Перейти к содержанию

Можно ли доверять свои данные сотрудникам ремонтных сервисов? | Блог Касперского


Рекомендуемые сообщения

Наверное, в жизни каждого из нас хотя бы раз случалась поломка, так сказать, очень личного цифрового устройства — смартфона, планшета или ноутбука. В поломке может быть виноват сам пользователь — бесчисленные миллиарды долларов заработаны на замене разбитых экранов смартфонов. Но чаще всего это просто случайная неисправность: вышел из строя аккумулятор, умер жесткий диск, отвалилась клавиша на клавиатуре и так далее. Как говорится, с кем не бывает.

Увы, сейчас электроника устроена таким образом, что чинить ее самостоятельно часто не под силу даже самым рукастым ты-ж-программистам. Ремонтопригодность тех же смартфонов неуклонно снижается из года в год, и для починки современных моделей нужны уже не только прямые руки и общее понимание того, как устроены всякие цифровые штуковины, но еще и экзотические инструменты, специфические навыки, а также доступ к документации и запчастям.

Поэтому в момент, когда сломался смартфон или ноутбук, чаще всего у пользователя нет никакого выбора — придется обратиться в сервисный центр. Обычно даже выбросить, забыть и купить новый девайс — не вариант, потому что как минимум хочется спасти всю ту информацию, которая осталась на устройстве. Проблема в том, что вместе с самим пострадавшим устройством в руки совершенно постороннего человека придется отдать, собственно, и все личные данные, на нем хранящиеся. Фотографии и видео, переписка и история звонков, документы и финансовая информация — все вот это может оказаться в прямом доступе у незнакомого вам человека. И тут возникает вопрос: а можно ли этому человеку доверять?

Рабочий кинозал с домашним порно

Лично я очень серьезно задумалась над этим вопросом после рассказа моего знакомого, которому как-то довелось в частном порядке пообщаться с сотрудниками одного небольшого сервисного центра, занимавшегося ремонтом ноутбуков. Ремонтники совершенно не смущаясь рассказывали, что в этом сервисном центре для сотрудников и их друзей периодически проводятся «закрытые показы» домашнего порно, обнаруженного на попавших им в руки устройствах.

Подобные инциденты время от времени мелькают и в новостях: то в одном сервис-центре обнаружится сотрудник, ворующий приватные фотографии клиентов, то в другом. Иногда всплывают более масштабные истории — например, о сотрудниках сервисных центров, которые годами не просто воровали фотографии клиентов-женщин. Из них они собирали целые коллекции и даже обменивались ими.

Но ведь эти случаи — исключения из общей практики? Cовсем не в каждом сервисном центре сотрудники жаждут наложить руки на личные данные клиентов, правда? Исследование, которое недавно попалось мне на глаза, к сожалению, говорит об обратном. Из его результатов следует, что нарушение приватности клиентов работниками сервисов по ремонту электроники — гораздо более распространенная проблема, чем всем нам хотелось бы думать. Собственно, очень похоже на то, что излишнее любопытство ремонтников — скорее принятая в индустрии практика, чем какие-то отдельные вопиющие инциденты. Но не буду забегать вперед и расскажу обо всем по порядку.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

А вот интересно, если перед отправкой системника на техобслуживание (чистка от пыли, замена термопасты), вынуть все диски, то в сервисе примут такой компьютер? Или тоже скажут, что не смогут включить и проверить качество выполненной работы (типо, греется или нет)?

Ссылка на сообщение
Поделиться на другие сайты

думаю в сервисе есть свои "тестовые" диски, подобные случае не редки когда накопитель либо отсутствует либо неисправен

Ссылка на сообщение
Поделиться на другие сайты

Сдавал телефон в ремонт несколько лет назад. Попросили пароль. Я ответил, что не дам, ведь я не просто так его поставил. Никаких проблем не возникло - отремонтировали. Многие просят пароль "по привычке". Да и на приёмке может сидеть вообще сторонний человек, задача которого только данные клиента внести и технику принять. Он понятия не имеет, что нужно будет для ремонта. И по умолчанию предполагается, что пользователь тоже понятия не имеет. Так что вопросы задают просто по списку. Не хочешь отвечать - не отвечаешь, в чём проблема?

