Все кто делает root на своем смартфоне сталкивается с одной серьезной проблемой — резким снижением уровня защиты личных данных. Пользователи после того как разблокируют и установят кастомную консоль восстановления, полностью открывают доступ к личным данным. В данной статье я расскажу как защитить данные на смартфоне, рутованном и не только.
Безопасность смартфона
В чем же проблема?
Проблема в том, что тот же кастомный Recovery дает возможность получить доступ ко всей памяти смартфона с правами Root. С помощью этого самого Recovery можно извлечь из смартфона всю информацию или снять pin с экрана блокировки. Другая проблема — загрузчик. Разлоченный бутлоадер тоже дает возможность сделать практический все, в том числе прошить на смартфон тот же кастомный recovery и, после этого, получить доступ ко всем данным. Давайте попробуем разобраться с каждой проблемой по отдельности.
Блокировка загрузчика
Для того чтобы запретить доступ к загрузчику, его нужно заблокировать. Делать это надо уже после установки кастомной прошивки и кастомного Recovery. Практический на всех смартфонах и планшетах залочить загрузчик получится при помощи простой команды:
$ fastboot oem lock
Да, загрузчик всегда можно будет разблокировать еще раз, но во время данной операции информация со смартфона будет полностью удаленна, а следовательно, не попадет в чужие лапы. Есть опасность, что загрузчик будет взломан и разблокирован без вай-па данных, но это универсальная проблема, от нее можно пострадать даже в том случае, если использовать стоковую.
Прошивка правильной Recovery
Ладно, у нас заблокирован загрузчик, но остался кастомный Recovery, который дает возможность сделать со смартфоном все что угодно. Для того чтобы решить данную проблему, нам понадобится связка из из последнего TWRP и штатного механизма шифрования данных. После включения шифрования (об этом позже) ТМПР начнет спрашивать пароль (который совпадает с пином экрана блокировки).
В качестве другого решения можно вообще избавиться от кастомного Recovery и вернуть на устройств стоковый (перед залочкой загрузчика, само собой). Но этот решение подойдет только тем, кто в будущем не будет обновлять прошивку.
Пароль на экран блокировки
Самая главная защита устройства — это экран блокировки с паролем или графическим ключом. Именно с ними злоумышленнику предстоит столкнуться в первую очередь, так что пароль тут нужен хороший. Без залоченного экрана блокировки наши манипуляции с бутлоадером и Recovery теряют смысл. Вор просто сдвинет слайдер, вытащит всю нашу информацию и быстро избавится от всех программ-антишпионов.
С другой стороны, в экране блокировки также может быть найдена уязвимость. Совсем недавно во всех версиях Android 5.0 и выше была найдена уязвимость CVE-2015-3860, позволяющая «уронить» экран блокировки путем ввода очень длинного пароля. Уязвимость исправлена Android 5.1.1 LMY48M от 9 сентября, поэтому не забываем обновлять свою кастомную прошивку и переходим на использование графических ключей.
Чтобы пин не раздражал, рекомендую пользоваться SmartLock. Это функция Android 5.0, позволяющая указать места, в которых смартфон не будет требовать ввода графического ключа или пароля. Можно добавить bluetooth-устройства (умные часы, например), при подключении к которым девайс будет оставаться разблокированным. Еще присутствуют функции разблокировки по голосу, фотографии хозяина и совсем странная «Физический контакт» (это когда смартфон «понимает», что находится в руках владельца).
Активировать SmartLock можно в настройках в разделе «Безопасность» (а на некоторых устройствах в настройках экрана блокировки). Кстати, в более старых версиях реализовать аналог можно с помощью Tasker Это планировщик, позволяющий по разным событиям производить действия или списки действий. Он на порядок функциональнее SmartLock.
Включение шифрования
Теперь, когда на экране блокировки есть пин, мы можем использовать стандартную функцию шифрования данных Android. Она зашифрует каталог /data, содержащий все сторонние приложения, их настройки и конфиденциальные данные. Для включения заходим в настройки и в пункте «[highlight color=»yellow»]Безопасность[/highlight]» выбираем «[highlight color=»yellow»]Зашифровать данные[/highlight]». Для этой операции понадобится почти полностью заряженный аккумулятор, подключенное зарядное устройство и больше одного часа времени.
