Pytanie:
Jakie funkcje bezpieczeństwa są ważne przy zakupie smartfona?
James Bradbury
2016-03-10 16:02:10 UTC
view on stackexchange narkive permalink

Chcę wymienić mój bardzo stary smartfon z Androidem. Bezpieczeństwo informacji jest coraz częściej funkcją, której szukam. Poza powolnym działaniem, nie sądzę, żebym mógł uaktualnić mój obecny telefon do najnowszych wersji Androida lub nawet najnowszej wersji aplikacji zabezpieczającej, której używam, więc prawie wszystko byłoby lepsze.

W idealnym przypadku szukam telefonu lub pamięci ROM, które mają priorytetowe znaczenie dla bezpieczeństwa (najlepiej szyfrowania danych w komunikacji i spoczynku) i prawdopodobnie nadal będą bezpieczne (z aktualizacjami) za kilka lat. Wolałbym rozwiązanie z Androidem, chyba że bezpieczeństwo na innych platformach jest znacznie lepsze / łatwiejsze do osiągnięcia.

Czy wybór telefonu jest istotną kwestią, czy też bezpieczeństwo zależy głównie od sposobu, w jaki jest używany - regularne aktualizacje, staranne sprawdzanie aplikacji przed instalacją?

PROSZĘ PAMIĘTAĆ: nie szukam konkretnej rekomendacji , ale raczej wskazówki dotyczące znajomości na co zwrócić uwagę . Zapraszam do zamieszczania rekomendacji w komentarzach - ale NIE w odpowiedziach.

Obecnie Android oferuje pełne szyfrowanie dysku, aplikacje takie jak Signal oferują silną szyfrowaną komunikację, a aplikacje takie jak Orbot umożliwiają kierowanie (całego) ruchu przez TOR. Najciekawszą obecnie właściwością zabezpieczeń dla Androida jest obsługa łatek popremierowych. „Jak często poprawiany jest określony model / ROM i na jak długo?” (to jest specyficzne dla dostawcy) jest wtedy głównym pytaniem.
James, dodałem wyraźną uwagę do pytania, aby skupić się na funkcjach i takich, jak na twoje oryginalne pytanie, zamiast zalewania odpowiedzi bezpodstawnymi zaleceniami (które zostałyby zamknięte jako niezwiązane z tematem - twoje pytanie jest jednak dobre). Daj mi znać, jeśli tak jest.
@AviD. Dzięki, dokładnie to zamierzałem. Zdaję sobie sprawę, że pytania rekomendacyjne zbyt szybko tracą ważność, aby były przydatne.
Jeśli możesz zainstalować oprogramowanie na telefonie, o którym myślisz, i że działa ono na systemie Android, uruchom [Android Vulnerability Test Suite] (https://github.com/nowsecure/android-vts). Nie powie ci nic o przyszłości, ale powie ci, czy telefon jest obecnie bezpieczny, a to powinno dać ci wskazówkę, gdy ROM zostanie zaktualizowany, czy nie.
Czytelnicy zainteresowani tym pytaniem mogą być również zainteresowani [smartfonem dostarczanym bez preinstalowanego, zastrzeżonego oprogramowania?] (Http://hardwarerecs.stackexchange.com/q/27/30)
Wybór słuchawki jest zdecydowanie istotny. Istnieje wiele urządzeń z Androidem, które miały zdalne exploity rootowania - w jednym przypadku ktoś mógłby przejąć kontrolę nad Twoim telefonem, po prostu wysyłając Ci plik wideo. Z drugiej strony istnieją urządzenia, które nie zostały zrootowane nawet przez właścicieli urządzeń z pełnym dostępem fizycznym. Jednym z przykładów jest BlackBerry Priv - ma bardzo rygorystyczne zasady SELinux, zaufanie do ścieżki i jest jedynym telefonem z Androidem, który został wydany z grsec (między innymi). Ujawnienie: pracowałem nad tym telefonem.
Oto recenzja obalająca twierdzenie Blackphone o „prywatnym z założenia”: [część 1] (http://www.version2.dk/blog/blackphone2-review-1-508188), [część 2] (http: / /www.version2.dk/blog/blackphone2-review-2-545078).
Sześć odpowiedzi:
Stephen Schrauger
2016-03-11 03:45:24 UTC
view on stackexchange narkive permalink

TLDR: Istnieje kilka kategorii zabezpieczeń, które należy wziąć pod uwagę, szukając telefonu. Główną radą jest jednak zakup nowszego telefonu z najnowszymi funkcjami bezpieczeństwa i od producenta, który cieszy się dobrą opinią w zakresie dostarczania aktualizacji.

Ochrona przed innymi osobami (rówieśnikami, policją / rządem)

Szukaj nowszych urządzeń z pełnym szyfrowaniem dysku i przynajmniej posiadających kod lub odcisk palca wymagany do odblokowania urządzenia.

