Question:
Quelles fonctionnalités de sécurité sont importantes lors de l'achat d'un smartphone?
James Bradbury
2016-03-10 16:02:10 UTC
view on stackexchange narkive permalink

Je cherche à remplacer mon très ancien smartphone Android. La sécurité de l'information est de plus en plus une fonctionnalité que je recherche. En plus d'être lent, je ne pense pas pouvoir mettre à niveau mon téléphone actuel vers les dernières versions d'Android ou même la dernière version de l'application de sécurité mobile que j'utilise, donc presque tout serait probablement une amélioration.

Idéalement, je recherche un combiné ou une ROM qui a la sécurité (idéalement le cryptage des données en communication et au repos) comme priorité et qui sera probablement encore sécurisé (avec des mises à jour) dans plusieurs années. Je préférerais une solution Android, à moins que la sécurité sur d'autres plates-formes ne soit nettement meilleure / plus facile à atteindre.

Le choix du combiné est-il une considération importante, ou la sécurité dépend-elle principalement de la façon dont il est utilisé - régulier mises à jour, une vérification minutieuse des applications avant l'installation?

VEUILLEZ NOTER : Je ne suis pas à la recherche d'une recommandation spécifique , mais plutôt de conseils pour savoir ce qu'il faut rechercher . N'hésitez pas à ajouter des recommandations dans les commentaires - mais PAS les réponses.

de nos jours, Android offre un cryptage complet du disque, des applications comme Signal offrent une communication cryptée forte et des applications comme Orbot vous permettent d'acheminer (tout) votre trafic via TOR. La propriété de sécurité la plus intéressante de nos jours pour Android est la prise en charge des correctifs post-lancement. "À quelle fréquence un modèle / ROM spécifique est-il corrigé et pendant combien de temps?" (c'est spécifique au fournisseur) est alors la question principale.
James, j'ai ajouté un avis explicite à la question, pour me concentrer sur les fonctionnalités et comme par exemple votre question d'origine, au lieu d'inonder les réponses avec des recommandations sans fondement (qui auraient été fermées comme hors sujet - votre question est cependant bonne). Faites-moi savoir si c'est ce que vous vouliez.
@AviD. Merci, c'est exactement ce que je voulais. Je sais que les questions de recommandation sont trop rapidement obsolètes pour être utiles.
Si vous pouvez installer un logiciel sur le téléphone que vous envisagez et qu'il fonctionne sur Android, exécutez [Android Vulnerability Test Suite] (https://github.com/nowsecure/android-vts). Il ne vous dira rien sur l'avenir, mais il vous dira si le téléphone est actuellement en sécurité, et cela devrait vous donner un indice chaque fois que la ROM est mise à jour ou non.
Les lecteurs intéressés par cette question pourraient également être intéressés par un [Smartphone livré sans logiciel propriétaire préinstallé?] (Http://hardwarerecs.stackexchange.com/q/27/30)
Le choix du combiné est définitivement important. Il existe un certain nombre d'appareils Android qui ont subi des exploits root à distance - dans un cas, quelqu'un pourrait prendre le contrôle de votre téléphone simplement en vous envoyant un fichier vidéo. D'un autre côté, il existe des appareils qui n'ont pas été rootés, même par les propriétaires d'appareils avec un accès physique complet. Un exemple est le BlackBerry Priv - il a des politiques SELinux très strictes, pathtrust, et est le seul téléphone Android à sortir avec grsec (entre autres). Divulgation: j'ai travaillé sur ce téléphone.
Voici un examen abattant la revendication "privé par conception" du Blackphone: [partie 1] (http://www.version2.dk/blog/blackphone2-review-1-508188), [partie 2] (http: / /www.version2.dk/blog/blackphone2-review-2-545078).
Six réponses:
#1
+72
Stephen Schrauger
2016-03-11 03:45:24 UTC
view on stackexchange narkive permalink

TLDR: Il existe plusieurs catégories de sécurité à prendre en compte lors de la recherche d'un téléphone. Le principal conseil, cependant, est d'obtenir un téléphone plus récent avec les dernières fonctionnalités de sécurité, et d'un fabricant qui a une bonne réputation de fournir des mises à jour.

Sécurité contre d'autres personnes (pairs, police / gouvernement)

Recherchez des appareils plus récents avec un cryptage complet du disque et avez au moins un code ou une empreinte digitale requis pour déverrouiller votre appareil.