Как результат, мы получим полностью зашифрованный смартфон с пин-кодом на экране блокировки, залоченным загрузчиком и запароленной кастомной консолью восстановления. Практически неприступная крепость. Злоумышленник не сможет даже сбросить смартфон до заводских настроек. Но есть один нюанс: содержимое карты памяти будет зашифровано только в том случае, если она встроенная. Обычная карта памяти защищена не будет, и нам надо что-то с этим делать.
Защита карты памяти
Для защиты всяких секретных документов, фоток и других файлов на карте памяти существуют специальные программы:
CyberSafe Mobile — не требует ни прав root, ни поддержки FUSE в ядре (то есть сейвы будут доступны только через само приложение);
Cryptonite — использует FUSE, поэтому зашифрованные данные будут доступны всем приложениям;
LUKS Manager — как и предыдущий, позволяет смонтировать криптоконтейнеры, так что они будут доступны всем приложениям.
Отключения ADB
Все наши бастионы быстро падут, если злоумышленник сможет использовать ADB для доступа к устройству. Поэтому его необходимо отключить. Замечу, однако, что операция имеет смысл только на Android ниже 4.3. В более поздних версиях система позволит подключиться только после подтверждения доступа со стороны смартфона, что не получится сделать, минуя заблокированный экран. Но уповать на это не стоит. В системе могут быть найдены уязвимости.
Защита паролей
Любой браузер для Android умеет сохранять пароли, однако если взломщик все-таки пробьется к содержимому смартфона, он легко сможет унести базу паролей и, даже если она зашифрована, получить доступ к содержимому. Поэтому нам нужен надежный менеджер паролей. Выбор есть на любой вкус и цвет. Рассмотрим три наиболее популярных.
LastPass — одно из самых известных приложений подобного рода. Правда, тот еще комбайн. По функциональности не сильно обходит конкурентов. Интересна функция автозаполнения, которая работает даже в сторонних приложениях, например в браузере Chrome (хотя плата за нее — возникновение тормозов и просадка батареи, так как приложение будет отслеживать все, что происходит на экране). Присутствует поддержка сканеров отпечатков пальцев. Триал-версия дается на две недели, потом оплата доллар в месяц.
Dashlane — 256-битное AES-шифрование, синхронизация с разными устройствами (Windows, Mac, iOS и Android), автоматическое создание паролей на устройстве, встроенный браузер. Приложение позволяет хранить различную важную информацию (конфиденциальные заметки). Интересная функция — блокировка скриншотов. Предусмотрен ряд мер безопасности на случай попадания телефона в чужие руки. За 29 долларов в год появляется поддержка облачной синхронизации между устройствами.
Keepass2Android сохраняет данные в kdbx-файл, который поддерживается настольными версиями Keepass. Шифрование ведется по алгоритму AES (Rijndael) 256 бит с заданным количеством проходов шифрования, может использоваться файл ключей. Способен синхронизироваться с Dropbox, Google Drive, SkyDrive, работает с протоколами FTP и WebDAV. Присутствует версия, которая не поддерживает синхронизацию с облаком: Keepass2Android Offline. Обе версии бесплатны.
Защита от воровства
Еще один штрих к нашей конфигурации — антивор. Да, есть Device Manager, но его функциональность очень скромна. Поэтому мы поставим Avast Anti-Theft (rooted).
Он содержит огромное количество функций (включение сигнала, поиск по GPS, сброс, блокировка, незаметное фото двумя камерами при попытке разблокировать смартфон, управление по СМС, незаметный звонок для прослушивания воров и так далее), а кроме того, очень и очень живуч.
Avast не только прописывается в системный раздел, чтобы выдержать сброс до заводских настроек, но и помещает скрипт для восстановления самого себя в /etc/addon.d/, который запускают кастомные консоли восстановления (ClockworkMod, TWRP) до/после перепрошивки. Так что ты сможешь «обрадовать» нового владельца гостями из полиции. Жаль, но и без минусов не обошлось. Энергопотребление девайса немного увеличится, возрастет потребление оперативной памяти.
