Kapitola 9 – Zabezpečení mobilních zařízení

Mobilní zařízení, zejména tzv. chytré telefony, jsou malé počítače, které jsou často neustále připojené k Internetu. Mohou mít v sobě nainstalováno mnoho aplikací a umožňují další způsoby připojení a komunikace. Je tedy nutné se k nim chovat podobně jako k stolním počítačům nebo notebookům.

1. Úvod

Mobilní zařízení, zejména tzv. chytré telefony (smartphone), jsou dnes již malé samostatné počítače. Často jsou neustále připojené k Internetu přes bezdrátové připojení (WiFi) nebo datové připojení od operátora. Také mají v sobě nainstalováno množství aplikací a umožňují řadu dalších připojení a možností komunikace (např. USB, Bluetooth, NFC). Je tedy nutné se k nim chovat podobně jako ke stolním počítačům a notebookům. Jejich rozmach byl a je natolik rychlý a živelný, že si uživatelé někdy nestíhají uvědomit hrozby spojené s jejich používáním.

2. Co je mobilní zařízení

Mobilní zařízení je obecně zařízení, které můžeme přemisťovat, případně jej mít neustále u sebe bez potřeby trvalého napájení z rozvodné sítě kabelem a pro komunikaci jsou typicky využívány bezdrátové technologie. Nejrozšířenějším mobilním zařízením je mobilní telefon, který zažil asi největší vzestup na přelomu tisíciletí, kdy se jednalo o zařízení, které pomocí GSM sítě pouze dokázalo telefonovat a přenášet krátké textové zprávy. Postupem času a s vývojem elektroniky došlo k tomu, že dnes známe mobilní telefon jako tzv. chytré zařízení, které má svůj vlastní výkonný procesor, datové úložiště na paměťové kartě nebo přímo v interní paměti. Zařízení umožňuje komunikovat pomocí moderních datových sítí od operátora, případně bezdrátové sítě WiFi, je snadné propojit ho s dalšími zařízeními typu chytré hodinky nebo autorádio nebo pomocí technologie NFC je možné simulovat platební kartu a platit tak u obchodníků podporujících bezkontaktní platební transakce. Zkrátka dnešní mobilní zařízení jsou v podstatě malé počítače a je potřeba se k nim tak chovat.

3. Programové vybavení mobilního zařízení

Jak je uvedeno v kapitole Zabezpečení počítače, měli bychom jak v případě počítačů a notebooků, tak i v případě chytrých mobilních telefonů dbát na aktuálnost programového vybavení, tedy operačního systému a všech nainstalovaných aplikací. K mobilnímu telefonu není tak snadné připojovat externí paměťové zařízení jako v případě stolního počítače (CD, DVD, USB flash disk), další aplikace se tedy instalují z tzv. repozitářů výrobce. V případě Androidu se jedná o Google Play, v případě Apple jde o AppStore apod. Tyto repozitáře výrobce sice průběžně kontroluje na výskyt virů, ale ne vše bohužel dokáže uhlídat a může tak dojít k distribuci nebezpečných aplikací. Po instalaci je tedy nutné správně aplikaci nastavit a udělit jí správná oprávnění k používání prostředků zařízení.

Co myslíte?

Potřebuje obyčejná aplikace na rozsvícení světla u fotoaparátu oprávnění k používání úložiště, polohy zařízení a fotoaparátu?
Úložiště nikoli, polohu zařízení nikoli, fotoaparát ano, protože LED žárovka slouží jako přisvětlení při fotografování a je tedy fotoaparátem ovládaná.

Do chytrého telefonu se může virus dostat i dalšími způsoby, například otevřením nebezpečné přílohy emailu nebo navštívením závadného webu, případně stažením viru z Internetu. Stejně jako stolní počítače by měly mít chytré telefony nainstalováno antivirové řešení, které bude viry potírat.

Kromě klasických hrozeb, proti kterým se bráníme antivirem, však existují i další hrozby, specifické pro mobilní zařízení, a proto jsou k antivirovému řešení přidávány další komponenty a dohromady se označují jako tzv. zabezpečení koncových stanic.

4. Přístup k zařízení

Mobilní zařízení často přenášíme, případně ho máme stále u sebe, je zde tedy vyšší riziko ztráty a tím zneužití neoprávněnou osobou. Mobilní zařízení by tedy mělo být chráněno zámkem obrazovky. Způsobů odemykání zařízení existuje několik.

Poměrně populární je tzv. gesto, kdy je možné zařízení odemknout pospojováním zobrazených bodů. Metoda je to rychlá, těžko uhodnutelná, ale nevýhodu má v případě, že zloděj gesto před ukradením odpozoruje. Někdy je také možné uhodnutí podle stop po prstech na displeji.

