Domanda:
Quali caratteristiche di sicurezza sono importanti quando si acquista uno smartphone?
James Bradbury
2016-03-10 16:02:10 UTC
view on stackexchange narkive permalink

Sto cercando di sostituire il mio vecchio smartphone Android. La sicurezza delle informazioni è sempre più una caratteristica che cerco. Oltre ad essere lento, non credo di poter aggiornare il mio attuale telefono alle ultime versioni di Android o anche all'ultima versione dell'app di sicurezza mobile che utilizzo, quindi quasi tutto sarebbe probabilmente un miglioramento.

Idealmente sto cercando un telefono o una ROM che abbia la sicurezza (idealmente crittografando i dati in comunicazione e inattivi) come priorità e sarà probabilmente ancora protetto (con gli aggiornamenti) tra diversi anni. Preferirei una soluzione Android, a meno che la sicurezza su altre piattaforme non sia significativamente migliore / più facile da ottenere.

La scelta del telefono è una considerazione significativa o la sicurezza dipende principalmente dal modo in cui viene utilizzata - regolare aggiornamenti, controllo accurato delle app prima dell'installazione?

NOTA BENE : non sto cercando un consiglio specifico , ma piuttosto una guida per conoscere cosa cercare . Sentiti libero di inserire consigli nei commenti , ma NON le risposte.

al giorno d'oggi, Android offre la crittografia completa del disco, app come Signal offrono una forte comunicazione crittografata e app come Orbot ti consentono di indirizzare (tutto) il tuo traffico attraverso TOR. La proprietà di sicurezza più interessante al giorno d'oggi per Android è il supporto delle patch post lancio. "Con che frequenza viene applicata la patch a un modello / ROM specifico e per quanto tempo?" (questo è specifico del fornitore) è quindi la domanda principale.
James, ho aggiunto un avviso esplicito alla domanda, per concentrarmi sulle caratteristiche e come per la tua domanda originale, invece di inondare le risposte con raccomandazioni prive di fondamento (che sarebbero state chiuse come fuori tema - la tua domanda è buona). Fammi sapere se è come intendi.
@AviD. Grazie, questo è esattamente quello che intendevo. Sono consapevole del fatto che le domande sui consigli diventano obsolete troppo rapidamente per essere utili.
Se puoi installare un software sul telefono che stai considerando e che funziona su Android, esegui [Android Vulnerability Test Suite] (https://github.com/nowsecure/android-vts). Non ti dirà nulla sul futuro, ma ti dirà se il telefono è attualmente sicuro e questo dovrebbe darti un suggerimento ogni volta che la ROM viene aggiornata o meno.
I lettori interessati a questa domanda potrebbero anche essere interessati a uno [Smartphone fornito senza software proprietario preinstallato?] (Http://hardwarerecs.stackexchange.com/q/27/30)
La scelta del portatile è decisamente significativa. Esistono numerosi dispositivi Android che hanno avuto exploit di root remoti: in un caso, qualcuno potrebbe ottenere il controllo del tuo telefono semplicemente inviandoti un messaggio di testo con un file video. D'altra parte, ci sono dispositivi che non sono stati rootati nemmeno dai proprietari di dispositivi con accesso fisico completo. Un esempio è il BlackBerry Priv: ha criteri SELinux molto rigidi, pathtrust ed è l'unico telefono Android a rilasciare con grsec (tra le altre cose). Divulgazione: ho lavorato su quel telefono.
Ecco una recensione che abbatte l'affermazione "privato per design" del Blackphone: [parte 1] (http://www.version2.dk/blog/blackphone2-review-1-508188), [parte 2] (http: / /www.version2.dk/blog/blackphone2-review-2-545078).
Sei risposte:
#1
+72
Stephen Schrauger
2016-03-11 03:45:24 UTC
view on stackexchange narkive permalink

TLDR: esistono diverse categorie di sicurezza da considerare quando si cerca un telefono. Il consiglio principale, tuttavia, è quello di procurarsi un telefono più recente con le ultime funzionalità di sicurezza e da un produttore che ha una buona reputazione nel fornire aggiornamenti.

Sicurezza contro altre persone (colleghi, polizia / governo)

Cerca dispositivi più recenti con crittografia completa del disco e almeno un codice o un'impronta digitale necessari per sbloccare il dispositivo.

