Jakie dane można wykraść z naszych smartfonów?

Portfel, dowód tożsamości, uniwersalny komunikator i przepustka do znacznej części wiedzy, jaką zgromadziła ludzkość. Nasze smartfony potrafią bardzo wiele, ale wraz ze wzrostem funkcjonalności mogą wzrastać tez obawy użytkowników: jakie dane udostępniamy na naszych smartfonach i jakie informacje można z nich wyciągnąć?

W wielu filmach zobaczymy scenę, w której – aby zdobyć o kimś ważne informacje – bohaterowie włamują się do czyjegoś domu i skrupulatnie go przeszukują. Choć na ekranie wygląda to wiarygodnie, to ma coraz mniej sensu, bo coraz częściej prawdziwa kopalnia wiedzy o nas znajduje się nie w naszym mieszkaniu, ale w naszej kieszeni.

Trafnie podsumował to prezes Apple’a, Tim Cook, który stwierdził: „W twoim telefonie jest więcej informacji o tobie, niż w twoim domu. Smartfony są pełne naszych prywatnych rozmów i danych finansowych (…)”.

Czego konkretnie można dowiedzieć się dzięki naszym telefonom? Już wiele lat temu, gdy smartfony dopiero zdobywały masową popularność, redakcja „Zeita” na podstawie danych, zdobytych wyłącznie za sprawą smartfona, odtworzyła pół roku z życia jednego z polityków: miejsca spotkań, trasy podróży czy noclegi. To jednak dopiero wierzchołek góry lodowej, bo z roku na rok gromadzimy  w naszych telefonach coraz więcej informacji, dotyczących coraz liczniejszych aspektów naszego życia.

Na pozór wszystko jest w porządku. Jesteśmy przecież świadomymi użytkownikami – nie klikamy w przypadkowe linki, weryfikujemy nadawców wiadomości, a do tego instalujemy aplikacje wyłącznie z oficjalnych, bezpiecznych źródeł. Znamy również podstawowe narzędzia socjotechniczne, stosowane przez cyberprzestępców. Czego mamy się obawiać?

Dane o naszym zdrowiu i aktywności 

Technologia w służbie długiego i zdrowego życia – chyba każdy zgodzi się, że to idealne połączenie. Ćwiczymy, biegamy i żyjemy zdrowo, a coraz częściej towarzyszą nam w tym gadżety, monitorujące naszą aktywność. Ich przykładem są zaawansowane, sportowe zegarki, komunikujące się bezprzewodowo pulsometry, opaski sportowe monitorujące nasz puls czy czujniki, odpowiedzialne za analizę snu.

Wszystkie te urządzenia zbierają i przekazują do smartfona informacje, dzięki którym można poznać zarówno stan naszego zdrowia, jak i codzienne nawyki, związane z aktywnością, rytmem dobowym czy naszą kondycją. Dzięki nim lekarz jest w stanie ocenić nasze zdrowie, ubezpieczyciel szanse, że przeżyjemy kolejną dekadę, a złodziej – możliwość, że wieczorem nie będzie nas w domu.

Skrajnym przypadkiem wykorzystania danych, pochodzących ze smartfonów i innych monitorów aktywności, okazało się niedawne ujawnienie położenia tajnych, amerykańskich obiektów wojskowych. Ich lokalizację ujawnił przypadkowo personel, który w trosce o zdrowie regularnie biegał trasami, biegnącymi zazwyczaj wokół granicy chronionych obiektów. W rezultacie wystarczyła analiza danych, przekazywanych przez smartfon do aplikacji sportowych, jak choćby Endomondo, aby odkryć pilnie strzeżone położenie tajnych obiektów.

Prześwietlenie naszych finansów

Bankowość mobilna jest wygodna i prosta w obsłudze. Na dodatek jest też zazwyczaj bardzo dobrze zabezpieczona, co minimalizuje szansę, że nasze dane wyciekną wbrew naszej woli tą właśnie drogą. Okazuje się jednak, że do wglądu w nasze finanse czy zakupowe przyzwyczajenia, wcale nie trzeba łamać bankowych zabezpieczeń. Nie trzeba również sprawdzać listy naszych płatności. Wystarczy, że pojawimy się ze smartfonem np. w galerii handlowej.

Handel coraz częściej wykorzystuje możliwość identyfikowania i namierzania poszczególnych telefonów. Dzięki temu anonimowy tłum, kłębiący się między stoiskami traci swoją anonimowość.

