Presentation smartphonesandroid

Защита на смартфони с операционна система Андроид

Икономически университет - Варна

Марияна Колева, спец.“Приложна информатика“, фак.№ 117007



Съдържание: 1. Обзор на смартфоните с операционна система Андроид 2. Подходи за защита при автентикация и авторизация 3. Заключване на SIM картата 4. Заключване на екрана 5. Използване и актуализация на лицензирана операционна система 6. Въздържане от руутване на смартфона 7. Защита при инсталиране на приложения 8. Използване и актуализация на антивирусни програми и инструменти за

откриване на зловреден софтуер 9. Използване на защитна стена 10. Подходи за защита при ползване на интернет 11. Защита от фишинг, вишинг и смишинг 12. Предпазливо ползване на Bluetooth 13. Шифриране на данните 14. Ограничаване на данните, предавани към облачни услуги 15. Защита при изгубване или кражба на смартфон (Anti-Theft) 16. Допълнителни мерки за защита Речник на термините



Смартфон (smartphone) = умен телефон



1.Обзор на смартфоните с операционна система Андроид

Андроид (Android) е операционна система за мобилни устройства с отворен код, базирана на Linux 2.6, собственост на Google Inc. (от юли 2005г. )

Пазарни дялове на мобилните операционни системи в световен мащаб (трето тримесечие на 2014г.)

Android 84,4%

iOS 11,7%

Windows Phone 2,9%

Black Berry 0,5%

Източник: IDC - Smartphone OS Market Share, Q3 2014

http://www.idc.com/prodserv/smartphone-os-market-share.jsp



Пазарни дялове на производителите на смартфони в световен мащаб (трето тримесечие на 2014г.)

По данни на www.androidauthority.com от 19.11.2014г.

101,7 млн

21,8 млн.

18 млн.

17,8 млн.

16,8 млн.

16 млн.

14,5 млн.

10,6 млн.

9,9 млн.

8,7 млн.

8,5 млн.

7,8 млн.

7 млн.

4 млн.

http://www.androidauthority.com/smartphone-industry-q3-2014-567890/



Изследване на Google - Consumer Barometer (януари - март 2014г.)

http://www.consumerbarometer.com/






2. Подходи за защита при автентикация и авторизация

проверка и потвърждаване на самоличността

предоставяне на възможност за действие



Избор на специални пароли &

Избор на силна парола - минимум 6-15 символа, комбинация от малки и

големи букви, цифри и специални знаци

(! " ? $ ? % ^ & * ( ) _ - + = { [ } ] : ; @ ' ~ # | \ < , > . ? / )

„Две хубави очи. Душата на дете в две хубави очи; - музика - лъчи“

Dh0!Dndvdh0ml

Честа смяна на паролата – на всеки 1-2 месеца

Отказ от запаметяване в браузъра

Подходи при избор на таен въпрос и таен отговор

ТАН

Токън

SMS



Използване на ТАН-кодове, токъни и SMS при онлайн банкиране

Подходи при преотстъпване и отнемане на права на трети лица

- Отделни акаунти за онлайн банкиране

- Отделни акаунти за достъп до смартфона

https://play.google.com/store/apps/details?id=com.sp.protector.free



3. Заключване на SIM картата



4. Заключване на екрана



5. Използване и актуализация на лицензирана операционна система



6. Въздържане от руутване на смартфона

Root-ване – получаване на администраторски права



7. Защита при инсталиране на приложения

...

Инсталиране от доверени източници

https://play.google.com/store

http://www.amazon.com/

http://slideme.org/developers

http://seller.samsungapps.com/login/signIn.as?returnURL=/main/sellerMain.as&ssoCheck=fail

http://www.1mobile.com/

http://soc.io/Home

https://f-droid.org/contribute/



Преглед на разрешенията за приложения



Проверка за нивата на достъп на инсталираните приложения

- от акаунта в Google Play (в подменю Моите приложения / Инсталирани)

- от специално приложение:

Clueful Online Privacy Shield

https://play.google.com/store/apps/details?id=com.bitdefender.clueful

https://play.google.com/store/apps/details?id=com.mypermissions.mypermissions



Парола за всяко приложение

Smart App Lock

(App Protector)

AppLock

- различeн ПИН, парола, шаблон или жест за всяко приложение;

- създаване на профили; - заснимане, гласово предупреждение, видеозапис при

неоторизиран достъп; - създаване на бял списък на доверените Wi-Fi мрежи; - блокиране на 3G данни; - отдалечено заключване с SMS и др.