Oba Android i iOS mają możliwość szyfrowania telefonu. Podczas uruchamiania telefonu należy podać hasło, aby zakończyć uruchamianie i przeglądać pliki.

  • Plus: Twój telefon jest chroniony przed zewnętrznymi próbami odczytu danych.
  • Wada: Musisz wpisać swoje hasło / kod PIN przy każdym uruchomieniu i zwykle przy każdym odblokowywaniu ekranu.

Ponieważ jest to wbudowane w nowsze wersje Androida i iOS, musisz nieznacznie zawęź wyszukiwanie, aby wykluczyć starsze telefony, które nie mają tej możliwości.

Klucz szyfrowania a kod odblokowujący

Ze względu na użyteczność / bezpieczeństwo wolę wymagać długiego hasła podczas rozruchu, ale masz prostszy kod, aby odblokować ekran. Apple robi to natywnie, umożliwiając ustawienie kodu PIN lub hasła wymaganego podczas rozruchu, ale następnie umożliwiając odblokowanie telefonu za pomocą odcisku palca.

  • Upside: Możesz użyć skomplikowane hasło przy jednoczesnym zachowaniu łatwości szybkiego odblokowania telefonu.
  • Upside: internauta nie może odblokować telefonu, ponieważ odblokowuje go odcisk palca. Musieliby cię złapać, gdy wpisujesz hasło podczas uruchamiania. (Kiedy wpisujesz hasło, upewnij się, że nikt nie patrzy!)
  • Wada: Twój odcisk palca nie jest chroniony prawem (w USA). Policja może zmusić Cię do odblokowania telefonu za pomocą odcisku palca. Natomiast hasło lub kod, coś, co znasz, nie może być z ciebie wymuszone. Nawet jeśli sąd wyda Ci nakaz i pogardę za niepodanie kodu odblokowującego, nie będzie mógł uzyskać dostępu do Twoich danych bez Twojej współpracy.

Na zrootowanym urządzeniu z Androidem możesz zainstalować modyfikację który pozwala mieć złożone hasło rozruchowe i prostszy kod PIN do odblokowania ekranu. Jeśli wprowadzisz kod PIN niepoprawnie, będzie to wymagało wprowadzenia silnego hasła, które zapobiega brutalnym próbom uzyskania znacznie prostszego kodu PIN. Tracisz jednak trochę bezpieczeństwa, ponieważ każdy, kto przegląda się przez ramię, może zobaczyć, jak wpisujesz kod PIN, a następnie kradniesz telefon w celu odblokowania.

  • Upside: Możesz użyć złożonego hasła, zachowując jednocześnie łatwość szybkiego odblokowania telefonu.
  • Plus: tylko Twoja wiedza może odblokować urządzenie.
  • Wada: za każdym razem, gdy odblokowujesz ekran, musisz wprowadzić kod PIN. Ponieważ zdarza się to często, jest znacznie bardziej prawdopodobne, że ktoś może znaleźć Twoją prostą kombinację odblokowania.

Zabezpieczenia przed aplikacjami

Sprawdź uprawnienia aplikacji przed instalacją, i upewnij się, że masz nowszy telefon z dodatkowym zarządzaniem uprawnieniami.

Apple / iOS

Urządzenia Apple (z wyłączeniem urządzeń z jailbreakiem) mogą instalować tylko aplikacje, które przeszły Proces weryfikacji Apple. Chociaż nie jest to skuteczne w 100%, chroni większość użytkowników przed zainstalowaniem złośliwej aplikacji. Ponadto niektóre oczywiste funkcje prywatności, takie jak lokalizacja GPS i informacje kontaktowe, wymagają dodatkowego monitu użytkownika, aby zezwolić aplikacji na dostęp do tych informacji.

Android 6.0+

Ustawienia uprawnień Androida przed wersją 6.0 Marshmallow były typu „wszystko albo nic”. Jeśli aplikacja zażądała uprawnień do Twojego GPS-a, zezwoliłeś na to lub nie zainstalowałeś aplikacji. Android 6.0 wprowadza podobne funkcje co iOS, które pozwalają użytkownikowi odmówić pewnych uprawnień podczas instalacji aplikacji.

Jeśli patrzysz na urządzenia z Androidem, zawęża to listę kwalifikujących się urządzeń, z wyłączeniem telefonów bez Androida 6.0 lub nowszego .

