Данные во «втором пространстве»
Согласитесь, иногда необходимо спрятать личную информацию на своем смартфоне от посторонних глаз. Особенно актуальной такая задача становится, когда смартфон приходится отдать во временное пользование родственникам, детям или друзьям. И наверняка многих владельцев телефонов посещала мысль сделать в смартфоне специальный гостевой режим, ведь человеку свойственно бережно относиться к своим личным тайнам.
Скажем сразу, что в этой идее нет ничего невозможного, ведь большинство производителей мобильных устройств отслеживают запросы потребителей в сфере безопасности данных. И самое главное — стараются их оперативно реализовывать в своих новых разработках.
Сегодня во многих современных Android-устройствах от известных производителей есть возможность создания защищенного второго рабочего пространства, или, как его называют в народе, «второго дна». Пионерами в этой сфере стали китайский техногигант Huawei и корейская корпорация Samsung. Позднее к ним присоединился еще один лидер рынка — компания Xiaomi.
В этом материале мы поговорим о том, какие функции для защиты приватности пользователей предлагают эти три вендора, и обсудим уровень защиты информации, размещенной во «втором дне» от каждой компании.
Но прежде чем рассказать о том, как реализовано второе пространство у каждого из производителей, остановимся подробнее на его функциях.
Второе пространство — что это такое и для чего предназначено?
Сразу хотим сказать, что второе рабочее пространство до сих пор не является стандартной функцией ОС Android. Именно поэтому проблема его создания целиком ложится на плечи производителей смартфонов. Каждый из них реализует данную возможность по-своему и только в определенных моделях. Почему это именно так — мы расскажем позднее.
Используя второе пространство, пользователь может создать в своем смартфоне изолированный и независимый второй рабочий стол и работать с его помощью со смартфоном как со вторым устройством. Как видно из определения, функция второго рабочего стола требует от смартфона больше аппаратных ресурсов в виде процессорной мощности и оперативной памяти. Именно поэтому данная функция реализована далеко не во всех мобильных устройствах.
Сценариев использования второго пространства может быть множество, и все они зависят только от фантазии и потребностей пользователя. Приведем некоторые из них для примера:
1. Используя второе рабочее пространство, можно эффективно разграничить личный и рабочий стол в своем смартфоне. Например, можно весь развлекательный контент хранить на личном столе, а на рабочий вынести только необходимые для работы данные и приложения.
2. Можно разграничить доступ к личным и рабочим документам. Используя настройки, возможно получить некий аналог облачного хранилища во встроенной флеш-памяти смартфона.
3. При помощи второго пространства можно быстро организовать в телефоне гостевой режим, вынеся на рабочий стол только приложение для звонков и SMS-сообщений. В таком виде телефон можно спокойно передавать коллегам, детям и друзьям, зная, что все конфиденциальные данные надежно скрыты от посторонних глаз.
Конечно, число сценариев использования второго пространства не ограничивается только приведенными нами примерами, но они позволяют понять, насколько эта функция может быть полезна для каждого владельца смартфона. Именно поэтому многие покупатели обращают внимание на наличие этой функции у выбранного аппарата. Ну а теперь поговорим об особенностях реализации второго пространства у телефонов от различных производителей.
Личное пространство, или Private Space, появилось на устройствах бренда Huawei и Honor, использующих EMUI 一 фирменную оболочку, работающую как надстройка на базе ОС Android. Данная технология довольно быстро завоевала популярность и стала обязательным атрибутом каждой новой версии.
Одним из весомых преимуществ Private Space является простая и быстрая процедура настройки. Для активации этой технологии следует в меню настроек смартфона в разделе «Конфиденциальность» выбрать вкладку «Личное» и нажать на кнопку «Активировать». Затем необходимо задать пароль для входа во второе пространство или выбрать вход по отпечатку пальцев. Главное условие — код или отпечаток должны отличаться от используемых для основного пространства устройства. На этом всё — второе пространство создано!
Заметим, что второе пространство было разработано не только для того, чтобы хранить в неприкосновенности тайны и секреты. Опция будет полезна людям, которым необходимо разделить рабочее и личное на телефоне, чтобы не отвлекаться на посторонние вещи в течение дня или отдать смартфон детям, не опасаясь за сохранность своих данных.
Схема работы со вторым пространством продумана до мелочей: ничто не выдает наличия «секретного» пользователя на смартфоне, но стоит разблокировать экран с помощью другого кода или отпечатка пальца — устройство открывает Private Space, в котором конфиденциальные файлы надежно спрятаны от третьих лиц. Заметим, что получить доступ ко второму пространству можно также через меню настроек. Возможно, этот способ не так удобен, как мгновенное переключение между Main и Private Space, но его также следует иметь в виду.
Хотим обратить внимание на то, что в Private Space невозможно войти сразу после перезагрузки устройства: для этого требуется сначала ввести код разблокировки основного пространства смартфона. Получается, что второе пространство находится под двойной защитой!