- един ПИН за всички приложения; - скриване на отделни снимки и видеа; - заключване на входящите и изходящите обаждания,

системните настройки, предпазване на приложенията от изтриване и др.;

- приложението може да бъде скрито и да се достъпва чрез позвъняване на определен номер или през уеб страница;



https://play.google.com/store/apps/details?id=com.domobile.applock



8. Използване и актуализация на антивирусни програми и инструменти за откриване на зловреден софтуер

Антивирусен софтуер = проверява надеждността на изтегляните от интернет, копираните от външни устройства или получаваните по електронна поща файлове Злонамерен софтуер (malware) = софтуер, който води до поява на нежелани реклами (adware) или до кражба на информация (spyware)



9. Използване на защитна стена

No Root Firewall

Защитна стена (firewall) = специализиран хардуер или софтуер, проверяващ информацията, постъпваща и излизаща от и към интернет, като или я блокира, или й позволява да достигне или да напусне смартфона

https://play.google.com/store/apps/details?id=app.greyshirts.firewall

https://play.google.com/store/apps/details?id=app.greyshirts.firewall



10. Подходи за защита при ползване на интернет

Подходи при избор на интернет доставчик

- репутация - собствена Wi Fi мрежа или 3G - силна парола за рутера - силна парола за достъп до Wi Fi - MAC-филтър

У дома / в офиса Извън дома / офиса

- репутация - 3G мрежата е по-защитена - избягване на споделени компютри - след ползване на обществена Wi

Fi мрежа, смяна на паролите

Използване на анонимно сърфиране

Orweb: Private Web Browser Orbot: Proxy with Tor

https://play.google.com/store/apps/details?id=info.guardianproject.browser

https://play.google.com/store/apps/details?id=org.torproject.android



Ръчно въвеждане на URL адреса на сайта за онлайн банкиране/пазаруване

Проверка за защитеност на връзката

Проверка на сертификат TLS в Google Chrome

TLS протокол - 256-bit SSL-протокол - 128-bit SSL-протокол - всички останали



Бдителност при въвеждане на конфиденциални данни

Коректно прекъсване на сесията

Абониране за известяване за извършени финансови операции



11. Защита от фишинг, вишинг и смишинг

Фишинг = разпращане на имейли, които

максимално наподобяват официални писма

най-често от името на известена търговска

или финансова институция, чиято цел е да

пренасочат клиента по фалшив линк, с

подобен на оригиналния URL-адрес, за да

бъдат поискани и получени съответните

лични данни

Вишинг = разновидност на фишинг, при който се ползва гласово съобщение,

VoIP, стационарен или мобилен телефон

Смишинг = разновидност на фишинга, при който се ползва SMS съобщение



- директно изтриване - проверка в личния профил на официалния сайт - уведомяване на съответната институция за получаването му - ако са въведени данни, незабавна смяна на паролата в оригиналния профил - подаване на сигнал в отдел "Компютърни престъпления, интелектуална

собственост и хазарт" на ГДБОП-МВР - при спешни случаи се ползва телефон 112 - блокиране на банкови сметки, карти, акаунти, закриване на сметки и др.

- настройване на филтъра за спам в електронната поща - активиране антифишинг филтрите на браузърите - инсталиране и актуализация на антивирусната програма, защитната стена и

инструментите за защита от шпионски софтуер - да не се отварят имейли от неизвестни изпращачи

При получаване на съмнителен имейл:

Превантивни мерки срещу фишинг:



12. Предпазливо ползване на Bluetooth



13. Шифриране на данните

Шифроване на устройството

- с ПИН или парола (с поне 6 знака, поне една цифра)

- закодиране на акаунти, настройки и изтеглени приложения, файлове

- дешифриране при всяко включване - дешифрирано до изключване

Шифроване на външна SD-карта

- с парола (с поне 6 знака, поне една цифра) - не се поддържа от всички модели - изисква Андроид версия 4.0 - зашифрованата SD-карта не може да бъде

разчетена на друго устройство



14. Ограничаване на данните, предавани към облачни услуги



15. Защита при изгубване или кражба на смартфон (Anti-Theft)

- локализиране – координати на смартфона си; - защита – звънене с максимална сила, заключване на екрана, изтриване на

всички данни; - допълнителна информация – повиквания, SMS-и, IMEI номер, състояние на

батерията и др.