Les deux Android et iOS ont la possibilité de crypter le téléphone. Lors du démarrage du téléphone, le mot de passe doit être fourni pour terminer le démarrage et afficher les fichiers.

  • À l'envers: votre téléphone est protégé contre les tentatives externes de lecture des données
  • Inconvénient: Vous devez saisir votre mot de passe / code PIN à chaque démarrage, et généralement chaque fois que vous déverrouillez votre écran.

Comme il est intégré aux versions plus récentes d'Android et d'iOS, vous devez affinez légèrement votre recherche pour exclure les téléphones plus anciens qui ne disposent pas de cette fonctionnalité.

Clé de cryptage vs code de déverrouillage

Pour un compromis convivialité / sécurité, je préfère avoir un mot de passe long requis au démarrage, mais disposez d'un code plus simple pour déverrouiller l'écran. Apple le fait de manière native, vous permettant de définir un code PIN ou un mot de passe requis au démarrage, mais vous permettant ensuite de déverrouiller le téléphone avec votre empreinte digitale.

  • Inversement: vous pouvez utiliser un mot de passe complexe, tout en conservant la facilité de déverrouillage rapide de votre téléphone.
  • Inconvénient: un surfeur d'épaule ne peut pas déverrouiller votre téléphone, car votre empreinte digitale le déverrouille. Ils devraient vous attraper lorsque vous tapez le mot de passe au démarrage. (Lorsque vous saisissez votre mot de passe, assurez-vous que personne ne regarde!)
  • Inconvénient: votre empreinte digitale n'est pas protégée par la loi (aux États-Unis). La police peut vous forcer à déverrouiller le téléphone avec votre empreinte digitale. Alors qu'un mot de passe ou un code, quelque chose que vous connaissez, ne peut pas être forcé de vous. Même si un tribunal vous ordonne et vous tient au mépris pour ne pas avoir fourni le code de déverrouillage, il ne peut pas accéder à vos données sans votre coopération.

Sur un appareil Android enraciné, vous pouvez installer un mod qui vous permet d'avoir un mot de passe de démarrage complexe et un code PIN plus simple pour le déverrouillage de l'écran. Si vous entrez le code PIN de manière incorrecte, le mot de passe fort doit être entré, ce qui empêche les tentatives de force brute avec le code PIN beaucoup plus simple. Cependant, vous perdez une certaine sécurité, car toute personne qui surfe sur l'épaule pourrait vous voir entrer votre code PIN et voler plus tard le téléphone pour le déverrouiller.

  • Inversement: vous pouvez utiliser un mot de passe complexe, tout en conservant le facilité de déverrouillage rapide de votre téléphone.
  • Inconvénient: seules vos connaissances peuvent déverrouiller l'appareil.
  • Inconvénient: vous devez saisir un code PIN chaque fois que vous déverrouillez l'écran. Comme cela arrive fréquemment, il est beaucoup plus probable que quelqu'un puisse découvrir votre combinaison de déverrouillage simple.

Sécurité contre les applications

Vérifiez les autorisations des applications avant d'installer, et assurez-vous d'avoir un téléphone plus récent avec une gestion des autorisations supplémentaire.

Apple / iOS

Les appareils Apple (à l'exception des appareils jailbreakés) ne peuvent installer que les applications qui ont été Processus de vérification d'Apple. Bien que ce ne soit pas un succès à 100%, cela protège la plupart des utilisateurs de l'installation d'une application malveillante. En plus de cela, certaines fonctionnalités de confidentialité évidentes, telles que la localisation GPS et les coordonnées, nécessitent une invite utilisateur supplémentaire pour permettre à une application d'accéder à ces informations.

Android 6.0+

Les paramètres d'autorisation d'Android avant la version 6.0 de Marshmallow étaient tout ou rien. Si une application a demandé des autorisations sur votre GPS, vous l'avez autorisée ou n'avez pas installé l'application. Android 6.0 introduit des fonctionnalités similaires à iOS qui permettent à l'utilisateur de refuser certaines autorisations tout en installant l'application.

Si vous regardez les appareils Android, cela restreint les appareils éligibles, à l'exclusion des téléphones qui n'ont pas Android 6.0 ou une version plus récente .

Android 4.x-5.x avec XPrivacy

Cependant, si l'appareil Android a root et peut installer le framework Xposed, vous pouvez installer XPrivacy. Cette application révise le modèle d'autorisation sur Android afin que presque toutes les autorisations possibles liées à la confidentialité puissent être autorisées ou refusées en temps réel. Si l'application tente d'utiliser le GPS, elle vous invite à autoriser ou à refuser (ou à fournir des informations fausses / nulles). Ceci est disponible pour la plupart des appareils Android rootables exécutant n'importe quelle version d'Android 4.0 à 5.0.

