Владельцев iPhone и Mac могут прослушивать из-за бага FaceTime. Как себя защитить

Долгий путь перехватаМария Лацинская01.08.2016, 09:56

Голосовые вызовы в мессенджерах, по убеждению многих, являются одним из самых надежных методов защиты от прослушки, перехвата и прочих неприятностей. Почему пользователи предпочитают общаться с помощью Viber, FaceTime и WhatsApp и действительно ли такие звонки безопасны — в материале «Газеты.Ru».

Начавшийся с текстовых сообщений тренд на безопасные коммуникации затронул и «голос». В 2016 году о применении end-to-end-шифрования в голосовых вызовах объявили WhatsApp, Viber и ICQ. Для обеспечения защищенных звонков в 2014 году был запущен мессенджер Signal. Также два года назад о наличии шифрования в сервисе FaceTime заявляли и в .

Реклама

Одно из некогда популярных решений в этой области — Skype — ввел защиту «голоса» еще в конце нулевых, что огорчило западные спецслужбы.

Тем не менее, как отмечает в разговоре с «Газетой.Ru» редактор MForum Analytics, эксперт в области телекоммуникаций , переход абонентов на IP-телефонию и видеосвязь вызван прежде всего удобством использования и ценой. Фактически клиенту того или иного оператора необходимо заплатить только за пакет интернет-трафика, который все чаще является безлимитным.

Спикер допускает, что для некоторого процента пользователей важна именно приватность, но, безусловно, не для большинства. Такое же мнение высказал в беседе с «Газетой.Ru» и генеральный директор информационно-аналитического агентства TelecomDaily . По его мнению,

число абонентов, переходящих на сервисные решения из-за заботы о конфиденциальности, не превышает 10%.

В целом эксперты на рынке сходятся в том, что интернет-сервисы действительно дают более высокий уровень конфиденциальности разговоров, нежели обычная мобильная связь.

Напомним, что операторы, согласно российскому законодательству, обязаны установить на свои сети СОРМ-1, позволяющую правоохранительным органам получить доступ к любому разговору. В 2014 году власти обеспокоились данными, которые передаются в сети, обязав провайдеров установить так называемую СОРМ-3. Благодаря системе разговор, представляющий собой информацию в цифровом формате, остается у оператора. Однако из-за кодирования разобраться в этом пакете данных, как и что именно говорил пользователь, а в какой момент он смотрел картинки с котиками, для правоохранителей остается тяжелоосуществимой задачей.


«В то же время не стоит переоценивать защищенность международных мессенджеров, она не равна 100%, а от некоторых сервисов у спецслужб различных стран, вероятно, есть пресловутые «ключи», — предупреждает Бойко.




Раздражающая приватность


Основатель В«Общества защиты интернета» Леонид рассказал «Газете.Ru», что не сталкивался с конкретными случаями прослушек голосовых вызовов в Skype, Viber или WhatsApp. 


По его словам, люди, уделяющие приватности повышенное внимание, предпочитают FaceTime. Но он затруднился ответить, чем именно обусловлен такой выбор: вкусовыми предпочтениями или же действительно мощной защитой самого сервиса.

close

президент Турции Реджеп Тайип Эрдоган в эфире CNN через FaceTime

Также Волков сообщил, что теоретически мессенджеры с поддержкой звонков нельзя считать полностью безопасными, но от теоретической уязвимости до практических перехватов лежит огромный путь.

«В первую очередь потому, что есть куда более простые пути получения информации: подсадить трояна, который будет снимать «голос» на устройстве», — поясняет IT-специалист.

Собеседник издания полагает, что такой способ в несколько раз эффективнее и дешевле. Об установке зловредного ПО на пользовательское устройство предупредил в разговоре с «Газетой.Ru» и эксперт компании ESET Russia .

При этом, по его мнению, данные, передаваемые через интернет, проще перехватывать, нежели в сетях операторов.

«Там есть много возможных точек подключения: в локальной сети, через общедоступный Wi-Fi, у провайдеров и т.п. Для этого не нужно дорогостоящее оборудование — достаточно обычного компьютера или планшета с хакерским софтом», — отметил спикер.