С предварителна регистрация

производители на смартфони

антивирусни програми

специални приложения

- отделно приложение - може да бъде скрито от списъка с приложения - бекъп преди обновяване и автоматична инсталация - да бъде записано в системния дял (при руут права) - за да се премахне: изисква инсталиране на официална

актуализация от производителя на смартфона или ръчно изтриване от системния дял

Avast Anti Theft

https://play.google.com/store/apps/details?id=com.avast.android.at_play&hl=bg



Без предварителна регистрация

Plan B Android Lost

Изисква: - смартфон с Gmail

акаунт - достъп до интернет - Android 2.0-2.3 Позволява: - отдалечено

инсталиране - локализиране по

имейл на всеки 10 минути

- SMS “locate”

Android Device Manager

Изисква: - смартфон с Google

акаунт - активиран ADM (по

подразбиране) - достъп до интернет Позволява: - локализиране - звънене - изтриване на

данните

Изисква: - смартфон с Google акаунт - достъп до интернет

Позволява: - отдалечено инсталиране - активиране с SMS “androidlost register” От сайта www.androidlost.com: - локализиране - звънене - заключване - изтриване на данните от

смартфона и от SD картата - заснимане - четене на SMS-и и др.

https://play.google.com/store/apps/details?id=com.lookout.labs.planb

https://play.google.com/store/apps/details?id=com.androidlost

https://www.google.com/android/devicemanager

http://www.androidlost.com/



16. Допълнителни мерки за защита

- смяна на всички оригинални ПИН-кодове с нови

- избягване записването на пароли на хартиен носител или във файл - избягване съхраняването на едно място на паролите и съответните карти

или устройства - не е редно да се споделят и да се преотстъпват на трети лица - редовно преглеждане на банковите извлечения - своевременно уведомяване на институциите при промени в личните

данни - съхраняване на банкови карти, списъци с ТАН-кодове и токъни на сигурно

място - застраховки на банкови карти



Заключение Употребата на смартфони в България е в крак със световните

тенденции Потребителите в по-голямата си част не знаят и/или не прилагат

усилия да защитят личните си данни в интернет Българските банки прилагат най-съвременни методи за защита -

използват криптиране и двуфакторна автентикация Магазинът Google Play предлага много и с разнообразна

функционалност приложения за безопасност и защита Няма абсолютна защита при ползване на смартфон Мерките за безопасност и сигурност следва да се прилагат съвместно

Колкото по-малко информация предоставя потребителят, толкова е

по-добре защитен



DEFCON 19: Cellular Privacy: A Forensic Analysis of Android Network Traffic



Речник на термините

Автентикация = процес на проверка и потвърждаване на самоличността на клиента Авторизация = предоставяне на възможност да предприеме действие или да получи нещо Андроид (Android) = операционна система за мобилни устройства собственост на Google Inc. Антивирусен софтуер = проверява надеждността на изтегляните от интернет, копираните от външни устройства или получаваните по електронна поща файлове Вишинг = разновидност на фишинг, при който се ползва гласово съобщение, VoIP, стационарен или мобилен телефон Защита при кражба (Anti-Theft) = мерки, които собственикът би могъл да приложи по отношение на смартфона при констатиране на загуба или кражба Защитна стена (firewall) = специализиран хардуер или софтуер, проверяващ информацията, постъпваща и излизаща от и към интернет, като или я блокира, или й позволява да достигне или да напусне смартфона Злонамерен софтуер (malware) = софтуер, който води до поява на нежелани реклами (adware) или до кражба на информация (spyware)



Речник на термините ПИН (от англ.PIN) = персонален идентификационен номер Руутване = процес, в резултат на който клиентът получава администраторски права върху мобилното устройство Смартфон (от англ. smartphone — умен телефон) = мобилен телефон, допълнен с функционалности на джобен персонален компютър Смишинг = разновидност на фишинга, при който се ползва SMS съобщение ТАН = транзакционен авторизационен номер Фишинг = разпращане на имейли, които максимално наподобяват официални писма най-често от името на известена търговска или финансова институция, чиято цел е да пренасочат клиента по фалшив линк, с подобен на оригиналния URL-адрес, за да бъдат поискани и получени съответните лични данни SMS (от англ. Short Message Service) = кратко текстово съобщение



Благодаря за вниманието!

Mobile

Presentation smartphonesandroid