Druhá možnost je nahrazení gesta PINem, zde už je odpozorování složitější, na druhou stranu je třeba volit číselné kombinace, které není možné uhodnout ze znalosti osoby, například vyvarovat se rodného čísla, telefonního čísla a dále jednoduchých kombinací typu „postupka“ (1 2 3 4 5) nebo opakování jedné číslice (1 1 1 1 1).

Další možností odemčení jsou biometrické metody, například ověření otisku prstu nebo rozpoznání obličeje, ale mají také své nevýhody, například že není možné je v případě kompromitace změnit.

Ochrana mobilního zařízení nemusí být jen pasivní

Endpoint Security dokáže v případě několika po sobě jdoucích neúspěšných pokusů o odemčení například pořídit fotografii předním fotoaparátem a spolu s údaji o poloze ji odeslat vlastníkovi. V případě potřeby je možné telefon i na dálku smazat.

Spouštění důležitých aplikací, jakými mohou být například aplikace pro čtení elektronické pošty, mobilní bankovnictví apod., je vhodné dodatečně chránit zvláštním kódem, tzv. zámkem aplikace (PIN, otisk prstu apod.). Jedná se o tzv. vícestupňovou ochranu (viz kapitola Základní principy a motivace). Tedy i v případě, že se podaří obejít zámek telefonu, důležitá aplikace nemůže být přesto spuštěna.

5. Ochrana dat v telefonu

Uvedené metody zámku obrazovky ochrání telefon před neoprávněným přístupem k jeho funkcím a datům v něm uložených, ale to bohužel není vše, co bychom v případě chytrého mobilního telefonu měli chránit. Mobilní zařízení typicky obsahuje SIM kartu, kterou je možné snadno z telefonu vyjmout a vložit do jiného zařízení. Pokud je naše zařízení například ukradeno, nechceme, aby SIM kartu mohl někdo používat a svým způsobem se za nás vydával (tj. vystupoval pod naším telefonním číslem). Je tedy vhodné chránit SIM kartu PINem.

Další vyjmutelná karta, která v mobilních zařízení často bývá, je paměťová karta, na které jsou uloženy fotografie, příp. zálohy apod. Data na paměťové kartě bychom měli šifrovat, aby byla bez znalosti klíče nečitelná. O šifrování dat se opět může postarat Endpoint Security. V případě nemožnosti šifrování je potřeba s tímto počítat a neukládat na paměťovou kartu důvěrná data.

Když už je řeč o ochraně proti případnému zloději nebo ztrátě zařízení, je potřeba myslet také na pravidelné zálohování uložených dat, především kontaktů a fotografií. Chytré mobilní telefony umí dnes velmi dobře fotit a navíc je míváme stále u sebe. Jsou tedy ideální na zachycování různých životních situací, momentek apod. Je tedy nutné vytvářet pravidelné zálohy, abychom o tato data nepřišli.

6. Zeměpisná poloha

Mobilní telefon je schopen geolokace, tj. umí určit svou skutečnou zeměpisnou polohu. Obyčejné mobilní telefony určovaly svou polohu pomocí výpočtu síly signálu, a tedy pravděpodobnou vzdáleností od vysílacích stanic (tzv. BTS, Base Station System, systém základnových stanic), jejichž poloha je známá a neměnná. S využitím triangulace bylo možné určit přibližnou polohu zařízení.

Chytřejší mobilní zařízení mají mnohem přesnější přijímač GPS (Global Positioning System). GPS je globální družicový polohový systém provozovaný Ministerstvem obrany USA. Existují i další podobné systémy, např. ruský GLONASS nebo Galileo financovaný státy EU. Jak takový systém funguje (velmi zjednodušeně):

Pro fungování systému musí Zemi obíhat nejméně 24 GPS satelitů. V každém okamžiku jsou z jakéhokoliv (téměř) místa na Zemi viditelné alespoň 4 z nich.
Každý satelit neustále vysílá na Zemi dvojici velmi přesných údajů svoji pozici a čas.
GPS přijímač ve smartphonu/tabletu dokáže z údajů 4 (a více) satelitů vypočítat svoji pozici na Zemi s přesností na přibližně 110 metrů.
Celý navigační systém je velmi složitý a výpočty musí brát v úvahu mnoho komplikací a důsledků fyzikálních zákonů.

Tuto polohu mohou využívat aplikace, pokud jim to povolíme v operačním systému zařízení. Potom lze chytrý mobilní telefon používat jako navigaci, může poskytovat informaci o předpovědi počasí v aktuálním umístění, umisťovat geolokační údaje a někdy i azimut do pořízených fotografií.

