Kapitola 9 – Zabezpečení mobilních zařízení
Mobilní zařízení, zejména tzv. chytré telefony, jsou malé počítače, které jsou často neustále připojené k Internetu. Mohou mít v sobě nainstalováno mnoho aplikací a umožňují další způsoby připojení a komunikace. Je tedy nutné se k nim chovat podobně jako k stolním počítačům nebo notebookům.
1. Úvod
Mobilní zařízení, zejména tzv. chytré telefony (smartphone), jsou dnes již malé samostatné počítače. Často jsou neustále připojené k Internetu přes bezdrátové připojení (WiFi) nebo datové připojení od operátora. Také mají v sobě nainstalováno množství aplikací a umožňují řadu dalších připojení a možností komunikace (např. USB, Bluetooth, NFC). Je tedy nutné se k nim chovat podobně jako ke stolním počítačům a notebookům. Jejich rozmach byl a je natolik rychlý a živelný, že si uživatelé někdy nestíhají uvědomit hrozby spojené s jejich používáním.
2. Co je mobilní zařízení
Mobilní zařízení je obecně zařízení, které můžeme přemisťovat, případně jej mít neustále u sebe bez potřeby trvalého napájení z rozvodné sítě kabelem a pro komunikaci jsou typicky využívány bezdrátové technologie. Nejrozšířenějším mobilním zařízením je mobilní telefon, který zažil asi největší vzestup na přelomu tisíciletí, kdy se jednalo o zařízení, které pomocí GSM sítě pouze dokázalo telefonovat a přenášet krátké textové zprávy. Postupem času a s vývojem elektroniky došlo k tomu, že dnes známe mobilní telefon jako tzv. chytré zařízení, které má svůj vlastní výkonný procesor, datové úložiště na paměťové kartě nebo přímo v interní paměti. Zařízení umožňuje komunikovat pomocí moderních datových sítí od operátora, případně bezdrátové sítě WiFi, je snadné propojit ho s dalšími zařízeními typu chytré hodinky nebo autorádio nebo pomocí technologie NFC je možné simulovat platební kartu a platit tak u obchodníků podporujících bezkontaktní platební transakce. Zkrátka dnešní mobilní zařízení jsou v podstatě malé počítače a je potřeba se k nim tak chovat.
3. Programové vybavení mobilního zařízení
Jak je uvedeno v kapitole Zabezpečení počítače, měli bychom jak v případě počítačů a notebooků, tak i v případě chytrých mobilních telefonů dbát na aktuálnost programového vybavení, tedy operačního systému a všech nainstalovaných aplikací. K mobilnímu telefonu není tak snadné připojovat externí paměťové zařízení jako v případě stolního počítače (CD, DVD, USB flash disk), další aplikace se tedy instalují z tzv. repozitářů výrobce. V případě Androidu se jedná o Google Play, v případě Apple jde o AppStore apod. Tyto repozitáře výrobce sice průběžně kontroluje na výskyt virů, ale ne vše bohužel dokáže uhlídat a může tak dojít k distribuci nebezpečných aplikací. Po instalaci je tedy nutné správně aplikaci nastavit a udělit jí správná oprávnění k používání prostředků zařízení.
Co myslíte?
Potřebuje obyčejná aplikace na rozsvícení světla u fotoaparátu oprávnění k používání úložiště, polohy zařízení a fotoaparátu?
Úložiště nikoli, polohu zařízení nikoli, fotoaparát ano, protože LED žárovka slouží jako přisvětlení při fotografování a je tedy fotoaparátem ovládaná.
Do chytrého telefonu se může virus dostat i dalšími způsoby, například otevřením nebezpečné přílohy emailu nebo navštívením závadného webu, případně stažením viru z Internetu. Stejně jako stolní počítače by měly mít chytré telefony nainstalováno antivirové řešení, které bude viry potírat.