Ссылка на сообщение
Поделиться на другие сайты
Цитата

На Android-смартфоне стоит использовать функцию блокировки приложений, которая есть в нашем Kaspersky Internet Security для Android, — она позволяет «запереть» все ваши приложения на отдельный ПИН-код, никак не связанный с тем, который используется для разблокировки смартфона.

Где-то я читал, что защита эта пропадает, если удалить или отключить приложение КИС для андроид. При этом защиты от удаления самого КИС для андроид нет никакой. В итоге при необходимости запустить защищённое приложение, удаляй КИС, запускай приложение. Может быть сейчас этот недостаток исправили, тогда смысл в блокировки приложений с помощью КИС появится вновь. 

Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, Mrak сказал:

При этом защиты от удаления самого КИС для андроид нет никакой.

https://support.kaspersky.com/KISA/Android_11.97/ru-RU/152327.htm

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, Umnik сказал:

Сдавал телефон в ремонт несколько лет назад

Была аппаратная проблема? Обычно первым делом все "лечат" полной перепрошивкой/сбросом устройства

Ссылка на сообщение
Поделиться на другие сайты
11 hours ago, Friend said:

Была аппаратная проблема?

Да. У Nexus 5 была родовая травма - порт зарядки отваливался. Вот его перепаивали.

11 hours ago, kmscom said:

1. Нажать кнопку Питания, чтобы появилось меню выключения

2. Удерживать палец на кнопке отключения (на экране) пару секунд

3. Согласиться на запуск в безопасном режиме

 

Такие дела.

Ссылка на сообщение
Поделиться на другие сайты
14 минут назад, Umnik сказал:

3. Согласиться на запуск в безопасном режиме

В этом режиме пароль не спросят и можно удалить КИС, открыв доступ к защищённым пин-кодом КИС приложениям?

Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Mrak сказал:

В этом режиме пароль не спросят и можно удалить КИС, открыв доступ к защищённым пин-кодом КИС приложениям?

В этом режиме просто не будет запрашиваться код, так как KISa не запустится и блокировки приложений не будет. Можно запустить интересующее приложение и все посмотреть, главное не запускать KISa  принудительно.

Если попытаться удалить KISa, то он полностью заблокирует устройство, если была включена защита от удаления, по умолчанию функция отключена

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Friend сказал:

В этом режиме просто не будет запрашиваться код, так как KISa не запустится и блокировки приложений не будет. Можно запустить интересующее приложение и все посмотреть, главное не запускать KISa  принудительно.

Значит мои впечатления с давних времён всё ещё правильные и защита от КИСы по блокировке приложений - это вещь против дилетантов.

 

Samsung Knox гораздо эффективнее с созданием защищённой папки. Я ещё ни разу не слышал, чтобы лежащие в ней приложения или данные получили злодеи без пароля, рисунка, пин-кода, обойдя эту защиту. 

Цитата

Еще до запуска Android Verified Boot в устройствах с защитой Knox включается система безопасной загрузки. Она в несколько этапов проверяет, пытались ли установить на устройство неофициальную версию программного обеспечения или получить доступ к правам суперпользователя root, с помощью которых хакеры взламывают смартфоны. Если что-то не так, Knox блокирует доступ к защищенным данным: устройство можно включить, но информация будет недоступна.

 

Ссылка на сообщение
Поделиться на другие сайты

Другими словами, если вам нужно защищать данные на устройстве - шифруйте их, а не ставьте замочки в приложениях

Knox однозначно лучше. Вообще можно получить похожий уровень на любом Android (похожий, потому что для ТАКОГО ЖЕ нужна аппаратная поддержка, которой просто нет в дешмане), но это будет требовать сброса устройства в ноль и ни один производитель ПО для домашнего пользователя не будет это делать.

