Чем грозит потеря смартфона: реально ли его взломать и украсть данные или деньги?

Смартфон лучше не терять – кроме того, что он стоит десятки тысяч рублей, к нему привязано слишком много. Сейчас телефон многим заменяет рабочее место, к нему привязаны банковские карты, аккаунты и онлайн-банки. А еще эксперты считают, что потерянный смартфон кто-то может попытаться взломать – и весьма успешно. Итак, чем грозит потерянный смартфон и как защитить свои данные от утечки – расскажем в нашем материале.

Почему утечка со смартфона – это плохо?

В 2020 году в России продали более 30 миллионов смартфонов. То есть, новый девайс купил каждый пятый житель страны, включая детей и стариков. И если еще недавно было принято считать, что современная техника – удел молодых людей, то сейчас человек без смартфона (или хотя бы кнопочного телефона) – исключение, а не правило. По сути, вся деловая активность современного человека так или иначе присутствует в смартфоне, а для некоторых людей это вообще основной рабочий инструмент.

Но у этой тенденции есть и обратная сторона: чем больше всего привязано к одному устройству, тем проще всего этого лишиться. К тому же, несмотря на истории с утечками информации через мобильные телефоны, россияне продолжают «складывать все яйца в одну корзину». То есть, доверяют своим устройствам буквально всю информацию.

Об этом пока не принято говорить открыто, но смартфон знает о своем владельце буквально все. Например, среднестатистическому устройству на Android доступна такая информация:

  • личный контент – фотографии, видео, аудио, скриншоты и многое другое. Чаще всего это хранится в незашифрованном виде, и почти всегда доступно при подключении устройства к компьютеру по кабелю;
  • аккаунты в Google и других сервисах – так сложилось, что буквально все аккаунты «подвязываются» к аккаунту пользователя на Google, через него так удобно авторизоваться в других приложениях. Но сама по себе учетная запись Google у многих защищена только паролем, иногда к нему добавляется и номер телефона – это легко открывает любые аккаунты, привязанные к той же электронной почте;
  • пароли к разным сервисам – они могут храниться в аккаунте Google, есть аналогичные сервисы у Samsung и других производителей. Это удобно, но при этом чревато проблемами в случае утери смартфона;
  • банковские карты, привязанные к Apple / Google / Samsung / Mir Pay. Платить смартфоном с карты удобно, но тоже поднимает некоторые серьезные вопросы.

А еще смартфон – это в первую очередь телефон. Это означает, что тому, у кого он окажется, будет доступен номер телефона – а через него можно восстановить пароли ко многим сервисам, и даже подтверждать банковские операции.

Кроме того, аккаунт Google хранит огромный объем информации о пользователе – начиная от истории браузера и заканчивая историей его передвижений (причем передвижения фиксируются очень точно, по дням и часам, с привязкой к географическим координатам).

Другими словами, если смартфон потеряется или к нему кто-то получит удаленный доступ, можно потерять все и сразу – начиная от репутации (в сеть периодически «сливают» фотографии знаменитостей, украденные с их смартфонов) и заканчивая деньгами (через банковские приложения) и даже работой (за нарушение коммерческой тайны могут уволить).

На дворе уже 2021 год, и принято считать, что разработчики софта для смартфонов позаботились о безопасности, говорит аналитик Валерия Губарева. По ее словам, за некоторыми исключениями, злоумышленники, скорее всего, не смогут получить доступ к данным на смартфоне:

Защита на смартфонах iOS или Android от взлома надежна. Среднестатистическому хакеру разблокировать современные смартфоны проблематично. Например, запустить скрипт и взломать девайс не получится, потому что iOS или Android заблокируется. Однако предположим, что злоумышленник смог это сделать, тогда попасть в Галерею получится без труда, поскольку она по умолчанию не закрывается паролем. Сможет ли посмотреть переписку владельца – зависит от конкретного мессенджера и его настроек. Но зачастую это не так сложно. Приложения онлайн-банков и Apple или Google Pay защищены и отпечатком пальца, и паролем. Разблокировав смартфон, злоумышленник сможет разблокировать и приложение.

Если владелец использует слабый пароль, например, год рождения, то разблокировать смартфон будет просто. Все остальные варианты обхода уходят в шпионаж и фантастику: подсмотреть какой пин вводит владелец, поискать о нем информацию и угадать числа, имеющие отношение к его личной жизни, забрать в баре его бокал, чтобы перевести отпечаток на форму… Напоминает сюжет фильма и редко встречается в повседневности.