Но если используется стойкое шифрование, то, даже перехватив трафик, злоумышленник не сможет его «прослушать», продолжает Железняков.

Невозможность добраться спецслужбам до содержания вызовов, организованных с помощью интернет-соединения, может являться раздражителем для властей. Кусков назвал отсутствие СОРМ в коммуникационных сервисах проблемой с точки зрения государства.

Аналитик прогнозирует, что в дальнейшем будут идти «бои» между законодателями совместно с и владельцами мессенджеров для налаживания «сотрудничества».

Спикер не уверен, можно ли считать попыткой подчинить спецслужбам Skype, Viber и WhatsApp принятие «пакета Яровой», так как по-прежнему непонятно, каким образом будет работать закон и какие сведения по нему нужны . Само ведомство на прошлой неделе заявило, что в рамках документа нет необходимости в обязательной сертификации средств шифрования в интернете.

Волков и вовсе назвал «пакет Яровой» бредом. «По нему будет писаться и храниться еще больше трафика, и, следовательно, будет еще сложнее найти в нем что-то ценное», — добавил эксперт.

Труднопредсказуемое будущее

Колоссальный рост популярности приложений с поддержкой голосовых вызовов во всем мире обусловлен, как и в прочих случаях с инновационными продуктами, развитием гаджетов и высокоскоростного мобильного интернета (3G и LTE).


После перехода российских операторов на пакетную модель предоставления своих классических услуг экономия от звонков через Skype или Viber стала сходить на нет. Но благодаря повсеместному распространению смартфонов и Wi-Fi-подключения остались комфортное использование приложений и возможность без лишних сложностей позвонить при поездке в другие страны.

Одним из последних трендов на рынке стало активное распространение видеоконтента. Явление не обошло стороной и сегмент коммуникационных интернет-сервисов. Так, по данным ICQ, почти 59% звонящих пользователей общаются по видеосвязи.

Бойко и Кусков считают, что в России трудно предсказывать будущее не только «голосовых» сервисов, но и любых других телеком-продуктов.

«У нас слишком высока вероятность политических решений, которые могут влиять на данный рынок», — предсказывает аналитик MForum.

Но спикер успокаивает: если не возникнет форс-мажоров, то можно не сомневаться в дальнейшем росте популярности различных международных мессенджеров в силу их глобальности и удобства реализации.

В перспективе ближайшего года власти могут разработать поправки к закону «О связи», которые будут регулировать деятельность интернет-сервисов. В частности, о такой возможности ранее заявлял руководитель .

В подготовке юридических норм, которые коснутся работы голосовых вызовов в сети, могут быть заинтересованы и телеком-корпорации.

«У операторов связи России мало рычагов, которые бы позволили им удержать абонентов голосовых услуг и SMS. Если они не задействуют свое лобби, чтобы добиться от регуляторов рынка прямых запретов на действия конкурентов, то у них мало шансов», — заявил Бойко.

В то же время у компаний есть возможность работать в рамках сотрудничества с сервисами, получая от них долю в доходах в обмен на настройки сети, добавил эксперт.

Манипуляции с пропускной мощностью канала и скоростью передачи данных могут, наоборот, стать попыткой шантажа со стороны операторов, полагает Кусков. Но одна компания, по мнению аналитика, не сможет изменить ситуацию, а в случае сговора операторов подключится .

ФейсТайм – это очень удобное и популярное приложение для звонков, разработанное исключительно для техники Apple. Но его пользователи иногда беспокоятся о том, что их звонки могут отслеживаться. Потому актуален вопрос: «Прослушивается ли FaceTime и безопасен ли он в целом?». Мы остановимся на нем чуть более подробно.

Ответы

Со всех углов сейчас твердят о надежности и непогрешимости Telegram. Проект с открытым исходным кодом обладает мощной системой безопасности. Если сравнивать мессенджер с FaceTime, то бросается в глаза полная конфиденциальность разработчиков из Apple по поводу возможностей системы безопасности, есть ли она вообще.