Recherchez un téléphone qui peut être rooté si vous voulez un ajustement extrême des autorisations de confidentialité.

Sécurité contre les bogues / exploits

Recherchez les téléphones fabriqués par des fabricants avec un historique de mises à jour régulières.

La plupart des mises à jour iOS et Android incluent des corrections de bogues ainsi que de nouvelles fonctionnalités. Tant que l'appareil iOS est pris en charge, ils peuvent tous obtenir la mise à jour en même temps lors de sa sortie.

Sur Android, les appareils Nexus sont généralement les premiers à recevoir les mises à jour. Pour les autres fabricants, assurez-vous qu'ils ont déjà fourni des mises à jour à des téléphones plus anciens et dans un délai raisonnable.

Vous pouvez également trouver un téléphone Android avec un chargeur de démarrage déverrouillé et une communauté de développement active. Bien que plus technique, cela peut être le moyen le plus rapide d'obtenir les dernières mises à jour, même après qu'un fabricant a cessé de prendre en charge le téléphone.

Sécurité contre le fabricant de l'appareil

Achetez des appareils auprès d'un fabricant de confiance et assurez-vous qu'il utilise le chiffrement complet du disque là où le fabricant ne détient pas la clé. De plus, pour Android, envisagez un appareil avec un chargeur de démarrage déverrouillable pour pouvoir charger des ROM personnalisées avec des mises à jour de sécurité plus récentes et de meilleures fonctionnalités de confidentialité intégrées.

Les appareils Apple ne peuvent pas être déverrouillés même par Apple à partir d'iOS 8. Bien qu'il soit possible en théorie pour Apple de fournir une mise à jour qui subvertit cela, il est actuellement impossible pour Apple de déverrouiller votre téléphone ou d'accéder à la partition cryptée sur votre téléphone . Cependant, si la sauvegarde iCloud est activée, ces données peuvent être accessibles par Apple.

De même, les appareils Android sur lesquels le chiffrement intégral du disque est activé ne peuvent pas être déverrouillés par le fabricant, ni même par Google .

Bootloader déverrouillé

Avec les appareils Android, un bootloader déverrouillé vous permet d'installer des ROM personnalisées, ou même de créer le vôtre à partir de zéro en utilisant le code source du système d'exploitation Android. Si votre téléphone n'est plus pris en charge par le fabricant, vous pouvez toujours mettre à jour vers la dernière version d'Android, en supposant que quelqu'un a compilé une ROM pour votre appareil.

Certaines ROM Android ont des contrôles de sécurité et de confidentialité supplémentaires intégrés. dans.

Attention: cela peut être préjudiciable à la sécurité. Assurez-vous d'utiliser une ROM qui est largement connue et fiable.

Sécurité dans le cloud

Utilisez un fournisseur de stockage cloud qui crypte vos données et n'a pas accès au déverrouiller la clé.

Presque tout le stockage cloud (Dropbox, iCloud, etc.) stocke les fichiers de manière non chiffrée ou de manière à ce que le fournisseur de cloud puisse déchiffrer les fichiers sans l'autorisation de l'utilisateur .

Le principal moyen de se protéger contre cela est de ne pas utiliser de stockage dans le cloud. Si vous devez sauvegarder vos fichiers, utilisez votre propre serveur chiffré ou copiez manuellement les fichiers sur un ordinateur de bureau chiffré.

Quelques fournisseurs de stockage, tels que MEGA et SpiderOak, chiffrent vos fichiers. La clé de chiffrement ne leur est pas accessible et une entité gouvernementale devrait les contraindre à écrire une mise à jour de leur logiciel afin d'acquérir la clé de déverrouillage auprès d'un utilisateur.

Android et Apple ont tous deux des applications pour MEGA qui fonctionne de la même manière que Dropbox, y compris l'enregistrement automatique des photos prises par le téléphone.

Sécurité contre les réseaux

Assurez-vous que votre téléphone peut utiliser le logiciel VPN, et éventuellement utiliser TOR pour augmenter la confidentialité. Et assurez-vous de naviguer sur le Web avec https lorsque cela est possible.

Le fournisseur de services Internet peut afficher tout votre trafic réseau non chiffré. Pour éviter cela, utilisez un VPN. Remarque: le VPN peut également voir vos données non chiffrées. Utilisez un fournisseur VPN de confiance.

