Door Anoniem: Door Anoniem: In het nieuws: Telefoon van Lizz Truss gehacked.
Wat is de beste manier om je smartphone te beveiligen? Zijn zakelijke telefoons beter beveiligd dan privételefoons?
Of is de manier van de Turkse MP toch het beste?
Vaak gebruiken de hacks gebruik van al bekende CVE's. De veiligste telefoon is 1 die up-to-date is en daarnaast nog extra mitigaties en hardening doorvoert welke hacks tegen houden waar een niet hardened systeem dat niet kan.
Op dit moment is de beste optie GrapheneOS op een moderne Pixel. Dit is het meest veilige mobiele besturingssysteem welke niet makkelijk gehacked kan worden. Het mobiele netwerk is alsnog een significant attack surface dus het beste is om de telefoon in airplane mode te gebruiken met alleen wifi aan (wanneer nodig). wanneer mobiele verbinding nodig is forceer dan 4G zodat er geen zwakheden van legacy netwerken gebruikt kunnen worden. Installeer zo min mogelijk apps en geef deze zo min mogelijk permissies (werk met storage scopes in GrapheneOS wanneer toegang nodig is tot lokale bestanden). Gebruik apps welke onder een vrije software licentie zijn uitgebracht zonder proprietary google libraries. Voor signal gebruik de FOSS versie van Molly. Gebruik geen proprietary apps welke netwerk toegang hebben, al helemaal niet voor het delen van data/communicatie (whatsapp is een zwakke schakel bijvoorbeeld, hiermee is Jeff Bezos recent gehacked). Gebruik geen of zo min mogelijk onversleutelde telefonie/sms. Gebruik de ingebouwde auditor met een andere telefoon om de integriteit van de software te controleren. Reboot dagelijks je telefoon om mogelijke hacks ongedaan te maken (met een volledige verified boot zijn persistant hacks vele malen lastiger in GrapheneOS).
Hoe ver je hierin wilt gaan ligt ook aan je threat model. Als jij een actief doelwit bent van een partij met veel resources moet je voorzichtiger zijn dan wanneer je je enkel wilt beveiligen voor globaal gebruikte hacks of een doelwit bent van een 'scriptkiddie'. Als je je privacy ook wilt garanderen (wat slim is om gemakkelijke targeting te voorkomen) dan zal je nog verder moeten gaan en ook zorgen dat je simkaart en telefoon niet terug te herleiden zijn naar jou. Daarnaast geen gebruikt te maken van big-tech diensten/apps en je netwerkverkeer altijd door een gerenommeerde VPN of Tor te laten lopen.
De NSA zit uiteraard bovenop al dit soort OSjes. Attack surface reduceren leuk. Maar het kan op allerlei manieren binnenkomen. Die Vanadium browser is ook niet heilig. En als jij al apps gaat installeren heb je een groot probleem.
Signal van Molly? Nee, pakt die apk van de site en zeker niet van een store zoals Fdroid. Je weet dat Fdroid meerdere versies en maintainers heeft. Hoe betrouwbaar zijn die mensen? Kijk zo'n maintainer is wel een doelwit van allerlei staatsactoren.
Graphene is een eenmansproject. Het is een Linux kernel met een iets verouderde kernel met de usual NX bitjes en SELinux policies en een hardened malloc plus een sandbox voor elke app.
De supersecurity is schromelijk overdreven door Youtube influencers. Ik acht Mckays pdf lezer clean en er is niks mis met sandboxen van apps maar als je een exploit binnenkrijgt zal dat gaan via je WiFi bijvoorbeeld en via je kernelspace.
Hun exploits laten geen binaries achter en zijn na een reboot weg dus ook nooit forensisch materiaal. Moet ook wel want anders klopt de signatuur over het filesystem niet meer en start een Grapheneos telefoon niet meer op (secureboot stages; ik geloof dat ze 4 stages hebben). Dus als je de telefoon in RAM exploit via kernel (en de Linux kernel is best zwaar en buggy) en reboot dan zal je auditor app nooit geen melding maken van een breach.
Ik weet uit ervaring te melden dat bepaalde "actoren" al in 2016 exploits voor (nieuwe) Android toestellen gebruikten die via de kernel een privilege escalation deden en zo allerlei root commandos konden uitvoeren buiten de SELinux policy om en geen binaries in je fileysteem dus nooit bewijs dat er met jouw telefoon is geknoeid!! Dit was een Motorola toestel maar het idee blijft hetzelfde
Sterker zelfs; deze staatsactoren hebben er groot belang bij dat ze geen files wijzigen bij een exploitatie. Als een exploit werkt zal deze elke keer opnieuw werken, dus waarom backdoors achterlaten of ander bewijs ?
Als je op kernel niveau zit kun je ook alle firewalls omzeilen en je traffic onzichtbaar maken voor apps
Het enige wat je dan kan doen is al je verkeer van je smartphone via een tussenpunt routeren en die constant monitoren met Wireshark (en hopen dat niemand dat weet en beschikking heeft over exploits om je Wireshark te laten crashen.. of erger)
Met dat systeem ben je wel beschermd tegen gewone criminelen. Maar vast niet tegen de Criminelen In Apekooi of hoe zij zich tegenwoordig noemen.
Of je doet wat ik doe... gewoon doen alsof je dom bent en mee gaan in hun bullshit narratieven. Dan laten ze ook met rust namelijk.