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Umnik сказал:

Другими словами, если вам нужно защищать данные на устройстве - шифруйте их, а не ставьте замочки в приложениях

Скажи пожалуйста, а если для меня ценные только банковские приложения, хватит встроенной в них защиты пин-кодом или её можно обойти? Мне вот лень с кноксом заморачиться, если у банков и так защита нормальная. 

Ссылка на сообщение
Поделиться на другие сайты
Только что, Mrak сказал:

это вещь против дилетантов.

Да, если Android устройство попадется @Umnikу , то все пиши пропало :rolleyes:

3 минуты назад, Mrak сказал:

Я ещё ни разу не слышал

Была вот такая статья ранее, хотя у этого софта вроде еще было много конфликтов с другими приложениями защиты.

4 минуты назад, Umnik сказал:

нужно защищать данные на устройстве - шифруйте их

Устройство должно быть с хорошей аппаратной начинкой и батарей, все-таки процесс шифрования и расшифровки не быстрый, к сожалению, и порой доставляет некоторые неудобства. 
В одно время я некоторые данные упаковал в архивы с шифрованием и паролем, долго не пользовался, забыл пароль и данных нет :coffee:

Ссылка на сообщение
Поделиться на другие сайты
11 minutes ago, Mrak said:

хватит встроенной в них защиты пин-кодом или её можно обойти?

Зависит исключительно от того, как реализовал банк. В целом в России банковские приложения обычно нормальные, мне кажется. Суть в том, что пин, который ты вводишь, это не пин для приложения, а ключ, на котором зашифрован токен, который приложение использует для общения с бэкэндом банка. Нет токена - нельзя общаться, т.к. бэк будет отвергать тех, кто ходит к нему без токена. То есть даже если рутануть устройство и извлечь токен, то это не поможет, т.к. он зашифрован на ключе, который известен только пользователю. Впрочем, можно перебирать, конечно. Только перебор быстро поймает антифрод система банка и заблокирует пользователя до выяснения. А токен будет сброшен и даже если его уже подобрать, то при обращении с этим токеном в БД будет сказано "кто вы такие, я вас не звал".

14 minutes ago, Friend said:

Устройство должно быть с хорошей аппаратной начинкой

Разумеется. Железо должно поддерживает нужные инструкции. А ещё генератор рандома должен быть честный. Потому и говорю, что дешман из Китая за 5 рублей кило - можно и не пытаться.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Занимающиеся фишингом киберпреступники все чаще отдают предпочтение сложным целевым атакам. Помимо использования для своих нужд разнообразных легитимных онлайн-сервисов, они применяют и методы социальной инженерии, чтобы убедить жертву перейти по ссылке. Недавно мы обнаружили очередную нестандартную многоступенчатую фишинговую схему, о которой стоит как минимум предупредить сотрудников, работающих с финансовой документацией.
      Первое письмо
      Начинается атака с того, что на почтовый адрес жертвы падает письмо от имени реально существующей аудиторской фирмы. В нем сообщается, что отправитель пытался прислать аудированный финансовый отчет (то есть отчет с результатами финансовой проверки), но он оказался слишком большим для почты и потому его пришлось загрузить в Dropbox. Следует отметить, что письмо отправляется с реального адреса на почтовом сервере компании (скорее всего, доступ к ящику захвачен атакующими).
        Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      В первой части фильма «Пятый элемент» есть фоновый эпизод, призванный продемонстрировать антиутопичность мира будущего: умное такси Корбина Далласа штрафует его за нарушение правил и аннулирует лицензию. Тогда это казалось фантастической выдумкой, а в наши дни постепенно становится реальностью. Но обо всем по порядку.
      Не так давно мы рассказывали о том, насколько опасны современные автомобили с точки зрения количества данных, собираемых ими о своих владельцах. А недавно появилось расследование, которое иллюстрирует, во что эта потенциальная опасность может вылиться для водителей на практике.
      Выяснилось, что автопроизводители через специализированных дата-брокеров уже вовсю продают данные телеметрии страховым компаниям, которые на основании этих данных увеличивают стоимость страховки за недостаточно аккуратное вождение. Ну а самая серьезная неприятность в том, что владельцев автомобилей не очень-то об этом предупреждают. Рассказываем обо всем этом подробнее.
      Геймификация аккуратного вождения с далеко идущими последствиями
      Все началось с того, что американские владельцы автомобилей, произведенных компанией General Motors (ей принадлежат бренды Chevrolet, Cadillac, GMC и Buick), стали замечать, что цены на страховку авто для них значительно выросли по сравнению с предыдущим периодом страхования. Как оказалось, причиной такого роста стали досье, составленные на водителей компанией LexisNexis. Это брокер данных, работающий с автостраховщиками и обычно поставлявший им информацию об авариях и штрафах водителей. Однако у заметивших подорожание страховки водителей не было истории аварий или значительных нарушений!
      Выяснилось, что в досье, составленных LexisNexis, содержалась подробная информация обо всех поездках, совершенных на страхуемом автомобиле, включая время старта и финиша, продолжительность, дистанцию и — самое главное — все случаи резкого набора скорости и торможения. Собственно, эти данные и стали основанием для страховщиков повысить страховые премии — за недостаточно аккуратное вождение. Где же дата-брокер взял настолько подробную информацию?
      Оказалось, эти данные были собраны с помощью OnStar Smart Driver. Так называется функция геймификации безопасного вождения, встроенная в автомобили General Motors и мобильные приложения принадлежащих ей брендов: myChevrolet, myCadillac, myGMC и myBuick. Эта функция ведет учет резких ускорений и торможений, превышений скорости и прочих опасных событий и дает виртуальные награды за аккуратное вождение.
      Функция геймификации безопасного вождения OnStar Smart Driver встроена в мобильные приложения General Motors — myChevrolet, myCadillac, myGMC и myBuick. Источник
      Причем, судя по рассказам владельцев автомобилей, далеко не все из них включали эту функцию самостоятельно — в ряде случаев ее включал для них автодилер. Отдельно стоит отметить, что приложения не предупреждали пользователей в явном виде о том, что собранные OnStar Smart Driver данные могут быть переданы дата-брокеру, работающему со страховыми компаниями.
      Не увенчались успехом и попытки найти четкие предупреждения о данном факте как в тексте условий использования мобильных приложений General Motors, так и в положении о конфиденциальности, опубликованном на сайте OnStar. В нем содержится уведомление о возможности передачи собранных данных третьей стороне, но страховщики в явном виде в списке не указаны, и вообще он сформулирован максимально расплывчато.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Недавно вышедшие отчеты экспертов «Лаборатории Касперского», посвященные статистике сервиса мониторинга и реагирования (MDR) и сервиса реагирования на инциденты (IR) за 2023 год, показывают, что в большинстве наблюдавшихся кибератак применяется всего несколько техник, повторяемых из раза в раз. Они встречаются как в атаках, доведенных до конца и приведших к ущербу, так и в инцидентах, остановленных на ранних стадиях. Мы решили перечислить эти техники, опираясь на классификацию ATT&CK, и обобщить рекомендации экспертов по их нейтрализации. С частотой применения каждой техники и конкретными примерами можно ознакомиться в самих отчетах.
