В історії про крадіжку інформації з браузера в додатки Facebook і Instagram, про яку я писав недавно, мене бентежить той факт, що коду JavaScript на сайтах, які завантажені з публічного інтернету, взагалі дозволено робити будь-які дії в просторі локальної мережі.

І хоча на HTTP-запити все-таки накладаються певні обмеження (наприклад, якщо «по той бік» запиту не буде відповіді з відповідними CORS-заголовками, код JavaScript скоріше за все не зможе прочитати цю відповідь — тільки надіслати сам запит), мені це виглядає дуже наївно з точки зору безпеки. І я не беруся навіть уявляти, що коїться з WebRTC, вебсокетами і іншими подібними «хитромудрими» вебтехнологіями.

Тому мабуть є сенс використовувати NoScript і блокувати з його допомогою доступ до локальної мережі навіть для довірених сайтів, а також блокувати WebRTC і всі інші «наворочені» технології на усіх сайтах, де вони явно непотрібні. (При тому блокування LAN-запитів не працює повноцінно в брузерах сімейства Chrom(ium) — тільки у Firefox). Tor Browser також блокує такі запити.

Якщо подивитися на це ширше, то правильним було б обмежувати браузеру будь-які мережеві дії в локальній мережі ще й на рівні операційної системи. (За винятком тих випадків, коли ви власне працюєте в локальній мережі). Але це вже доволі нетривіальна справа і окремий технічний челендж.

Це не буде довгий допис, хоча напевно міг би / мав би.

Але я зайшов сказати, що Meta (Facebook, Instagram) активно «стукала» зі своїх трекінгових пікселів на вебсайтах у додатки користувачів на пристроях Android до 3 червня 2025 року (коли це «нашуміло» і вони це поспіхом «призупинили»).

Тобто: додатки Facebook і Instagram на Android запускали спеціальний сервіс, який відкриває внутрішній порт обміну даними на пристрої, і сидить і слухає на ньому.

Далі: людина у браузері на тому ж пристрої відкриває якусь сторінку, де є трекінговий код Facebook. Цей код запускається і надсилає на попередньо відкритий додатком порт ідентифікатори користувача з браузера. Далі додаток передає цю інформацію на сервери Meta. Тобто незалежно від того, чи залогінені ви у Facebook/Instagram у браузері, чи ні, Facebook буде знати, що саме ви зайшли на той чи інший сайт. Пофіг на VPN, очищення історії браузера тощо.

По суті це тактика, яка дуже нагадує malware / шкідливе ПЗ. Бо вони свідомо і активно обходять технічні обмеження браузера, щоб зібрати про вас дані в прихований спосіб, і передати їх «власнику» malware.

Вони використовують той факт, що браузер і додаток запущені на тому самому пристрої, щоб «прив'язати» цю діяльність до вас.

Yandex робить дуже подібну річ з 2017 року. (Ну, від них ми й так тримаємося подалі з інших причин, але це все одно корисно знати).

Мораль історії — корпорації на кшталт Meta будуть радо поставляти вам усіляку заразу у своїх офіційних додатках і вбудовувати її у мільйони вебсайтів — поки їх на тому не зловлять і їм не «прилетить» від тих, хто контролює доступ до їхніх додатків (в цьому випадку Google).

Тому якщо ви цими додатками користуєтеся — подумайте, чи воно вам треба. І блокуйте трекери у браузері / на рівні мережі / де маєте можливість.

А якщо ви веброзробник/ця — може пора перестати встанолювати це на сайтах?

Усі технічні деталі тут.

#Privacy

Курсор, який повільно блимає на темному екрані.

За темною безоднею екрана – планетарна цифрова мережа.

Ти можеш написати слова, і їх зможуть побачити в цей же момент по той бік екрана інші, навіть за тисячі кілометрів від тебе.

Радіохвилями, оптоволоконними кабелями і підводними океанськими магістралями, від машини до машини, символи переносяться з клавіатури під твоїми руками – до пікселів на екрані іншої людини; і так само — написане у відповідь.

Ти можеш блискавично отримувати доступ до накопичених знань усього людства, де б ти не був/була, і досліджувати те, що тобі цікаво чи важливо.