Entrambi Android e iOS hanno la capacità di crittografare il telefono. Quando si avvia il telefono, è necessario fornire la password per completare l'avvio e per visualizzare i file.

  • Lato positivo: il telefono è protetto da tentativi esterni di leggere i dati
  • Lato negativo: È necessario digitare la password / PIN ogni volta che si avvia e di solito ogni volta che si sblocca lo schermo.

Poiché è integrato nelle versioni più recenti di Android e iOS, è necessario restringere leggermente la ricerca per escludere i telefoni meno recenti che non dispongono di questa funzionalità.

Chiave di crittografia e codice di sblocco

Come compromesso tra usabilità e sicurezza, preferisco che sia richiesta una password lunga all'avvio, ma avere un codice più semplice per sbloccare lo schermo. Apple lo fa in modo nativo, permettendoti di impostare un PIN o una password richiesti all'avvio, ma in seguito permettendoti di sbloccare il telefono con la tua impronta digitale.

  • Lato positivo: puoi utilizzare un password complessa, pur mantenendo la facilità di sbloccare il telefono rapidamente.
  • Un aspetto positivo: un surfista spalla non può sbloccare il telefono, poiché è la tua impronta digitale a sbloccarlo. Dovrebbero prenderti mentre digiti la password all'avvio. (Quando digiti la password, assicurati che nessuno stia guardando!)
  • Svantaggio: la tua impronta digitale non è protetta dalla legge (negli Stati Uniti). La polizia può costringerti a sbloccare il telefono con la tua impronta digitale. Mentre una password o un codice, qualcosa che conosci, non possono essere forzati fuori da te. Anche se un tribunale ti ingiunge e ti giudica in disprezzo per non aver fornito il codice di sblocco, non può accedere ai tuoi dati senza la tua collaborazione.

Su un dispositivo Android con root, puoi installare un mod che ti consente di avere una password di avvio complessa e un PIN più semplice per lo sblocco dello schermo. Se inserisci il PIN in modo errato, è necessario inserire la password complessa, il che impedisce i tentativi di forza bruta con il PIN molto più semplice. Stai perdendo un po 'di sicurezza, tuttavia, poiché chiunque navighi sulle spalle potrebbe vederti inserire il PIN e successivamente rubare il telefono per sbloccarlo.

  • Lato positivo: puoi utilizzare una password complessa, pur mantenendo il facilità di sbloccare il telefono rapidamente.
  • Lato positivo: solo la tua conoscenza può sbloccare il dispositivo.
  • Lato negativo: devi inserire un PIN ogni volta che sblocchi lo schermo. Poiché ciò accade di frequente, è molto più probabile che qualcuno possa scoprire la tua semplice combinazione di sblocco.

Sicurezza contro le app

Verifica le autorizzazioni dell'app prima dell'installazione, e assicurati di avere un telefono più recente con una gestione delle autorizzazioni aggiuntiva.

Apple / iOS

I dispositivi Apple (esclusi quelli con jailbreak) possono installare solo app che sono passate Il processo di verifica di Apple. Sebbene ciò non abbia successo al 100%, protegge la maggior parte degli utenti dall'installazione di un'app dannosa. Inoltre, alcune ovvie funzioni per la privacy, come la posizione GPS e le informazioni di contatto, richiedono un ulteriore prompt utente per consentire a un'app di accedere a tali informazioni.

Android 6.0+

Le impostazioni di autorizzazione di Android prima della 6.0 Marshmallow erano tutto o niente. Se un'app ha richiesto le autorizzazioni per il tuo GPS, l'hai autorizzata o non hai installato l'app. Android 6.0 introduce funzionalità simili a iOS che consentono all'utente di negare determinate autorizzazioni durante l'installazione dell'app.

Se si guardano i dispositivi Android, questo restringe i dispositivi idonei, esclusi i telefoni che non hanno Android 6.0 o versioni successive .

Android 4.x-5.x con XPrivacy

Tuttavia, se il dispositivo Android ha root e può installare il framework Xposed, puoi installare XPrivacy. Quell'app revisiona il modello di autorizzazione su Android in modo che quasi ogni possibile autorizzazione relativa alla privacy possa essere consentita o negata in tempo reale. Se l'app tenta di utilizzare il GPS, ti chiede di consentire o negare (o fornire informazioni false / nulle). Questo è disponibile per la maggior parte dei dispositivi Android con root che eseguono qualsiasi versione di Android dalla 4.0 alla 5.0.