Валерия Губарева, аналитик Digital Security.

Однако большинство историй о взломанных смартфонах касаются не высоких криптографических технологий, а банального человеческого фактора. Да, владельцы смартфонов чаще всего сами выдают всю нужную информацию. Об этом поговорим дальше.

Когда взлом смартфонов – вина их владельцев. И пандемии

В последние несколько лет россияне периодически сталкивались со все новыми волнами мошенничества. Если сначала «тюремные call-центры Сбербанка» выманивали данные карт и коды подтверждения операций, то сейчас мошенники работают намного аккуратнее. Все чаще оказывается, что жертва самостоятельно переводит деньги злоумышленникам, что практически до нуля снижает шансы их вернуть. Это – методы социальной инженерии, но кроме банковских счетов, они все чаще помогают взламывать и смартфоны.

Мошенники используют разные способы получить доступ к смартфону. Если рассматривать вариант, когда сам смартфон находится в руках у злоумышленника, то вариантов там есть несколько. Как говорит Александр Горячев из «Доктор Веб», если владелец пожертвовал безопасностью в угоду функциональности, это будет на руку взломщику:

Если рассматривать самый базовый сценарий, когда у взломщика есть физический доступ к целевому смартфону, ему понадобится как минимум компьютер и кабель для подключения устройства, а также специализированное ПО – набор эксплойтов, которые при наличии соответствующих уязвимостей позволят обойти блокировку. Но как уже было сказано ранее, успех взлома будет зависеть от многих факторов, в том числе – уязвимо ли устройство для конкретного эксплойта. Шанс на успешный взлом повышается, если сам пользователь каким-либо образом ранее скомпрометировал устройство (например, на Android – получил root-доступ, а на iOS – выполнил jailbreak, т. е. открыл устройство внешнему миру и активировал функции, которые в повседневной жизни не нужны, но могут быть использованы при взломе). Однако при любом сценарии атакующий все же должен обладать определенными техническими навыками.

Александр Горячев, эксперт ООО «Доктор Веб».

Другие варианты, рассказывают эксперты, тоже возможны, например:

  • наблюдение за жертвой. Например, если речь идет о ресторане или отеле, злоумышленник может подсмотреть через камеры, какой пин-код набирает владелец смартфона. А заполучить затем само устройство будет не очень сложно;
  • попробовать самые распространенные варианты пин-кода. Например, это может быть дата рождения, текущий год или просто «1234»;
  • отследить код по стеклу на экране. В местах, где было больше всего нажатий, покрытие может быть потертым – это укажет на комбинацию для доступа к данным смартфона. Иногда достаточно просто обратить внимание на отпечатки пальцев на экране.

А в 2020 году, как оказалось, подсмотреть пароль еще проще. Все дело в масках и невозможности использовать Face ID для оплаты, не снимая ее, говорит Тигран Оганян из LT Consulting:

Все может быть до банального просто – злоумышленник подсмотрел пароль, что в современных реалиях не составляет никакого труда, поскольку доступ к различным камерам серьезным образом не защищен. А дальше дело за малым – определить маршрут движения жертвы, посмотреть, как часто он пользуется вводом пароля, когда Apple Pay не срабатывает через Face или Touch ID, и похитить телефон, либо получить к нему кратковременный доступ – и дело в шляпе.

Важно понять, что речь здесь идет, прежде всего, не о специальных технических возможностях хакеров, а о состоянии действительности, в которой мы пребываем. Как мы храним свои личные данные и каковы привычки их использования?

Достаточно ввести свой пароль в телефоне в любом общественном месте (с учетом масок и недостатка технологий Face ID вопрос не праздный), будь то заправка, магазин или ресторан. Вероятность того, что камеры зафиксируют эту информацию, достаточно высока. Сложно ли получить такие данные при помощи камер видеонаблюдения? Даже для среднестатистического хакера это не составит особого труда.

Теперь представим ситуацию – вы являетесь объектом наблюдения некого хакера. По камерам он узнал ваш код-пароль, а дальше Ваш телефон исчезает в неизвестном направлении. Соответственно, злоумышленник легко получает доступ ко всей вашей личной информации. Таким образом, большинство ситуаций, в которых злоумышленники получают доступ к личным данным, могут быть не связаны напрямую со взломом iOS или Android.

Тигран Оганян, управляющий партнер LT Consulting.