Карантин
Наши системы защиты бесполезны против заразы. Подхватить вирус через Google Play довольно сложно, но вот на разного рода варезниках такого добра хоть отбавляй. Для запуска подозрительного софта я рекомендую использовать MultiROM — систему, позволяющую устанавливать несколько прошивок на один девайс.
MultiROM доступен для владельцев Нексусов и многих других смартфонов. Установи инсталлятор из Google Play. Запусти приложение и поставь галочки на карточке Install/Update возле пунктов MultiROM и Recovery, выбери подходящее ядро в пункте Kernel. Нажми кнопку [highlight color=»yellow»]Instal[/highlight]l, смартфон будет перезагружен. Для установки второй прошивки зайди в TWRP (увеличение громкости + клавиша питания) и открой [highlight color=»yellow»]Advanced[/highlight] -> [highlight color=»yellow»]MultiROM[/highlight] -> [highlight color=»yellow»]Add ROM[/highlight]. Выбери zip и установи прошивку. Загрузить прошивку можно через меню.
Покупка телефона
Ты всегда носишь с собой дорогущий смартфон с кучей конфиденциальной информации? Даже когда просто нужно быть на связи в сети оператора? Если да, то советую задуматься над приобретением дешевой звонилки. Как правило, телефон с ценой в 20–30 долларов от хорошей фирмы (а иногда и китайский) обеспечивает качество связи не хуже (а зачастую и лучше), чем у топовых аппаратов.
Для звонилки не существует вирусов, ее не жалко замочить под дождем или разбить об асфальт, она имеет небольшие размеры и помещается в любой карман. Да и ворам она вряд ли будет интересна.
Кстати, если в смартфон установить специальную программу для управления по СМС, то в случае кражи можно будет очень быстро отправить СМС с запросом об удалении всей конфиденциальной информации.
Выводы
Как видишь, защитить смартфон, даже если на него установлена кастомная прошивка, а загрузчик разлочен, не так уж и сложно. Главное — соблюдать простые правила, и утечка данных тебе не страшна.
проще всего не хранить пароли от кошелька. а по поводу переписки и телефонной книги — ни чего в ней такого не найти. нет ни чего защищенного — рут больше имеет плюсы, чем минусы
Спасибо, дай вам Бог здоровья.
Не вижу никакого смысла делать рут на телефоне.
Никогда не мог понять зачем вообще делать рут на телефоне ?
Рут на телефоне нужен для того чтобы обойти ограничения. Одно тупое»не хватает памяти» съест массу нервов. Далеко не у каждого топовый смартфон сморем памяти. В каждом смартфоне за $50 может стоять 16G MicroSD за 400р — а ему всё равно «не хватает памяти»… Рут позволяеь поставить Link2SD и памяти будет хватать на всё. Вон у меня валяется древний смарт с 256 памяти и ничего…
Если купить звонилку,то зачем нужен смартфон???
Если на таких сайтах люди задаются вопросом для чего нужен root-непонятно что они
здесь делают!
Айболиту
А почему крутые коммерсанты и прочие деловые люди, обладающие серьёзной информацией, предпочитают обычную звонилку, где не только интернета нет, но иногда и номера в память не забиты? Причем и подчиненным своим строго рекомендуется использовать звонилки на работе.
У меня тоже звонилка и смартфон, хотя я и не крутой мен, а для финансовых операций вообще
предпочитаю компьютер и то по мелочи. Не считаю мобильную связь безопасной!
Меня больше интересует кнопка: «зашифровать данные». Эту заметку нашел одну из первых где о ней упоминается, но так и не понял функционала. Увидел эту кнопку и надавил. Оно предупредило, я зарядил телефон и опять надавил… оно всё зашифровало а пароль не просит… Я рассчитывал на блокировку при включении а не пароль на разблокировку экрана которого я не ставил. Сейчас пишет: «зашифровано» но ни чего не спрашивает и работает. Расшифровать не дает. Вот и думаю — где засада?