Cerca un telefono che possa essere rootato se desideri modificare i permessi sulla privacy estremi.

Sicurezza contro i bug / exploits

Cerca telefoni prodotti da produttori con una cronologia di aggiornamenti regolari.

La maggior parte degli aggiornamenti iOS e Android include correzioni di bug insieme a nuove funzionalità. Finché il dispositivo iOS è supportato, possono ricevere tutti l'aggiornamento contemporaneamente quando viene rilasciato.

Su Android, i dispositivi Nexus sono generalmente i primi a ricevere gli aggiornamenti. Per gli altri produttori, assicurati che abbiano una cronologia di fornitura di aggiornamenti ai telefoni più vecchi ed entro un lasso di tempo ragionevole.

In alternativa, trova un telefono Android con un bootloader sbloccato e una comunità di sviluppo attiva. Sebbene sia più tecnico, questo può essere il modo più veloce per ottenere gli ultimi aggiornamenti, anche dopo che un produttore ha smesso di supportare il telefono.

Protezione contro il produttore del dispositivo

Acquista dispositivi da un produttore affidabile e assicurati che utilizzi la crittografia dell'intero disco in cui il produttore non detiene la chiave. Inoltre, per Android, considera un dispositivo con un bootloader sbloccabile per poter caricare ROM personalizzate con aggiornamenti di sicurezza più recenti e migliori funzionalità di privacy integrate.

I dispositivi Apple non possono essere sbloccati anche da Apple a partire da iOS 8. Anche se in teoria potrebbe essere possibile per Apple fornire un aggiornamento che lo sovverte, attualmente è impossibile per Apple sbloccare il telefono o ottenere l'accesso alla partizione crittografata su il tuo telefono . Se hai attivato iCloud Backup, tuttavia, i dati possono essere accessibili da Apple.

Allo stesso modo, i dispositivi Android con Full Disk Encryption abilitata non possono essere sbloccati dal produttore, né da Google .

Bootloader sbloccato

Con i dispositivi Android, un bootloader sbloccato ti consente di installare ROM personalizzate o persino di crearne una creata da zero utilizzando il codice sorgente del sistema operativo Android. Se il tuo telefono non è più supportato dal produttore, puoi comunque eseguire l'aggiornamento all'ultima versione di Android, supponendo che qualcuno abbia compilato una Rom per il tuo dispositivo.

Alcune ROM Android hanno ulteriori controlli di sicurezza e privacy integrati- in.

Attenzione: questo può essere dannoso per la sicurezza. Assicurati di utilizzare una ROM ampiamente conosciuta e affidabile.

Sicurezza nel cloud

Utilizza un provider di archiviazione cloud che crittografa i tuoi dati e non ha accesso al chiave di sblocco.

Quasi tutto l'archiviazione su cloud (Dropbox, iCloud, ecc.) archivia i file in modo non crittografato o in modo che il provider di servizi cloud possa decrittografare i file senza l'autorizzazione dell'utente .

Il modo principale per proteggersi da ciò è non utilizzare l'archiviazione nel cloud. Se è necessario eseguire il backup dei file, utilizzare il proprio server crittografato o copiare manualmente i file su un computer desktop crittografato.

Alcuni provider di archiviazione, come MEGA e SpiderOak, crittografano i tuoi file. La chiave di crittografia non è accessibile a loro e un ente governativo dovrebbe costringerli a scrivere un aggiornamento del proprio software per acquisire la chiave di sblocco da un utente.

Android e Apple hanno entrambi app per MEGA che funzionano in modo simile a Dropbox, incluso il salvataggio automatico delle foto scattate dal telefono.

Sicurezza contro le reti

Assicurati che il tuo telefono possa utilizzare il software VPN e possibilmente utilizzare TOR per aumentare la privacy. E assicurati di navigare sul Web con https quando possibile.

Il provider di servizi Internet può visualizzare tutto il tuo traffico di rete non crittografato. Per evitare questo problema, utilizza una VPN. Nota: la VPN può vedere anche i tuoi dati non crittografati. Utilizza un provider VPN affidabile.

