Jak si zabezpečit smartphone

Jen únik dat společnosti Facebook se týkal asi 87 milionů uživatelů z celého světa a není to rozhodně jediný případ, ke kterému v poslední době došlo. Kontroverzní společnost Cambridge Analytica obdržela data prostřednictvím aplikace This Is Your Digital Life (To je váš digitální život), kterou si mnoho uživatelů dobrovolně nainstalovalo, aby se dozvěděli o svých dalších digitálních systémech. Ani to však není všechno: Facebook také již řadu let uchovává i telefonní čísla a SMS protokoly uživatelů smartphonů.

Netýká se to samozřejmě jen Facebooku, protože většina významných internetových společností podobné citlivé informace také shromažďuje, a to většinou na pozadí. Naštěstí se správným nastavením ochrany soukromí na svém smartphonu můžete svoje data před těmito shánčlivými společnostmi chránit. V tomto článku vás seznámíme s vhodným nastavením mobilních zařízení s nainstalovaným systémem Android a iOS. Vysvětlíme vám také, jak předcházet nepříjemným nevyžádaným telefonním hovorům a jak si nastavit svou vlastní VPN síť. A skvělé je, že kromě toho, že se ochráníte před lovci dat, se pomocí našich tipů ochráníte i proti hackerům, kteří chtějí získat přístup k vašemu smartphonu.

Zabezpečení zařízení s Androidem

Architektura operačního systému Android je poměrně otevřená, takže uživatel má řadu možností, jak si tento systém přizpůsobit a nastavit, současně ale také umožňuje spywaru i legálnímu softwaru shromažďovačů dat tento systém dokonale infiltrovat.

Použití profesionálních nástrojů k zabezpečení

Nepoužíváte-li efektivní antivirovou ochranu, je poměrně obtížné zjistit, zda někdo nemá přístup k vašemu mobilnímu zařízení se systémem Android. Aplikace pro profesionální zabezpečení detekují a odstraňují většinu spywaru, který se pokouší proniknout. Doporučujeme vám proto si nějaký vhodný nástroj vyhledat a nainstalovat. V budoucnu by mělo být vaše zařízení dokonce chráněno v reálném čase - prostřednictvím virového monitoru. Takovýto ochranný on-line štít je například součástí aplikace Sophos.

Kontrola neznámých aplikací na počítači

Podle mnoha bezpečnostních odborníků je jednou z nejběžnějších cest infekce systému Android dobrovolná instalace škodlivé aplikace. Například výzkumníci společnosti ESET nedávno odhalili v oficiálním obchodě Google Play 35 aplikací s pseudozabezpečovacími funkcemi. Chcete-li si se zabezpečit před softwarem, u kterého si nejste jisti jeho 100% bezpečností, měli byste ho před instalací na smartphone vyzkoušet na stolním počítači. Použít k tomu můžete například Remix OS (najdete ho na našem Chip DVD).

Po spuštění systému Remix OS (můžete ho spustit například z flash disku) si nainstalujte program, který chcete otestovat, pomocí služby Obchod Play. Některé aplikace však vyžadují, abyste explicitně schválili instalaci klepnutím na položku „neznámý zdroj“ v části »Nastavení / Zabezpečení«. Po dokončení instalace zkontrolujte, k jakým službám a osobním údajům má tento program přístup (viz část „Omezte aplikacím přístup“). Následně omezte všechna zbytečná oprávnění pro tuto aplikaci. Pokud po tomto omezení odmítne program fungovat, zdržte se raději instalace tohoto programu na smartphone.

Kontrola odkazů před spuštěním

Kromě kontaminovaných aplikací používají špionážní nástroje také další způsob, jak proniknout do zařízení s Androidem. Využívají totiž hypertextové odkazy. Takovýto hypertextový odkaz se může skrývat za QR kódem nebo se může nacházet na zmanipulovaných webových stránkách. V mnoha případech útočníci odkazují na nenápadný cíl, například na webovou stránku. Uživatel pak v domnění, že kliká na zdánlivě renomovaný odkaz, skončí instalací škodlivého nástroje. Chcete-li tomu zabránit, vyzkoušejte nejprve podezřelý odkaz na stránce virustotal.com, kde máte možnost ho vložit a nechat zkontrolovat. Stačí kliknout na záložku URL. Tímto způsobem otestujete cíle přesměrované viry a spywarem.

