První komplexní zpráva o stavu bezpečnosti mobilních telefonů občanské společnosti

Abstract

Členové občanské společnosti často čelí hrozbám nejen ve fyzickém světě, ale i v kybernetickém prostoru. Jejich důležitá práce je vystavuje neustálému riziku sledování nebo napadení. Mobilní telefony jsou pro jejich aktivitu nezbytné, ale zároveň často nedostatečně chráněné. Snahu o jejich ochranu často ztěžuje nedostatečná standardizace metod pro analýzu a hodnocení rizik. Projekt Civilsphere na Českém vysokém učením technickém v Praze poskytuje ohroženým lidem zdarma službu Emergency VPN (EVPN). Tato služba pomáhá objevit úniky dat a přítomnost malware prostřednictvím analýzy síťové komunikace mobilních telefonů. Cílem této diplomové práce je vytvořit první standardizované skóre popisující nebezpečí plynoucí rizikovým osobám z využívání mobilního telefonu. Zpracovali jsme zachycenou komunikaci ze 65 zařízení, včetně závěrečných hlášení o zranitelnostech, a vytvořili tak unikátní sbírku dat, vhodnou pro další analýzu. Prozkoumali jsme data uniklá z mobilních telefonů a identifikovali rizika z nich vyplývající. Vyvinuli jsme novou metodu hodnocení závažnosti zranitelností a popisu typů uniklých dat. Přestože žádné zařízení nevykazovalo známky přítomnosti malware, zjistili jsme, že z aplikací běžně unikají citlivá data, nejčastěji pozice, ohrožující bezpečí uživatelů.

Civil society members face threats not only in the physical world but in cyberspace. Their critical work leaves them in a permanent risk of surveillance and abuse. Mobile phones are vital for their activities, however these are often vastly unprotected. The lack of a standardized method to measure and analyze these risks hinders the efforts to protect them. The Civilsphere Project at the Czech Technical University in Prague created the Emergency VPN (EVPN) to help civil workers at risk. This free service helps discover data leaks or malware infections through network traffic analysis of mobile devices. The goal of this thesis is to create the first standardized risk measurement score for mobile phones at risk. In order to do so we processed 65 packet captures from the civil society along with the manual assessment reports done by Civilsphere analysts, creating a unique dataset suitable for further analysis. We assessed data leaked from mobile devices to identify potential risks and security threats. We developed a new method to standardize the severity rating and created a metric describing the nature of the reported data leaks. While none of the analyzed devices showed indications of malware presence, we discovered that they leak a lot of data that puts the civil workers at risk, most commonly the user's location.