Из совсем недавнего – мошенники убеждают своих жертв установить приложение для удаленного доступа, после чего без лишних проблем переводят все деньги со счетов себе. Любой более-менее опытный пользователь поймет, что это обман – но пожилые люди, увы, не понимают всех тонкостей информационной безопасности.

В любом случае, получит ли злоумышленник ваш смартфон к себе в руки, или получит к нему удаленный доступ – для вас это гарантированно плохо закончится. Поэтому базовые правила безопасности нарушать не нужно – набирать пин-код у всех на виду, или оставлять его где-то возле самого телефона.

Но сейчас бывают и более сложные способы обмана – когда жертва и не сможет защитить свой телефон от взлома.

Можно ли взломать смартфон?

Жертвами мошенников с использованием методов социальной инженерии становятся обычно люди в возрасте, или те, кто не очень хорошо знаком с техникой. Но мир несовершенен, и взломать можно буквально что угодно – вопрос только во времени и стоимости такого взлома. А иногда серьезные методы взлома используют параллельно с социальной инженерией – тогда шансы злоумышленников на успех возрастают еще сильнее.

Например, Ильяс Киреев из Crosstech Solutions Group рассказал нам, что взломать смартфон можно разными способами:

  • восстановление доступа к системе через инженерное меню;
  • доступ к системе через уязвимость протокола Apple Wireless Direct Link, который используется для AirDrop и выполняется в ядре устройства (актуально для техники Apple);
  • перебор пин-кода на уровне доступа системной шины через специальный софт (Apple);
  • компрометация учетной записи через облачные сервисы Google и Apple. Обычно для этого нужен пароль из смс, который получают с помощью социальной инженерии;
  • использование резервных копий устройств, которые создаются автоматически при подключении устройства к компьютеру.

Как отмечает эксперт, получить доступ к данным пользователя бывает не так сложно:

С помощью специального программного обеспечения по компьютерной криминалистике можно обойти шифрование и получить доступ ко всем данным в читабельном виде, а порой шифрование на резервных копиях пользователи и вовсе не используют. Навыки доктора инженерных наук не требуется, достаточно прочитать нужные уведомления на заблокированном экране. В случае если пароль пользователя сложный, даже физический доступ создаст ряд нерешаемых проблем, поэтому облака и резервные копии устройства – самые приемлемые вектора компрометации.

Ильяс Киреев, ведущий менеджер по продвижению Crosstech Solutions Group.

Если такие способы не сработают, есть и более сложные – это и физическое вмешательство в смартфон, и целые аппаратно-программные комплексы, говорит Игорь Бедеров из компании «Интернет-Розыск». Эксперт рассказал нам, что существуют сложные способы взлома устройств, в частности:

  • загрузка в безопасном режиме или инженерном меню (в зависимости от производителя), это позволяет снять ограничения на количество попыток ввести пин-код. Затем можно просто подобрать нужную комбинацию;
  • физическое вмешательство в содержимое смартфона. Так, в некоторых случаях можно выпаять схемы памяти, а потом установить их в разблокированный смартфон той же модели;
  • загрузка в режиме отладки и удаление части файлов (в том числе с актуальным паролем), но это срабатывает не всегда;
  • извлечение данных через аппаратно-программные комплексы. Например, есть отечественные разработки «Мобильный криминалист» и «Belkasoft X», китайский «iDC-8811 Forensic MagiCube», американский «GrayKey» и израильский «Cellebrite».

А иногда помогает совершенно примитивный обман системы – если Face ID срабатывает на фотографию владельца устройства, разблокируя смартфон.

Так что терять свой телефон с важными данными (да и просто оставлять его без внимания) точно не стоит. Даже при условии защиты данных отпечатком пальца, Face ID, пин-кодом и паролем, шансы на успешный взлом ненулевые.

Как защитить свои данные?

Проще всего защитить свои данные на смартфоне – это не терять его. Но, как мы уже помним, при желании злоумышленники могут получить и удаленный доступ к данным на устройстве, поэтому пренебрегать правилами информационной безопасности не стоит никому.