Nainstalujte si bezpečný alternativní operační systém

Pouze cca 1,1 % všech uživatelů smartphonů s Google Androidem má nainstalovanou jeho nejnovější verzi. Proč? Protože výrobci hardwaru často neposkytují aktualizace pro svá starší zařízení. Řešením je instalace alternativního operačního systému, který se jmenuje LineageOS. Je založený na platformě Android, ale nabízí rozsáhlá bezpečnostní nastavení a navíc jsou pro něj k dispozici bezpečnostní záplaty.

Pro instalaci alternativního operačního systému potřebujete speciální tzv. Lineage-ROM pro váš model telefonu. Ten obsahuje specifické ovladače pro hardware smartphonu. Na stránce download.lineageos.org se můžete podívat na všechny kompatibilní modely. Po výběru zařízení zde najdete i podrobnou instalační příručku. Doporučujeme postupovat přesně tak, jak je v návodu uvedeno, protože postup se může model od modelu lišit.

Zabezpečení smartphonů s iOS

Kdo si myslí, že operační systém Applu je dokonale chráněný, nemusí bezpečnost řešit a nehrozí mu krádež dat, se bohužel mýlí. Prostřednictvím různých manipulací s operačním systémem totiž mohou společnosti i kybernetičtí zločinci celkem snadno přistupovat k datům oběti. A navíc je tu problém spočívající v tom, že pro iOS neexistují antivirové nástroje podobné jako pro Android, takže zabezpečení smartphonu je možné pouze pomocí nástrojů operačního systému, standardních aplikací a správného nastavení.

Detekce narušení systému

Dříve než začnete s nastavováním zařízení s operačním systémem iOS, zkontrolujte, zda nedošlo k narušení jeho bezpečnosti ze strany sběračů dat nebo kybernetických zločinců. Ve většině případů by k tomu muselo dojít pomocí tzv. jailbreaku, tedy softwarové úpravy iOS. Až po jailbreaku je totiž možné obejít bezpečnostní nastavení, převzít nad zařízením kontrolu, instalovat aplikace a zachytávat na pozadí data. Odhalit jailbreak lze pomocí nástrojů, které zkontrolují, zda nedošlo k manipulaci se systémem. K tomuto účelu vám doporučujeme aplikaci Lookout, která kromě kontroly prolomení systému také zjistí, zda máte nainstalovanou nejnovější verzi operačního systému.

Pokud nástroj Lookout zjistí narušení bezpečnosti, spustí alarm a uživatele vyzve k radikálnímu kroku, tedy k úplnému přeinstalování systému smartphonu. To je totiž jediný způsob, jak na 100 % zajistit, že se sledovací software a další malware ze zařízení dostane. V tomto případě se nedoporučuje využívat zálohy. Jedinou výjimkou je lokální záloha na domácím počítači. Tu využít můžete, protože je šifrovaná, a tak i chráněná proti útočníkům, kteří mohli získat přístup k Apple ID uživatele.

Pokud chcete kompletně vymazat svoje zařízení, v nastavení přejděte na »Nastavení / Obecné/ Obnovit« a vyberte »Smazat data a nastavení«. Po restartu se iPhone ocitne ve výchozím nastavení. Vy pak máte možnost smartphone znovu nastavit a aktivovat. Jestliže si chcete do budoucna vytvořit chráněnou zálohu iPhonu, měli byste ji provést na svůj osobní počítač pomocí programu iTunes. Alternativně můžete využít zabezpečený USB flash disk pro iPhony, například iXpand od SanDisku. 64GB verze stojí asi 1 200 Kč (obr. vpravo).

Detekce podezřelých sběračů dat

Kromě jailbreaku existuje i další způsob, jak se mohou pochybné společnosti dostat k šifrovaným datům na zařízení se systémem iOS. První možnost vede přes tzv. konfigurační profil, který firmy obvykle používají k vybavení vlastních zařízení s vlastním softwarem a nastavením. Práva, která takový profil uděluje administrátorovi, jsou podobná, jako by došlo k jailbreaku. Apple rovněž poskytuje certifikát, který je možné využít například pro instalaci beta-verzí sofwaru (viz rámeček vpravo).

Ovšem když v případě jailbreaku stačí kliknout na zmanipulovaný odkaz, instalace konfiguračního profilu vyžaduje aktivní účast uživatele. Jakmile totiž web nebo program chce nastavit takovýto profil, musí uživatel zadat kód zařízení iOS a souhlasit s instalací. Útočníci se k tomu ale snaží uživatele přesvědčit. Obvykle to provádí tak, že ho upozorní na nebezpečný vir a vyzvou ho k instalaci vlastního softwaru, který ho má údajně ze zařízení odstranit. Abyste zjistili, zda takovýto profil je ve vašem zařízení nainstalován, přejděte na »Nastavení / Obecné«. Pod položkou »Profily « naleznete všechny konfigurační profily, které jsou v danou chvíli aktivní. Pokud některý z těchto profilů neznáte, otevřete jej a podívejte se na jeho podrobnosti kliknutím na tlačítko »Podrobnosti«. V následujícím okně zjistíte, kam má profil přístup. V případě pochybností o nastavení profilu je nejlepší celou položku vymazat pomocí tlačítka »Smazat profil« v přehledu profilů.

