Telefón je výborný na špehovanie, pretože ho máme zapnutý neustále pri sebe, hovorí analytik infiltrácií Lukáš Štefanko

Lukas Stefanko portret

V prvom rozhovore s Lukášom Štefankom, analytikom infiltrácií spoločnosti ESET, sme sa rozprávali o tom, či sú smartfóny bezpečné, ale aj o tom, ako by sa na nich mali ľudia správať bezpečne. V druhom rozhovore sme sa zamerali na konkrétne zneužitia, či urbánne legendy spojené s bezpečnosťou telefónov.

V rozhovore sa dozviete:

  • Ako sa dá špehovať cez telefón?
  • Či sa môžete infikovať aj cez overené aplikácie?
  • Prečo nenaletieť pochybným návodom na obchádzanie hier či rýchly zárobok?
  • Ako postupovať na verejnej wifi, aby ste sa nenakazili?
  • Je bezpečné platiť telefónom cez NFC?

V prvom rozhovore si spomínal, že existuje veľa falošných stránok, ktoré ponúkajú návod na hackovanie hier či rýchly zárobok. Ako to funguje? Vyhľadám si na Googli „ako mať neobmedzene veľa životov v GTA“ a nájde mi stránky s aplikáciami, ktoré to sľubujú?

Presne tak. V poslednej dobe sledujem aj trend, že sa takéto aplikácie šíria dokonca cez YouTube videá. Aj tu ľudia vyhľadávajú návody, ako hecknúť rôzne hry. Po zadaní takéhoto vyhľadávania sa zobrazia desiatky videí propagujúcich aplikácie so státisícami prehratí. Autori týchto videí odkazujú na vlastné webstránky, kde si majú záujemcovia stiahnuť tieto aplikácie. Pár rokov dozadu sme to videli pri hre Pokémon Go, dnes ide skôr o Fortnite či GTA. Našli sme aj videá pre hry, ktoré ešte ani neboli publikované a bol známy iba dátum ich predstavenia. V takýchto aplikáciách sme našli advér, čiže zobrazovanie reklám bez nejakej funkcionality, ale aj sms trojany, ktoré automaticky zasielali sms správy na prémiové čísla.

Spomínal si aj špehovací softvér. Na počítačoch si veľa ľudí prelepuje webkameru, no na mobiloch som to ešte nevidel. Je riziko zneužitia kamery na telefóne menšie ako pri počítači?

Osobne si myslím, že to riziko je pri telefóne väčšie a aj dopad je väčší. Telefón máme neustále pri sebe a je vždy zapnutý – či už na záchode, pri spánku, alebo pri ceste do práce. Počítač je naproti tomu obyčajne na stole a je väčšinu času vypnutý alebo uspatý. Ak ide o notebook, väčšinou ho po práci zatvorím a kamera nevidí nič. Malou ochranou je aj to, že keď kamera na počítači sníma, zapne sa LED indikátor. Na mobiloch niečo takéto neexistuje a zneužitie je pritom veľmi jednoduché. Stačí, ak škodlivej aplikácii po inštalovaní povolíte prístup ku kamere a je koniec. Odvtedy môže tá aplikácia robiť hocikedy fotky bez toho, aby ste si to mohli akokoľvek všimnúť.

Čo sa robí s týmito fotkami, ako ich útočníci využívajú? Vydierajú nimi ľudí?

Vydieranie je jedna cesta. Keďže máme telefón stále pri sebe, môžu niekoho odfotiť napríklad nahého, alebo pri niečom, čo by si chcel nechať len pre seba. Vtedy príde na rad výkupné. Druhým dôvodom je špehovanie. Útočník získava informácie o tom, kde sa nachádzam, alebo s kým sa nachádzam. Preto nazývame takýto škodlivý kód ako spyvér či stalkervér (pozn., v slovenčine špehovací alebo sledovací softvér).

Stretávame sa aj s cielenými útokmi? Fotky od stámiliónov požívateľov Androidu sa asi nedajú ľahko triediť.

Stretávame, to je práve škodlivý kód z kategórie stalkervér. Podobne funguje aj spyvér, ale ten je generický – je to pokus, kedy sa aplikácia pridá na obchod a útočníci čakajú, kto sa chytí. Pri stalkervéri ide o osobnejší prístup. Ide skôr o sledovanie svojich blízkych, či známych. Útočník a obeť sa teda poznajú a útočník chce vedieť, kde sa obeť nachádza, s kým bola a čo robila. Ide o špehovanie detí, partnerov, ale aj zamestnancov či na školách. Najčastejšie ide o špehovanie medzi pármi a je to pomerne bežné.

Reálne sa deje, že niekto zo žiarlivosti nainštaluje takýto softvér svojmu partnerovi? Kde sa k tomu vôbec dostane, len tak vo vyhľadávači?

Keď si to človek zadá do vyhľadávania, nájde mu množstvo aplikácií, pričom asi polovica je zadarmo. Aspoň základná funkcionalita. Ak by chcel niekto napríklad natočiť video, alebo mal prístup k správam či lokalizácii, už by si musel priplatiť. Takýchto aplikácií je strašne veľa. Podmienkou však je, že útočník musí mať fyzický prístup k zariadeniu a nainštalovať ho do telefónu obete.

Získajte aktuálne informácie a praktické rady o bezpečnosti na internete. Prihláste sa na odber nášho newslettra.

To nemusí byť nereálne, keďže sa rozprávame o pároch či manželoch. Ponaučenie teda je, že treba mať zaheslovaný telefón a kód neprezradiť ani manželke?

Začiatok bol dobrý (smiech). Určite odporúčam mať zaheslované zariadenie. Druhú časť už nechávam na ľudí, či veria svojmu partnerovi alebo nie.

