В виде чеклиста
Безопасность мобильных устройств и, в частности, смартфонов – тема неисчерпаемая. Android и iOS образуют два мира. Сообщество Android пестрит разными версиями этой операционной системы. Некоторые разработчики придумали собственные оболочки, в которых логика и удобство не всегда занимают почетные места. Другая особенность смартфонов по сравнению с компьютерами – относительная простота изменений, настроек, установки приложений.
В итоге два смартфона одного года выпуска могут быть похожи, как зебра на крокодила. И всё-таки мы попробуем дать некоторые советы.
Этот список нельзя считать универсальным. Те или иные пункты могут иметь разный «вес» в вашей модели угроз. Мы также не претендуем на полноту. Это просто рекомендации «как немножко повысить безопасность». Иногда – просто выиграть время для принятия более решительных и эффективных мер.
Лучше хранить данные не на устройстве, а, например, в облаке. Еще лучше, конечно, если вы шифруете файлы перед отправкой в облако. Так вы избежите ситуации, когда вместе со сломанным (потерянным, украденным, изъятым) смартфоном потеряете ценные данные. В частности, это касается фото и видео, которые съедают очень много места на устройствах.
Почистите от лишних данных адресную книгу, историю звонков и SMS, контакты, электронные письма, сообщения в мессенджерах, заметки, историю просмотров в браузерах. Сократите объем информации, которая потенциально может попасть на глаза постороннему.
Создайте резервную копию оставшихся данных. Это можно сделать средствами синхронизации, специальными программами или вручную.
Шифрование станет на пути злоумышленника, если тот решит добраться до содержимого смартфона. Айфоны зашифрованы по умолчанию, с Android ситуация сложнее. Если у вас сравнительно старая версия Android (например, 6 или 7) с шифрованием всего устройства (FDE, full device encryption), смартфон может и не быть зашифрован по умолчанию. Проверьте это в настройках. В более свежих версиях Android (8, 9 и новее) FDE уступило место шифрованию на основе файлов FBE (file based encryption). Подробнее можно прочесть здесь.
Включите блокировку экрана устройства. Лучше, если в ситуациях повышенного риска защитой станет надёжный пароль. Простенький ПИН-код, FaceID или отпечаток пальца удобны в быту, но делают устройство несколько более уязвимым. Комбинацию из четырех цифр можно подобрать (хоть и долго), а приложить к сканеру палец вас могут заставить (или воспользоваться вашим беспомощным/бессознательным состоянием). Резюмируя: блокировка в том или ином виде должна быть включена всегда, а выбор конкретного способа зависит от ситуации.
Настройте систему так, чтобы блокировка экрана активировалась не через пять или десять минут, а уже через минуту-две бездействия. Если телефон окажется в чужих руках, у злоумышленника будет меньше шансов добраться до ваших данных.
Некоторые оболочки (например, MIUI от Xiaomi) позволяют «запароливать» отдельные приложения. Еще один барьер на пути злоумышленника. У некоторых приложений есть встроенная опция защиты паролем. Например, это естественно для парольных менеджеров, но также встречается и в других приложениях (andOTP).
Звучит архаично. Однако возможна ситуация, когда злоумышленник завладеет смартфоном, вынет из него SIM-карту и вставит в другой аппарат. Тогда он сможет «восстанавливать забытые пароли» к тем вашим аккаунтам, где есть такая функция и привязка к мобильному номеру. Старомодный пин-код делает эту задачу не столь простой.
Без необходимости не привязывайте свой телефонный номер к аккаунтам (например, почте, облачному хранилищу и др.). Даже если владелец сервиса утверждает, что это полезно с точки зрения безопасности – чтобы восстановить забытый пароль. Привязка мобильного номера – потенциальная уязвимость. Лучше инвестируйте в надежное хранение паролей и резервное копирование.
Используйте приложение на смартфоне как второй фактор двухфакторной аутентификации. Это лучше, чем двухфакторная аутентификация по SMS. И не забывайте о резервных кодах. Конечно, двухфакторная аутентификация должна быть включена для мессенджеров.
Удалите приложения, которыми больше не пользуетесь, или которые скачали когда-то «попробовать» и «на всякий случай». Меньше неожиданностей, больше свободного места. Устанавливайте только те приложения, которые действительно нужны.
Контролируйте разрешения приложений. Если приложение-фонарик требует доступ к сети, адресной книге и GPS-координатам, найдите фонарик поскромнее. Не позволяйте ему таскать ваши данные для решения чьих-то маркетинговых задач. Для установленных приложений разрешения тоже можно контролировать (и отключать).
Убедитесь, что в настройках включено автоматическое обновление как операционной системы, так и приложений.
В Android есть опция, разрешающая установку приложений из других источников, помимо Google Play, например, непосредственно из файлов .apk. Если у вас нет этой необходимости, запретите другие источники, кроме Google Play. Для iPhone эта проблема не актуальна.
В Android есть минимальный антивирус, встроенная защита от вредоносного кода – Google Защита. По умолчанию она включена. Убедитесь, что так и есть.
