Chytré telefony již dávno nepatří mezi technologické či módní výstřelky pro pár vyvolených uživatelů, díky jejich klesající ceně a firemním i konzumním schopnostem se dočkaly obrovského rozmachu. Společně s neustálým připojením k internetu, kdy se již uživatelé vzhledem k různým paušálním balíčkům nemusí ohlížet na objem přenesených dat, je bereme jako nedílnou součást svých životů. S tím bohužel získává na významu také stěží hmatatelná a plíživá hrozba – smartphony (a další moderní mobilní zařízení) obsahují citlivé osobní i firemní údaje, e-maily, fotky, hesla a další data, která v cizích rukách mohou natropit pořádnou neplechu. Ve srovnání s případy ztracených či ukradených notebooků si to však zatím celá řada uživatelů dostatečně neuvědomuje.
Společnost Symantec nedávno v rámci svého experimentálního projektu s názvem Smartphone Honey Stick záměrně ztratila 50 chytrých telefonů, na kterých byla připravená simulovaná firemní a osobní data a Symantec měl možnost na dálku sledovat, co se s telefony a daty bude dít – kompletní informace o metodologii, resp. dalších podrobnostech najdete v odpovídajícím PDF souboru na této adrese. Cíl praktického výzkumu byl jediný: co se s vaším smartphonem nejspíš stane, pokud jej ztratíte? Najdou se ještě poctivci, kteří se pokusí nalézt majitele a zároveň nebudou slídit v soukromých informacích?
Každý ze „ztracených“ smartphonů obsahoval imitace běžných aplikací, které však při svém použití pouze odeslaly informace o dané události a aktuálním času. Sledován byl identifikátor konkrétního smartphonu, název spuštěné aplikace a čas jejího otevření, navíc scénáristi průzkumu programy logicky rozdělili do kategorií osobních programů (např. online bankovnictví, sociální sítě), neutrálních (hesla, kontakty apod.) a firemních (firemní e-mail, HR informace atd.).
V rámci usnadnění práce opravdu poctivým nálezcům, kteří by se pomocí kontaktů snažili odvodit majitele smartphonu, obsahovala daná sekce v telefonu jen pár položek, mezi nimiž nechyběla viditelná položka Me. V anglickém originále tedy přímo i e-mailové spojení na původního majitele. Aby byly informace co nejvíce kompletní, monitoroval se také pohyb chytrých telefonů skrze GPS – zanesou je nálezci například na Policii, nebo raději okamžitě prodají v bazaru?
Různě „ztracené“ smartphony se staly zajímavým lákadlem
Všem na očích
Jakmile byla data ze záměrně ztracených smartphonů posbírána a analyzována, vyšlo najevo, že 96 procent (tedy 48 z 50) jich bylo nalezeno a použito. Podle očekávání tak většina telefonů nezůstala bez povšimnutí. Na 89 procentech zařízení nálezci otevírali aplikace z kategorie osobních nástrojů, v 83 procentech se zaměřili na firemní programy, a v 70 procentech proslídili dokonce obě skupiny. Přesně polovina nálezců kontaktovala původního majitele a poskytla mu na sebe kontakt.
Smartphony a další přenosná zařízení se stále častěji stávají zajímavým terčem útočníků a moderních zlodějů. Kromě nechtěné ztráty nesmíme zapomenout ani na cílené krádeže, které pak vyústí ve zcizení citlivých dat a jejich případné zneužití. V případě fyzické ztráty či krádeže (nejen) chytrého telefonu, který může obsahovat citlivá data, spočívá nejlepší ochrana v šifrování, případně nutnosti použít autentizační a autorizační mechanismy, které umožní přístup k obsahu zařízení. I když se pak útočník zmocní hardwarové části, z té softwarové nemusí vydolovat vůbec nic. Mnoho firem i soukromých uživatelů nakonec rádo oželí zařízení v hodnotě tisíců korun, hlavně že aktiva v podobě často cennějších dat zůstanou skryta před cizíma očima.
Z výzkumu ohledně jakoby ztracených smartphonů lze pak ještě vystopovat, které firemní údaje nepoctivé nálezce nejvíce zajímaly. Celkem 45 procent z nich se pokusilo otevřít firemní e-mailovou schránku – z jedné strany to lze považovat třeba i za pokus o zjištění podrobností o původním majiteli, nicméně z většiny se spíše jednalo o prosté slídění a zvědavost. Dále více než polovina nálezců (přesně 53 procent) otevřela soubor HR Salaries a 49 procent HR Cases.
Kromě právě zmíněných potenciálně citlivých firemních informací se zvědavost ubírala také směrem k možnosti dalších akcí, necelá polovina (49 procent) nálezců totiž chtěla otevřít aplikace Remote Admin, která již podle názvu měla sloužit pro případnou vzdálenou správu. Výsledky tedy potvrzují, že i když se najde několik skutečně poctivých nálezů, kteří se pokusí vypátrat původního majitele a telefon vrátit, zvědavost jen tak nepotlačí. Průměrný čas mezi úmyslným ztracením telefonu a prvním zaznamenaným pokusem o přístup činil 10,2 hodiny.
Antiviry pro mobilní telefony sice ochrání před škodlivým kódem, nezapomínejte však ani na ochranu citlivých dat
Viry nemusí být číslem jedna
Firemní notebooky si svou vlnou nebezpečí v případě ztráty či krádeže procházejí již dlouho, své uplatnění tak nalézá šifrování, vylepšená autentizace apod. V případě smartphonů (a potažmo dalších mobilních zařízení) si musíme zvykat na podobné riziko, a tedy nepodceňovat analogické hrozby. Velmi populárním tématem se stávají viry pro mobilní telefony (a přidružené bezpečnostní produkty), avšak únik citlivých informací je v drtivé většině případů ještě rizikovější a může vyústit v citelnější problém.
Základní ochranou by se mělo stát automatické zamykání s nutností ověření při dalším přístupu a ochrana důležitých součástí pomocí odpovídajících omezení. Podobně také důležité PIN kódy nebo přístupová hesla není dobré skladovat v jednoduché poznámce, ale spolehnout se například na některý z trezorů na hesla, který pro zabezpečení přístupových údajů použije co možná nejsilnější šifrování. Stejně jako v případě klasických počítačů je samozřejmě na místě zvolit kompromis mezi důležitostí dat a jejich bezpečností. I když se pro řadu majitelů jedná o příliš paranoidní bezpečnostní politiku, může v případě důležitých dat ušetřit potíže i čas.
S tím, jak se budou stále více rozšiřovat smartphony a další mobilní zařízení, kterým svěřujeme vše důležité a které mají šanci oslovit velké množství lidí, stanou se stále lákavějším terčem pro útočníky a podvodníky. Již dnes se můžeme setkat se speciálními antiviry pro mobily, stejně tak nástroji pro ochranu dat formou šifrování. Jaký je váš názor na budoucnost mobilní bezpečnosti, jaká rizika nám hrozí a budou opravdu velkou hrozbou? Podělte se o svůj názor v diskuzi níže pod článkem.
ČLÁNKY DO MAILU