* * *

Тобі дивно помічати, як хтось просто гортає один авто-вибраний короткий ролик за іншим, далі й далі. Ти чуєш нетерпляче перемикання обірваних «саундреків», яке байдуже випромінюється у спільний простір.

Тіктоки, рілси, думскролінг нескінченної новинної стрічки, автоплей, (не)прочитані сповіщення, карикатуризований інформаційний «фаст фуд», усі ці атракціони для мозку, які висмоктують з людей їхню увагу, монетизуючи її...

Все це ніби намагається відібрати чи заступити собою ту свободу, яку насправді втілює простий технологічний факт:

Можливість посилати біти на інший кінець світу.

Можливість блискавично взаємодіяти з інформацією на відстані.

Можливість дізнаватися, висловлюватися і комунікувати дистанційно.

Можливість вільно і за власним вибором рухатися "кіберпростором" у всіх напрямках, а не тільки лінійно і пасивно скролити вниз.

* * *

Курсор, який повільно блимає на темному екрані.

Вікно, текст.

Нічого не бореться за твою увагу, не вимагає від тебе реагування.

Просто вікно, в якому ти пишеш слова.

Ця практика цифрового мінімалізму дає тобі можливість зосереджуватися і впорядковувати думки. Повертатися у свій ментальний простір.

* * *

Ти щиро захоплюєшся тим, що завдяки такому винаходу, як Інтернет (але й усьому, що передувало — починаючи від писемності й друку і закінчуючи радіо й комп'ютером), ти не є ізольованим у своєму безпосередньому фізичному просторі. Ця здатність раз на якийсь час «виходити в етер» і говорити (писати), транслювати якийсь сигнал у «матрицю», продовжувати свою інтелектуальну присутність у вибраних віртуальних місцях...

Або просто мати приватну розмову з близькою людиною, знаючи, що ніхто сторонній не може в цю розмову втрутитися навіть тоді, коли між вами сотні кілометрів і ваші слова ретранслюється багато разів, долаючи цю відстань.

Або, кінець кінцем, просто заплющити очі і послухати записи співу птахів і квакання жаб десь у Південній Африці.

Я не можу пояснити моє захоплення цим простим технологічним досягненням. Але воно досі не здається мені чимось буденним і банальним. Особливо тепер. Особливо зараз.

#MindfulComputing

🐨

Одна з технологій, яка пройшла для мене перевірку часом, і на яку я покладаюся постійно — це Linux.

І тут в мене нема бажання займатися черговим порівнянням Лінукса з Віндою і розказувати, чим одне краще за інше. Взагалі я бачу мало сенсу в такому порівнянні без врахування конкретної потреби: краще для кого, для чого і в якій ситуації?

Тому я просто поділюся тим, що після 20 років користування Лінуксом набуло цінності суб'єктивно для мене.

І тут є дві прості речі. Перша — це те, що я завжди матиму надійний інструмент, яким я можу вільно користуватися і не мушу ні в кого питати дозволу, не мушу нічого «ламати» чи боротися з якимись штучними обмеженнями. І оскільки це вільний софт (a.k.a. open source), його ніколи не зможе купити який-небудь Маск і «угробити».

Є код — бери, користуйся, вдосконалюй, ділися. Я вирішую, як буду це використовувати, а не хтось мені щось нав'язує чи обмежує мій вибір. І це дає мені відчуття релаксу. Зрештою, це не тільки про Лінукс, а й про вільний софт загалом¹.

І друга — це те, що Лінукс належить до родини unix-подібних систем.

Суть unix² у тому, що у вас є певна уніфікована мінімалістична основа, яка легко переноситься з одного типу комп'ютерів на інший, і набір базових інструментів, які працюють на цій платформі. Далі ви можете на свій розсуд «чіпляти» зверху те, що вам потрібно — різні графічні оболонки, серверний софт тощо.

Мінімалізм, гнучкість і універсальність архітектури unix (в поєднанні з традицією мати доступ до вихідного коду) призвела до того, що ці системи оточують нас усюди. Від смартфонів (як iOS, так і Android є unix'ами) чи найближчого wifi-рутера (який скоріше за все працює на Лінуксі) — до більшости серверів у датацентрах, суперкомп'ютерів і навіть марсіанських гелікоптерів.

