Ten problem mają wszystkie smartfony z Androidem. Zagrożone są dane użytkowników

Badanie, przeprowadzone przez zespół Uniwersytetu Cambridge, wykazało istnienie poważnej luki w zabezpieczeniach systemu Android. Pozwala ona na odzyskanie skasowanych z telefonu danych nawet po przywróceniu go do ustawień fabrycznych. To problem, na który muszą uważać wszyscy, którzy planują sprzedać swojego smartfona.

Problem związany jest bezpośrednio ze sposobem, w jaki działa pamięć flash stosowana w telefonach. Dyski tego typu cechuje ograniczona liczba pojedynczych odczytów i zapisów danych – po jej wyczerpaniu stają się bezużyteczne. Dlatego też projektowane są tak, by jak najbardziej efektywnie wykorzystywać dostępną przestrzeń i nie zapisywać ani nie odczytywać niczego, jeżeli nie jest to naprawdę konieczne. Prowadzi to jednak do tego, że usuwanie – nawet w przypadku wybrania opcji kompletnego wyczyszczenia telefonu – nie jest tak naprawdę usuwaniem.

Zamiast tego dane jedynie oznaczane są jako usunięte, tak, że przy następnej próbie zapisu coś może zająć ich miejsce – nie są jednak fizycznie kasowane z pamięci. Używając odpowiedniego oprogramowania można je jeszcze odzyskać.

I właśnie taką próbę postanowili przeprowadzić naukowcy z Uniwersytetu Cambridge. Kupili oni 26 używanych telefonów, sami dla pewności przywrócili je jeszcze do ustawień fabrycznych i przeprowadzili proces odzyskiwania danych.

Jak podają w swojej pracy, ze wszystkich badanych urządzeń udało się odzyskać przynajmniej część skasowanych wiadomości. Z 80 proc. skutecznie wyciągnięto stare wiadomości e-mail, chociaż w tym przypadku udawało się to jedynie z kilkoma na urządzenie. Takie informacje mogłyby posłużyć włamywaczowi do zdobycia danych, umożliwiających później np. szantażowanie właściciela – podkreślają badacze. Jednak to nie one są w tym przypadku najbardziej problematyczne.

Naukowcom udało się bowiem również w aż 80 proc. przypadków odzyskać tzw. tokeny logowania. Najprościej mówiąc są to przechowywane w telefonie dane dostępowe, dzięki którym nie musimy każdorazowo podawać hasła do konta Google, poczty, Facebooka i innych aplikacji, z których korzystamy. Odzyskanie tych danych z telefonu umożliwiłoby już włamywaczowi na uzyskanie pełnego dostępu do tych kont bez znajomości samego hasła. W ten sposób mogliby już zdobyć bardzo wiele potencjalnie niebezpiecznych danych dotyczących zarówno tożsamości właściciela jak i np. jego karty płatniczej, jeżeli ma ją powiązaną z kontem Google.

Czy sprzedając telefon można się przed taką ewentualnością uchronić? Tak – odpowiedzią jest zaszyfrowanie zapisanych na dysku danych. Można to zrobić w ustawieniach telefonu (Ustawienia -> Bezpieczeństwo -> Zaszyfruj telefon). Pamięć telefonu zabezpieczona w ten sposób będzie dużo trudniejsza do odczytania przez niepowołaną osobę. Po wybraniu tej opcji i przywróceniu telefonu do ustawień fabrycznych nie będzie on już tak łatwym celem dla włamywacza. Wprawdzie złamanie szyfrowania jest teoretycznie możliwe, ale w większości wypadków zbyt pracochłonne i wymagające czasowo.

Problem obecny jest zarówno na starszych jak i na nowszych edycjach Androida – testowano telefony z wersjami od 2.3.x do 4.3. Nie jest on bowiem związany bezpośrednio z systemem operacyjnym, a ze sprzętem, na którym jest zainstalowany. Dyski flashowe działają w taki sposób i jedynym rozwiązaniem byłoby tu obowiązkowe szyfrowanie wszystkich danych na bieżąco. Taka metoda stosowana jest od 2009 roku w telefonach Apple'a, które mają wbudowany dodatkowy koprocesor, zajmujący się jedynie bezpieczeństwem. W przypadku Androida problemem jest jednak to, że dodatkowa moc obliczeniowa potrzebna na nieustanne szyfrowanie danych jest niedostępna na wszystkich urządzeniach, szczególnie tych tańszych. Dlatego też Google cały czas wstrzymuje się z wprowadzeniem tej funkcji jako ustawienia domyślnego.

Początkowo obowiązkowe szyfrowanie danych miało być wprowadzone w najnowszej wersji Androida – Lollipop – ale technologiczny gigant ostatecznie wycofał się z tej obietnicy. Powodem były właśnie problemy z wydajnością telefonów. Do czasu jej wprowadzenia pozostaje więc własnoręczne szyfrowanie danych, jeżeli tylko planujemy odsprzedanie telefonu.

_ DG _