Ochrana pomocí standardních nástrojů

Poté, co jste se ujistili, že nikdo zatím to vašeho smartphonu nepronikl a nemá k němu přístup, je čas pro jeho lepší zabezpečení. Zatím nejúčinnější metodou zabezpečení je použití bezpečnostního kódu pro přístup. Mělo by jít o bezpečné heslo - krátký číselný kód je nedostatečný. To se prokázalo z uniklých dokumentů bezpečnostní společnosti Grayshift, která vyrábí odemykací krabičku GrayKey. Odborníci totiž pomocí ní v případě slabého hesla nemají problém se do zařízení s iOS dostat, a to během pár minut. Využívají k tomu bezpečnostní mezeru a útok hrubou silou - vyzkouší všechny varianty. Poměrně rychle překonají dokonce i šestimístný kód. Ale pokud je heslo dostatečně složité, trvá to i krabičce GrayKey několik let až desetiletí.

Chcete-li nastavit bezpečné heslo, přejděte do »Nastavení« a klikněte na »TouchID a kódový zámek« nebo »Face ID a kódový zámek« - podle toho, jaký model iPhonu máte. V dalším okně zvolte »Změnit kód zámku« a potom »Volba kódu«. Aktivujte zde volbu »Vlastní alfanumerický kód«. Poté můžete zadat heslo o délce okolo dvaceti znaků. Použití malých písmen a pomlček je pro zabezpečení dostačující. Nebojte se -heslo nebudete muset zadávat často. Ve většině případů si při identifikaci vystačíte se čtečkou otisků prstů (Touch ID) nebo rozeznáním obličeje (Face ID).

Vypněte komunikaci

Mnoho aplikací si na systému vymůže více práv, než skutečně potřebují. Programy pak například chtějí přístup k mikrofonu nebo mohou sledovat datovou komunikaci. Problematické je také použití nezabezpečených bezdrátových sítí.

Omezení práv aplikací

V případě iOS naleznete práva nainstalovaných aplikací v části »Nastavení / Ochrana dat«. Zde můžete zjistit, které aplikace mají přístup k jakému zdroji. Například u položky »Mikrofon« zjistíte, které programy mohou využívat vestavěný mikrofon smartphonu. Chcete-li zrušit oprávnění pro konkrétní aplikaci, přepněte za jejím jménem přepínač. Chcete-li zobrazit všechna oprávnění konkrétní aplikace, procházejte postupně displej s nastavením, až na ni narazíte. Následně na ni klikněte. V okně, které se objeví, se zobrazí všechny její možnosti přístupu.
V operačním systému Android najdete oprávnění aplikací v části »Nastavení / Aplikace«. Vyberte požadovanou aplikaci a klikněte na »Oprávnění«. V části »Nastavení / Zabezpečení« si můžete nastavit zabezpečení vašeho smartphonu.

Vytvořte si bezpečné připojení k internetu

Abyste zabránili útokům hackerů na vámi odesílaná data, měli byste surfovat po internetu v šifrované podobě. Zvláště pokud používáte nezabezpečenou síť Wi-Fi, je bezpečnější používat VPN. Můžete k tomu využít bezplatnou VPN službu, například ProtonVPN (protonvpn.com). Musíte ale v tomto případě počítat s omezenou přenosovou rychlostí nebo omezeným množstvím přenesených dat. Například ProtonVPN vyšší přenosové rychlosti zpoplatňuje. Cena začíná na 8 eurech za měsíc.

Za uvedený poplatek jsou pak vaše data směrována po webu prostřednictvím speciálně chráněných serverů. Na telefonech s iOS i Androidem si můžete z obchodu s aplikacemi zdarma stáhnout open-source aplikaci OpenVPN. Po jejím stažení a nainstalování budete muset použít stolní počítač pro přihlášení k účtu ProtonVPN a stáhnout si konfigurační soubor. Uděláte to tak, že se přihlásíte ke svému účtu a přejdete do části »Downloads«. Vyberete příslušný operační systém a kliknete na možnost »Secure Core Config«. Následně vyberete zemi, ze které chcete získat IP adresu.