До речі, macOS — це теж unix. Як і FreeBSD, OpenBSD тощо. І не дарма Microsoft придумали WSL (Windows Subsystem for Linux) — щоб зблизити Вінду з екосистемою unix, давши людям можливість використовувати Лінукс прямо у Вінді³.

UNIX довела свою продуктивність, ефективність і надійність у роботі, і використовувалася на понад 150 машинах у кінці 1976 р.

Так, це цитата⁴ з 1977 року. Минуло вже майже пів століття, а unix та Linux і сьогодні асоціюються у мене з чимось, що тихо і стабільно працює, мовчки виконує свою функцію і поводиться передбачувано і зрозуміло.

Я можу запускати Лінукс на «кишенькових» Raspberry Pi і подібних, використовувати на основному лептопі й «підіймати» на ньому сервери. Технологія, яка створена кількома поколіннями «технарів» для своїх же потреб, насправді служить тепер мільярдам людей, навіть якщо вони про це не здогадуються.

До речі, моя мама чудово користується Лінуксом вже не перший рік, при тому будучи «звичайною» користувачкою ПК і майже не потребуючи жодної технічної допомоги.

🐨

--

¹ Наприклад, якщо навіть гіпотетично Linux кудись раптово зникне, я можу просто взяти FreeBSD, на якому запускається 90% того самого софту, і спокійно працювати далі.
² Тут і далі під словом «unix» (малими літерами) я маю на увазі саме unix-подібні ОС (тобто тип і сімейство операційних систем), а не UNIX як торговий знак чи якусь одну конкретну ОС.
³ Зрештою, ще до цього Microsoft почала впроваджувати в свою систему традиційні для unix протоколи й компоненти (такі як OpenSSH чи NFS).
⁴ John Lions. Commentary on the Sixth Edition UNIX Operating System, 1977.

Мені подобається ідея про якісні, надійні речі, які служать тобі багато років. Вони ніби звільняють тебе від нав'язливої звички думати про те, що тобі треба щось там новіше й (не обов'язково) краще, бо твої речі вже тебе не задовільняють.

Насправді, це величезне полегшення — не мусити думати про те, що тобі постійно треба щось нове.

Крім того, деякі речі передбачають можливість накопичувати певну майстерність у їхньому використанні (наприклад, музичні інструменти, велосипеди, якісь професійні інструменти тощо). Або ж просто дозволяють звикання до певної речі і пристосування її до себе.

Зараз я усвідомлюю, що цей принцип працює для мене і в цифровому житті. Я люблю технології, які дають мені відчуття самодостатності й автономії в їхньому користуванні, які дають можливість накопичувати вправність і вмілість, які не залежать від моди і трендів, які просто і покірно працюють і служать мені день в день, рік в рік.

Технології, які нічого мені не нав'язують, не намагаються нічого мені «продати», монетизувати мої персональні дані чи викликати «вау-ефект» від чергових надуманих «нових функцій». І при тому дають доступ до рішень і інструментів, яких ще вчора не існувало.

Технології, які можуть бути невидимими і просто тихо працювати, щоб я міг про них не думати.

Технології, які є настільки простими й універсальними, що стають у пригоді в найрізноманітніших контекстах.

Серед них є й такі, якими я користуються вже не перший десяток років, і які досі не перестають мене «виручати» в якийсь новий і несподіваний спосіб.

Майбутні кілька дописів будуть присвячені саме таким речам.

🐨

#MindfulComputing

Кожен раз, коли у мене з'являється якась думка, про яку я б хотів написати допис, в мене одночасно з'являється відчуття, що це не має значення.

Що воно буде просто зайвим зараз, тут де ми є, під час війни. І що писати про це зараз — ніби бути сліпим до того досвіду, який всі ми переживаємо щонайменше останні три роки. Ніби бути байдужим до того, що навіть просто писати можуть тепер не всі; ніби бути як ті сторонні спостерігачі, які знають, чули про цю війну, може й говорять про неї, але не відчувають цього на собі, бо вони не є об'єктом цієї війни. І не беруть в ній участь.