L'ISP può persino determinare alcune informazioni dal traffico di rete crittografato, se non stai utilizzando una VPN. Se apri una pagina web che utilizza https, l'ISP può vedere a quale dominio stai andando. Non possono, tuttavia, vedere la pagina specifica che stai richiedendo, né i dati della pagina stessa.

Se la privacy estrema è una necessità, Tor potrebbe essere la risposta. Ha molti aspetti negativi, il principale è la bassa velocità (rispetto alla normale navigazione). Ma quando usi Tor, il tuo ISP non può vedere le informazioni sulla tua rete, a parte il fatto che stai usando Tor. E i nodi su Tor non sono in grado di conoscere sia la sorgente (tu) che la destinazione (il sito web) a causa del modo in cui è progettato il protocollo.

Vale la pena notare che rompere uno spillo può anche essere banalmente facile se hai le dita unte o uno schermo sporco ...
Risposta simpatica e completa. Ha bisogno di voti positivi!
È stato dimostrato che XPrivacy può essere aggirato. Non consiglierei di fare affidamento su XPrivacy quando è in gioco qualcosa di serio.
Parlando di sicurezza nel cloud, penso sia una buona idea citare [EncFS] (https://security.stackexchange.com/questions/83292/is-encfs-secure-for-encrypting-dropbox)
Non cercare un provider di servizi cloud che crittografa i tuoi dati. È essenziale crittografare i dati da soli prima di caricarli. È anche pericoloso caricare qualsiasi chiave di decrittazione, anche se è protetta da una password.
@SargeBorsch Potete fornire una fonte?
@Noir Oh sì. https://github.com/cernekee/WinXP
@SargeBorsch Funziona ancora? Perché non è stato aggiornato da due anni, e speri * che gli sviluppatori di XPrivacy lo abbiano risolto ormai?
+1 per la parte "sicurezza contro il produttore del dispositivo". Se c'è * una * cosa da cercare, è la possibilità di sostituire il firmware sul dispositivo con qualcosa di cui ti puoi fidare (cioè nessun produttore / fornitore backdoor) e che soddisfa i tuoi altri requisiti di sicurezza. Se è possibile sostituire il firmware, è possibile aggiungere praticamente qualsiasi funzionalità di sicurezza richiesta (nella misura consentita dall'hardware del dispositivo, ad esempio non è possibile aggiungere lo sblocco delle impronte digitali se l'hardware non include un lettore di impronte digitali).
@Noir Non consiglierei di utilizzare del tutto servizi cloud crittografati. Piuttosto, dipende dalle esigenze dell'utente. Se non si fidano del governo o di altre aziende, dovrebbero assolutamente crittografare manualmente i loro dati (lo faccio per i miei backup online). Ma molte persone hanno anche bisogno di avere sicurezza / protezione contro se stesse (es. Errore dell'utente), quindi un backup automatico su un servizio di crittografia può essere un buon compromesso tra sicurezza e usabilità.
@Carpetsmoker Ho visto lo sviluppatore [dire che non vogliono affrontare questi problemi] (http://forum.xda-developers.com/showpost.php?p=54111452&postcount=10580) perché richiedono troppo tempo .
@MichealJohnson: Se TU puoi sostituire il firmware sul tuo telefono, anche qualsiasi hacker può sostituirlo.
Dovresti aver bisogno di un accesso fisico al telefono per sostituirlo e credo che la maggior parte se non tutte le implementazioni Android cancelleranno i dati dell'utente quando sostituisci il firmware esattamente per evitare l'elusione delle misure di sicurezza implementate in qualunque firmware il dispositivo sia in esecuzione quando il l'attaccante si impossessa di esso.
Penso che qualcosa che hai dimenticato sia la sicurezza contro il furto fisico / la perdita del dispositivo. Per esempio. funzioni per proteggere la cancellazione dei dati in remoto o per individuare il telefono.
Oh, inoltre, oltre ai buoni consigli su come controllare le autorizzazioni delle app sopra (e non aver paura di chiedere in giro prima di scaricare un'app per chiarire le autorizzazioni su cui sollevi un sopracciglio), assicurati sempre di scaricare solo app da fonti ufficiali, e controlla anche le recensioni degli utenti e il conteggio dei download: non è un indicatore perfetto, ma a volte può essere illuminante vedere se altri utenti hanno segnalato problemi. E ricorda, i rischi maggiori derivano da cose come, non hai un codice pin sul tuo telefono e lo lasci sull'autobus con la tua password amazon.com salvata nel tuo browser, ecc.
Buono a sapersi su Android 6.0. Lo dovrò controllare! Grazie.
Su un iPhone 5S o successivo puoi usare solo un PIN breve e tuttavia mantenere i tuoi dati al sicuro - il coprocessore SecureEnclave limita la forzatura bruta del PIN: le chiavi di crittografia sono memorizzate in SecureEnclave e crittografate con il tuo PIN; qualsiasi tentativo di decrittografare le chiavi deve avvenire all'interno di SecureEnclave e richiede ~ 5 secondi (limitato dall'hardware), quindi sono necessari fino a 15 anni per forzare un PIN a 8 cifre. Estrarre la chiave e forzarla altrove è MOLTO difficile / costoso e può anche essere evitato scegliendo una password più forte; è lo stesso principio delle smart card.
@K.Biermann [Correzione] (https://www.apple.com/business/docs/iOS_Security_Guide.pdf): SE memorizza un ID univoco. Il PIN, insieme a questo UID, viene utilizzato nella _derivazione_ delle chiavi di decrittografia. Solo SE ha accesso all'UID e SE è a prova di manomissione, quindi solo SE è in grado di eseguire operazioni che lo coinvolgono. SE si limita la velocità a un PIN ogni ** 80 ms **, quindi un PIN a 6 caratteri alfanici resisterà al massimo a 5 anni. Se non sbaglio può anche essere detto di far saltare in aria il suo UID dopo 10 tentativi falliti, a quel punto qualsiasi cosa memorizzata sul dispositivo è inutile (perché la chiave per i dati non può più essere ricavata).
I dispositivi Android più recenti con scanner di impronte digitali (ad esempio il mio Nexus 5X) chiederanno un PIN / password durante l'avvio (se archiviazione crittografata), al primo accesso dopo l'avvio, quindi ogni 48 ore, consentendo lo sblocco dell'impronta digitale in altri momenti.
#2
+59
Rory McCune
2016-03-10 18:33:27 UTC
view on stackexchange narkive permalink