Здесь мы сразу хотим сказать, что, в отличие от смартфонов Samsung и Huawei, второе пространство в устройствах Xiaomi — это не просто защищенная папка с новым пользователем, а полноценный новый аккаунт, по аналогии со вторым аккаунтом в ОС Windows. Именно поэтому «второе дно» от Xiaomi предоставляет пользователю гораздо больше возможностей для защиты данных и приложений. Эта функция доступна на устройствах, работающих под управлением MIUI 8 и старше.
Чтобы активировать второе пространство, требуется пройти по следующей цепочке: «Настройки» → «Особые возможности» → «Второе пространство» → «Создать второе пространство» → «Далее». После выбора пункта «Далее» станет доступно окно с выбором способа защиты: пароля или графического ключа. Если в телефоне есть сканер отпечатков пальцев, то можно использовать для входа биометрическую идентификацию.
Когда настройка второго пространства завершится, откроется новый экран, который будет выглядеть так же, как у только что приобретенного телефона. Это и есть второе пространство. Для переключения между «вторым дном» и основным пространством следует кликнуть по ярлыку «Переход» и ввести пароль.
За счет создания полноценного второго аккаунта в устройствах от Xiaomi обеспечивается гораздо большая гибкость в настройке режимов работы приложений. Благодаря этому можно, например, создать отдельное игровое пространство для ребенка или защищенную среду для запуска и анализа нового приложения. Также во втором пространстве можно открыть мессенджеры и социальные сети под другой учетной записью.
Заметим, что, как и у других производителей, на смартфонах Xiaomi при работе со вторым пространством файлы из первого рабочего стола не будут видны, если, конечно, они не были перенесены на второй стол. Также не будет видна и установленная в устройство карта памяти, если пользователь не перенесет часть ее содержимого во «второе дно». И даже при подключении смартфона к ПК файлы из второго пространства не будут видны на первом.
В смартфонах от компании Samsung второе защищенное рабочее пространство впервые появилось в марте 2013 года. Это была проприетарная платформа безопасности и управления, предназначенная для работы на различных мобильных устройствах, — Samsung Knox. Главная задача, которую ставили перед собой разработчики Knox, — предоставить организациям и частным пользователям набор инструментов для управления рабочими устройствами и создания в них безопасной среды для хранения и работы с конфиденциальными данными.
Все реализованные в Samsung Knox функции можно разделить на три группы: контроль безопасности данных, создание удобной среды управления и поддержка работы и функций VPN.
Еще одной весьма интересной фирменной «фишкой» Knox можно считать встроенный «электронный предохранитель», или, как его иначе называют, счетчик Knox. С его помощью отслеживаются любые несанкционированные изменения в операционной системе смартфона. Например, после перепрошивки загрузчика, ядра системы или получения на устройстве root-прав будет активирован «электронный предохранитель». После этого у пользователя не получится совершать платежи через сервис Samsung Pay, а устройство не сможет создавать безопасное пространство Knox или получать доступ к данным, ранее сохраненным в нем. Также на основании срабатывания «счетчика» компания Samsung может отказать в гарантийном ремонте устройства.
Теперь настало время подробнее остановиться на том, как технология Knox помогает защитить пользовательские данные. Для этого на базе Knox реализована функция защищенной папки — Secure Folder.
В Secure Folder используются современные технологии защиты данных, которые могут эффективно противостоять попыткам получения несанкционированного доступа к ним, а также хакерским атакам и другим злонамеренным воздействиям. Для защиты Secure Folder можно использовать PIN-код, графический ключ или биометрическую идентификацию.
Создать Secure Folder на устройствах Samsung ничуть не сложнее, чем на смартфонах от Huawei или Xiaomi. Для этого пользователю достаточно авторизоваться в своей учетной записи Samsung, выбрать метод блокировки хранилища (графический пароль, PIN-код или биометрическая защита, если она поддерживается на смартфоне). После этого на рабочем столе телефона появится иконка, нажатие на которую открывает доступ к Secure Folder.
Главным отличием Secure Folder от Huawei Private Space является то, что дополнительное пространство в телефонах Samsung находится внутри основного. Этот факт позволяет усомниться в том, что хранящиеся в Secure Folder сведения действительно надежно защищены от несанкционированного доступа, несмотря на наличие кода блокировки. И тем не менее у разработчиков есть решение: иконку можно скрыть с рабочего стола, таким образом не оставив никаких следов наличия дополнительного пространства.
Samsung Secure Folder также предоставляет пользователям функцию облачного резервного копирования файлов, что удобно с точки зрения управления памятью телефона. Хотя в этом случае угроза утечки конфиденциальных данных становится гораздо выше, ведь они переносятся из персональной защищенной среды в публичное хранилище.
Но в целом, используя такой расширенный подход к безопасности, технология Knox обеспечивает полное разделение рабочих и личных данных на мобильных устройствах и эффективно устраняет все основные проблемы безопасности данных в ОС Android.