Впрочем, на официальном сайте проекта, в разделе «Конфиденциальность», есть крохи полезной информации. К примеру, FaceTime использует сквозное шифрование при настройке общения между пользователя.

Говоря простым языком, сообщение кодируется на устройстве адресата, система устанавливает связь с адресантом, смартфон которого после декодирует полученные данные. Так что перехватывать закрытые пакеты на пути следования бессмысленно, так как расшифровать их будет крайне проблематично.

Впрочем, не все так однозначно.

Показательный случай

Реальный опыт показывает, что и сквозное шифрование не всегда защищает персональные данные. Гражданин США замышлял теракт, и его задержали сотрудники соответствующих ведомств. У правоохранителей было подозрение в том, что человек работал не один, но тот молчал. Тогда юристы обратились в Apple с запросом на разблокировку хранящейся на iPhone информации в интересах следствия. Но даже под давлением специалисты отказались.

На этом бы все и закончилось, но специалистам технического отдела удалось обойти защиту смартфона и встроенного приложения. Вот такие дела.

Возможные риски

Даже специалистам ведомства понадобилось определенное время на взлом придуманной защиты. Сквозное шифрование теряет свою актуальность, только если ваш смартфон украли. Впрочем, его всегда можно заблокировать через приложение Find My iPhone. Так что FaceTime просто так не взломать, и он защищает персональную информацию пользователей.

Примечательно: помимо физического хранения данных, их копии автоматически отправляются в личное облако iCloud. Так что за безопасность и сохранность информации можно не беспокоится.

Итоги

Если вы не планируете обсуждать ничего противозаконного в ФейсТайме и затрагивать темы, связанные с однозначно «сомнительными» вещами, то беспокоиться вам не о чем. Никто не будет вмешиваться в ваши разговоры, а даже если попытается, то у него, скорее всего, ничего не получится. Главное – не устанавливать на мобильное устройство или ПК несертифицированные приложения.

Вопрос безопасности пребывания в Сети сейчас все более актуален. На компьютерах и мобильных устройствах, которые постоянно находятся в онлайне, хранится немалая часть наших личных данных. Речь идет о переписках, паролях от аккаунтов, всевозможных записях и многом другом. И никому не захочется, чтобы в его информации кто-либо копался. Относится это и к мобильным приложениям общения. Поэтому стоит разобраться, прослушивается ли FaceTime, безопасно ли им пользоваться.

Защищенность приложения

Сейчас эталоном защищенности среди мессенджеров считается Telegram. У него открытый исходный код и мощная система безопасности. С первым у FaceTime все наоборот. Как и у любого другого ПО от Apple, в этом приложении все закрыто для пользовательских взаимодействий. Так что о его защищенности можно судить по заявлениям разработчиков и реальному опыту. Начнем, пожалуй, с первого.

На официальном сайте компании Apple, в разделе «Конфиденциальность», легко найти нужную нам информацию. Там указано, что в ФейсТайм используется сквозное шифрование. Это значит, что сообщение кодируется перед отправкой на устройстве отправителя, а декодируется на устройстве получателя. Соответственно, в момент передачи перехват данных не имеет смысла. Злоумышленник не сможет извлечь ничего для себя полезного.

С реальным опытом ситуация не совсем однозначное. В США поймали опасного террориста, который планировал масштабную противозаконную акцию. По их мнению, он работал не один, но сам человек молчал. Поэтому сотрудники соответствующего департамента решили извлечь информацию из его смартфона, которым оказался, как ни странно, iPhone.

Они обратились напрямую к Apple, попросив декодировать хранящуюся там информацию. Те, разумеется, отказались, даже находясь под давлением. Но в один момент помощь программистов Apple перестала быть нужной. Поскольку в правоохранительных службах нашли возможность обойти защиту устройства.

История связана с программным обеспечением компании, а не с самим FaceTime, но все же она показателя. Закрытость системы не дает напрямую судить о ее безопасности. Но не стоит сильно беспокоиться о возможной утере данных.