Вот самые простые и базовые правила защиты:

  • если смартфон поддерживает распознавание отпечатка пальца и лица, это все нужно использовать. На современных моделях эти функции работают почти без сбоев и достаточно надежны. А для владельцев смартфонов от Samsung рекомендуется не использовать быстрое распознавание лица – его проще обмануть (хотя «обычное» распознавание занимает больше времени);
  • кроме распознавания по отпечатку и лицу, не стоит забывать и о пароле. И речь идет не о пин-коде, говорит Игорь Бедеров – по его словам, нужно поставить на телефон сложный и устойчивый к взлому пароль;
  • настроить функцию поиска и отключения утерянного телефона. Эта функция есть как у Google, так и у самих производителей смартфонов (у того же Samsung). Работают они все примерно одинаково – потерянный смартфон будет передавать свои координаты, а при желании его можно будет удаленно заблокировать и даже удалить с него все данные;
  • не отказываться от автоматических обновлений ПО смартфонов. Обновления чаще всего исправляют очередные пробелы в безопасности, поэтому пренебрегать ими не стоит;
  • внимательно следить, какие приложения запрашивают разрешения и на что. Так, если программа запрашивает доступ к звонкам и смс, камере, динамику и местоположению устройства, а эти функции на самом деле ей не нужны, это должно как минимум вызвать вопросы. При желании любое разрешение для приложения можно отозвать (хотя некоторые программы после этого откажутся работать).

По сути, все сервисы, которые предлагает производитель, так или иначе повышают безопасность для пользователя – и пренебрегать ими не стоит (тем более, что они обычно очень удобные и при этом бесплатные).

Кроме того, говорит Игорь Бедеров, нужно настроить еще некоторые параметры:

Иметь удаленный доступ к устройству через сервер Apple или Google на альтернативном гаджете, чтобы заблокировать его или отыскать.

Иметь удаленный доступ ко всем критическим онлайн-сервисам с другого устройства, чтобы иметь возможность очистить их, сменить пароли и отключить возможность доступа с утраченного мобильника.

В ряде сервисов включить удаление данных в случае неактивности более определенного времени.

Критичные приложения на смартфоне также защитить отдельным паролем на вход.

Игорь Бедеров, CEO компании «Интернет-Розыск».

Отдельно коснемся вопроса сохраненных банковских карт. С одной стороны, Google Pay позволяет расплачиваться в магазинах, просто приложив разблокированный смартфон к POS-терминалу. Чаще всего покупки до определенной суммы не нужно подтверждать пин-кодом (до 3 или 5 тысяч рублей), поэтому риск потерять деньги все же существует.

С другой стороны, данные банковских карт в смартфоне достаточно неплохо защищены, считает Алексей Рыбаков из компании Omega:

Что касается возможности оплаты сохраненной картой, по моему представлению, это еще менее вероятно, так как безопасность подобных операций значительно более приоритетна. Алгоритмы предотвращения незаконных операций гораздо лучше проверены и отлажены. В любом случае, не думаю, что украденная сумма будет довольно значительной и подозрительная операция останется незамеченной банком, выпустившим карту. Другое дело, когда пользователь, доверившись мошеннику на уровне психологии, самостоятельно делает перевод или данные для проведения операции. На данный момент банки и банковские приложения неспособны отследить угрозы подобного рода. Такая задача под силу будет только искусственному интеллекту, который пока пробивает проблемы этического характера.

Алексей Рыбаков, генеральный директор IT-компании Omega.

Однако даже такой уровень защиты не гарантирует, что деньги на карте никуда не денутся. Так, если злоумышленник получил смартфон в свои руки и как-то смог его разблокировать, ему доступна не только бесконтактная оплата в магазине. Часто возможность заплатить онлайн с Google Pay есть прямо внутри других приложений – а раз смартфон уже разблокирован, то никакие коды и подтверждения не требуются.

Поэтому, считает Александр Горячев, иногда все же лучше вообще не привязывать карту к смартфону:

Если к смартфону привязана карта, и он поддерживает бесконтактную оплату, появляется риск кражи денег. Платежные системы и кредитные организации предоставляют определенный лимит на оплату товаров и услуг без подтверждения операции пин-кодом или биометрией (отпечатком пальца). Поэтому вор сможет использовать украденный смартфон для бесконтактной оплаты в магазине в пределах допустимого лимита.

То же самое справедливо и для смарт-часов и фитнес-браслетов, которые в определенной степени уже могут заменить смартфоны. Если такое устройство поддерживает бесконтактную оплату, но в нем невозможно выставить пин-код для подтверждения каждой операции, то лучше вообще не привязывать его к банковской карте, чтобы исключить потенциальный риск потери денег.

Александр Горячев, эксперт ООО «Доктор Веб».

В любом случае главное – не терять бдительность и свой смартфон, иначе есть риск нарваться на огромные проблемы.