Hned vedle této sekce je tlačítko pro stahování, které lze použít pro stažení konfiguračního souboru. Odešlete tento soubor na e-mailovou adresu, ke které máte přístup z mobilního zařízení. Otevřete tento soubor pomocí poštovního klienta a vyberte aplikaci OpenVPN. Tím je konfigurační postup ukončený. V systému Android budete ještě muset provést změnu v nastavení aplikace OpenVPN - zatrhněte zde volbu »Connect on boot«. Aplikace se pak postará o zbytek.

V systému iOS také budete muset vstoupit do nastavení aplikace OpenVPN a aktivovat zde »Seamless Tunnel«, »Reconnect on wakeup« a »Layer 2 reachability«. Vzhledem k omezením propojení aplikace s operačním systémem iOS se může VPN připojení přerušit v situacích, jako je restart smartphonu nebo režim stand-by. V takovém případě budete muset spojení ručně obnovit.

Blokování nevyžádaných hovorů

Vedle zabezpečení datových připojení byste měli věnovat pozornost i voláním a SMS. Kromě toho, že nevyžádané hovory většinou jen zdržují, mohl by se také volající pokusit získat údaje pro přihlášení prostřednictvím sociálního inženýrství. Pro systémy Android i iOS existuje hned několik aplikací, které pomáhají blokovat nevyžádaná volání. Jednou z nejpoužívanějších je aplikace TrueCaller švédských vývojářů. Do služby se musíte registrovat. Pokud vám pak někdo zavolá, volající číslo se prověří v databázi, a jestliže jde o spam, uživatel je o tom informován. Na podobném principu existují i další aplikace a především pro Android je jich hodně. Vyzkoušet můžete například i aplikaci Můžu to zvednout?.

Nastavení soukromí v aplikaci Messenger

Začátkem března se provalilo, že společnost Facebook sbírá záznamy o hovorech a SMS zprávách od uživatelů Android zařízení s nainstalovaným Facebook Messengerem. Zda se tento problém týkal i vás, si můžete ověřit tak, že si z Facebooku stáhnete všechna data, která o vás tato služba uchovává. Pokud to budete chtít provést, přihlaste se do této sociální sítě a klikněte na »Nastavení / Vaše informace na Facebooku«. Zde najdete nabídku »Stažení vašich informací« a postupujte podle návodu. Pokud chcete zastavit sběr dat o zasílání SMS ve Facebook Messengeru, otevřete tento program a klikněte na profilový obrázek. Pak klikněte na položku »SMS« a vypněte »Výchozí aplikace pro SMS«.

Váš chytrý telefon by teď měl být bezpečnější. Pokud chcete zjistit, zda vy nebo někdo z vašich přátel na Facebooku byl postižen únikem dat známým jako skandál Cambridge Analytica, podívejte se na stránku jdem.cz/d7x429.

***

Tři velké lži o bezpečnosti Androidu

> Obchod Play je bezpečný Navzdory nové bezpečnostní iniciativě společnosti Google, která se snaží z Ochodu Play odstranit nebezpečné aplikace, nedávná zpráva společnosti ESET dokazuje, že v tomto obchodě lze stále nalézt malware. Proto doporučujeme zkontrolovat pochybné aplikace pomocí osobního počítače (viz „Kontrola neznámých aplikací na počítači“).
> Se správným nastavením je operační systém bezpečný Dokonce i v případě, kdy máte všechna nastavení systému Android optimálně zvolena, zůstává stále riziko, že do smartphonu pronikne malware prostřednictvím bezpečnostních mezer. Protože starší zařízení většinou nemají nainstalovanou aktuální verzi systému, je důležité nainstalovat alespoň nejnovější ochranu proti virům nebo alternativní systém.
> Jakmile odstraníte aplikaci, škodlivý software je pryč Mnoho škodlivého softwaru se do smartphonu dostane společně s dalšími aplikacemi. Pokud však odstraníte jednu viditelnou aplikaci, neznamená to, že se smazal i malware. Ten bohužel většinou zůstává aktivní a jediným řešením je pak reset zařízení do továrního nastavení.
***