Возможные риски

Даже правоохранительным органам США потребовалось некоторое время на обход придуманной защиты. А если в ФейсТайме действительно задействовано сквозное шифрование, то это будет возможно только в случае кражи вашего устройства. Но его можно в любой момент заблокировать, если предварительно была включена соответствующая функция. А делается все через приложение Find My iPhone.

Резюмируя все вышесказанное, приложение FaceTime можно смело назвать достаточно защищенным от взлома. Вы можете хранить в нем личные переписки, не боясь, что их кто-то прочитает без вашего ведома. Немаловажно и то, что все резервируется в облачное хранилище iCloud.

Пользователи соцсетей обратили внимание на баг на iPhone, который позволяет прослушивать собеседника, которому вы звоните по FaceTime. А в некоторых случаях можно ещё и смотреть видео с его фронтальной камеры. Только не забывайте, что собеседником, которого прослушивают, могли стать и вы сами.

Как работает баг?

На технике Apple с версией iOS 12.1 или более свежей стандартное приложение FaceTime превратилось в шпионское устройство, рассказывает специализирующийся на технике Apple сайт 9to5mac. При звонке пользователю по FaceTime вы могли слышать другого человека, хотя он ещё даже никак не отреагировал на ваш вызов.

Чтобы включить такую дополнительную функцию, о которой собеседник и не подозревает, вам нужно было выполнить лишь несколько простых действий:

1. Позвонить кому угодно по FaceTime.
2. Во время вызова сделать звонок групповым, добавив в него ещё одного собеседника – самого себя. Делается это с помощью свайпа вниз и функции “Добавить собеседника”.
3. Готово. Вы великолепны. Теперь вы слышите того, кому позвонили, пока идёт вызов.

Редактор 9to5mac Бенджамин Майо в собственном твиттере продемонстрировал, как это работает, и его пост быстро стал разлетаться по соцсетям. И да, к тому же это подробная видеоинструкция.

Now you can answer for yourself on FaceTime even if they don’t answer?#Apple explain this.. pic.twitter.com/gr8llRKZxJ

— Benji Mobb™ (@BmManski) January 28, 2019

Но и это ещё не всё. Если же человек, которому вы звоните, не отклонит и не примет ваш вызов, а просто нажмёт на кнопку питания, вам начнёт ещё и транслироваться видео с его фронтальной камеры.

Баг всё ещё работает?

В теории – да. В Apple о баге уже знают, но пока его не пофиксили. В компании обещают, что это произойдёт с ближайшим обновлением в течение недели, но не уточняют дату.

При этом, по данным BBC, Apple уже отключила серверы, ответственные за работу групповых звонков, так что лайфхак работать не должен.

Нужно ли отключить FaceTime и как это сделать?

Если вы хотите себя обезопасить, стоит отключить FaceTime до обновления, которое исправит баг. Баг был обнаружен и на iPhone, и на Mac, так что лучше сделать это и там и там.

На iPhone вы выбираете FaceTime в настройках и далее – функцию “Выключить”, а на Mac запускаете саму программу и отключаете её в меню-баре.

А вот Брайан Мэй из группы Queen нашёл другой повод, чтобы похейтить Apple. Музыканта жутко разозлила сломанная зарядка, и жаль, что песни о ней нет в репертуаре группы. Однако у техники Apple есть и очевидные плюсы. Например, iPhone – самая необходимая вещь на случай апокалипсиса.

Защищенность гаджетов Apple – известный факт, хоть и в последнее время оспариваемый чаще прежнего. Но против лома нет приёма, сами понимаете.

Уверены, что ваши разговоры по iPhone никто не слышит? Как бы не так. Спойлер: часто прослушка легальна – по крайней мере, она не запрещена.

Сейчас расскажу, какие виды прослушки бывают, и как они применяются по отношению к iPhone.

Для начала: да, ваш оператор вас совершенно легально слушает

У каждого оператора в обязательном порядке установлена СОРМ (система для оперативно-розыскных мероприятий). Подобная практика есть не только в РФ, но и в других странах.