7. Dvoufázová autentizace na mobilním zařízení

Dvoufázová autentizace je proces, který zahrnuje dva různé nezávislé způsoby ověření totožnosti uživatele. První fází může být zadání hesla a druhou pak opsání kódu zaslaného pomocí SMS na přednastavené číslo. Případnému kyberpodvodníkovi pak nestačí pouze uhodnout nebo jinak získat heslo, ale musí získat i zařízení, kam přichází ověřovací kód.

Problém nastává, pokud je heslo vyplněno do mobilního zařízení (smartphone) a zároveň na to samé zařízení přijde i ověřovací kód druhé fáze. Pokud je zařízení odcizeno nebo napadeno, pozitivní efekt druhé fáze ověření se vytrácí.

8. Shrnutí

V této kapitole jsme si popsali mobilní zařízení jako malý počítač, tedy zařízení s mnoha funkcemi a možnostmi, které ale můžeme přenášet z místa na místo, případně jej mít stále u sebe. Mobilní zařízení je nutné zabezpečit stejně jako každý jiný počítač, udržovat aktuální programové vybavení a také zohlednit vyšší riziko ztráty, poškození nebo ukradení. Je tedy nutné zamykat obrazovku, odemčení umožnit po zadání PINu, gesta nebo ověření otisku prstu případně obličeje.

Aplikace instalované do zařízení musíme správně nastavit a udělit jim pouze taková oprávnění, která potřebují pro svůj chod. Data v telefonu bychom měli chránit šifrováním, protože paměťovou kartu může při odcizení zařízení kdokoli vyjmout a přečíst ji ve svém zařízení. Myslet bychom také měli na pravidelné zálohování, abychom v případě ztráty zařízení nepřišli o cenná data. Dále je třeba myslet na to, že telefon je schopen geolokace, a tedy být si vědomi, že je možné určit skutečnou zeměpisnou polohu. Toho využívají některé legitimní aplikace, ale může být také zneužita ke ztrátě soukromí.

Zařízení, které používáme pro ověření druhé fáze v dvoufázové autentizaci, musí být nezávislé na zařízení, kam zadáváme jméno a heslo. Není tedy vhodné k těmto činnostem používat jedno jediné zařízení, protože tím je výhoda druhé fáze ztracena.

Virtuální prohlídka

Soubor cookie	Životnost	Popis
cookielawinfo-checkbox-advertisement	1 year	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se marketingových cookies.
cookielawinfo-checkbox-analytics	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se statistických cookies.
cookielawinfo-checkbox-functional	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se funkčních cookies.
cookielawinfo-checkbox-necessary	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se nezbytných cookies.
mdocs-f23d4887cc59eaf5d74998a5389151af	session	No description
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
qtrans_front_language	1 year	This cookie is set by qTranslate WordPress plugin. The cookie is used to manage the preferred language of the visitor.
viewed_cookie_policy	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie slouží k ukládání informace o tom, zda uživatel souhlasil s používáním souborů cookie. Neukládá žádná osobní data.

Soubor cookie	Životnost	Popis
_dc_gtm_UA-120672567-6	1 minute	No description
_dc_gtm_UA-120672567-7	1 minute	No description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_1HP1PTTJR4	2 years	This cookie is installed by Google Analytics.
_gat_UA-120672567-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
sid	1 month	The sid cookie contains digitally signed and encrypted records of a user’s Google account ID and most recent sign-in time.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Soubor cookie	Životnost	Popis
_fbp	3 months	Tento soubor cookie je nastaven prostřednictvím nástroje Facebook Pixel. Může sloužit k zobrazení naší reklamy prostřednictvím sociálních sítí Facebook a Instagram společnosti Meta.
fr	3 months	Tento soubor cookie umožňuje zobrazovat uživatelům relevantní reklamy na základě jejich aktivit na webech využívajících Facebook Pixel společnosti Meta.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Univerzita Tomáše Bati ve Zlíně

Kapitola 9 – Zabezpečení mobilních zařízení

1. Úvod

2. Co je mobilní zařízení

3. Programové vybavení mobilního zařízení

Co myslíte?

4. Přístup k zařízení

Ochrana mobilního zařízení nemusí být jen pasivní

5. Ochrana dat v telefonu

6. Zeměpisná poloha

7. Dvoufázová autentizace na mobilním zařízení

8. Shrnutí

Fakulty a součásti

Fakulta technologická

Fakulta managementu a ekonomiky

Fakulta multimediálních komunikací

Fakulta aplikované informatiky

Fakulta humanitních studií

Fakulta logistiky a krizového řízení

Součásti

Univerzitní institut

Knihovna

Koleje a menza