A Google és az Apple fellépései a csalások és az adathalászat ellen

 

Az adathalászat, az internetes csalások, a manipuláció és okostelefonjaink ellopásának veszélyei mindennap fennállnak. A Google és az Apple igyekeznek ezekkel a fenyegetésekkel lépést tartva olyan fejlesztéseket létrehozni, amik megnehezítik a csalók, adathalászok és a tolvajok tevékenységeit. Változtatásokat vezettek be eddig a Gmail kétlépcsős hitelesítése terén, biztonságosabbá téve azt. Személyazonosságunk igazolására okostelefonjainkon, az ellopott eszközök eladásának megnehezítése érdekében. A Google a Mesterséges Intelligencia segítségével a jelszóválasztást is biztonságosabbá és megbízhatóbbá teszi. Az SMS-t leváltó Rich Communication Services pedig legújabb fejlesztésével igyekszik biztonságosabbá tenni az üzenetváltást. A következőkben ismertetett fejlesztések az elmúlt félév fejleményeinek összefoglalása. A szolgáltatók újításai folyamatosak, még több biztonsági lépés várható a jövőben tőlük. 2 hírről (Gmail QR kódos hitelesítése és az Identity Check) a források között található szemlék bővebb információkat tartalmaznak.

Gmail QR kódos hitelesítése

A Google a jövőben már nem fog SMS-ben küldeni hat számjegyből álló kódot a kétfaktoros hitelesítési folyamata során a Gmail fiókba új eszközön történő bejelentkezéskor. Ehelyett QR kódokat vezet be. Célja az SMS-es visszaélések számnak csökkentése. Az SMS útján küldött kód  jól működő kétfaktoros hitelesítési módszer, de számos biztonsági kockázattal jár, ugyanis ez a csatorna nem titkosított. Könnyen válhatunk kiberbűnözők, átverésének, manipulációjának áldozatává. A Google új módszere bevezetésével egy lépésben csökkenti ezzel a kiberbűnözők lehetőségét a "traffic pumping" vagy "toll fraud" alkalmazására is. Ez úgy működik, hogy a csalók telefonszámokat generálnak, hogy SMS-eket küldjenek  ki a különböző online szolgáltatások. A szélhámosok pedig minden elküldött üzenet után pénzt szereznek a szolgáltatótól. A következő hónapokban fog fokozatosan életbe lépni a QR kódos módszer. SMS-ben kapott kód helyett egy QR kód fog megjelenni a laptop vagy asztali számítógép képernyőjén, amin be szeretnénk jelentkezni Gmail fiókunkba. Ezt telefonunk kamerájával kell majd beolvasnunk. Előnyben lesznek azok akiknek képes erre a telefonjuk anélkül, hogy ehhez külön alkalmazást kelljen letölteniük.  Azonban érdemes megjegyezni, hogy sajnos QR kódokkal is egyszerűen el lehet követni csalásokat. 

Identity Check és társai

A telefontolvajokkal szemben egyre erőteljesebben veszik fel a harcot az okostelefongyártók és platformtulajdonosok az utóbbi években.  Ennek köszönhetően a tolvajoknak egyre gyakrabban okoznak kellemetlenséget, ugyanis az ellopott készülékekből így nem tudnak pénzt csinálni, eladhatatlanok lesznek azok. A Google és az Apple olyan védelmi mechanizmusokat épít be az operációs rendszereikbe, amelyek nehezebben megkerülhetővé teszik a telefonokon tárolt adatokhoz történő hozzáférést. Ezeknek köszönhetően az ellopott készülékek értékesítése illetve lecsupaszítása, vagyis eladható állapotba való hozatala az korábbiakhoz képest sokkal nagyobb energia befektetést, de akár komoly szaktudást fog igényelni.