Android 4.x-5.x z XPrivacy

Jeśli jednak urządzenie z Androidem ma root i może zainstalować framework Xposed, możesz zainstalować XPrivacy. Ta aplikacja zmienia model uprawnień w systemie Android, dzięki czemu prawie wszystkie możliwe uprawnienia związane z prywatnością mogą być dozwolone lub odrzucane w czasie rzeczywistym. Jeśli aplikacja próbuje korzystać z GPS, wyświetla monit o zezwolenie lub odmowę (lub podanie fałszywych / zerowych informacji). Jest to dostępne dla większości urządzeń z Androidem, które można zrootować, z dowolną wersją Androida 4.0 do 5.0.

Poszukaj telefonu, który można zrootować, jeśli chcesz zmienić uprawnienia prywatności.

Ochrona przed błędami / exploits

Szukaj telefonów wyprodukowanych przez producentów z historią regularnych aktualizacji.

Większość aktualizacji iOS i Androida zawiera poprawki błędów oraz nowe funkcje. Dopóki obsługiwane jest urządzenie z systemem iOS, wszystkie mogą otrzymywać aktualizację w tym samym czasie, gdy zostanie wydana.

W systemie Android urządzenia Nexus są zazwyczaj pierwszymi, które otrzymują aktualizacje. W przypadku innych producentów upewnij się, że mają historię dostarczania aktualizacji do starszych telefonów w rozsądnych ramach czasowych.

Możesz też znaleźć telefon z Androidem z odblokowanym programem ładującym i aktywną społecznością programistów. Chociaż jest to bardziej techniczne, może to być najszybszy sposób na uzyskanie najnowszych aktualizacji, nawet jeśli producent zaprzestał obsługi telefonu.

Zabezpieczenia przed producentem urządzenia

Kupuj urządzenia od zaufanego producenta i upewnij się, że korzysta z szyfrowania całego dysku, w przypadku którego producent nie posiada klucza. Ponadto w przypadku Androida rozważ urządzenie z odblokowalnym programem ładującym, aby móc załadować niestandardowe ROM-y z nowszymi aktualizacjami zabezpieczeń i wbudowanymi lepszymi funkcjami prywatności.

Urządzenia Apple nie mogą być odblokowane nawet przez Apple począwszy od iOS 8. Chociaż teoretycznie Apple może dostarczyć aktualizację, która to obala, obecnie Apple nie jest w stanie odblokować telefonu ani uzyskać dostępu do zaszyfrowanej partycji na Twój telefon . Jeśli jednak masz włączoną kopię zapasową iCloud, dane te mogą być dostępne dla Apple.

Podobnie urządzenia z Androidem z włączonym pełnym szyfrowaniem dysku nie mogą być odblokowane przez producenta, a nawet Google .

Odblokowany bootloader

W przypadku urządzeń z Androidem, odblokowany bootloader umożliwia instalację niestandardowych ROM-ów, a nawet stworzenie własnego, zbudowanego od podstaw przy użyciu kodu źródłowego systemu operacyjnego Android. Jeśli Twój telefon nie jest już obsługiwany przez producenta, nadal możesz zaktualizować Androida do najnowszej wersji, zakładając, że ktoś skompilował ROM dla Twojego urządzenia.

Niektóre pamięci ROM z Androidem mają wbudowane dodatkowe zabezpieczenia i kontrolę prywatności - w.

Ostrzeżenie: może to być szkodliwe dla bezpieczeństwa. Upewnij się, że używasz pamięci ROM, która jest powszechnie znana i zaufana.

Bezpieczeństwo w chmurze

Skorzystaj z dostawcy usług w chmurze, który szyfruje Twoje dane i nie ma dostępu do klucz odblokowujący.

Prawie wszystkie pamięci masowe w chmurze (Dropbox, iCloud itp.) przechowują pliki w sposób niezaszyfrowany lub w taki sposób, że dostawca chmury może odszyfrować pliki bez zgody użytkownika .

Głównym sposobem ochrony przed tym jest niekorzystanie z pamięci w chmurze. Jeśli chcesz wykonać kopię zapasową plików, użyj własnego zaszyfrowanego serwera lub ręcznie skopiuj pliki na zaszyfrowany komputer stacjonarny.

Kilku dostawców pamięci masowej, takich jak MEGA i SpiderOak, szyfruje Twoje pliki. Klucz szyfrowania nie jest dla nich dostępny, a podmiot rządowy musiałby zmusić ich do napisania aktualizacji oprogramowania, aby uzyskać klucz odblokowujący od użytkownika.

Android i Apple mają aplikacje dla MEGA, które działają podobnie do Dropbox, w tym automatyczne zapisywanie zdjęć zrobionych telefonem.

Zabezpieczenia przed sieciami

Upewnij się, że Twój telefon może korzystać z oprogramowania VPN i prawdopodobnie używać TOR do zwiększyć prywatność. I pamiętaj, aby w miarę możliwości przeglądać sieć przy użyciu protokołu https.