Uno degli aspetti chiave da considerare per questo è la politica di supporto / applicazione di patch del fornitore del tuo dispositivo mobile. Se hai intenzione di tenere il telefono per diciamo 2-3 anni, non vuoi che vada via dal supporto dopo 18 mesi.

Sfortunatamente questa può essere un'informazione abbastanza complicata da trovare con molti fornitori non fornire cicli di vita del supporto pubblicati.

A complicare il quadro è anche il fatto che alcune combinazioni di dispositivi hanno lunghe "catene di supporto" in cui più aziende devono collaborare per produrre patch. Quindi, ad esempio, un telefono Android Samsung O2, potrebbe aver bisogno di 3 società (Google, Samsung e O2) per collaborare per fornire una patch. Questo tipo di processo porta inevitabilmente a una patch più lenta.

Probabilmente l'approccio migliore a questo sarebbe scegliere un dispositivo con la catena più piccola possibile, quindi un dispositivo Android di Google, un dispositivo iOS di Apple o un dispositivo Windows Phone di Microsoft e, in tutti i casi, è probabile che un dispositivo sbloccato riceva patch più veloci di uno da un operatore.

A questo punto penso che questa possa essere la cosa più importante da considerare per un nuovo telefono in termini di sicurezza. Non avevo idea di quanto fosse CATTIVA la situazione fino a Stagefright. Il mio telefono NON è ANCORA patchato, anche se ho chiamato il produttore e hanno rilasciato la patch al mio operatore circa un mese dopo che era disponibile per loro. Quindi sì: almeno per Android, direi di andare con un telefono davvero famoso di un'azienda davvero famosa con una storia di patch frequenti, o andare con un Nexus. Il resto è l'equivalente dell'utilizzo di IE per il browser all'inizio degli anni 2000.
I telefoni Apple ricevono aggiornamenti software contemporaneamente e non sei in balia del tuo operatore. Non ci sono nemmeno modifiche personalizzate fatte da terze parti, quindi mi piace il tuo punto sulla "catena più piccola possibile".
L'unica altra opzione è eseguire il root e assumersi la responsabilità dell'aggiornamento del telefono da soli. Cyanogenmod, ad esempio, ha corretto Stagefright piuttosto rapidamente dopo che la vulnerabilità è stata rivelata.
Grazie, questo è un punto davvero importante e ben spiegato. L'unico motivo per cui non lo accetto è che alcuni altri coprono più angoli.
#3
+37
Mark Buffalo
2016-03-11 04:44:12 UTC
view on stackexchange narkive permalink