Le FAI peut même déterminer certaines informations à partir du trafic réseau chiffré, si vous n'utilisez pas de VPN. Si vous ouvrez une page Web qui utilise https, le FAI peut voir quel domaine vous allez. Cependant, ils ne peuvent pas voir la page spécifique que vous demandez, ni les données de la page elle-même.

Si une confidentialité extrême est nécessaire, Tor peut être la réponse. Il présente de nombreux inconvénients, le principal étant la vitesse lente (par rapport à la navigation normale). Mais lorsque vous utilisez Tor, votre FAI ne peut pas voir les informations de votre réseau, mis à part le fait que vous utilisez Tor. Et les nœuds sur Tor ne peuvent pas connaître à la fois la source (vous) et la destination (le site Web) en raison de la façon dont le protocole est conçu.

Il est à noter que craquer une épingle peut aussi être trivialement facile si vous avez les doigts gras ou un écran sale ...
Réponse agréable et approfondie. Il a besoin de votes positifs!
XPrivacy s'est avéré possible de contourner. Je ne conseillerais pas de compter sur XPrivacy lorsque quelque chose de grave est en jeu.
En parlant de sécurité dans le cloud, je pense que c'est une bonne idée de mentionner [EncFS] (https://security.stackexchange.com/questions/83292/is-encfs-secure-for-encrypting-dropbox)
Ne cherchez pas un fournisseur de cloud qui crypte vos données. Il est essentiel que vous chiffriez les données vous-même avant de les télécharger. Il est également dangereux de télécharger une clé de déchiffrement, même si elle est sécurisée par un mot de passe.
@SargeBorsch Pouvez-vous fournir une source?
@Noir Oh ouais. https://github.com/cernekee/WinXP
@SargeBorsch Cela fonctionne-t-il toujours? Parce qu'il n'a pas été mis à jour depuis deux ans, et vous pourriez * espérer * que les développeurs XPrivacy l'auraient déjà corrigé?
+1 pour la partie «sécurité contre le fabricant de l'appareil». S'il y a * une * chose à rechercher, c'est la possibilité de remplacer le micrologiciel de l'appareil par quelque chose en qui vous pouvez avoir confiance (c'est-à-dire pas de portes dérobées de fabricant / fournisseur) et qui répond à vos autres exigences de sécurité. Si vous pouvez remplacer le micrologiciel, vous pouvez ajouter à peu près toutes les fonctionnalités de sécurité requises (dans la mesure permise par le matériel de l'appareil - par exemple, vous ne pouvez pas ajouter le déverrouillage d'empreintes digitales si le matériel n'inclut pas de lecteur d'empreintes digitales).
@Noir Je ne recommanderais pas d'utiliser complètement les services cloud chiffrés. Cela dépend plutôt des besoins de l'utilisateur. S'ils ne font pas confiance au gouvernement ou à d'autres entreprises, ils doivent absolument crypter manuellement leurs données (je le fais pour mes sauvegardes en ligne). Mais de nombreuses personnes ont également besoin d'une sécurité / protection contre elles-mêmes (par exemple, une erreur de l'utilisateur), de sorte qu'une sauvegarde automatique vers un service de chiffrement peut être un bon compromis entre sécurité et convivialité.
@Carpetsmoker J'ai vu le développeur [dire qu'il ne voulait pas résoudre ces problèmes] (http://forum.xda-developers.com/showpost.php?p=54111452&postcount=10580) car ils prennent trop de temps .
@MichealJohnson: Si VOUS pouvez remplacer le micrologiciel de votre téléphone, tout pirate informatique peut également le remplacer.