Dostawca usług internetowych może przeglądać cały niezaszyfrowany ruch sieciowy. Aby tego uniknąć, użyj VPN. Uwaga: VPN może również zobaczyć Twoje niezaszyfrowane dane. Skorzystaj z zaufanego dostawcy VPN.

Dostawca usług internetowych może nawet określić niektóre informacje z zaszyfrowanego ruchu sieciowego, jeśli nie używasz VPN. Jeśli otworzysz stronę internetową, która korzysta z protokołu https, usługodawca internetowy może zobaczyć, do której domeny się wybierasz. Nie mogą jednak zobaczyć konkretnej strony, o którą prosisz, ani danych samej strony.

Jeśli ekstremalna prywatność jest potrzebna, Tor może być odpowiedzią. Ma wiele wad, z których podstawową jest niska prędkość (w porównaniu do normalnego przeglądania). Ale kiedy używasz Tora, twój dostawca usług internetowych nie może zobaczyć informacji o twojej sieci, poza tym, że używasz Tora. Węzły Tora nie są w stanie poznać zarówno źródła (Ciebie), jak i miejsca docelowego (strony internetowej) ze względu na sposób zaprojektowania protokołu.

Warto zaznaczyć, że złamanie szpilki może być również banalnie łatwe, jeśli masz tłuste palce lub brudny ekran ...
Miła i dokładna odpowiedź. Potrzebuje głosów poparcia!
Okazało się, że XPrivacy można obejść. Nie radziłbym polegać na XPrivacy, gdy w grę wchodzi coś poważnego.
Mówiąc o bezpieczeństwie w chmurze, myślę, że warto wspomnieć o [EncFS] (https://security.stackexchange.com/questions/83292/is-encfs-secure-for-encrypting-dropbox)
Nie szukaj dostawcy chmury, który szyfruje Twoje dane. Konieczne jest samodzielne zaszyfrowanie danych przed ich przesłaniem. Przesyłanie dowolnego klucza odszyfrowywania jest również niebezpieczne, nawet jeśli jest on zabezpieczony hasłem.
@SargeBorsch Czy możesz podać źródło?
@Noir O tak. https://github.com/cernekee/WinXP
@SargeBorsch Czy to nadal działa? Ponieważ nie był aktualizowany od dwóch lat, a miałbyś * nadzieję *, że twórcy XPrivacy już to naprawili?
+1 za część „Bezpieczeństwo przed producentem urządzenia”. Jeśli jest * jedna * rzecz, której należy szukać, jest to możliwość zastąpienia oprogramowania układowego urządzenia czymś, czemu można zaufać (tj. Brakiem backdoorów producenta / dostawcy) i co spełnia inne wymagania dotyczące bezpieczeństwa. Jeśli możesz wymienić oprogramowanie układowe, możesz dodać prawie wszystkie wymagane funkcje bezpieczeństwa (w zakresie dozwolonym przez sprzęt urządzenia - np. Nie możesz dodać odblokowania odcisków palców, jeśli sprzęt nie zawiera czytnika linii papilarnych).
@Noir Nie polecałbym całkowitego korzystania z zaszyfrowanych usług w chmurze. Raczej zależy to od potrzeb użytkownika. Jeśli nie ufają rządowi lub innym firmom, zdecydowanie powinni ręcznie zaszyfrować swoje dane (robię to dla moich kopii zapasowych online). Jednak wiele osób potrzebuje również zabezpieczenia / ochrony przed sobą (np. Błąd użytkownika), więc automatyczna kopia zapasowa w usłudze szyfrowania może być dobrym kompromisem między bezpieczeństwem a użytecznością.
@Carpetsmoker Widziałem programistę [mówiącego, że nie chce zajmować się tymi problemami] (http://forum.xda-developers.com/showpost.php?p=54111452&postcount=10580), ponieważ są one zbyt czasochłonne .
@MichealJohnson: Jeśli TY możesz wymienić oprogramowanie w swoim telefonie, to może to zrobić również każdy haker.
Powinieneś potrzebować fizycznego dostępu do telefonu, aby go wymienić, i uważam, że większość, jeśli nie wszystkie implementacje Androida wyczyszczą dane użytkownika po dokładnej wymianie oprogramowania układowego, aby uniknąć obejścia środków bezpieczeństwa wdrożonych w jakimkolwiek oprogramowaniu układowym, na którym działa urządzenie, gdy napastnik go złapie.
Myślę, że zapomniałeś o ochronie przed kradzieżą fizyczną / utratą urządzenia. Na przykład. funkcje bezpiecznego usuwania danych lub lokalizacji telefonu.
Aha, oprócz dobrych rad dotyczących sprawdzania uprawnień aplikacji powyżej (i nie bój się zapytać przed pobraniem aplikacji, aby wyjaśnić uprawnienia, na które podnosisz brew), zawsze pamiętaj, aby pobierać aplikacje wyłącznie z oficjalnych źródeł, a także sprawdzaj recenzje użytkowników i liczbę pobrań - nie jest to doskonały wskaźnik, ale czasami może być pouczające sprawdzenie, czy inni użytkownicy zwrócili uwagę na problemy. Pamiętaj, że największe ryzyko wiąże się z takimi rzeczami, jak: nie masz kodu PIN w telefonie i zostawiasz go w autobusie z hasłem do amazon.com zapisanym w przeglądarce itp.
Dobrze wiedzieć o Androidzie 6.0. Muszę to sprawdzić! Dziękuję Ci.
Na iPhonie 5S lub nowszym możesz użyć tylko krótkiego kodu PIN, a mimo to zachować bardzo bezpieczne dane - koprocesor SecureEnclave ogranicza brutalne wymuszanie kodu PIN: klucze szyfrowania są przechowywane w SecureEnclave i szyfrowane za pomocą Twojego kodu PIN; każda próba odszyfrowania kluczy musi nastąpić w SecureEnclave i zajmuje około 5 sekund (ograniczone sprzętowo), więc wymuszenie 8-cyfrowego kodu PIN wymagałoby nawet 15 lat. Wyodrębnienie klucza i brutalne wymuszenie go gdziekolwiek indziej jest BARDZO trudne / kosztowne i można temu zapobiec wybierając silniejsze hasło; to ta sama zasada, co w przypadku kart inteligentnych.
@K.Biermann [Korekta] (https://www.apple.com/business/docs/iOS_Security_Guide.pdf): SE przechowuje unikalny identyfikator. PIN, wraz z tym UID, jest używany do _ wyprowadzania_ kluczy deszyfrujących. Tylko SE ma dostęp do UID, a SE jest odporna na manipulacje, więc tylko SE jest zdolna do wykonywania operacji z jej udziałem. SE ogranicza się do jednego kodu PIN co ** 80 ms **, więc 6-alfanumeryczny kod PIN wytrzyma maksymalnie 5 lat. Jeśli się nie mylę, można też powiedzieć, że ma wysadzić swój UID po 10 nieudanych próbach, w którym to momencie wszystko zapisane na urządzeniu jest bezużyteczne (ponieważ nie można już uzyskać klucza do danych).
Najnowsze urządzenia z Androidem ze skanerami linii papilarnych (np. Mój Nexus 5X) będą prosić o podanie kodu PIN / hasła podczas rozruchu (jeśli jest to zaszyfrowana pamięć masowa), przy pierwszym logowaniu po uruchomieniu, a następnie co 48 godzin, pozwalając jednocześnie odblokować odcisk palca w innym czasie.
Rory McCune
2016-03-10 18:33:27 UTC
view on stackexchange narkive permalink