Le altre risposte sulla crittografia sono ottime. Affronterò questa domanda dal punto di vista della carta stagnola / dissidente , poiché credo sia valido per quasi tutti gli scenari ... ma voglio comunque spiegare il mio ragionamento e come sono arrivato a queste conclusioni .

Tutti i problemi di cui parlerò sono regolarmente sfruttati da criminali e governi repressivi. In alcuni paesi, essere un membro di un certo ordine religioso, o la razza sbagliata, è una ragione sufficiente per le autorità per programmare la tua donazione di organi non approvata:

Ci sono rapporti di tortura sistematica, reclusione illegale, lavoro forzato, prelievo di organi e misure psichiatriche abusive, con l'apparente scopo di costringere i praticanti a ritrattare la loro fede nel Falun Gong.


Una batteria rimovibile è deve

Questa è in cima alla mia lista: vuoi telefono con batteria rimovibile .

Perché? Perché ci sono un milione di modi per hackerarti e ascoltare le tue conversazioni. Immagina di fare un dolce amore con la tua dolce metà, e un bastardo malato di un governo repressivo, o anche un criminale, decide di ascoltare e spassarsela:

"Nel corso del loro lavoro quotidiano si imbattono in qualcosa che è completamente estraneo al loro lavoro, ad esempio una foto di nudo intimo di qualcuno in una situazione sessualmente compromettente ma sono estremamente attraenti ", ha detto. “Allora cosa fanno? Si girano sulla sedia e mostrano un collega. E il loro collega dice: "Oh, ehi, è fantastico. Mandalo a Bill in fondo. ""

Mr. Snowden ha affermato che quel tipo di condivisione si verificava una volta ogni due mesi ed era "visto come il vantaggio marginale delle posizioni di sorveglianza".

Ci sono anche molti modi per fingere che il tuo telefono è spento quando in realtà non è spento:

Il tuo telefono diventa fondamentalmente un bug che dice alla NSA tutto quello che succede intorno a te. Qualsiasi conversazione tu abbia o qualsiasi cosa imbarazzante che fai, la NSA la registrerà.

La parte peggiore è che anche se spegnessi il telefono per sicurezza, non sarebbe davvero spento. L'app fa finta che il tuo telefono sia spento: spegne lo schermo, ignora le chiamate in arrivo e non risponde alla pressione dei pulsanti, ma lo spionaggio continuerà.

Poiché noi vedi dall'esempio sopra, la tua privacy non è nemmeno rispettata dalla NSA. Anche criminali e governi repressivi possono hackerare il tuo telefono e ascoltare le tue conversazioni. Allora perché non vorresti un telefono con una batteria rimovibile se ritieni di essere preso di mira?


Trova un dispositivo facilmente modificabile

Le app gratuite su Android possono facilmente consentire una forma di accesso backdoor al tuo telefono nella sua interezza. Conosci tutti quei permessi raccapriccianti che continui ad accettare perché ti piacciono le "cose ​​gratis"? Sì, quelli. "Questa applicazione richiede l'accesso a: contatti, microfono, fotocamera, ecc." No grazie.

È ancora peggio quando i governi e le società pubblicitarie utilizzano trucchi ultrasonici che collegano i tuoi dispositivi tra loro. Una batteria rimovibile, insieme alla protezione della privacy di Cyanogen, farà molto per contrastare questo problema.

Come puoi aspettarti di mantenere le informazioni al sicuro se il tuo telefono invia costantemente informazioni sui tuoi modelli di utilizzo alle società di marketing e governi? Non dimenticare CISPA. Il governo vuole richiedere tali dati legalmente , anche se li possiede già.

