Zosumarizovali sme najdôležitejšie udalosti v bezpečnosti mobilnej komunikácie za rok 2019. Vybrali sme najčítanejší obsah z našich článkov, graf a infografiku roka.
Top témou za rok 2019 bolo jednoznačne prelomenie Threemy, ktorú mnohí s dôverou používali na bezpečnú komunikáciu. Až do mája, kedy slovenské média zverejnili informáciu o tom, že polícia v spolupráci s Europolom prelomila správy šifrované aplikáciou Threema.
Policajní špecialisti síce neprelomili samotné šifrovanie, ale podarilo sa im obnoviť komunikáciu, ktorá bola uložená v telefóne. Poukázali tak na veľkú bezpečnostnú slabinu, ktorá sa však netýka len samotnej Threemy, ale aj väčšiny ostatných šifrovacích aplikácií – a tým je ukladanie komunikácie a iných citlivých informácií v mobilných telefónoch.
Napriek tomu, že tento problém sa netýka len Threemy, mnoho ľudí jej prestalo dôverovať a začali hľadať alternatívne možnosti.
Signal, Telegram a open source
V krátkom čase sa objavili viaceré články, ktoré odporúčali používať najmä Signal a Telegram. A to aj napriek tomu, že u nich môže nastať rovnaký problém ako v prípade Threemy.
V prospech Signalu a Telegramu sa často objavoval ešte jeden argument – open source.
Ktokoľvek si môže pozrieť zdrojový kód a odhaliť možné bezpečnostné chyby skôr, ako by ich mohol nájsť útočník. Signal tak prešiel nezávislým auditom, ktorý mal skontrolovať, či je naozaj bezpečný a neobsahuje žiadne zadné dvierka (backdoor).
Zdôvodnenie v Denníku N, prečo by mal byť Signal bezpečný
Už o niekoľko mesiacov neskôr sa zistilo, že Signal obsahuje bezpečnostnú chybu, pomocou ktorej útočník mohol prinútiť prijať hovor u volaného účastníka bez interakcie užívateľa. Inými slovami, útočník dokázal vzdialene zapnúť mikrofón a odpočúvať tak všetky okolité konverzácie.
Táto bezpečnostná chyba sa v Signale vyskytla práve kvôli tomu, že Signal je v podstate zlepenec viacerých open source komponentov. Nevýhodou takýchto aplikácií je, že každý takýto open source komponent obsahuje množstvo funkcionality a samotná aplikácia z nich využíva len malú časť. Každá nevyužívaná funkcionalita v sebe môže obsahovať potenciálnu zraniteľnosť. Ich bezpečnosť by mohol síce preveriť každý, ale v skutočnosti to takmer nikto nikdy nerobí.
Telegram je na tom ešte o niečo horšie. Dlhé roky ho mnohí „bezpečnostní experti“ odporúčali podobne ako Signal a potom v roku 2017 výskumníci Massachusettskej technickej univerzity (MIT) publikovali štúdiu o vážnych zraniteľnostiach v samotnom protokole.
Telegram mal v protokole vážne problémy, ktoré by mohol jednoducho využiť ktorýkoľvek bezpečnostný expert. Používatelia si musia byť vedomí tejto skutočnosti, ale tvrdenia spoločností nanešťastie vedú používateľov, ktorí nie sú technologicky zdatní, k názoru, že ich správy nie sú čitateľné tretími stranami.
Zo štúdie publikovanej na MIT
Odporúčania na používanie Signalu alebo Telegramu namiesto Threemy sa dajú parafrázovať prirovnaním „z blata do kaluže“.
Ponaučenie roka
Bezpečnostným problémom sa nevyhli ani bežne používané komunikačné systémy ako WhatsApp, FaceTime, Viber a mnohé ďalšie.
Rok 2019 bol významný najmä pre profesionálne systémy mobilnej bezpečnosti. Ukázalo sa, že rozdiely medzi jednotlivými riešeniami sú naozaj významné. Z pohľadu používateľa nie je nič horšie ako sa spoliehať na bezpečnosť nejakej aplikácie, ktorú si síce môže nainštalovať zadarmo, ale po čase zistí, že útočník dokázal alebo minimálne mal možnosť získať celú históriu jeho komunikácie.
Odpočúvanie hovorov a správ na Ukrajine
Každý rok sa vo svete objavia viaceré prípady, v ktorých významnú úlohu zohralo odpočúvanie mobilných telefónov. Najznámejší je prípad odpočúvania nemeckej kancelárky Merkelovej ešte z roku 2013.
Najvýznamnejší prípad tohto roka sa podaril vyšetrovateľom zostreleného civilného letu MH17 nad Ukrajinou. Podarilo sa im získať a zverejniť odposluchy telefónnych hovorov a správ medzi bojovníkmi separatistov.
Zverejnené odposluchy prehľadne spracoval český spravodajský server Aktuálně.cz.
Odpočuť klasický GSM hovor, alebo odchytiť SMS správu je v súčasnosti jednoduchšie ako kedykoľvek predtým. Ako je možné prečítať cudzie SMS správy s vybavením za 30 eur sme ukázali aj v našom článku.
Graf roka
Za graf roka sme vybrali štatistiku, ktorá zobrazuje používanie jednotlivých verzií systému Android.
Len 10% Android telefónov aktuálne používa systém Android 9. A až 42% telefónov používa Android 6 alebo starší, ktorý už nie je podporovaný a teda naň nie sú vydávané ani bezpečnostné záplaty.
Údaje pre Android 10 ešte nie sú dostupné, ale na význam tohto grafu to nebude mať žiadny zásadný vplyv.
Tento graf nehovorí priamo, koľko používateľov, ktorí potrebujú mať telefón bezpečný, skutočne používa neaktuálny systém. Je však pripomienkou toho, že bezpečnosť vždy končí u používateľa – u jeho znalostí a ochote dodržiavať bezpečnostné zásady.
Infografika roka
Preto infografikou roka je zhrnutie základných bezpečnostných zásad a pravidiel, ktorými sa môže riadiť každý, komu záleží na vlastnom súkromí.
Najčítanejší článok
Pochopiteľne, najčítanejším článkom tohto roka bol Ako sa dá hacknúť Threema.