Для прослушки в РФ нужно решение суда. Чтобы разрешили прослушать, достаточно гибкой формулировки “оперативная необходимость”. Результат – только за 2016-й год выдано почти 900 тыс. таких разрешений, в 2015-м – около миллиона. А в США выдано 4148 разрешений за 2015 год.

Можно поставить под окнами квартиры фургон с мобильной базовой станцией. Но это делают редко – проще и дешевле слушать через СОРМ оператора. К тому же не нужно ездить фургоном за жертвой на работу и так далее.

Наконец, базовую станцию могут подделать, использовать фемтосоту или мобильный комплекс для прослушки. Такая техника есть у спецслужб или крупных детективных агентств. Просто ради интереса так делать не будут.

Некоторые приложения могут прослушивать iPhone без вашего ведома

Троян FinFisher использовали во время “арабской весны”. Правительство Египта в 2008-2011 годах использовало дыру в iTunes, чтобы заразить тысячи iPhone и слушать разговоры противников режима. Приложение стоило 287 тыс. евро.

FinFisher не только слушал разговоры по телефону. Он мог включить микрофон и камеру, чтобы записывать всё происходящее вокруг.

Разработчик Брайан Креббс указал на дыру как раз в 2008 году. Но Apple сразу не закрыла уязвимость.

В 2011 году история получила огласку благодаря Джулиану Ассанджу и WikiLeaks. Проблему пришлось срочно решать.

В 2015-м ПО FinFisher (в том числе программы для управления компьютером) уже использовали правительства по всему миру:

Один из самых незаметных методов прослушки iPhone – маяки

Ещё в 2013 году Apple представила в iOS 7 новый набор инструментов – iBeacon API. Он обеспечивает передачу данных между вашим гаджетом и специальными маяками (beacon в переводе с английского – маяк, бекон здесь не при чем). По сути это протокол-подмножество BLE (Bluetooth Low Energy).

iBeacon призван точно определять местоположение устройства внутри помещений и дополняет позиционирование по Wi-Fi, GPS и вышкам мобильной связи. Он использует Bluetooth и ультразвуковые волны.

В Android 4.3 есть аналогичная система. Google разработала Eddystone в 2015 году. В отличие от iBeacon, это открытый стандарт. Код протокола выложен на GitHub.

Зачем кому-то знать, где вы находитесь, с точностью до десятков сантиметров? Например, чтобы прислать вам уведомление, когда вы проходите мимо определенного магазина в торговом центре. Или понять, как вы ходите по торговому залу, чтобы разложить нужные продукты на вашем пути.

При этом вам не нужно подключаться к Wi-Fi или мобильной сети. Миниатюрный маяк, закрепленный где-то под потолком, отправит сигнал на ваш смартфон, и приложение отреагирует. А вы ничего не заметите, ведь микрофон вашего iPhone уловит сигнал за пределами диапазона, который вы способны слышать.

Компании-разработчики подобных сервисов утверждают, что не записывают ваши разговоры и не хранят персонализированные данные. Но, во-первых, просто честного слова недостаточно. Во-вторых, такие системы вполне можно взломать.

Как работает метод прослушки iPhone через маяк (beacon)

Если на iPhone не установлено приложений для работы с маяками (в том числе вредоносов), iOS не отреагирует на их появление. А Android может показать уведомление и без приложений – через Google Play Services.

Так что владельца iPhone достаточно уговорить установить на смартфон специальное приложение. Например, со скидками или бонусами. Или игру, которая якобы привязана к местоположению устройства.

После этого можно использовать для прослушки свои маяки или взломать/подделать чужие. И использовать их для сбора данных с микрофона нужного смартфона. Цены на маяки стартуют от 500-600 рублей:

Работают маяки от батареек, которых хватает на год-другой. Технология BLE (Bluetooth Low Energy) весьма экономна.

Передавать данные можно не только стандартным маяком. Передатчиком может выступать телевизор или радио.

Стоит ли вообще бояться прослушки через iPhone?

Маркетологи широко используют ультразвуковое слежение. Например, технологию задействовали в региональных приложениях McDonald’s и Krispy Kreme. В целом же количество приложений, которые работают через iBeacon и его аналоги, перевалило за две сотни. И каждое из них потенциально может использоваться для прослушки, говорится в исследовании Брауншвейгского университета.