Il un> governo non può nemmeno mantenere le proprie proprie informazioni protette, quindi perché dovrebbe essere autorizzato a mantenere le tue informazione? Neanche le aziende riescono a proteggere i propri dati. Perché dovresti fidarti di uno di loro?

Suggerirei un telefono che può essere modificato. Ad esempio, puoi installare CyanogenMod e utilizzare la funzione Privacy Guard per disabilitare l'accesso dell'app alle tue informazioni importanti.

Hai anche molto più controllo sul tuo telefono che con la merda di magazzino.


I telefoni con operatore bloccato sono inutili negli Stati Uniti, e Cina

Non vuoi un telefono bloccato per un operatore. Spesso si verificano gravi ritardi negli aggiornamenti della sicurezza, alcuni richiedono anni . Uno dei miei telefoni era bloccato dal gestore telefonico e non ho potuto aggiornarlo fino a quattro anni dopo. Nel frattempo, era vulnerabile a quasi tutto, ma si è rivelato un eccellente honeypot per scopi di reverse engineering. Sospetto che potresti non volere qualcosa del genere.

Questo è ancora un problema con molti telefoni bloccati dall'operatore. Noterai che hai perso completamente gli aggiornamenti che tutti gli altri stanno ricevendo. Non va bene.

Sfortunatamente, questo di solito significa sborsare il prezzo intero per un telefono sbloccato. Ne vale sicuramente la pena, poiché puoi aggiornare il telefono molto più facilmente, specialmente se stai usando CyanogenMod. Quando il telefono è interamente sotto il tuo controllo, puoi fare di più con esso. Puoi applicare gli aggiornamenti della sicurezza più velocemente e non è necessario attendere che l'operatore lo aggiorni.


Troppo lungo, non ho letto

I miei primi tre consigli:

  1. Batteria rimovibile (app / hack possono fingere che il tuo telefono sia spento quando è ancora acceso)
  2. Moddable con Privacy Guard (Cyanogen Mod, per esempio)
  3. Telefoni sbloccati, nessun blocco operatore.
I commenti non sono per discussioni estese; questa conversazione è stata [spostata nella chat] (http://chat.stackexchange.com/rooms/37013/discussion-on-answer-by-mark-buffalo-what-security-features-are-important-when-b) .
#4
+16
TheHidden
2016-03-10 16:19:28 UTC
view on stackexchange narkive permalink

Cercando di evitare consigli, per mantenere il tuo telefono al sicuro, lo suddividerò in 3 livelli:

Applicazioni

Quando cerchi applicazioni da posizionare sul tuo telefono, ti serve per guardare le autorizzazioni che chiedono e chiediti: questa partita di scacchi ha davvero bisogno di accedere ai miei contatti, bluetooth e Internet? NO non lo fa, un'app per me è sospetta se chiede qualcosa che ha poco senso (anche se scoprirai che la maggior parte delle app chiederà di vedere le tue foto / file, ma non mi fido ancora di questo)

Software per il tuo telefono

Devi cercare una versione software generica compatibile con il tuo telefono, il miglior tipo di opzione sarebbe quella di cercare piattaforme Android open source (Android è open source ma cercare di convincere i programmatori a rivedere le ROM create dalle aziende è difficile). Tutti i telefoni useranno il sistema operativo specifico del tuo fornitore di servizi, ad esempio: O2 (telecomunicazioni inglesi) gestirà i propri aggiornamenti e impacchetterà le proprie cose con esso. Hai bisogno di una versione pulita e compatibile con qualsiasi telefono che acquisti.

Hardware

Ora questa è la risposta più difficile, l'hardware è hardware ma puoi crittografare il tuo dispositivo in modo che sia sicuro il tuo hardware. Questo è tutto ciò che posso offrirti per quanto riguarda le informazioni.

Altri suggerimenti

Puoi ottenere applicazioni che proteggono il tuo traffico, devi solo ricordare la persona dall'altra parte deve essere in grado di decrittografare le tue informazioni. Puoi anche avere volumi nascosti sul tuo telefono per mantenere al sicuro solo alcuni bit di informazioni.

