Jak bezpiecznie sprzedać urządzenie mobilne?
Sprzedaż używanych urządzeń mobilnych jest bardzo popularna, ale czy na pewno bezpieczna? To pytanie warto postawić sobie zwłaszcza w sytuacji, kiedy chcemy sprzedać smartfon lub tablet, na którym mieliśmy np. zainstalowaną aplikację bankowości elektronicznej. Czy w takiej sytuacji osoba trzecia może uzyskać dostęp do naszych danych i czy można się przed tym zabezpieczyć?
Często nie wyobrażamy sobie życia bez aplikacji wykorzystujących dobrodziejstwo bezgotówkowych systemów transakcyjnych. Kupno biletu komunikacji miejskiej, czy opłacenie parkingu za pomocą smartfona to już norma. Smartfony czy tablety magazynują w swojej pamięci informacje dotyczące naszej prywatności, takie jak np. wiadomości e-mail, SMS-y, a także zdjęcia wraz ze współrzędnymi geograficznymi. Mogą być one szczególnie interesujące dla cyberprzestępców. Cenny dla nich będzie również potencjalny dostęp do systemów, których częścią są aplikacje zainstalowane na telefonie, w tym aplikacje do wykonywania różnego rodzaju transakcji pieniężnych.
Informacje mogące mieć wpływ na bezpieczeństwo, jak i sposób przechowywania ich na urządzeniach, często są niezależne od nas i wynikają z architektury systemu operacyjnego, aplikacji bądź budowy systemu transakcyjnego. Do głównych czynników ryzyka możemy zaliczyć m.in.:
- przechowywanie w formie jawnej lub możliwej do odzyskania danych dostępowych do systemów: haseł i kodów PIN, certyfikatów czy danych karty kredytowej lub płatniczej;
- brak szyfrowania przechowywanych danych na poziomie systemu operacyjnego czy samej aplikacji;
- nieefektywne kasowanie danych z nośnika – samo usunięcie pliku nie gwarantuje, że danych nie da się odzyskać.
Możliwość nieautoryzowanego pośredniego lub bezpośredniego dostępu do takich informacji może wpływać istotnie na bezpieczeństwo naszego konta w systemach transakcyjnych, czy nawet przyczynić się do wykorzystania zaufanego kanału płatności przez niepowołaną osobę.
Jak przygotować smartfon do bezpiecznej sprzedaży
Najprostszym sposobem, aby uniknąć potencjalnego ryzyka wykorzystania wrażliwych danych, jest założenie, aby nie odsprzedawać urządzeń mobilnych. Jednak nie zawsze jest to możliwe, głównie z przesłanek ekonomicznych. Często też zdarza się, że gubimy nasze urządzenia lub co gorsza są one obiektem zainteresowania osób trzecich.
Jeśli już zdecydujemy się odsprzedać nasze urządzenie, warto zrobić wszystko, aby zminimalizować ryzyko odczytu danych kiedykolwiek zapisanych na nośnikach, w które jest wyposażony smartfon czy tablet. - Trzeba wtedy pamiętać przede wszystkim o skutecznym usunięciu danych, które mogą być przechowywane na wszystkich jego nośnikach (jak pamięć FLASH czy NAND), zewnętrznych kartach pamięci, jak np. microSD czy też karcie SIM - mówi Tomasz Niewdana, inżynier systemowy w firmie Fortinet.
Dodatkowo warto zwrócić uwagę na możliwość potencjalnego dostępu do danych w chmurze, które mogą być wykorzystane przez atakujących - przykładowo zdjęcie naszego dowodu osobistego, przesłane w ramach usługi przechowującej pliki.
Samo skasowanie wrażliwych danych z nośników nie jest wystarczające. Łatwo dostępne oprogramowanie umożliwia odzyskanie danych, które nie zostały nadpisane. Dodatkowo należy pamiętać, aby wyrejestrować urządzenie z zaufanych kanałów w różnych usługach.
Poniżej znajduje się lista działań rekomendowanych przez ekspertów Fortinet, które warto wykonać lub rozważyć, analizując potencjalne ryzyko utraty ważnych danych na wypadek kradzieży, zagubienia lub odsprzedania urządzenia.
- korzystaj z urządzeń i systemów operacyjnych, które domyślnie szyfrują dane
- zabezpiecz urządzenie na wpadek jego utraty, najlepiej umożliwiając zdalne skasowanie danych
- w miarę możliwości oddaj/sprzedaj urządzenie zaufanej osobie
- w przypadku przygotowania do odsprzedaży skasuj skutecznie dane (skontaktuj się z producentem z prośbą o uzyskanie odpowiedniej instrukcji), dokonaj aktualizacji systemu operacyjnego, nadpisz kilkukrotnie dane nieistotnymi informacjami, zachowaj karty pamięci i pamiętaj o wyjęciu karty SIM
- wyrejestruj urządzenie z usług w chmurze np. poczty elektronicznej, przechowywania plików, zlikwiduj zaufane kanały dostępu dla tego urządzenia (np. aplikacja w banku, token itp.)
źródło: fortinet/informacjebranzowe.pl