Vous devriez avoir besoin d'un accès physique au téléphone pour le remplacer, et je pense que la plupart des implémentations Android, sinon toutes, effaceront les données de l'utilisateur lorsque vous remplacez le micrologiciel exactement pour éviter de contourner les mesures de sécurité mises en œuvre dans le micrologiciel exécuté par l'appareil lorsque le l'attaquant s'en empare.
Je pense que quelque chose que vous avez oublié est la sécurité contre le vol physique / la perte de l'appareil. Par exemple. fonctionnalités pour sécuriser l'effacement des données à distance ou pour localiser votre téléphone.
Oh, aussi, en plus des bons conseils sur la vérification des autorisations des applications ci-dessus (et n'ayez pas peur de demander autour de vous avant de télécharger une application pour clarifier les autorisations sur lesquelles vous soulevez un sourcil), assurez-vous toujours de télécharger uniquement des applications provenant de sources officielles, et vérifiez également les avis des utilisateurs et le nombre de téléchargements - ce n'est pas un indicateur parfait, mais il peut parfois être instructif de voir si d'autres utilisateurs ont signalé des problèmes. Et rappelez-vous, les plus grands risques proviennent de choses comme, vous n'avez pas de code PIN sur votre téléphone et vous le laissez dans le bus avec votre mot de passe amazon.com enregistré dans votre navigateur, etc.
Bon à savoir sur Android 6.0. Je vais devoir vérifier ça! Merci.
Sur un iPhone 5S ou ultérieur, vous pouvez utiliser uniquement un code PIN court et néanmoins garder vos données très sécurisées - le coprocesseur SecureEnclave limite le forçage brutal du code PIN: Les clés de cryptage sont stockées dans SecureEnclave et cryptées avec votre PIN; toute tentative de déchiffrement des clés doit avoir lieu dans SecureEnclave et prend environ 5 secondes (limité par le matériel), il vous faudra donc jusqu'à 15 ans pour forcer brutalement un code PIN à 8 chiffres. Extraire la clé et la forcer n'importe où ailleurs est TRÈS difficile / coûteux et peut également être évitée en choisissant un mot de passe plus fort; c'est le même principe qu'avec les cartes à puce.
@K.Biermann [Correction] (https://www.apple.com/business/docs/iOS_Security_Guide.pdf): SE stocke un identifiant unique. Le PIN, avec cet UID, est utilisé dans la _derivation_ des clés de déchiffrement. Seul le SE a accès à l'UID et SE est inviolable, de sorte que seul SE est capable d'effectuer des opérations l'impliquant. Le débit SE se limite à un code PIN toutes les ** 80 ms **, de sorte qu'un code PIN à 6 alphanum résiste au maximum à 5 ans. Si je ne me trompe pas, on peut également lui dire de faire exploser son UID après 10 tentatives infructueuses, auquel cas tout ce qui est stocké sur l'appareil est inutile (car la clé des données ne peut plus être dérivée).
Les appareils Android les plus récents équipés de scanners d'empreintes digitales (par exemple mon Nexus 5X) demanderont un code PIN / mot de passe au démarrage (si stockage crypté), lors de la première connexion après le démarrage, puis toutes les 48 heures, tout en permettant le déverrouillage des empreintes digitales à d'autres moments.
#2
+59
Rory McCune
2016-03-10 18:33:27 UTC
view on stackexchange narkive permalink