Але разом з тим я маю стійке відчуття, що писати таки треба, бо писати — це думати, а думати — це не стояти на місці. І просто зникнути, замовкнути через війну зараз — це теж для мене не ок. Це ніби «забити», бо війна. Але цей час, у якому ми зараз — точно не про «забивання».

Тому іноді я все-таки спробую ділитися думками. Наприклад, про те, яке Цукерберг посміховисько зі своєю «чоловічою енергією»¹ (може їм з Маском вже таки пора набити одне одному пику, як вони колись збиралися? «Посвяткувати агресію»¹).

І про те, що я б хотів, щоб у суспільстві України майбутнього, але і щонайменше Європи майбутнього також, такі люди, як Цукерберг, Макс чи Дуров не диктували нікому як треба жити і що святкувати. І натомість ми самі між собою домовлялися, що ок, що не ок, як і коли.

Використовували і створювали для цього децентралізовані технології, позбавлені всіх цих темних патернів, які намагаються викликати залежність й стимулювати імпульсивні реакції.

Кінець кінцем, менше часу проводили в екранах (бо мали б менше нав'язаних приводів «залипати»).

Я відчуваю вдячність за те, що зараз, в цих умовах я все ж можу ділитися думками на відстанях тисяч кілометрів і бути відвертим. Тут, де я це роблю, ні Маск, ні Цукерберг, ні Дуров, ні Путін не має влади.

¹ https://nypost.com/2025/01/11/business/mark-zuckerberg-praises-benefits-of-masculine-energy-says-dei-culturally-neutered-corporate-america/

Робити нотатки, додавати щось у закладки, зберігати, і потім за якийсь час повертатися до цього — це класно.

Є щось особливе в тому, щоб могти нагадати собі, що́ вам видалося цікавим, чи про що ви думали тиждень, місяць чи рік тому, і повернутися до цього, замість хапатися знову й знову за щось нове.

Мені здається, домінантні цифрові платформи не дуже заохочують до такої практики. Навпаки, вони підштовхують нас постійно шукати і споживати нове й нове (хай навіть дуже подібне до того, що ми вже бачили), а не рефлексувати й роздумувати про якийсь свій суб'єктивний досвід, про те, що з нами було вчора, чи про що ми вже роздумували раніше.

Недавно послухав один подкаст (на який натрапив у Мастодоні і додав у закладки, щоб потім повернутися, коли власне буде можливість послухати😉). Епізод був присвячений уяві і генеруванню ідей.

Гість подкасту висловив думку про те, що оскільки ми майже завжди маємо в кишені смартфон з Інтернетом, ми схильні використовувати його, щоб «заткнути» вільні часові проміжки, коли нам могло б бути нудно.

Але цим ми також «глушимо» схильність нашого розуму кудись блукати думками (і, можливо, генерувати якісь гарні ідеї або рішення). Мені здається, ми замінюємо це «корисне блукання» на водіння нас за носа тим чи іншим алгоритмом, що формує ту чи іншу стрічку безлімітного нового стимулюючого контенту.

Але це не приносить того приємного відчуття, коли у вас в голові народжується якась ідея, чи просто ви пригадуєте і розвиваєте подумки якусь свою мрію. Скоріше це нагадує якесь безконечне перемикання безконечної кількости каналів телевізора.

У подкасті також згадували про давню практику ведення зошитів з нотатками, куди записувалися цікаві цитати чи інша корисна інформація. (Тобто це не щоденники, а дещо інше). Ці зошити були індивідуальним інструментом синтезування і систематизації знань і ідей, коли ще не існувало Інтернету чи пошукових систем.

Але я думаю, що ця практика зберігання нотаток / закладок / тощо може бути чудовим інструментом і в цифрову еру. І бути чудовим доповненням і альтернативою звичному «думскролінгу».

(Згадалося — в деяких книжках я бачив спеціально відведені пусті сторінки для нотаток. Хіба не чудова ідея?).

Як саме це можна робити? Та як завгодно.

Наприклад, іноді я кидаю собі якийсь корисний лінк в «Нотатник» у Signal (ви знали, що там є така фунція?). У Мастодоні просто додаю дописи у закладки. Дещо зберігаю в файлах org-mode.