Puoi provare a utilizzare le chiamate web e disporre di servizi esterni per gestire il tuo traffico, come VPN anonime. Ci sono anche molte opzioni per applicazioni e servizi per la rete TOR. Ricorda solo che puoi proteggere facilmente le tue informazioni sul tuo dispositivo. (non dimenticare di utilizzare una password sicura), ma mantenere la comunicazione sicura ma accessibile al destinatario desiderato richiede anche la capacità di decrittografarla.

L'utilizzo di TOR o di servizi crittografati in congiunzione con la comunicazione web sul telefono significa che puoi decentralizzare il tuo dispositivo da te. La fonte del traffico è difficile da individuare. Ma visto che è il tuo telefono, non è ancora impossibile trovare la fonte.

Hai bisogno di qualcosa di specifico? Commenta e aggiornerò la mia risposta.

WhatsApp è crittografato (OTR / Axolotl) solo per la comunicazione diretta da persona a persona su dispositivi Android. Le chat di gruppo non sono crittografate. La comunicazione con dispositivi non Android non è crittografata.
aggiornando la mia risposta @SEJPM
@SEJPM in realtà, esiste un'app chiamata CoverMe che utilizza una crittografia avanzata per la messaggistica individuale e di gruppo, nonché le chiamate VoIP, e funziona anche con la sua controparte nell'app store iOS.
@Matt mi riferivo specificamente a WhatsApp. Ci sono altre app che consentono effettivamente chat di gruppo crittografate, chat multipiattaforma crittografata e VOIP crittografato con Signal che probabilmente è la più famosa.
#5
+6
Noir
2016-03-12 19:35:08 UTC
view on stackexchange narkive permalink

Prima di tutto: c'è una buona guida del progetto TOR sull'indurimento di Android. Puoi dedurre tutti i criteri che devi cercare da esso.

Secondo: non posso credere che nessuno qui menzioni nemmeno la più grande backdoor che aggira la maggior parte delle misure di sicurezza finché il telefono è acceso: la banda base processore.

C'erano già alcune vulnerabilità scoperte e poiché il firmware di tutti i processori in banda base disponibili è closed source e non anche una specifica di interfaccia è disponibile, è molto difficile trovare backdoor e bug.

#6
-1
gnasher729
2016-03-13 15:12:09 UTC
view on stackexchange narkive permalink

Devi conoscere le tue esigenze, che dipendono dalla tua situazione.

Vuoi proteggerti dagli hacker comuni che attaccheranno persone a caso, dove non sei un bersaglio specifico ma solo una vittima casuale?

Sei un potenziale target, come una persona importante in un'azienda, qualche celebrità minore o maggiore? Le persone cercheranno di attaccare te personalmente?

Sei un criminale, che avrà le forze dell'ordine con mandati di perquisizione dopo di loro, o qualcuno che è scomodo per il loro governo, che avrà anche forze dell'ordine con mandati di perquisizione dopo di loro?

Numero 1: prendi un iPhone con sensore di impronte digitali, usa un passcode a sei cifre, usa l'autenticazione a due fattori, attiva "trova il mio telefono" in modo da poterlo bloccare se scompare, usa una password per il tuo AppleID che non può essere facilmente indovinato e non è la stessa password che usi altrove.

Numero 2: uguale a 1, usa un passcode di otto cifre, usa una password per il tuo AppleID che non utilizza alcuna informazione che un determinato hacker può scoprire su di te e che è impossibile indovinare ( ad esempio cinque parole casuali).

Numero 3: stai chiedendo alla persona sbagliata.

C'erano altri consigli qui, ma devi chiederti se hai il talento e il tempo per rendere il tuo telefono più sicuro di un telefono standard di un grande produttore che utilizza la sicurezza come punto di forza . E devi chiederti quanti disagi sei disposto ad accettare per una maggiore sicurezza. Ad esempio, insistere su una batteria rimovibile significa oggi che non è possibile utilizzare un telefono di nessuno dei principali produttori, il che significa che esiste già la possibilità di finire con un telefono meno sicuro.

E ci sono dei compromessi: ad esempio il sensore di impronte digitali riduce la sicurezza se tutto il resto è uguale (perché ogni modo diverso di entrare nel telefono è un potenziale rischio), ma incoraggia le persone a utilizzare codici più lunghi, il che sarebbe molto scomodo se li hai usati tutto il tempo.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...