Kromě klasických hrozeb, proti kterým se bráníme antivirem, však existují i další hrozby, specifické pro mobilní zařízení, a proto jsou k antivirovému řešení přidávány další komponenty a dohromady se označují jako tzv. zabezpečení koncových stanic.
4. Přístup k zařízení
Mobilní zařízení často přenášíme, případně ho máme stále u sebe, je zde tedy vyšší riziko ztráty a tím zneužití neoprávněnou osobou. Mobilní zařízení by tedy mělo být chráněno zámkem obrazovky. Způsobů odemykání zařízení existuje několik.
Poměrně populární je tzv. gesto, kdy je možné zařízení odemknout pospojováním zobrazených bodů. Metoda je to rychlá, těžko uhodnutelná, ale nevýhodu má v případě, že zloděj gesto před ukradením odpozoruje. Někdy je také možné uhodnutí podle stop po prstech na displeji.
Druhá možnost je nahrazení gesta PINem, zde už je odpozorování složitější, na druhou stranu je třeba volit číselné kombinace, které není možné uhodnout ze znalosti osoby, například vyvarovat se rodného čísla, telefonního čísla a dále jednoduchých kombinací typu „postupka“ (1 2 3 4 5) nebo opakování jedné číslice (1 1 1 1 1).
Další možností odemčení jsou biometrické metody, například ověření otisku prstu nebo rozpoznání obličeje, ale mají také své nevýhody, například že není možné je v případě kompromitace změnit.
Ochrana mobilního zařízení nemusí být jen pasivní
Endpoint Security dokáže v případě několika po sobě jdoucích neúspěšných pokusů o odemčení například pořídit fotografii předním fotoaparátem a spolu s údaji o poloze ji odeslat vlastníkovi. V případě potřeby je možné telefon i na dálku smazat.
Spouštění důležitých aplikací, jakými mohou být například aplikace pro čtení elektronické pošty, mobilní bankovnictví apod., je vhodné dodatečně chránit zvláštním kódem, tzv. zámkem aplikace (PIN, otisk prstu apod.). Jedná se o tzv. vícestupňovou ochranu (viz kapitola Základní principy a motivace). Tedy i v případě, že se podaří obejít zámek telefonu, důležitá aplikace nemůže být přesto spuštěna.
5. Ochrana dat v telefonu
Uvedené metody zámku obrazovky ochrání telefon před neoprávněným přístupem k jeho funkcím a datům v něm uložených, ale to bohužel není vše, co bychom v případě chytrého mobilního telefonu měli chránit. Mobilní zařízení typicky obsahuje SIM kartu, kterou je možné snadno z telefonu vyjmout a vložit do jiného zařízení. Pokud je naše zařízení například ukradeno, nechceme, aby SIM kartu mohl někdo používat a svým způsobem se za nás vydával (tj. vystupoval pod naším telefonním číslem). Je tedy vhodné chránit SIM kartu PINem.
Další vyjmutelná karta, která v mobilních zařízení často bývá, je paměťová karta, na které jsou uloženy fotografie, příp. zálohy apod. Data na paměťové kartě bychom měli šifrovat, aby byla bez znalosti klíče nečitelná. O šifrování dat se opět může postarat Endpoint Security. V případě nemožnosti šifrování je potřeba s tímto počítat a neukládat na paměťovou kartu důvěrná data.
Když už je řeč o ochraně proti případnému zloději nebo ztrátě zařízení, je potřeba myslet také na pravidelné zálohování uložených dat, především kontaktů a fotografií. Chytré mobilní telefony umí dnes velmi dobře fotit a navíc je míváme stále u sebe. Jsou tedy ideální na zachycování různých životních situací, momentek apod. Je tedy nutné vytvářet pravidelné zálohy, abychom o tato data nepřišli.