Tři velké lži o bezpečnosti iOS

> Pokud nedošlo k jailbreaku, je iOS zabezpečený Dokonce i v případě, že váš smartphone nebyl jailbreaknut hackery, existují další možnosti, jak do něj proniknout. Kybernetičtí zločinci k převzetí kontroly nad zařízením nejčastěji používají konfigurační profily. Chcete-li si zabezpečení zařízení ověřit, zkontrolujte nainstalované profily (viz Detekce podezřelých sběračů dat).
> Šifrování iOS je neprolomitelné V zásadě je to pravda, protože doposud žádná společnost nebyla schopna kód rozšifrovat. Ale není to vlastně potřeba, protože například společnost Grayshift dodává nástroj pro zjištění PIN kódu zařízení, který k jeho odhalení používá hrubou sílu. Do zařízení se pak snadno dostanete. Abyste tomu zabránili, použijte bezpečné heslo (viz „Ochrana pomocí standardních nástrojů“)
> Beta-verze softwaru nejsou pro běžná zařízení Prostřednictvím beta-verzí společnost Apple testuje nové verze s opravenými chybami a vyřešenými bezpečnostními mezerami. Od verze Beta 3 je většina chyb odstraněna a software je možné instalovat (viz „Bezpečná beta“).

***

Bezpečná beta

Apple často provádí testy bezpečnostních updatů prostřednictvím beta-verzí dlouho předtím, než se dostanou do finální verze. Pokud se chcete obzvlášť zabezpečit na cesty, stojí za to tyto beta-verze iOS do zařízení instalovat. > Jak funguje instalace První beta-verze nového softwaru raději nepoužívejte. Počkejte si alespoň na už odladěnější verzi Beta 3. Tím se vyhnete většině dětských nemocí nového softwaru. Někdy totiž hrozí nejen zpomalení zařízení, ale dokonce jeho selhání. Beta-verze se získávají prostřednictvím stránky beta. apple.com. Po instalaci se sice vytvoří konfigurační profil, ale nezaznamenávají se žádná data, pouze se zařízení zaregistruje v beta-programu.

***

Tři velké lži o bezpečnosti sítě

> Každá VPN je bezpečná V závislosti na poskytovateli služeb můžete k internetu přistupovat prostřednictvím VPN v šifrované podobě. U bezplatných služeb však většinou nemůžete počítat s anonymitou. Některé společnosti totiž ukládají údaje o připojení, i když často tvrdí něco jiného. Zcela bezpečné surfování vám zajistí jen renomovaní poskytovatelé služeb nebo vlastní VPN služba zřízená na vašem routeru (viz „Vytvoření bezpečného připojení“).
> Nevyžádané hovory jsou otravné, ale ne nebezpečné Kybernetičtí zločinci často předstírají, že pracují jako podpora pro zákazníky poskytovatelů služeb operátorů nebo výrobců mobilních telefonů. Naivního volaného pak přesvědčují k instalaci škodlivého softwaru do telefonu, který má údajně sloužit pro účely podpory. Nejlepší je nevyžádané hovory blokovat nebo si o nich nechat zobrazit informace (viz „Blokování nevyžádaných hovorů“).
> Facebook nešpehuje Facebook Messenger zasílal data o SMS a volání z mnoha zařízení s Androidem (viz „Nastavení soukromí v aplikaci Messenger“).

Foto popis| Bezpečný Android Jestliže výrobce zařízení neposkytuje aktualizace operačního systému, doporučujeme vám použít alternativní spolehlivý produkt LineageOS.
Foto popis| Aplikace pro Android můžete nainstalovat a vyzkoušet na osobním počítači pomocí programu Remix OS. Musíte však nejprve povolit instalaci neznámých aplikací.
Foto popis| Profesionální hackerský nástroj obchází ochranu zařízení Prostřednictvím odemykací krabičky GrayKey a bezpečnostní mezery systému iOS proniknete i do zamčeného smartphonu. Používejte proto silné heslo.
Foto popis| Zařízení se systémem Android zase odemkne nástroj společnosti Cellebrite, která ho poskytuje i orgánům činným v trestním řízení.
Foto popis| Díky flash disku iXpand společnosti SanDisk si můžete vytvořit bezpečnou lokální zálohu smartphonu přímo prostřednictvím portu Lightning.
Foto popis| Bezpečné heslo V nastavení iOS vyberte možnost »Možnosti kódu« 1 a zadejte složité heslo 2 . Následně by se do zařízení neměly dostat ani bezpečnostní služby.
Foto popis| Práva aplikací Zkontrolujte, jaká práva mají jednotlivé aplikace pro přístup k datům a komponentám. V případě Androidu 1 najdete oprávnění aplikací v části »Nastavení / Aplikace«. U operačního systému iOS 2 je naleznete v části »Nastavení / Soukromí«.
Foto popis| Aplikace TrueCaller umožňuje blokovat příchozí nevyžádané hovory. Tento program je k dispozici pro iOS i Android.

O autorovi| FABIAN VON KOUDELL, PAVEL TROUSIL, autor@chip.cz