Ученые исследовали шопинг-приложения Shopkick, Lisnr, SilverPush и раскрыли ещё одну темную сторону технологии. Когда по ТВ идет реклама или когда вы находитесь в магазине, раздается звуковой сигнал, который не слышит ваше ухо. Его добавляют к клипу или джинглу.

Ваш ноутбук, смартфон или планшет регистрирует этот сигнал. После этого профили на всех устройствах можно связать и отслеживать вас точнее. И хорошо, если вам просто попытаются что-то впарить с помощью рекламы…

Сами маяки также множатся. Примерно в 10% торговых центрах Германии они уже есть.

В России технологию тоже активно внедряют. Например, её использовали на фестивале GeekPicnic в Москве и Санкт-Петербурге ещё в 2015 году.

Обычно маяки поддерживают и iBeacon, и Eddystone. Смартфоны улавливают их сигнал с расстояния до 50 м.

К слову, ваш работодатель может заставить вас носить такой маяк. Устройства в виде браслетов популярны на режимных предприятиях и в компаниях, которые работают с конфиденциальными данными.

Apple уже один раз случайно прокололась. О прослушке в FaceTime

Владельцы iPhone часто болтают друг с другом по видеосвязи через стандартное приложение FaceTime. Но даже Apple допускает промашки.

В конце января 2019 года вокруг FaceTime разгорелся скандал. Оказалось, что собеседника можно прослушать ещё до того, как он принял звонок в приложении.

Схема работала следующим образом:

1. Пользователь начинал звонок в FaceTime.
2. Свайпом в нижней части экрана открывал меню “Добавить человека”.
3. В окно поиска вписывал собственный номер.
4. Начинался групповой звонок.
5. Пользователь слышал всё, что происходит рядом с телефоном собеседника. Даже если тот ещё не принял звонок.

При этом абонент на том конце не подозревал, что его прослушивают. Он просто видел входящий звонок в FaceTime.

Apple сразу признала проблему и отключила групповые звонки в FaceTime. Их вернули с патчем безопасности, который вышел спустя несколько дней.

Но никто не гарантирует, что подобный баг не “выплывет” в другом месте…

Как защититься от прослушки iPhone?

Как минимум пройтись по списку своих приложений и отключить некоторым из них доступ к микрофону. По крайней мере, если это не мессенджер или приложение для видеосъемки.

В iPhone это делается в меню “Настройки” – “Конфиденциальность” – “Микрофон”.

На Android нужно зайти в список приложений и для каждого проверить пункт “Разрешения приложения” в настройках.

Есть также приложения, которые позволят распознать ультразвук. К примеру, Ultra Sound Detector для Android и Echo Meter Touch Bat Detector для iOS.

От официальной прослушки через СОРМ никто не защищен. Но если пользоваться мессенджерами с нормальным шифрованием и не устанавливать подозрительных приложений, задачу для “слушателей” усложните.

Другой вариант – кнопочная “звонилка” с SIM-картой не на ваше имя. Важно, чтобы её номер знали лишь вы и тот, с кем нужно связаться.

И не болтайте возле чужих, потенциально зараженных, подозрительных устройств. Слушать могут и через них. Теоретически.

? Хочешь больше? Подпишись на наш Telegram. … и не забывай читать наш Facebook и Twitter ? iPhones.ru Рассматриваем, что возможно, а что нет. –>

Ксения Шестакова

@oschest

Живу в будущем. Разбираю сложные технологии на простые составляющие.

Используемые источники:

• tech/2016/08/01/9718877/voice-of-fsb.shtml
• https://sergoot.ru/safety-in-facetime
• https://xn--d1ababe6aj1ada0j.xn--p1acf/facetime/bezopasnost-facetime
• https://medialeaks.ru/2901mav-iphone-nu-ty-daesh/
• https://www.iphones.ru/inotes/mozhno-li-proslushat-iphone-chisto-teoreticheski-11-12-2019