Цей допис я пишу в простому текстовому файлі (markdown). Ці файли у мене синхронізуються з телефоном через Synchthing (який, до речі, дуже добре мені служить вже не один рік — ще колись розповім про нього більше). Так я можу відкривати свої нотатки і з телефона, і з комп'ютера, навіть коли немає доступу до Інтернету. І не залежу в цьому від Google чи кого там ще.

Але всі ці технічні деталі другорядні. Яким би способом ведення нотаток ви не користувалися, думаю, вам це приносить не тільки користь, але й певне задоволення.

P.S. Будемо вважати, що цим дописом я відкрив міні-серію під назвою «mindful computing» (звиняйте, так і не придумав, як це гарно висловити українською). До зустрічі в етері!

🐨

#MindfulComputing

Ще одна причина блокувати рекламу.

Malwarebytes пишуть про т.зв. «malvertising»-кампанію, яка використовує рекламу в Google, щоб змусити користувачів встановлювати шкідливий софт замість Slack (а також Zoom, NordVPN).

Лінк на заразу з'являється на самому початку пошукової сторінки перед офіційним вебсайтом Slack в результатах пошуку.

Крім того, шахраї спершу маскують псевдорекламу таким чином, що вона справді веде на офіційний Slack, протягом певного періоду «розігрівання».

Але з часом змінюють кампанію таким чином, що вона починає переадресовувати зовсім не туди. І ви завантажуєте заразу замість того, що шукали.

https://www.malwarebytes.com/blog/news/2024/08/fraudulent-slack-ad-shows-malvertisers-patience-and-skills

Тому раджу користуватися uBlock Origin — а на додачу увімкнути українські безпекові фільтри від @braveinnovators

#adblocking #malvertising

Мені було дуже смішно бачити, як один горе-депутат намагався розбити свій смартфон, коли до нього прийшли з обшуком.

Це не просто дивна спроба знищення доказів на очах у правоохоронців, але й демонструє трохи «печерні» уявлення про цифрову безпеку. Буцімто, якщо розбити екран чи пошкодити корпус смартфона, це якось убезпечить дані, які там зберігаються, від стороннього доступу.

Сподіваюся, слідство зробить всі необхідні висновки.

Але припустимо, що ви не горе-депутат, а, наприклад, журналіст/ка-розслідувач/ка, лікар/ка, військовослужбовець/ця чи просто свідома людина, і ви не хотіли б, щоб у разі втрати вашого пристрою хтось отримав доступ до чутливих даних на ньому.

Для цього вам буде корисно мати реалістичне уявлення цифрову безпеку вашого пристрою.

Отож, чи можливо отримати дані з зашифрованого смартфона, якщо код розблокування невідомий (і це не щось очевидне на зразок вашого року народження чи року народження дитини)?

«Голими руками» — ні.

Але якщо у ваших ворогів є в розпорядженні просунуті спеціалізовані інструменти — тут все стає цікавіше.

Приклад Cellebrite

Недавно набула певного розголосу інформація про те, злам яких смартфонів та версій ОС доступний у продуктах ізраїльської фірми Cellebrite (а саме Cellebrite Premium, ціна якого не розголошується і який орієнтований на використання правоохоронними органами¹). З наявної документації можна зробити певні висновки, хоча багато технічних деталей залишаються в тумані. В значній мірі я покладаюся на інтерпретацію розробників GrapheneOS, в розпорядженні яких опинилися ці матеріали, а також на інформацію, доступну на сайті самих Cellebrite.

Я розглядаю Cellebrite як ілюстрацію того, що в принципі технічно можливо, хоча далеко не всім доступно. Це дає уявлення про те, як себе показує безпека смартфонів, коли їй протиставляються дуже просунуті засоби атаки в умовах фізичного доступу до пристрою.

Тут і далі йтиметься саме про отримання даних безпосередньо з заблокованого пристрою, а не злам онлайн-акаунтів чи прослуховування.

Ваш пристрій «холодний» чи «теплий»?