Jednym z kluczowych aspektów, które należy wziąć pod uwagę, jest polityka wsparcia / poprawek dostawcy urządzenia przenośnego. Jeśli planujesz przechowywać telefon przez powiedzmy 2-3 lata, nie chcesz, aby przestał działać po 18 miesiącach.

Niestety, wielu dostawców może się z tym zapoznać niedostarczanie opublikowanych cykli wsparcia technicznego.

Również skomplikowany obraz jest to, że niektóre kombinacje urządzeń mają długie „łańcuchy wsparcia”, w których wiele firm musi współpracować przy tworzeniu poprawek. Na przykład telefon O2 Samsung z systemem Android może wymagać współpracy 3 firm (Google, Samsung i O2) w celu dostarczenia poprawki. Ten rodzaj procesu nieuchronnie prowadzi do spowolnienia aktualizacji.

Prawdopodobnie najlepszym podejściem do tego byłoby wybranie urządzenia, które ma najmniejszy możliwy łańcuch, więc albo urządzenie z Androidem od Google, albo z iOS od Apple lub urządzenie z systemem Windows Phone firmy Microsoft, a we wszystkich przypadkach odblokowane urządzenie prawdopodobnie otrzyma szybsze poprawki niż urządzenie od operatora.

W tym momencie myślę, że to może być najważniejsza rzecz do rozważenia w przypadku nowego telefonu pod względem bezpieczeństwa. Nie miałem pojęcia, jak ZŁA była sytuacja aż do Stagefright. Mój telefon NADAL nie jest załatany, chociaż zadzwoniłem do producenta i wydali łatkę mojemu operatorowi około miesiąca po tym, jak została dla nich dostępna. Więc tak: przynajmniej w przypadku Androida powiedziałbym, że wybierz telefon z naprawdę znanej firmy z historią częstych poprawek lub Nexus. Reszta to odpowiednik używania IE w przeglądarce na początku XXI wieku.
Telefony Apple otrzymują aktualizacje oprogramowania w tym samym czasie, a Ty nie jesteś na łasce swojego operatora. Nie ma też żadnych niestandardowych modyfikacji wykonanych przez osoby trzecie, więc podoba mi się twój punkt widzenia dotyczący „najmniejszego możliwego łańcucha”.
Jedyną inną opcją jest zrootowanie i wzięcie odpowiedzialności za samodzielną aktualizację telefonu. Na przykład Cyanogenmod załatał Stagefright dość szybko po ujawnieniu luki.
Dzięki, to naprawdę ważna kwestia i dobrze wyjaśniona. Jedynym powodem, dla którego tego nie akceptuję, jest to, że niektóre inne obejmują więcej kątów.
Mark Buffalo
2016-03-11 04:44:12 UTC
view on stackexchange narkive permalink