      Эксплуатация публично доступных приложений
      Техника ATT&CK: T1190, тактика ТА0001 (первоначальный доступ)
      Что это: использование уязвимостей в одном из приложений организации, доступных через Интернет. Наиболее популярны атаки на веб-серверы, серверы Exchange и баз данных, а также на точки подключения VPN. Также злоумышленники активно ищут и эксплуатируют находящиеся в открытом доступе панели управления IT-инфраструктурой — от серверов SSH до SNMP.
      Как защититься: отдавайте приоритет обновлению ПО на периметре сети, а также используйте дополнительные меры защиты для сервисов на периметре. Закрывайте порты управления от доступа извне. Регулярно сканируйте внешний периметр в поисках уязвимостей и просто приложений, внешний доступ к которым предоставлен случайно и должен быть отозван. Устанавливайте агенты EDR и средства защиты, в том числе на серверы приложений.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      В сотовых M2M-модемах Telit Cinterion были обнаружены несколько серьезных уязвимостей, включая возможность удаленного выполнения произвольного кода (RCE) посылкой SMS-сообщений. Эти модемы используются в миллионах разнообразных устройств и систем, предназначенных как для пользовательского сегмента рынка (платежные терминалы, банкоматы, автомобили), так и для здравоохранения, финансового сектора, телекоммуникации, промышленности и многих других целей. Рассказываем подробнее о выявленных уязвимостях и о том, как от них можно защититься.
      Критические уязвимости в модемах Cinterion
      В общей сложности эксперты Kaspersky ICS-CERT обнаружили в модемах Telit Cinterion семь уязвимостей нулевого дня:
      CVE-2023-47610 / KLCERT-23-018: с помощью отправки особым образом созданных SMS атакующий получает возможность удаленного выполнения кода (RCE) в системе. CVE-2023-47611 / KLCERT-22-216: позволяет атакующему с низкими привилегиями в системе повысить их до уровня «manufacturer» (производитель). CVE-2023-47612 / KLCERT-22-194: имея физический доступ к устройству, атакующий получает возможность чтения и записи любых файлов и папок в системе, включая скрытые. CVE-2023-47613 / KLCERT-22-211: позволяет атакующему с низкими привилегиями в системе совершить побег из виртуальной папки и получить доступ к чтению и записи защищенных файлов. CVE-2023-47614 / KLCERT-22-210: позволяет атакующему с низкими привилегиями в системе обнаружить скрытые виртуальные пути и имена файлов. CVE-2023-47615 / KLCERT-22-212: позволяет атакующему с низкими привилегиями в системе получить несанкционированный доступ к конфиденциальным данным. CVE-2023-47616 / KLCERT-22-193: имея физический доступ к устройству, атакующий может получить несанкционированный доступ к конфиденциальным данным. Наибольшую опасность представляет собой первая уязвимость из этого списка (CVE-2023-47610). В числе прочего эта уязвимость позволяет манипулировать памятью и флеш-накопителем модема, что в итоге дает возможность получить полный контроль над системой. При этом для атаки не требуется ни физический доступ к устройству, ни аутентификация на нем.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Для того чтобы найти человека, Диоген, как известно, использовал фонарь — философ полагался исключительно на оптические методы распознавания. Современные же ученые предлагают применять для этих целей сигнал Wi-Fi. Если быть точным, то методика, разработанная тремя исследователями из Университета Карнеги-Меллона, использует сигнал обычного домашнего Wi-Fi-роутера для того, чтобы достаточно точно распознавать не только местоположение, но и позы людей в помещении.
      Почему Wi-Fi? Для этого есть несколько причин. Во-первых, в отличие от оптического распознавания, радиосигнал отлично работает в темноте и ему не мешают мелкие препятствия вроде мебели. Во-вторых, это дешево, чего нельзя сказать о лидарах и радарах, которые в целом тоже способны справиться с задачей. В-третьих, Wi-Fi уже повсеместно распространен — бери и пользуйся. Остается понять, насколько этот метод рабочий и чего с его помощью можно достичь, — давайте же в этом разберемся.
      DensePose: методика распознавания человеческих поз на изображениях
      Начать, впрочем, придется немного издалека — сперва следует разобраться с тем, как в целом работает точное распознавание человеческого тела и его позы. В 2018 году другая группа ученых представила методику под названием DensePose. С ее помощью они успешно распознавали человеческие позы на фотографиях — сугубо на основе двумерных картинок, без использования данных о третьей координате — глубине.
      Вот как это работает. Для начала модель DensePose ищет на изображениях объекты, которые распознаются как человеческие тела. Далее эти объекты разделяются на отдельные участки, которые сопоставляются с теми или иными частями тела — каждая из них обрабатывается отдельно. Такой подход используется потому, что разные части тела двигаются очень по-разному: например, голова и торс ведут себя совсем не так, как руки и ноги.
       
      Посмотреть статью полностью
×
×
  • Создать...