Компания Huawei всегда уделяла особое внимание безопасности и надежности своих устройств. На большинстве флагманских устройств вендора используется современная технология пофайлового шифрования данных (FBE), которая по праву считается лучшим методом защиты информации на сегодня. FBE создает для атакующего дополнительные препятствия на пути к получению и расшифровке данных. Например, необходимо знать пароль блокировки экрана, используемый для защиты ключей шифрования.
Согласно официальной документации компании, движок аппаратного шифрования поддерживает множество современных криптографических алгоритмов, среди которых можно выделить:
● AES128 и AES256; ● SHA1 и SHA256;
● RSA1024 и RSA2048; ● 3DES и многие другие.
Также разработчики Huawei усложнили задачу подбора кода блокировки экрана, увеличив интервал ожидания после неудачных попыток его ввода.
Комбинация всех указанных методов обеспечивает надежную и эффективную защиту данных пользователей от внешних атак и делает Huawei-смартфоны на базе чипсетов Kirin одними из наиболее защищенных устройств. Именно этот факт подтвержден многими независимыми экспертами.
Как тогда защищены сведения, хранящиеся в Huawei Private Space? Аналогично — за исключением второй пары аппаратных ключей, используемых для шифрования и дешифрования файлов в дополнительном пространстве. Это значит, что даже если кто-либо узнает или подберет пароль к основному пространству смартфона, то без пароля от Private Space он ни при каких обстоятельствах не получит доступ к секретным файлам.
Как мы уже написали выше, в устройствах Samsung технология Secure Folder использует платформу Knox для того, чтобы скрыть конфиденциальную информацию. Такой подход очень похож на принцип: «Хочешь что-то спрятать — положи это на видное место».
Данные в дополнительном пространстве Secure Folder защищены кодом блокировки (и биометрией, если она доступна и настроена) и полнодисковым или пофайловым шифрованием. Об этом мы уже рассказывали в одной из наших статей, поэтому останавливаться на этом подробно сейчас мы не будем. Общее впечатление об уровне безопасности хранения секретных файлов портит функция облачного резервного копирования. Тем не менее устройства Samsung Exynos — одни из самых безопасных в отрасли, что позволяет не сомневаться в том, что Secure Folder является относительно надежным сейфом для приватных сведений.
Что касается устройств Xiaomi, то в них обеспечивается еще более надежная защита не только хранимых во втором пространстве данных, но и используемых приложений, а также учетных записей в них. Чтобы попасть во второе пространство в устройствах Xiaomi, также следует сначала получить доступ к основному. Плюс к этому, как мы уже упомянули, даже подключение смартфона к ПК не предоставит пользователю доступ к файлам и данным из «второго дна». И не будем забывать про ставшую стандартом для устройств на базе ОС Android технологию полнодискового или пофайлового шифрования.
Как обстоят дела с извлечением данных из второго пространства?
Специалисты компании «МКО Системы» в программных продуктах бренда «Мобильный Криминалист» успешно реализовали возможность извлечения и расшифровки пользовательской информации Huawei Private Space из Kirin-устройств. Пользователю не требуется выполнять какие-либо дополнительные действия: все необходимые операции осуществляются в автоматическом режиме. Процесс извлечения и расшифровки данных состоит из нескольких этапов:
1. На этапе чтения аппаратных ключей шифрования программа определяет наличие на устройстве активного пространства Private Space. После получения ключей для дешифровки пользовательского раздела происходит чтение ключей шифрования и для Private Space.
2. При импорте физического образа смартфона необходимо ввести или подобрать пароль последовательно: сначала — к основному пространству телефона, а затем — к дополнительному.
3. После того как пароли блокировки экрана были введены в соответствующее поле или подобраны, с их помощью происходит дешифровка данных всех обнаруженных учетных записей устройства.
Алгоритм извлечения и анализа данных Secure Folder из телефонов Samsung на базе чипсетов Exynos, оснащенных пофайловым шифрованием, аналогичен методу получения сведений из Huawei Private Space.
В результате работы с устройствами Huawei и Samsung «Мобильный Криминалист» получает расшифрованную информацию не только из приватного пространства Huawei, но и из защищенного сейфа Samsung Secure Folder.
Также в ПО «Мобильный Криминалист» реализована возможность извлечения и расшифровки данных из устройств Xiaomi на платформе MediaTek. При наличии в них второго рабочего стола данные из него также будут извлечены и расшифрованы. При необходимости исследователь может воспользоваться встроенным сервисом подбора паролей.
Современные лидеры мобильной индустрии уделяют огромное внимание приватности пользовательских данных, внедряя передовые алгоритмы шифрования и платформы для защиты от внешних атак. Появление дополнительных пространств внутри смартфонов убедило многих в том, что устройства на базе ОС Android умеют скрывать информацию от посторонних глаз — но только не от ПО «Мобильный Криминалист»!
Специалисты «МКО Системы» продолжают работать над тем, чтобы сделать процесс извлечения и расшифровки данных из Android-устройств максимально эффективным, и постоянно расширяют список поддерживаемых нашим ПО устройств.