Počul som o praktike útočníkov, ktorí vyrobia neškodnú aplikáciu, ktorá je v poriadku. Avšak pri aktualizáciách aplikácie do nej dostane už niečo škodlivé. Stáva sa to?

Toto sa naozaj deje, avšak treba povedať, že aj každá aktualizácia a každá nová verzia tej istej aplikácie musí prejsť schvaľovacím procesom a bezpečnostnou kontrolou. Čiže ak tam je niečo škodlivé, malo by sa to odhaliť.

Spomínal si aj to, že je bezpečnejšie aplikácie sťahovať iba z oficiálnych obchodov, prípadne od dôveryhodných developerov. Nemôžu niekedy pochybiť aj títo dôveryhodní developeri, napríklad veľké firmy?

Primárne by som veľkým a známym firmám dôveroval v tom, že nespravia škodlivú aplikáciu, ktorá by robila niečo na pozadí, o čom by som ako používateľ nevedel. Oni by tým riskovali svoju reputáciu a svoje podnikanie. Na druhej strane aj takáto aplikácia môže mať bezpečnostné chyby, ktoré developer mohol spraviť nevedomky. Sme len ľudia.

EFSP darcek banner v clanku

Mnohí ľudia majú pocit, že ak si stiahnu aplikáciu z oficiálneho obchodu, tak je úplne bezpečná. To sa týka aj aplikácií ako Facebook či WhatsApp. Nedávno však svetom preletela informácia, že sa podarilo hacknúť telefón najbohtašieho človeka na svete, Jeffa Bezosa, cez WhatsApp. Ako to teda je?

Toto sa skutočne stalo a aj sa to deje. Ak si ľudia píšu so svojimi blízkymi, a je jedno či cez WhatsApp, smsky, mail či iné aplikácie, tak tej komunikácii jednoducho veria. Ide predsa o ich blízkych. Avšak to neznamená, že ich blízki majú základy internetovej bezpečnosti a že niekto neheckol ich. Vtedy môžu hromadne rozposielať správy so škodlivým obsahom. Prípad Bezosa bol síce trochu iný, ale platí, že sa človek dokáže infikovať aj prostredníctvom četovacích či mailových správ.

Ako je to s verejnými wifi sieťami. Sú bezpečné?

Verejné wifi siete patria k relatívne bežným vektorom infikovania, pretože sa dajú jednoducho zneužiť. Útočník aj obeť sa nachádzajú v jednej takejto sieti – v kaviarni, autobuse, na námestí, kdekoľvek. Útočník však dokáže zameniť stránky, ktoré prehliadame. Ak chcem napríklad navštíviť stránku svojej banky alebo Facebook, útočník dokáže zameniť túto komunikáciu a načíta sa mi falošná stránka banky alebo Facebooku. Môže ma tiež presmerovať na stiahnutie akože aktualizovanej verzie ich oficiálnej aplikácie, ktorá je ale falošná. Tieto útoky reálne zachytávame a sú veľmi jednoduché. Po krátkom googlení ich dokáže realizovať pomerne veľa ľudí. Stačí telefón alebo notebook a dajú sa vytvoriť imitácie známych sietí aj imitovať https protokol. Týmto spôsobom vie útočník získať aj prístupy do bankových aplikácií či k sociálnym sieťam.

Ty osobne sa nepripájaš na verejné siete?

Minimálne v Európe nie, snažím sa využívať mobilné dáta. Ak som však mimo EÚ a musím si niečo vybaviť, samozrejme tak urobím. V takýchto prípadoch však tiež platia určité pravidlá. Napríklad vyriešim iba vec, ktorú potrebujem vyriešiť. Nezostanem na sieti surfovať po internete. Taktiež neposielam peniaze z účtu, nekontrolujem si e-maily či sociálne siete. Ak je niečo z tohto nutné, tak odporúčam využiť len oficiálnu aplikáciu banky či sociálnej siete. Nie je vhodné robiť to cez prehliadač. Ideálne je mať pri takýchto úkonoch zapnutú VPNku, ktorá šifruje všetky dáta, čim vytvoríme ďalšiu bezpečnostnú vrstvu pri našej internetovej komunikácii vo verejných wifi sieťach.

A čo platby cez mobil prostredníctvom NFC? Sú bezpečné?

Ak si budú ľudia vypínať NFC po každej platbe, tak sa báť nemusia. Vzdialenosť pri NFC je zopár centimetrov, takže nie je nereálne, aby to niekto zneužil. Vhodným prostredím môže byť napríklad verejná doprava. Toto sa však dá jednoducho eliminovať práve vypínaním NFC. Ja tiež používam bezkontaktné platby mobilom.

Ako vnímaš celkovú bezpečnosť smartfónov? Je to prostredie bezpečnejšie ako tomu bolo v minulosti, alebo je to naopak?

Osobne si myslím, že dnes je tých rizík viac, pretože má človek na telefóne a na internete príliš veľa podnetov. Paradoxne, samotné telefóny sú bezpečnejšie, ako tomu bolo v minulosti. Nie je také ľahké napríklad telefón hacknúť na diaľku, vždy je tam potrebný zásah používateľa. Dnes má však človek na telefóne desiatky notifikácií a má málo času na to, aby ich vyhodnotil. Vyhodnocuje ich väčšinou v 9 – 10 sekundách a tak môže ľahko urobiť chybu.


Lukáš Štefanko

Skúsený analytik škodlivého kódu špecializovaný na bezpečnosť platformy Android a mobilných zariadení. Lukáš začal pracovať v ESETe v roku 2011 a výrazne sa pričinil o zvyšovanie povedomia verejnosti o hrozbách týkajúcich sa zariadení Android doma i v zahraničí.