Inne odpowiedzi dotyczące szyfrowania są świetne. Zamierzam podejść do tego pytania z punktu widzenia folii aluminiowej / dysydenta , ponieważ uważam, że jest to ważne dla prawie każdego scenariusza ... ale nadal chcę wyjaśnić moje rozumowanie i jak doszedłem do tych wniosków .

Wszystkie problemy, które omówię, są rutynowo wykorzystywane przez przestępców i represyjne rządy. W niektórych krajach przynależność do jakiegoś zakonu religijnego lub niewłaściwa rasa to wystarczający powód, aby władze zaplanowały niezatwierdzone dawstwo narządów:

Istnieją doniesienia o systematycznych torturach, nielegalnym więzieniu, pracy przymusowej, pobieraniu narządów i nadużyciach psychiatrycznych, których celem jest zmuszenie praktykujących do wyrzeczenia się wiary w Falun Gong. / p>

Wymienna bateria to konieczność

To jest na górze mojej listy: chcesz inteligentnego telefon z wymienną baterią .

Dlaczego? Ponieważ istnieje milion sposobów, aby Cię zhakować i podsłuchać Twoje rozmowy. Wyobraź sobie, że kochasz się słodko ze swoją drugą połówką i jakimś chorym draniem z represyjnego rządu, a nawet kryminalistą, decyduje się słuchać i daje się we znaki:

„W trakcie swojej codziennej pracy natkną się na coś zupełnie niezwiązanego z ich pracą, na przykład intymne nagie zdjęcie kogoś w sytuacji kompromitującej seksualnie, ale są niezwykle atrakcyjne - powiedział. „Więc co oni robią? Odwracają się na krześle i pokazują współpracownika. A ich współpracownik mówi: „O, hej, to świetnie. Prześlij to Billowi przy drodze. ””

Mr. Snowden powiedział, że ten rodzaj udostępniania miał miejsce raz na kilka miesięcy i był „postrzegany jako poboczna korzyść z pozycji nadzoru”.

Istnieje również wiele sposobów udawania że Twój telefon jest wyłączony, kiedy naprawdę nie jest wyłączony:

Twój telefon w zasadzie staje się błędem, który informuje NSA o wszystkim, co dzieje się wokół Ciebie. Każda rozmowa, którą prowadzisz lub jakakolwiek krępująca rzecz, którą zrobisz, NSA będzie nagrywać.

Najgorsze jest to, że nawet jeśli wyłączysz telefon dla bezpieczeństwa, tak naprawdę nie będzie wyłączony. Aplikacja sprawia, że ​​telefon udaje wyłączony - wyłącza ekran, ignoruje połączenia przychodzące i nie reaguje na naciśnięcia przycisków - ale szpiegowanie będzie nadal trwało.

Ponieważ my jak widać z powyższego przykładu, Twoja prywatność nie jest nawet szanowana przez NSA. Przestępcy i represyjne rządy mogą również włamać się do Twojego telefonu i podsłuchiwać Twoje rozmowy. Dlaczego więc nie miałbyś chcieć telefonu z wymienną baterią, skoro czujesz, że jesteś celem?

Znajdź urządzenie, które można łatwo modyfikować

Darmowe aplikacje na Androida z łatwością umożliwiają dostęp do telefonu tylnymi drzwiami w całości. Znasz te wszystkie przerażające uprawnienia, które akceptujesz, ponieważ lubisz „darmowe rzeczy”? Tak, te. „Ta aplikacja chce mieć dostęp do Twoich: kontaktów, mikrofonu, kamery itp.” Nie, dziękuję.

Jeszcze gorzej jest, gdy rządy i firmy reklamowe używają ultradźwiękowych sztuczek, które łączą Twoje urządzenia. Wymienna bateria wraz z Ochroną prywatności firmy Cyanogen znacznie pomogą temu zapobiec.