Коли смартфон тільки увімкнувся, але ще не ні разу не був розблокований, він перебуває в так званому «холодному» стані, який також називається BFU (before first unlock). На цьому етапі сам смартфон ще не може прочитати жодні зашифровані дані, тому що на пристрої немає ключа дешифрування. Коли ви вводите код уперше, на основі цього коду генерується ключ, який (якщо код був правильним) вже дає можливість самому пристрою читати й записувати в шифровану пам'ять.

Натомість подальше блокування екрану після першого розблокування не повертає смартфон в початковий «сліпий» стан (це б майже повністю заблокувало його роботу), а просто створює програмний бар'єр для роботи з пристроєм. Тобто пристрій не дозволяє робити певні дії, але при тому тримає в спеціальній зоні пам'яті ключі шифрування даних, бо вони потрібні йому для роботи.

Стан, коли пристрій був розблокований хоча б один раз після увімкнення (і потім заблокований), називається «теплим» або AFU (after first unlock).

Отож, перше, що варто пам'ятати: якщо ваш смартфон пробуватимуть «ламати», він буде більш захищеним, якщо його отримали вимкнутим або «холодним».

Злам «холодного» пристрою

Оскільки на «холодному» пристрої фізично ще немає ключа дешифрування, єдиний спосіб отримати доступ до приватних користувацьких даних — дізнатися або підібрати код блокування.

Виробники смартфонів встановлюють різноманітні обмеження на кількість спроб розблокування і їх частоту, які мали б унеможливити сліпий підбір навіть короткого числового коду (окрім найочевидніших).

Але Cellebrite, судячи з усього, знайшли способи обходити ці обмеження. Серед доступного функціоналу — автоматизований підбір коду блокування (BF, brute force). На думку розробників GrapheneOS, під цим мається на увазі можливість успішного підбору випадкових 6-значних числових кодів.

Станом на липень 2024 р. такий функціонал у Cellebrite Premium реалізовано для версій iPhone з 6S по 11, Google Pixel 3 по 5 (за винятком GrapheneOS після версії 2022 року) і для більшості інших смартфонів на Android. Але слід розуміти, що з часом вони можуть розробити способи здійснювати підбір коду і на новіших пристроях (наприклад, ще у квітні цього ж року функція підбору не була доступна для пристроїв на iOS 17.4, хоча у липні ця можливість вже є).

Щоб захистити себе від такого підбору, ви можете встановити буквоцифровий код блокування. Наскільки довгим він повинен бути? Не маючи конкретних даних про швидкість можливого підбору (кількість спроб на секунду), на це складно відповісти однозначно.

Але, наприклад, щоб перебрати всі можливі комбінації з восьми символів a-z, A-Z та 0-9, треба 62⁸ спроб, тобто понад 218 трильйонів. Це набагато більше за 1 млн можливих 6-значних числових комбінацій. (Хоча в реальності будуть використовувати для підбору словники і поширені пермутації літер + цифр. Тому для багатьох буквоцифрових паролів кількість необхідних спроб буде суттєво меншою).

Якщо спиратися на припущення, що підбір і генерація криптографічного ключа у випадку Cellebrite відбувається на самому пристрої (а не на зовнішньому кластері відеокарт, наприклад), то цього мало б бути більш ніж достатньо².

(Кінець кінцем, навіть якщо ви встановите замість 6-значного числового коду 6-значний буквоцифровий, ви збільшуєте складність підбору у 56 тисяч разів. Це вже саме по собі суттєво поліпшує вашу безпеку).

Що з «теплими» пристроями?

Якщо ваші опоненти отримали ваш смартфон «теплим», і в них є Cellebrite Premium або щось настільки ж просунуте, дуже імовірно, телефон розблокують. Як це працює? Вони використовують невідомі (або раніше невідомі) вразливості операційної системи / програмного забезпечення / апаратного забезпечення (так зв. zero-days), щоб перехопити контроль над операційною системою і отримати дані, поки ключі шифрування є в пам'яті пристрою. Це називається експлойтом.