Используйте для общения относительно безопасный мессенджер со сквозным шифрованием (хотя бы Signal), а не SMS, обычные голосовые звонки или незащищенную электронную почту.
Установите на смартфон Tor Browser (в iOS – Onion Browser), держите под рукой. Это полезный инструмент для обеспечения анонимности, может пригодиться.
Используйте VPN для защиты конфиденциальности, особенно при подключении к чужим сетям wifi (аэропорт, гостиница, кафе).
Не подключайтесь к сомнительным бесплатным открытым сетям wifi, в чьей принадлежности вы не уверены.
Не держите опцию wifi постоянно включенной. Хотя бы из соображений экономии энергии и недопущения автоматического подключения к «знакомым» сетям.
Смартфон может «запоминать» ваши wifi-подключения. Это удобно: приходя в знакомое кафе, не нужно вспоминать пароль. Но если устройство все-таки попадет в руки злоумышленника, он сможет получить еще одно подтверждение ваших перемещений. Возможно, лучше удалить из истории хотя бы те места, куда не собираетесь возвращаться.
Если вы раздаете собственную сеть wifi со смартфона, может быть, лучше не использовать идентифицирующие данные или какую-либо провоцирующую информацию в названии сети.
Тот же совет касается названия самого устройства.
Если раздаете wifi, не пренебрегайте парольной защитой. Включайте WPA2-PSK с надёжным паролем.
Отключите вывод содержания сообщений на экране блокировки. Иначе, если смартфон попадет в чужие руки, злоумышленник сможет прочесть важную информацию даже на заблокированном устройстве.
Заведите на смартфоне приложение для навигации с офлайновыми картами (например, Organic Maps). Это поможет при ориентировании на местности во множестве ситуаций (а также повысит ощущение контроля и безопасности).
Функция геолокации может быть полезна для поиска потерянного устройства.
В Android есть так называемый «режим разработчика». Он предназначен для людей, которые создают приложения под эту операционную систему. Режим разработчика расширяет возможности управления устройством, но также делает его более уязвимым. Если у вас в настройках виден этот режим, но он вам не нужен, лучше его отключить.
Права суперпользователя (Root для Android, Jailbreak для iOS) позволяют добиваться от смартфона многих полезных и прикольных штук, например, удалять ненужные системные приложения. Но это также повышает риски. Если нет острой необходимости и если вы не уверены, что делаете, не стоит перепрошивать устройство или покупать «рутированный» смартфон.
Не оставляйте устройство вне вашего контроля. Даже ненадолго. Например, не выкладывайте его на столик, проходя через рамки в аэропорту, на вокзале, на согласованной публичной акции (лучше положите в сумку). Имейте в виду риск кражи и физического повреждения. По возможности не передавайте смартфон другим людям.
Не позволяйте аккумулятору смартфона уходить в глубокий разряд. Это может быть вредно для аккумулятора. Если очень долго не пользуетесь устройством, хотя бы иногда подзаряжайте его.
Отправляясь куда-либо на несколько часов или дольше, прихватите зарядное устройство (powerbank). Не рассчитывайте на бесплатные зарядки в публичных местах. Там может не быть ожидаемого тока (или не быть вообще никакого тока). Кроме того, такая общественная зарядка заставит вас «дежурить» поблизости, следить за устройством, чтобы его не украли, и т.д.
Физически защитите смартфон от ударов: купите приличный чехол и наклейте защитное стекло (хотя бы плёнку).
Пользуйтесь режимом «в самолете», когда нужно «исчезнуть с радаров» (театр, совещание, вебинар; или если вы полагаете, что кто-то отслеживает ваши перемещения; или просто хотите посидеть в тишине на берегу реки, наблюдая за течением). Не забывайте, пожалуйста, отключать этот режим по возвращении из астрала.
Если время от времени меняете SIM-карты и карты microSD в смартфоне (нередко это происходит на ходу), придумайте для временно не используемых карт какое-нибудь место надежного хранения. Это может быть отделение в бумажнике или карман с молнией, или какой-то отдельный контейнер.
В некоторых ситуациях риска вам может пригодиться надежный человек с доступом к вашим аккаунтам. Доверенное лицо выручит, например, если телефон окажется изъят или украден, а вы сами будете не в состоянии срочно сменить пароли и привязать новое устройство для двухфакторной аутентификации.
Иногда лучше взять с собой не основной, а подменный аппарат, так называемый «полевой телефон». Обычный простенький смартфон, которого не так жалко лишиться. С минимальным набором программ, без архива почты и сообщений мессенджеров, без фотографий и заметок. А порой лучше вообще не брать с собой телефон (например, если вызывают на допрос, который вполне может перерасти в задержание с изъятием смартфона).
Наконец, смартфон как постоянный источник информации может усиливать стресс. Бывает полезно давать себе отдых от ежеминутного общения с электронным компаньоном.
Эта статья впервые была опубликована на сайте Теплицы социальных технологий. Автор благодарит консультантов по безопасности Даниила Липина и Михаила Ивановского за помощь при подготовке этого материала.