Jak możesz oczekiwać bezpieczeństwa informacji, jeśli Twój telefon stale wysyła informacje o wzorcach użytkowania do firm marketingowych oraz rządy? Nie zapomnij o CISPA. Rząd chce zażądać tych danych legalnie , mimo że już je ma.

rząd nie może nawet przechowywać swoich własnych informacji bezpiecznych, więc dlaczego mieliby mieć prawo przechowywać Twoje Informacja? Firmy też nie są w stanie zapewnić bezpieczeństwa swoich danych. Dlaczego powinieneś ufać któremuś z nich?

Sugerowałbym telefon, który można zmodyfikować. Na przykład możesz zainstalować CyanogenMod i użyć jego funkcji Ochrona prywatności, aby wyłączyć dostęp aplikacji do ważnych informacji.

Masz również znacznie większą kontrolę przez telefon niż zwykłe bzdury.

Telefony z blokadą operatora są bezwartościowe w USA, i Chinach

Nie chcesz telefonu, który jest zablokowany u operatora. Aktualizacje zabezpieczeń często są aktualizowane z poważnymi opóźnieniami, czasem po latach . Jeden z moich telefonów był zablokowany przez operatora i nie mogłem go zaktualizować aż do czterech lat później. W międzyczasie był podatny na prawie wszystko, ale okazał się doskonałą miodą do celów inżynierii odwrotnej. Podejrzewam, że możesz nie chcieć czegoś takiego.

Nadal jest to problem z wieloma telefonami z blokadą operatora. Zauważysz, że całkowicie przegapiłeś aktualizacje, które otrzymują wszyscy inni. Niedobrze.

Niestety zwykle oznacza to zapłacenie pełnej ceny za odblokowany telefon. Zdecydowanie warto, ponieważ możesz znacznie łatwiej zaktualizować telefon - zwłaszcza jeśli używasz CyanogenMod. Gdy telefon jest całkowicie pod Twoją kontrolą, możesz z nim zrobić więcej. Możesz szybciej instalować aktualizacje zabezpieczeń i nie musisz czekać, aż operator je zaktualizuje.

Za długo, nie przeczytałem

Moje trzy najlepsze zalecenia:

  1. Wymienna bateria (aplikacje / hacki mogą udawać, że telefon jest wyłączony, gdy jest naprawdę włączony)
  2. Możliwość modyfikacji za pomocą Ochrony prywatności (na przykład Cyanogen Mod)
  3. Odblokowane telefony, brak blokad operatora.
Komentarze nie służą do rozszerzonej dyskusji; ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/37013/discussion-on-answer-by-mark-buffalo-what-security-features-are-important-when-b) .
TheHidden
2016-03-10 16:19:28 UTC
view on stackexchange narkive permalink

Starając się unikać zaleceń, aby zabezpieczyć telefon, podzielę go na 3 poziomy:

Aplikacje

Szukając aplikacji do umieszczenia w telefonie, potrzebujesz spojrzeć na uprawnienia, o które proszą, i zadać sobie pytanie: czy ta gra w szachy naprawdę potrzebuje dostępu do moich kontaktów, Bluetooth i internetu? NIE, nie, aplikacja jest dla mnie podejrzana, jeśli prosi o coś, co nie ma sensu (chociaż większość aplikacji będzie prosić o wyświetlenie twoich zdjęć / plików, ale nadal nie ufam temu)

Oprogramowanie dla twojego telefonu

Musisz poszukać ogólnej wersji oprogramowania kompatybilnej z twoim telefonem. Najlepszą opcją jest przeglądanie platform Android open source (Android jest open source, ale próba nakłonienia programistów do przeglądania ROM-ów wykonanych przez korporacje jest trudna). Wszystkie telefony będą korzystały z określonego systemu operacyjnego od dostawcy usług, na przykład: O2 (angielskie firmy telekomunikacyjne) obsługuje własne aktualizacje i pakuje własne rzeczy. Potrzebujesz czystej, kompatybilnej wersji z każdym zakupionym telefonem.

Sprzęt

Teraz odpowiedź jest najtrudniejsza, sprzęt to sprzęt, ale możesz zaszyfrować swoje urządzenie, aby było bezpieczne Twój sprzęt. To wszystko, co mogę Ci zaoferować, jeśli chodzi o informacje.

Inne porady

Możesz pobrać aplikacje, które zabezpieczają Twój ruch, wystarczy pamiętać o osobie po drugiej stronie musi mieć możliwość odszyfrowania Twoich informacji. Możesz także mieć ukryte woluminy w telefonie, aby chronić tylko niektóre fragmenty informacji.

Możesz spróbować skorzystać z połączeń internetowych i usług zewnętrznych do obsługi ruchu, takich jak anonimowe sieci VPN. Istnieje również wiele opcji aplikacji i usług dla sieci TOR. Pamiętaj tylko, że możesz łatwo zabezpieczyć swoje informacje na swoim urządzeniu. (nie zapomnij użyć bezpiecznego hasła), ale zapewnienie bezpieczeństwa komunikacji, ale jednocześnie dostępnej dla żądanego odbiorcy, wymaga od nich również możliwości odszyfrowania.