L'un des aspects clés à prendre en compte à cet égard est la politique de support / correctif de votre fournisseur d'appareil mobile. Si vous prévoyez de conserver le téléphone pendant, par exemple, 2-3 ans, vous ne voulez pas qu'il ne soit plus pris en charge après 18 mois.

Malheureusement, cela peut être une information assez délicate à trouver avec de nombreux fournisseurs ne pas fournir de cycles de vie de support publiés.

Le fait que certaines combinaisons d'appareils ont de longues «chaînes de support» dans lesquelles plusieurs entreprises doivent collaborer pour produire des correctifs complique également le tableau. Ainsi, par exemple, un téléphone Android O2 Samsung peut avoir besoin de 3 entreprises (Google, Samsung et O2) pour coopérer pour fournir un correctif. Ce type de processus conduit inévitablement à des correctifs plus lents.

La meilleure approche serait probablement de choisir un appareil qui a la plus petite chaîne possible, donc soit un appareil Android de Google, un appareil iOS d'Apple ou un appareil Windows Phone de Microsoft et, dans tous les cas, un appareil déverrouillé est susceptible d'obtenir des correctifs plus rapides que celui d'un opérateur.

À ce stade, je pense que c'est peut-être la chose la plus importante à considérer pour un nouveau téléphone en termes de sécurité. Je n'avais aucune idée à quel point la situation était mauvaise jusqu'à Stagefright. Mon téléphone n'est TOUJOURS pas patché, même si j'ai appelé le fabricant et qu'ils ont remis le patch à mon opérateur environ un mois après sa mise à disposition. Alors oui: pour Android au moins, je dirais que vous allez avec un téléphone vraiment grand nom d'une très grande entreprise avec une histoire de correctifs fréquents, ou allez avec un Nexus. Le reste équivaut à utiliser IE pour votre navigateur au début des années 2000.
Les téléphones Apple reçoivent des mises à jour logicielles en même temps et vous n'êtes pas à la merci de votre opérateur. Il n'y a pas non plus de modifications personnalisées faites par un tiers, donc j'aime votre point sur la "plus petite chaîne possible".
La seule autre option consiste à rooter et à prendre la responsabilité de mettre à jour votre téléphone vous-même. Cyanogenmod, par exemple, a corrigé Stagefright assez rapidement après la révélation de la vulnérabilité.
Merci, c'est un point vraiment important et bien expliqué. La seule raison pour laquelle je ne l'accepte pas, c'est que d'autres couvrent plus d'angles.
#3
+37
Mark Buffalo
2016-03-11 04:44:12 UTC
view on stackexchange narkive permalink

Les autres réponses concernant le cryptage sont excellentes. Je vais aborder cette question sous l ' angle du papier d'aluminium / dissident , car je pense que c'est valable pour presque tous les scénarios ... mais je veux quand même expliquer mon raisonnement et comment je suis arrivé à ces conclusions .

Tous les problèmes dont je vais parler sont régulièrement exploités par des criminels et des gouvernements répressifs. Dans certains pays, être membre d'un certain ordre religieux, ou la mauvaise race, est une raison suffisante pour que les autorités planifient votre don d'organes non approuvé:

Il y a des rapports de torture systématique, d'emprisonnement illégal, de travail forcé, de prélèvement d'organes et de mesures psychiatriques abusives, dans le but apparent de forcer les pratiquants à renoncer à leur croyance en Falun Gong.


Une batterie amovible est un doit

Ceci est en haut de ma liste: vous voulez une smart téléphone doté d'une batterie amovible .

Pourquoi? Parce qu'il existe un million de façons de vous pirater et d'écouter vos conversations. Imaginez que vous fassiez l'amour avec votre moitié, et qu'un bâtard malade d'un gouvernement répressif, ou même un criminel, décide d'écouter et donne son coup de pied:

«Au cours de leur travail quotidien, ils tombent sur quelque chose qui n'a aucun rapport avec leur travail, par exemple une photo de nu intime de quelqu'un dans une situation sexuellement compromettante mais ils sont extrêmement attrayants », a-t-il déclaré. "Alors, que font-ils? Ils se retournent sur leur chaise et montrent un collègue. Et leur collègue dit: «Oh, hé, c’est génial. Envoyez-le à Bill. »

M. Snowden a déclaré que ce type de partage avait lieu une fois tous les deux mois et était «perçu comme les avantages marginaux des postes de surveillance».

Il existe également de nombreuses façons de faire semblant que votre téléphone est éteint alors qu'il ne l'est vraiment pas:

Votre téléphone devient un bogue qui informe la NSA de tout ce qui se passe autour de vous. Toute conversation que vous avez ou toute chose embarrassante que vous faites, la NSA l'enregistrera.

Le pire, c'est que même si vous éteigniez le téléphone pour plus de sécurité, il ne serait pas vraiment éteint. L'application fait semblant que votre téléphone est éteint - elle éteint l'écran, ignore les appels entrants et ne répond pas aux pressions sur les boutons - mais l'espionnage continuera.

Alors que nous voir dans l'exemple ci-dessus, votre vie privée n'est même pas respectée par la NSA. Les criminels et les gouvernements répressifs peuvent également pirater votre téléphone et écouter vos conversations. Alors pourquoi ne voudriez-vous pas un téléphone avec une batterie amovible si vous vous sentez ciblé?


Trouvez un appareil facilement modifiable

Les applications gratuites sur Android peuvent facilement permettre une forme d'accès par porte dérobée à votre téléphone dans son intégralité. Vous connaissez toutes ces autorisations effrayantes que vous continuez d'accepter parce que vous aimez les "trucs gratuits"? Ouais, ceux-là. "Cette application veut accéder à vos: contacts, microphone, caméra, etc." Non merci.

C'est encore pire lorsque les gouvernements et les agences de publicité utilisent des astuces ultrasoniques qui relient vos appareils ensemble. Une batterie amovible, ainsi que la protection de la vie privée de Cyanogen, contribueront grandement à lutter contre cela.

Comment pouvez-vous espérer assurer la sécurité des informations si votre téléphone envoie constamment des informations sur vos habitudes d'utilisation à des sociétés de marketing, et Gouvernements? N'oubliez pas CISPA. Le gouvernement veut demander ces données légalement , même s’il les a déjà.

