Pred pár dňami zverejnili slovenské média informáciu o tom, že polícia prelomila správy šifrované aplikáciou Threema. Prečítajte si ako sa im to mohlo podariť.
Threemu považuje veľa ľudí za „jednu z tých lepších“ aplikácií pre šifrovanie komunikácie. Aj keď nemá žiadnu certifikáciu, mnohí sa na bezpečnosť tejto aplikácie spoliehajú aj v prípade tých najdôvernejších informácií. Dokonca je často používaná aj v rámci štátnej správy (samozrejme neoficiálne).
Na začiatok krátky sumár uverejnených informácií:
- Osoba, ktorá spolupracuje s políciou odovzdala telefón iPhone X, ktorý používala vyšetrovaná osoba, spolu s prístupovými kódmi.
- V období takmer celého mesiaca, ktoré by políciu mohlo zaujímať najviac sa však v zozname posledných udalostí nenachádzajú žiadne záznamy.
- Polícia doteraz mala k dispozícií iba podrobnú lokalizáciu mobilu vyšetrovanej osoby (zo záznamov jednotlivých staníc mobilných operátorov).
- Polícii sa teraz pomocou odboru Europolu pre skúmanie počítačovej kriminality údajne podarilo prelomiť komunikáciu v aplikácií Threema.
Ako teda mohli získať správy zašifrované aplikáciou Threema?
Ako to mohlo byť, ale pravdepodobne nebolo
Vyšetrovatelia sa mohli pokúsiť rozšifrovať zašifrovanú komunikáciu. Vybrali by sa však tou najnáročnejšou cestou. Keby sa im to nejakým spôsobom podarilo, na druhý deň by boli vypnuté všetky internet bankingy a celá IT bezpečnosť by bola na kolenách. Túto možnosť preto úplne vylučujeme.
Ďalej sa tiež mohli pokúsiť o obnovu zmazaných dát z pamäte telefónu. Ak by išlo o hard disk z počítača alebo pamäťovú SD kartu mali by veľkú šancu na úspech. V prípade internej pamäte mobilného telefónu, v tomto prípade navyše iPhonu, je to len málo pravdepodobné.
Známe sú tiež viaceré sledovacie aplikácie, často využívané aj spravodajskými službami. V tomto prípade však ide tiež o veľmi nepravdepodobnú možnosť. Pokiaľ by aj polícia mala takúto sledovaciu aplikáciu nasadenú v telefóne vyšetrovanej osoby už v čase páchania trestnej činnosti, udalosti ako ich teraz poznáme, by sa zrejme vyvíjali úplne inak.
Threema a zámok aplikácie
Podľa zverejnených informácií, polícia spolu s telefónom dostala aj prístupové kódy. Tým sa zrejme myslí heslo na odomknutie telefónu, prípadne heslo k Apple ID pôvodného používateľa telefónu. Vyšetrovatelia tak mali prístup do samotného telefónu.
Avšak viaceré aplikácie a aj Threema umožňuje nastaviť aj zámok pre samotnú aplikáciu. Keď chce užívateľ takúto aplikáciu otvoriť musí najskôr zadať heslo. Threema používa 4-ciferný PIN kód, ktorý môže byť na iPhone X doplnený aj o overenie pomocou Face ID (na starších iPhonoch pomocou Touch ID).
Pri otvorení uzamknutej aplikácie sa zobrazí dialóg na odomknutie pomocou Face ID, ktorý je však možné zrušiť a odomknúť aplikáciou pomocou PIN kódu. Technológia FaceID je oveľa bezpečnejšia ako 4-ciferný PIN kód. Pri hackovaní si útočník vždy vyberie tú najjednoduchšiu cestu. Takže zruší FaceID a pokúsi sa „uhádnuť“ 4-ciferný PIN kód. Stačí teda vyskúšať 10 000 kombinácií, čo pri troche trpezlivosti je možné zvládnuť v priebehu niekoľkých hodín.
Pripravujeme článok: Face ID, odtlačok prsta, kreslený vzor alebo číselný kód. Ktorý zámok telefónu je bezpečný? |
V neprospech útočníka je ďalšia bezpečnostná zásada – a to, že počet neúspešných pokusov pri zadávaní PIN kódu by mal byť obmedzený. Threema poskytuje nastavenie, ktoré zmaže všetky dáta aplikácie po desiatich neúspešných pokusoch. Lenže toto nastavenie je štandardne vypnuté. Užívateľ ho teda musí dodatočne zapnúť a to väčšina užívateľov neurobí.
A aj keby ho užívateľ zapol, existuje ešte jeden zaručený postup ako tento bezpečnostný prvok obísť. Stačí spraviť zálohu iPhonu a máme 9 pokusov pre uhádnutie PIN kódu. Ak sa PIN nepodarilo uhádnuť, iPhone sa obnoví zo zálohy a máme ďalších 9 pokusov. Tento postup sa dá opakovať donekonečna. Časovo je to už náročnejšie, ale pri 10 000 možnostiach je to možné zvládnuť v priebehu niekoľkých dní.
Obnovenie komunikácie zo zálohy
Ďalšou možnosťou, ktorá je taktiež veľmi pravdepodobná je, že vyšetrovatelia pri prvej obhliadke telefónu nenašli žiadnu komunikáciu ani v aplikácii Threema a možno ani samotnú aplikáciu. Zverejnené informácie nasvedčujú tomu, že pred tým ako telefón získala polícia s ním bolo manipulované a teda aj tieto informácie mohli byť úmyselne vymazané.
Osoba, ktorá s telefónom manipulovala, mohla však zabudnúť na zálohy telefónu. iPhone ponúka užívateľom zálohovanie telefónu prostredníctvom služby iCloud. Robí to tak, že túto možnosť ponúka užívateľom ako predvolenú. Aj preto ju má veľa používateľov aktivovanú.
Keď si potom užívateľ kúpi nový iPhone, ten sa ho na začiatku opýta, či si praje obnoviť dáta z iCloud zálohy. Užívateľ tak v priebehu pár minút má všetky svoje dáta zo starého iPhonu na novom. Pri bežnom používaní si však užívateľ ani nemusí uvedomiť, že sa mu telefón a dáta na ňom uložené pravidelne zálohujú.
A práve tieto zálohy mohli využiť policajní špecialisti. Aj keď dostali telefón so zmazanými údajmi, mohli objaviť zálohy na iCloude. Pomocou prístupových kódov, ktoré k telefónu dostali, mali možnosť obnoviť a vyskúšať jednu zálohu za druhou. Až kým v niektorej z nich nenašli aj aplikáciu Threema a v nej komunikáciu, ktorá teraz slúži vyšetrovateľom.
Nech už v Europole použili ktorúkoľvek z uvedených možností, poukázali na veľkú bezpečnostnú slabinu mnohých šifrovacích aplikácií – a tým je spôsob uchovávania správ, prípadne súborov a iných informácií v pamäti telefónov.
Obrázok: Joshua Godsey/Unsplash.com, TheDigitalArtist/Pixabay.com