Це не кінець світу і це не означає, що вам залишається тільки махнути на все рукою і «забити» на власну цифрову безпеку. По-перше, якщо ви регулярно інсталюєте оновлення безпеки операційної системи, існує шанс, що на момент спроби зламу ваша ОС ще не буде скомпрометована Cellebrite (Apple та Google регулярно усувають вразливості безпеки, про які вони дізнаються). У випадку Apple складається враження, що Cellebrite зі своїми експлойтами відстають на кілька тижнів-місяць від оновлень iOS³.

По-друге, цілком імовірно, що у ваших опонентів будуть засоби Cellebrite без цих premium-можливостей. У пересічних кібершахраїв таких засобів скоріше за все не буде.

Які пристрої найбільш захищені?

Це тема для окремої статті / дослідження, тому я не беруся тут рекомендувати щось конкретне.

Але якщо глянути на пристрої, які згадуються в документації Cellebrite, то підбір коду блокування не працює на «холодних» (отриманих вимкнутими) iPhone 12+ і Google Pixel 6+, поки що. Окремо вони класифікують Pixel з операційною системою GrapheneOS, яку вони не можуть розблокувати навіть в «теплому» стані (знов-таки, поки що). Це варіант для тих, хто готовий встановлювати на свій пристрій альтернативну операційну систему (і має Pixel)⁴.

Загалом, коли ви будете обирати наступний смартфон, варто принаймні звернути увагу на те, скільки років безпекової підтримки гарантує виробник, і чи взагалі в них є чітка політика щодо цього. Це включає регулярний випуск безпекових оновлень операційної системи для вашого пристрою протягом чітко визначеного терміну після його випуску.

Також я б утримався від придбання пристроїв китайських брендів (у них там авторитарний режим, як не як).

Здоровий глузд і цифрова гігієна

Мені хотілося проаналізувати можливості «елітних» інструментів для обходу безпеки смартфонів, щоб мати краще уявлення про рівень захищеності наших пристроїв.

Але я сподіваюся, що вам ніколи не доведеться бути в ситуації, коли хтось проти вашої волі намагатиметься розблокувати ваш смартфон. Тим не менш, тепер ви знаєте, які потенційні кроки ви можете зробити, щоб мінімізувати ризики навіть проти інструментів, які не є доступні широкому загалу.

Якщо ж розглядати вашу цифрову безпеку загалом, фізичне отримання даних з заблокованого смартфона — це не найбільш типова небезпека. Більше людей щодня стає жертвами фішингу, шкідливого ПЗ чи зламу акаунтів з допомогою старих витеклих паролів, наприклад.

Тому встановлюйте двофакторку на месенджери, не інсталюйте усілякого «лівого» софту, використовуйте унікальні незламні паролі (менеджери паролів вам у цьому допоможуть).

Тримайте ваші пристрої оновленими до останньої версії ОС і програм.

І використовуйте здоровий скептицизм, щоб бути невразливими до фішингу і соціальної інженерії.

Тоді ви будете, ну, майже кіберніндзя 😉

Ваш,
🐨

--

Фото: Dushan Hanuska (на flickr), ліцензія cc by-sa 2.0, стилізація моя.

--

¹ Зокрема, Cellebrite допомогла FBI розблокувати смартфон стрільця, який вчинив замах на Трампа.

² Найгірший сценарій, який можна припустити — це «офлайн»-підбір на кластерах з відеокарт чи іншому спеціалізованому обладнанні, після зберігання «знімку» зашифрованих даних з телефона. Повністю виключити це неможливо, але, цитуючи GrapheneOS, це буде «непросто» і як мінімум вимагатиме передати смартфон в лабораторію самих Cellebrite. І навіть в цьому випадку надійна довга фраза-пароль зможе протистояти кластеру серверів з відеокартами.

³ Але треба врахувати, що якщо ваші опоненти достатньо розумні і вмотивовані, вони можуть тримати ваш телефон увімкнутим не один місяць і чекати, поки необхідний експлойт з'явиться.

⁴ Якщо ви використовуєте LineageOS, там є налаштування, яке вимикає USB, коли екран пристрою заблоковано. Про це ніде не згадується у документації Cellebrite, і не можна обґрунтовано стверджувати, що це їх зупинить. Але активувати цю опцію не зашкодить, про всяк випадок.

#Android #iOS #Кібербезпека #Приватність #КіберКоала #GrapheneOS #LineageOS