Ilyen védvonalnak számít első sorban az Identity Check funkció. Ez mostantól elérhető lesz az Android 15-öt futtató Pixel okostelefonokon, illetve nemsokára használható lesz a Samsung One U17-tel érkező, vagy arra frissített Galaxy készülékeken is. Az Identity Check feladata lesz, hogy védje a készülék kritikus beállításait és a felhasználói fiókokat. Ez azt jelenti, hogy bizonyos funkciók eléréséhez (például már rögtön a készülék gyári állapotba hozása, PIN vagy jelkód megváltoztatása stb.) elengedhetetlenné tesz az előzetes biotermikus azonosítást. A Google által tavaly októberben került bejelentésre, hogy az Android operációs rendszer számos új, a telefontolvajok tevékenységét megnehezítő funkcióval egészül ki. Az Android 10-es készülékekben elérhető, mesterséges intelligenciára épülő "Theft Detection Lock" vagy az "Offline Device Lock" már eleve ezt a funkciót szolgálják. A Google Play Services frissítésével lettek elérhetőek ezek a funkciók. Tehát az új funkciók megjelenéséhez nincs szükség az operációs rendszer frissítésére.

Az Identity Checkhez nagyon hasonló az Apple az iPhone-ok esetében már az iOS 17.3-as kiadás óta kínál. Az iOS 18-as verziójával pedig már egy olyan védelmi vonal is bekerült a operációs rendszer lehetőségei közé, mely a lopott készülékek alkatrészként történő értékesítését is meghiúsítja. Ez úgy lesz lehetséges, hogy telefonok kulcsfontosságú alkatrészeit sorozatszám alapján az "Activation Lock" rendszeren keresztül a tulajdonos Apple ID-jéhez rendeli.

Mesterséges Intelligencia és a Google Chrome jelszókezelője

Automatikus jelszóváltoztatással bővülhetnek a Google jelszókezelő beállításai. A Google az utóbbi időkben azon dolgozott, hogy a Mesterséges Intelligenciát az online fiókok védelmének fokozására használja fel. Egy fejlesztő figyelmét keltette fel a Chrome Canary legfrissebb MI beállításai közt az új automatizált jelszóváltoztató opció. Ez a funkció ellenőrzi a felhasználó által megadott jelszót, majd felajánlja a jelszó megváltoztatásának lehetőségét bejelentkezés után, abban az esetben, ha az szerepelne a kompromittált és kiszivárogtatott bejelentkezési adatok adatbázisában. A fejlesztés a sokak számára ismerős Google Jelszókezelő (Password Manager) részeként lesz elérhető a későbbiekben a felhasználók szélesebb körében. Egyenlőre azonban még csak kísérleti fázisban próbálható ki a böngésző fejlesztőknek szánt verziójában az "Improved Password Change Service" és a "Mark all Credentials as Leaked flagek"  bekapcsolásával.

Az SMS biztonságosabb utódja a Rich Communication Services

Mint kiderült, az SMS-ek sem teljesen biztonságosak, ugyanis a kiberbűnözők már SMS-ben is okozhatnak károkat számunkra. A megoldás az univerzálisan  hasznát Rich Communication Services (továbbiakban: RCS) üzenetküldő rendszer, amely az SMS utódjának tekinthető. A technológia akkor került előtérbe, amikor az Apple az iOS operációs rendszer 18.1-es verziójával beépítette a szabvány szerint elvárt végpontok közti titkosítást, end to end encryption, vagyis E2EE. A rendszert a GSMA gondozza. Az új fejlesztés az RCS Universal Profile 3.0-ás verzióval érhető el. A fejlesztés a Messaging Layer Security protokollt használja az üzenetek, képek és videók titkosítására. A szabványt gondozó testület bízik abban, hogy hatékonyabb védelmet nyújthatnak a felhasználók számára a csalók és adathalászók ellen. 

Források:

• Dömös Zsuzsanna: Kivezeti a Gmail az SMS-ben küldött kódokat
• Koi Tamás: Egyre több okostelefon válhat levélnehezékké
• Dömös Zsuzsanna: AI-jal turbózza a Google a Chrome jelszókezelőjét
• Koi Tamás: Biztonságosabbá vált az SMS utódja
• Csíkos Dóra: A Google új módszere az adathalászok ellen: QR kódos hitelesítés
• Csíkos Dóra: STOP! a telefontolvajoknak, Identity: checked

Képek forrása:

• Lead szöveg képe
• Gmail QR kódos hitelesítése
• Identity Check 
• Activation Lock
• Google Chrome jelszókezelője
• Rich Communication Services