6. Zeměpisná poloha
Mobilní telefon je schopen geolokace, tj. umí určit svou skutečnou zeměpisnou polohu. Obyčejné mobilní telefony určovaly svou polohu pomocí výpočtu síly signálu, a tedy pravděpodobnou vzdáleností od vysílacích stanic (tzv. BTS, Base Station System, systém základnových stanic), jejichž poloha je známá a neměnná. S využitím triangulace bylo možné určit přibližnou polohu zařízení.
Chytřejší mobilní zařízení mají mnohem přesnější přijímač GPS (Global Positioning System). GPS je globální družicový polohový systém provozovaný Ministerstvem obrany USA. Existují i další podobné systémy, např. ruský GLONASS nebo Galileo financovaný státy EU. Jak takový systém funguje (velmi zjednodušeně):
- Pro fungování systému musí Zemi obíhat nejméně 24 GPS satelitů. V každém okamžiku jsou z jakéhokoliv (téměř) místa na Zemi viditelné alespoň 4 z nich.
- Každý satelit neustále vysílá na Zemi dvojici velmi přesných údajů svoji pozici a čas.
- GPS přijímač ve smartphonu/tabletu dokáže z údajů 4 (a více) satelitů vypočítat svoji pozici na Zemi s přesností na přibližně 110 metrů.
- Celý navigační systém je velmi složitý a výpočty musí brát v úvahu mnoho komplikací a důsledků fyzikálních zákonů.
Tuto polohu mohou využívat aplikace, pokud jim to povolíme v operačním systému zařízení. Potom lze chytrý mobilní telefon používat jako navigaci, může poskytovat informaci o předpovědi počasí v aktuálním umístění, umisťovat geolokační údaje a někdy i azimut do pořízených fotografií.
7. Dvoufázová autentizace na mobilním zařízení
Dvoufázová autentizace je proces, který zahrnuje dva různé nezávislé způsoby ověření totožnosti uživatele. První fází může být zadání hesla a druhou pak opsání kódu zaslaného pomocí SMS na přednastavené číslo. Případnému kyberpodvodníkovi pak nestačí pouze uhodnout nebo jinak získat heslo, ale musí získat i zařízení, kam přichází ověřovací kód.
Problém nastává, pokud je heslo vyplněno do mobilního zařízení (smartphone) a zároveň na to samé zařízení přijde i ověřovací kód druhé fáze. Pokud je zařízení odcizeno nebo napadeno, pozitivní efekt druhé fáze ověření se vytrácí.
8. Shrnutí
V této kapitole jsme si popsali mobilní zařízení jako malý počítač, tedy zařízení s mnoha funkcemi a možnostmi, které ale můžeme přenášet z místa na místo, případně jej mít stále u sebe. Mobilní zařízení je nutné zabezpečit stejně jako každý jiný počítač, udržovat aktuální programové vybavení a také zohlednit vyšší riziko ztráty, poškození nebo ukradení. Je tedy nutné zamykat obrazovku, odemčení umožnit po zadání PINu, gesta nebo ověření otisku prstu případně obličeje.
Aplikace instalované do zařízení musíme správně nastavit a udělit jim pouze taková oprávnění, která potřebují pro svůj chod. Data v telefonu bychom měli chránit šifrováním, protože paměťovou kartu může při odcizení zařízení kdokoli vyjmout a přečíst ji ve svém zařízení. Myslet bychom také měli na pravidelné zálohování, abychom v případě ztráty zařízení nepřišli o cenná data. Dále je třeba myslet na to, že telefon je schopen geolokace, a tedy být si vědomi, že je možné určit skutečnou zeměpisnou polohu. Toho využívají některé legitimní aplikace, ale může být také zneužita ke ztrátě soukromí.
Zařízení, které používáme pro ověření druhé fáze v dvoufázové autentizaci, musí být nezávislé na zařízení, kam zadáváme jméno a heslo. Není tedy vhodné k těmto činnostem používat jedno jediné zařízení, protože tím je výhoda druhé fáze ztracena.