные, но и как корпоративные устройства. Количество данных, хранимых на них, существенно выросло. В отличие от традиционных компьютеров, телефоны и планшеты могут быть легко украдены или утеряны. Если это произойдет, то ваши личные данные — пароли, номера кредитных карт, адреса и номера телефонов ваших контактов могут попасть в руки злоумышленников.

В данной статье мы постараемся понять, как Android и iOS реагируют на различные угрозы, рассмотрим преимущества и недостатки каждой из этих мобильных операционных систем.

Мобильные угрозы

Прежде всего давайте рассмотрим возможные мобильные угрозы. Согласно информации ENISA (European Union Agency for Network and Information Security), возможны следующие угрозы для смартфонов и других мобильных устройств:

1. Утечка данных из-за потери устройства или воровства (высокий риск)

Если вы потеряли свое устройство и при этом заранее не заблокировали его PIN-кодом или паролем, то новый владелец вашего телефона получит доступ к следующей информации:

• Электронная почта, включая любые пароли или информация о сохраненных учетных записях.

• Ваши учетные данные в социальных сетях, таких как Facebook, Google + и Twitter.

• Пароли, сохраненные в вашем браузере.

• Информация о кредитной карте и пароли, сохраненные в таких приложениях, как Amazon и Google Wallet.

• Адреса электронной почты, номера телефонов и физические адреса ваших контактов.

• Сохраненные пароли для доступа к защищенным сетям Wi-Fi.

• Фото и видео, хранящиеся на устройстве.

2. Неумышленное раскрытие данных (высокий риск)

Увы, но очень часто разработчики приложений требуют для своих приложений гораздо больше прав, чем реально необходимо.

Например, вы можете и не знать, что ваше устройство широковещательно передает данные о вашем расположении каждый раз, когда вы отправляете фотографии.

Вот несколько способов рассказать всем о том, где вы находитесь:

• Отправить фотографию с включенными геотегами (данными расположения).

• Если кто-то отправляет фотографию с вами с включенными геотегами (данными расположения) без вашего ведома.

• «Зарегистрироваться» в определенном месте (кафе, ресторане, магазине), используя приложение расположения.

3. Атаки на использованные/отказавшие устройства (высокий риск)

Ненадлежащим образом удаленные с мобильных устройств данные могут привести к разглашению следующей информации:

• Письма и пароли электронной почты.

• Список контактов.

• Список вызовов.

4. Фишинговые атаки (средний риск)

Фишинг (phishing) — форма сбора данных. Атакующий пытается обмануть пользователей для кражи вводимых персональных данных, таких как пароли и информация о кредитной карте, отправляя им поддельные сообщения, которые кажутся подлинными.

Фишинговые атаки могут иметь множество обличий:

• Поддельные приложения, похожие на подлинные.

• Фальшивые электронные письма, отправителями в которых значатся подлинные источники, например, банки и другие финансовые учреждения.

• SMS-сообщения, отправителями в которых значатся подлинные источники, например, ваш беспроводной провайдер.

5. Атаки шпионского ПО (средний риск)

Ваше мобильное устройство может быть заражено шпионским ПО. При этом злонамеренное ПО может отправить ваши персональные данные на удаленный сервер без вашего ведома.

Информация, собираемая злонамеренным ПО:

• Все нажатия клавиш.

• Имена, номера телефонов и адреса электронной почты ваших контактов.

• Информация с кредитной карты, если вы используете интернет-платежи.

6. Атаки спуфинга сети (средний риск)

Злоумышленники иногда охотятся на простодушных пользователей, которые подключаются к незащищенным сетям Wi-Fi. Если вы вводите свои персональные данные при наличии незащищенного соединения с сайтом (сайт не использует SSL), ваши данные могут быть похищены. Что вы можете случайно раскрыть:

• Пароли к веб-сайтам.

• Информацию о кредитной карте, передаваемую через незашифрованное соединение.

Общие гарантии и подсказки для мобильной безопасности

Несмотря на то, что мобильные ОС предлагают собственные инструменты для защиты вашей информации, существует ряд мер, которые каждый пользователь может предпринять для снижения уровней рисков, описанных в предыдущем разделе.

1. Утечка данных из-за потери или воровства устройства

Запомните: всегда устанавливайте PIN, пароль или биометрическую аутентификацию для блокирования вашего устройства.

• Сконфигурируйте свой смартфон, чтобы он блокировался после нескольких минут неактивности. Очень часто эта опция включена по умолчанию в новых моделях телефонов.

• Используйте разные пароли для различных служб и веб-сайтов на вашем устройстве. Это поможет вам смягчить последствия воровства персональных данных, если кому-то удастся обойти PIN вашего смартфона.

• Не храните информацию вашей кредитной карты на вашем мобильном устройстве.

• Если вы потеряли ваше мобильное устройство, примите меры к удаленному стиранию данных, хранившихся на нем. Для Apple используйте приложение Find My iPhone. Пользователи Android могут использовать массу сторонних приложений или включить Android Device Manager в Google Settings.

• Зашифруйте данные на вашем смартфоне или планшете. Это доставит вам определенные неудобства при использовании смартфона, зато ваши данные будут в безопасности.

2. Неумышленное раскрытие данных

• Отключите определение географических координат на вашем устройстве. Учтите, что некоторые приложения при этом перестанут работать.

3. Атаки на списанные мобильные устройства

• Не забудьте перед продажей сбросить устройство в заводские настройки.

• Покупая новое устройство не забудьте старое сбросить в заводские настройки, ведь воровство вашего устройства, даже старого, несет за собой возможность потери ваших персональных данных.