Le le gouvernement ne peut même pas garder ses propres informations en sécurité, alors pourquoi devraient-ils être autorisés à conserver vos information? Les entreprises ne semblent pas non plus assurer la sécurité de leurs données. Pourquoi devriez-vous faire confiance à l'un d'eux?

Je suggère un téléphone qui peut être modifié. Par exemple, vous pouvez installer CyanogenMod et utiliser sa fonction Privacy Guard pour désactiver l'accès des applications à vos informations importantes.

Vous avez également beaucoup plus de contrôle sur votre téléphone qu'avec la merde de stock.


Les téléphones verrouillés par l'opérateur sont sans valeur aux États-Unis, et Chine

Vous ne voulez pas d'un téléphone verrouillé sur un opérateur. Les mises à jour de sécurité subissent souvent des retards importants, certains prenant ans . L'un de mes téléphones était verrouillé par l'opérateur et je n'ai pu le mettre à jour que quatre ans plus tard. Pendant ce temps, il était vulnérable à presque tout, mais il s'est avéré être un excellent pot de miel à des fins de rétro-ingénierie. Je suppose que vous ne voudrez peut-être pas quelque chose comme ça.

C'est toujours un problème avec beaucoup de téléphones verrouillés par l'opérateur. Vous remarquerez que vous avez complètement manqué les mises à jour que tout le monde reçoit. Pas bon.

Malheureusement, cela signifie généralement débourser le plein prix pour un téléphone déverrouillé. Cela en vaut vraiment la peine, car vous pouvez mettre à jour le téléphone beaucoup plus facilement, surtout si vous utilisez CyanogenMod. Lorsque le téléphone est entièrement sous votre contrôle, vous pouvez en faire plus. Vous pouvez appliquer les mises à jour de sécurité plus rapidement et vous n'avez pas besoin d'attendre que l'opérateur les mette à jour.


Trop longtemps, je n'ai pas lu

Mes trois premiers recommandations:

  1. Batterie amovible (les applications / hacks peuvent simuler que votre téléphone est éteint quand il est vraiment encore allumé)
  2. Moddable avec Privacy Guard (Cyanogen Mod, par exemple)
  3. Téléphones déverrouillés, pas de verrouillage de l'opérateur.
Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/37013/discussion-on-answer-by-mark-buffalo-what-security-features-are-important-when-b) .
#4
+16
TheHidden
2016-03-10 16:19:28 UTC
view on stackexchange narkive permalink

En essayant d'éviter les recommandations, pour garder votre téléphone en sécurité, je vais le décomposer en 3 niveaux:

Applications

Lorsque vous recherchez des applications à placer sur votre téléphone dont vous avez besoin pour regarder les autorisations qu'ils demandent et vous demander, ce jeu d'échecs a-t-il vraiment besoin d'accéder à mes contacts, au bluetooth et à Internet? NON, ce n'est pas le cas, une application est suspecte pour moi si elle demande quelque chose qui n'a pas de sens (bien que vous constatiez que la plupart des applications demanderont à voir vos photos / fichiers, mais je n'ai toujours pas confiance en cela)

Logiciel pour votre téléphone

Vous devez rechercher une version logicielle générique compatible avec votre téléphone, le meilleur type d'option serait de rechercher des plates-formes Android open source (Android est open source mais essayer d'amener les programmeurs à examiner les ROM fabriquées par des entreprises est difficile). Tous les téléphones utiliseront le système d'exploitation spécifique de votre fournisseur de services, par exemple: O2 (télécoms anglais) gère ses propres mises à niveau et intègre ses propres éléments. Vous avez besoin d'une version propre et compatible avec le téléphone que vous achetez.

Matériel

Maintenant, c'est le plus difficile à répondre, le matériel est du matériel, mais vous pouvez crypter votre appareil pour qu'il soit en toute sécurité votre matériel. C'est tout ce que je peux vous offrir en matière d'information.

Autres conseils

Vous pouvez obtenir des applications qui sécurisent votre trafic, il vous suffit de vous souvenir de la personne de l'autre côté doit être en mesure de décrypter vos informations. Vous pouvez également avoir des volumes cachés sur votre téléphone pour ne garder que certaines informations en sécurité.

Vous pouvez essayer d'utiliser les appels Web et d'avoir des services externes pour gérer votre trafic, tels que des VPN anonymes. Il existe également de nombreuses options d'applications et de services pour le réseau TOR. N'oubliez pas que vous pouvez facilement garder vos informations en sécurité sur votre appareil. (n'oubliez pas d'utiliser un mot de passe sécurisé), mais garder la communication en toute sécurité tout en étant accessible par le destinataire souhaité nécessite qu'ils aient également la capacité de le déchiffrer.