Za sprawą identyfikatorów, przypisywanych do konkretnych, aktywnych smartfonów, algorytm odpowiedzialny za analizę działań klientów jest w stanie śledzić nie tylko naszą trasę, ale i zachowanie – przed którą wystawą zatrzymaliśmy się choć na chwilę, która reklama przyciągnęła na dłużej naszą uwagę i która informacja o promocji sprawiła, że przystanęliśmy i zaczęliśmy rozważać zakup prezentowanych towarów.

Dodajmy do tego dane, pozyskiwane równocześnie przez sensory „sportowe” – częstotliwość bicia serca czy skoki ciśnienia, a otrzymamy idealny profil konsumenta, którego aktywność i ciało zdradza zainteresowanie różnymi produktami lepiej, niż najbardziej nawet wnikliwe badanie ankietowe czy konsumencka sonda.

Kody i dane biometryczne

Blokujesz smartfon silnymi hasłami, wzorami czy zabezpieczeniami biometrycznymi? Bardzo dobrze, jednak istnieją metody, aby kilka z tych zabezpieczeń skutecznie złamać. I choć dotyczą one zazwyczaj hipotetycznych sytuacji i scenariuszy, tworzonych na potrzeby laboratoryjnych analiz, to warto mieć świadomość, jakie dane mogą bez naszej wiedzy opuścić nasz smartfon.

Świetnym przykładem niemal nieznanego zagrożenia jest wykorzystanie wbudowanego w smartfon akcelerometru do kradzieży haseł czy PIN-ów. Analizując mikrowychylenia smartfona, powstające podczas wpisywania haseł poprzez klawiaturę ekranową, można z dużym prawdopodobieństwem określić, jakie miejsce na ekranie zostało dotknięte, a tym samym jakie cyfry czy litery zostały wpisane. Podczas testów z klawiaturą numeryczną udało się osiągnąć wysoki, ponad 70-procentowy współczynnik trafień.

Co więcej, podatne na ataki są również te zabezpieczenia, które wydają się całkowicie pewne, jak choćby biometryczny czytnik linii papilarnych. Nie dość, że nasze odciski palców można „ukraść” i odtworzyć wyłącznie na podstawie kilku zdjęć (pokazali to niemieccy hakerzy, urządzając pokazową kradzież linii papilarnych niemieckiej minister obrony), to sam skan również da się podrobić.

Udowodnili to amerykańscy badacze, którzy analizując wzory linii papilarnych doszli do wniosku, że – mimo różnorodności – ludzkie odciski muszą mieć pewne wspólne cechy. Udało się je wyodrębnić, tworząc uniwersalny odcisk palca, pozwalający na odblokowanie smartfonów w 4 proc. przypadków. Jak na sytuację gdzie prawdopodobieństwo wystąpienia dwóch identycznych odcisków palca szacuje się na 1 : 64 mld, szansa na złamanie zabezpieczenia wydaje się zaskakująco duża.

Ostrożność naszą polisą

Zestawienie danych, które – teoretycznie – można zdobyć za pośrednictwem naszych smartfonów, wygląda groźnie. Warto jednak pamiętać, że zazwyczaj dotyczy to sytuacji, w których nasz telefon został w jakiś sposób zainfekowany, dostał się w niepowołane ręce albo zostały złamane jego zabezpieczenia.

Inną furtką mogą okazać się serwisy, z których usług korzystamy. Powiązane z nimi aplikacje często mają uprawnienia, pozwalające np. na śledzenie naszej aktywności czy dostęp do listy znajomych. Choć czyhające w sieci zagrożenia naprawdę istnieją, nie ma powodu do paniki. Zazwyczaj nasze dane – a zwłaszcza dane finansowe – są dobrze zabezpieczone.

Warto jednak pamiętać o tym, że w określonych okolicznościach mogą wpaść w niepowołane ręce i w takiej sytuacji dobrze mieć gotowy scenariusz działań: listę serwisów, w których musimy zmienić hasło czy kontakt do banku, gwarantujący szybkie zastrzeżenie karty kredytowej i ochronę naszego konta. Jeśli zachowujemy podstawowe zasady bezpieczeństwa, prawdopodobnie nie będziemy musieli zmierzyć się z zagrożeniem, ale – na wszelki wypadek – warto przygotować się na taką okoliczność.