Używanie TOR lub usług szyfrowanych w połączeniu z komunikacją internetową w telefonie oznacza, że ​​możesz zdecentralizować swoje urządzenie. Źródło ruchu jest trudne do wskazania. Ale ponieważ jest to Twój telefon, znalezienie źródła nadal nie jest niemożliwe.

Potrzebujesz czegoś konkretnego? Skomentuj, a zaktualizuję moją odpowiedź.

WhatsApp jest szyfrowany (OTR / Axolotl) tylko w celu bezpośredniej komunikacji między osobami na urządzeniach z Androidem. Czaty grupowe nie są szyfrowane. Komunikacja z urządzeniami innymi niż Android nie jest szyfrowana.
aktualizacja mojej odpowiedzi @SEJPM
@SEJPM w rzeczywistości istnieje aplikacja o nazwie CoverMe, która wykorzystuje silne szyfrowanie do przesyłania wiadomości indywidualnych i grupowych, a także połączeń VoIP, a także współpracuje z jej odpowiednikiem w sklepie z aplikacjami na iOS.
@Matt Odniosłem się konkretnie do WhatsApp. Istnieją inne aplikacje, które rzeczywiście umożliwiają szyfrowane czaty grupowe, szyfrowane czaty międzyplatformowe i szyfrowane VOIP, przy czym Signal jest prawdopodobnie najbardziej znanym.
Noir
2016-03-12 19:35:08 UTC
view on stackexchange narkive permalink

Po pierwsze: istnieje dobry przewodnik z projektu TOR o hartowaniu Androida. Możesz wywnioskować z niego wszystkie kryteria, których musisz szukać.

Po drugie: nie mogę uwierzyć, że nikt tutaj nawet nie wspomina o największym backdoorie, który omija większość środków bezpieczeństwa, o ile telefon jest włączony: pasmo podstawowe

Były już pewne luki wykryte, a ponieważ oprogramowanie układowe wszystkich dostępnych procesorów pasma podstawowego jest nawet specyfikacja interfejsu jest dostępna, bardzo trudno jest znaleźć backdoory i błędy.

gnasher729
2016-03-13 15:12:09 UTC
view on stackexchange narkive permalink

Musisz znać swoje wymagania, które zależą od Twojej sytuacji.

Czy chcesz chronić się przed zwykłymi hakerami, którzy mają zamiar atakować przypadkowe osoby, gdy nie jesteś konkretnym celem, a jedynie przypadkową ofiarą?

Czy jesteś potencjalnym celem, na przykład ważną osobą w firmie, małą lub dużą celebrytą? Czy ludzie będą próbować osobiście zaatakować Ciebie ?

Czy jesteś kryminalistą, który będzie zmuszony do ścigania organów ścigania z nakazami przeszukania, czy też kimś, kto jest niewygodny dla swojego rządu, który również będzie miał organy ścigania z nakazami przeszukania po nich?

Po pierwsze: zdobądź iPhone'a z czytnikiem linii papilarnych, użyj sześciocyfrowego hasła, użyj uwierzytelniania dwuskładnikowego, włącz „znajdź mój telefon”, aby móc go zablokować, jeśli zniknie, użyj hasła do swojego AppleID którego nie można łatwo odgadnąć i nie jest to to samo hasło, którego używasz gdzie indziej.

Numer 2: Tak samo jak 1, użyj ośmiocyfrowego hasła, użyj hasła do swojego AppleID, które nie zawiera żadnych informacji, których zdeterminowany haker może dowiedzieć się o tobie, i których nie można odgadnąć ( na przykład pięć losowych słów).

Punkt 3: Pytasz niewłaściwą osobę.

Były tu inne rady, ale musisz zadać sobie pytanie, czy masz talent i czas, aby zabezpieczyć swój telefon niż standardowy telefon dużego producenta, który wykorzystuje zabezpieczenia jako punkt sprzedaży . I musisz zadać sobie pytanie, ile niedogodności jesteś gotów zaakceptować, aby zwiększyć bezpieczeństwo. Na przykład naleganie na wymienną baterię oznacza, że ​​obecnie nie można używać telefonu żadnego z głównych producentów, co oznacza, że ​​istnieje już możliwość uzyskania mniej bezpiecznego telefonu.

I są kompromisy: na przykład czujnik odcisków palców w rzeczywistości zmniejsza bezpieczeństwo, jeśli wszystko inne jest równe (ponieważ każdy inny sposób wejścia do telefonu jest potencjalnym ryzykiem), ale zachęca ludzi do używania dłuższych kodów dostępu, co byłoby bardzo niewygodne, jeśli używasz ich cały czas.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...