L'utilisation de TOR ou de services cryptés en jonction avec la communication Web sur votre téléphone signifie que vous pouvez avoir votre appareil décentralisé par rapport à vous. La source du trafic est difficile à identifier. Mais vu qu'il s'agit de votre téléphone, il n'est toujours pas impossible de trouver la source.

Besoin de quelque chose de spécifique? Commentez et je mettrai à jour ma réponse.

WhatsApp est uniquement crypté (OTR / Axolotl) pour la communication directe de personne à personne sur les appareils Android. Les discussions de groupe ne sont pas chiffrées. La communication avec des appareils non Android n'est pas cryptée.
mise à jour de ma réponse @SEJPM
@SEJPM en fait, il existe une application appelée CoverMe qui utilise un cryptage fort pour la messagerie individuelle et de groupe, ainsi que les appels VoIP, et fonctionne également avec son homologue dans l'App Store iOS.
@Matt Je faisais spécifiquement référence à WhatsApp. Il existe d'autres applications qui permettent en effet les discussions de groupe cryptées, le chat multiplateforme crypté et la VOIP cryptée, Signal étant probablement le plus célèbre.
#5
+6
Noir
2016-03-12 19:35:08 UTC
view on stackexchange narkive permalink

Tout d'abord: il existe un bon guide du projet TOR sur le renforcement d'Android. Vous pouvez en déduire tous les critères que vous devez rechercher.

Deuxièmement: je ne peux pas croire que personne ici ne mentionne même la plus grande porte dérobée qui contourne la plupart des mesures de sécurité tant que le téléphone est allumé: la bande de base

Il y avait déjà quelques vulnérabilités découvertes et puisque le micrologiciel de tous les processeurs de bande de base disponibles est en source fermée et même une spécification d'interface est disponible, il est très difficile de trouver des backdoors et des bogues.

#6
-1
gnasher729
2016-03-13 15:12:09 UTC
view on stackexchange narkive permalink

Vous devez connaître vos besoins, qui dépendent de votre situation.

Voulez-vous vous protéger contre les pirates de tous les jours qui vont attaquer des personnes au hasard, où vous n'êtes pas une cible spécifique mais juste une victime aléatoire?

Êtes-vous une cible potentielle, comme une personne importante dans une entreprise, une célébrité mineure ou majeure? Les gens essaieront-ils de vous attaquer personnellement vous ?

Êtes-vous soit un criminel, qui aura des forces de l'ordre avec des mandats de perquisition après eux, ou quelqu'un qui ne convient pas à leur gouvernement, qui aura également des forces de l'ordre avec des mandats de perquisition après eux?

Numéro 1: Obtenez un iPhone avec capteur d'empreintes digitales, utilisez un mot de passe à six chiffres, utilisez l'authentification à deux facteurs, activez "trouver mon téléphone" pour pouvoir le verrouiller s'il disparaît, utilisez un mot de passe pour votre AppleID qui ne peut pas être facilement deviné et n'est pas le même mot de passe que vous utilisez ailleurs.

Numéro 2: Identique à 1, utilisez un mot de passe à huit chiffres, utilisez un mot de passe pour votre AppleID qui n'utilise aucune information qu'un pirate informatique déterminé peut trouver sur vous, et qui est impossible à deviner ( par exemple cinq mots aléatoires).

Numéro 3: Vous demandez à la mauvaise personne.

Il y avait d'autres conseils ici, mais vous devez vous demander si vous avez le talent et le temps pour rendre votre téléphone plus sûr qu'un téléphone standard d'un grand fabricant qui utilise la sécurité comme argument de vente . Et vous devez vous demander combien de désagréments vous êtes prêt à accepter pour plus de sécurité. Par exemple, insister sur une batterie amovible signifie aujourd'hui que vous ne pouvez utiliser un téléphone d'aucun des principaux fabricants, ce qui signifie qu'il est déjà possible de se retrouver avec un téléphone moins sécurisé.

Et il y a des compromis: par exemple, le capteur d'empreintes digitales réduit en fait la sécurité si tout le reste est égal (car chaque manière différente d'entrer dans votre téléphone est un risque potentiel), mais il encourage les gens à utiliser des codes plus longs, ce qui serait très gênant si vous les utilisiez tout le temps.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...