4. Фишинговые атаки

• Как правило, фишинговые SMS и электронные письма содержат опечатки.

• Устанавливайте приложения только из доверенных источников.

• Никогда не пересылайте ваши пароли, номера кредитных карт или другие персональные данные в сообщениях электронной почты или SMS. Если у вас спрашивают эту информацию, то скорее всего это мошенничество.

5. Атаки шпионского ПО

• Установите антивирусное ПО.

• Не изменяйте настройки безопасности вашего телефона. Rooting или jailbreaking вашего устройства может сделать его более восприимчивым к атаке.

• Регулярно обновляйте программное обеспечение вашего устройства.

6. Атаки спуфинга сети

• Если возможно, соединяйтесь только с защищенными сетями Wi-Fi.

• Если вы вынуждены использовать незащищенную сеть Wi-Fi, регистрируйтесь только на тех сайтах, которые используют шифрование SSL (префикс сайта «https» в URL).

Как защитить ваш iPhone, iPad или iPod

Первое что вы можете предпринять — создать пароль или PIN-код для любого устройства под управлением iOS. Вы можете установить простой четырехразрядный пароль, фактически PIN-код: Настройка> Общие> Passcode.

Пользователи могут установить iOS, чтобы полностью вытереть их устройство персональных данных после 10 недопустимых записей passcode. Чтобы включить эту функцию, установите переключатель Erase Data в положение On на экране Passcode.

Для усиления стойкости пароля iOS позволяет использовать не просто цифровой, а алфавитно-цифровой пароль. Включите: Настройки> Общий> Пароль> Сложный Пароль.

Эта опция особенно полезна для использования в корпоративном секторе. Администраторы могут установить требования к длине и сложности паролей, а также максимальное количество неудачных попыток ввода пароля.

Начиная с модели iPhone 5s компания Apple ввела дополнительный способ аутентификации — сенсорный считыватель отпечатков пальцев. Apple рекламирует этот способ как дополнительный уровень безопасности, но практически это менее безопасно чем случайный алфавитно-цифровой пароль. Ведь используя математические методы преобразования цифрового отпечатка в двоичную строку мы получаем эквивалентный отпечатку пароль из пяти или шести алфавитно-цифровых символов. Конечно, это более безопасно, чем четырехразрядный код, но гораздо менее безопасно, чем длинный алфавитно-цифровой пароль.

Если вдруг произошло непоправимое и вы потеряли iPhone, iPad или iPod, вы можете отследить аппарат и удаленно вытереть встроенное программное обеспечение. При этом вы должны заранее активировать эту функцию.

Чтобы включить Find My iPhone пройдите в Настройки> iCloud. Введите свой ID Apple и пароль, и затем переключите ползунок Find My iPhone в положение On.

Соответственно, после этого вы сможете отследить и вытереть свой смартфон с помощью любого браузера. Для этого войдите на страницу icloud.com/#find и введите свой ID Apple. Щелкните по Find My iPhone > Все Устройства и затем выберите устройство, которое хотите стереть. В появившемся окне выберите устройство и нажмите Erase. После этого введите свой пароль ID Apple.

Если ваше устройство работает под управлением iOS 7 и выше, то вам будет предложено ввести номер телефона и сообщение, которое появится на экране телефона после стирания.

Если же после этого вы захотите восстановить информацию на своем устройстве, вы можете использовать предварительно созданную в iCloud резервную копию.

Apple позволяет избегать неумышленного раскрытия персональных данных. Выключить передачу данных расположения на фотографиях можно так: Настройка> Конфиденциальность> Службы Расположения> Камера> Выключить.

Так как Apple контролирует приложения, размещаемые в App Store, риск установки вредоносного ПО для пользователей iOS снижен. Безусловно, если вы сделаете jailbreak, то сможете установить приложения из сторонних источников. Но учтите, что это подвергнет вас опасности загрузки шпионского ПО.

Как защитить ваш телефон или планшет под управлением Android

Смартфон или планшет под управлением Android может быть разблокирован четырьмя разными способами:

1. Просто провести пальцем по экрану (наименее безопасно).

2. Графический пароль (на экран выводится сетка три на три).

3. PIN-код.

4. Алфавитно-цифровой пароль.

Нужно отметить, что Android гораздо чаще заражается с помощью вредоносного ПО. Увы, но Google контролирует рынок приложений для Android гораздо хуже, чем Apple и как результат мы имеем огромное количество вредоносного ПО, причем довольно часто такое ПО появляется и в Google Play.

Кроме того, стоит отметить, что, в отличие от Apple, Google позволяет загружать приложения из сторонних хранилищ. С одной стороны, это делает Android более открытой платформой, с другой он гораздо более уязвим для шпионского ПО. Более того, стоит отметить, что ввиду открытости Android каждый производитель смартфонов и планшетов создает свой вариант ОС. Мало того, эта же открытость приводит к тому что Android у разных производителей и обновляется с разной частотой или не обновляется вообще. Ведь производителям оборудования выгоднее выпустить новые аппараты, чем бесплатно выпускать обновления для старых.

Android vs. iOS. Что безопаснее?

В конечном счете, Android менее безопасен, чем iOS, вследствие его базовых принципов проектирования. С одной стороны, Google дает куда больше свободы пользователю, но с другой стороны — эта свобода облегчает работу злоумышленников.

Поэтому если вы используете смартфон или планшет под управлением Android, вам нужно быть куда более внимательным. Ведь практически все вредоносное ПО сегодня написано под Android.

Автор статьи — MVP Consumer Security, Microsoft Security Trusted Advisor.