Social media
Bezpieczne komunikatory – istnieją naprawdę, czy są jedynie marketingową obietnicą?
Debata o bezpieczeństwie komunikacji osobistej, m.in. dzięki nie dbającym o nie politykom, przebija się do szerszej świadomości. Coraz częściej interesujemy się tym, czy komunikatory, z których na co dzień korzystamy – również do rozmów głosowych – są bezpieczne i chronią naszą prywatność. Jak jest w rzeczywistości?
Podatności bezpieczeństwa i luki pozwalające na ingerencję w prywatność w przeszłości wykryto we wszystkich popularnych aplikacjach do komunikacji – również tych, które przedstawiają się jako gwarantujące bezpieczną, szyfrowaną wymianę informacji. Google Duo, Messenger, WhatsApp a nawet Signal – to aplikacje, w których wykrywano błędy mogące zaważyć na poufności naszej komunikacji i groźne nawet wówczas, gdy jako użytkownicy tego oprogramowania nie popełniliśmy żadnego błędu mogącego narażać nas na niebezpieczeństwo.
Rozmowa kontrolowana, rozmowa podsłuchiwana
W 2019 r. głośna stała się sprawa komunikatora wideo FaceTime wbudowanego w systemy iOS i Mac OS Apple’a. Luka bezpieczeństwa w tym programie pozwalała atakującym zdalnie aktywować mikrofon i kamerę na smartfonie ofiary podczas próby nawiązania połączenia, co umożliwiało z kolei bezkarne podsłuchiwanie atakowanej osoby bez wzbudzania jakichkolwiek podejrzeń. Firma Apple naprawiła lukę, jednak wcześniej, po ujawnieniu zagrożenia, natychmiast zablokowała dostęp do możliwości wykonywania połączeń grupowych, które były wektorem tego rodzaju ataku, który ze strony ofiary nie wymagał żadnej aktywności (w rodzaju kliknięcia złośliwego odnośnika).
Błąd popularnego Messengera od Facebooka pozwalał z kolei na podsłuchiwanie osób korzystających z telefonu z Androidem. Jak działał atak wykorzystujący tę lukę? Podczas próby nawiązywania połączenia głosowego z ofiarą, atakujący wysyłał jej specjalnie spreparowaną, niewidzialną wiadomość, która aktywowała mikrofon na telefonie atakowanej osoby, niezależnie od tego, czy odebrała ona połączenie, czy nie. Według Facebooka błąd został naprawiony, zanim ktokolwiek zdążył wykorzystać go do niecnych celów.
Podobną lukę bezpieczeństwa w komunikatorze Signal, który jak dotąd cieszy się reputacją najbardziej bezpiecznej aplikacji, załatała grupa Open Whisper Systems. Błąd logiczny w kodzie aplikacji pozwalał na „odebranie” przychodzącego połączenia głosowego bez żadnej interakcji ze strony użytkownika. Lukę naprawiono zaledwie tydzień po zgłoszeniu.
Każdorazowo w przypadku wyżej opisanych błędów aplikacji, przez które prowadzimy rozmowy – zarówno te prywatne, jak i służbowe, nierzadko przekazując poufne informacje, mogące dotyczyć kwestii biznesowych, ale i zaważyć na zdrowiu i życiu (w przypadku np. aktywistów działających na rzecz praw człowieka) – były one wykrywane i naprawiane.
Jak bezpiecznie korzystać z komunikatora?
Jednak co w sytuacji, w której błąd przez długi czas nie zostanie wykryty i będzie mógł służyć cyberprzestępcom np. do ściśle ukierunkowanych ataków na osoby takie, jak dziennikarze, politycy, aktywiści działający na rzecz praw człowieka, opozycjoniści czy biznesmeni?
W rozmowie z serwisem Cyberdefence24.pl niezależny badacz cyberbezpieczeństwa i prywatności dr Łukasz Olejnik wskazał, że „istnieje oprogramowanie lepsze i gorsze pod względem bezpieczeństwa”. Jego zdaniem „oprogramowanie stale się zmienia, jest rozwijane, np. rozbudowywane o nowe funkcje, co sprawia, że potencjalnie zawsze może pojawić się nowa powierzchnia ryzyka”.
Ekspert doradził, by przy wyborze komunikatora zwrócić szczególną uwagę na to, czy producent lub dostawca są godni zaufania, a pracownicy danej firmy wykazują się wiedzą lub aktywnością na polu cyberbezpieczeństwa, „również publicznie”.
Zdaniem Olejnika „kluczowe jest to, czy naprawiają oni znalezione w ich oprogramowaniu luki – o czym powinni informować”.
Użytkownicy nie mają wpływu na bezpieczeństwo aplikacji
„Niestety, prawda jest taka, że użytkownicy nie mają wpływu na bezpieczeństwo samego komunikatora” – zauważył specjalista. „Pod kontrolą użytkownika jest używany przez niego system operacyjny oraz, co bardzo ważne, sposób korzystania z dostępnych narzędzi” – zwrócił uwagę.
Olejnik podkreślił, że większość komunikatorów dziś zapewnia silne szyfrowanie, „pozostaje więc jedynie ryzyko techniczne po stronie użytkownika, a także błędy przez niego popełniane”.
W opinii eksperta wiele zależy od tego, kto korzysta z aplikacji i do jakich potrzeb jej używa. „Ryzyko bezpieczeństwa dla zwykłego użytkownika może być zupełnie różne, niż w przypadku np. osób publicznych, które mogą być przedmiotem zainteresowania cyberprzestępców realizujących ukierunkowaną operację ataku” – powiedział Olejnik.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Haertle: Każdego da się zhakować
Materiał sponsorowany