איך מוחקים את המידע על הטלפון לפני שמוכרים אותו?

אנשים רבים בוחרים להתחדש עם סמארטפון או טאבלט חדש בכל פעם שיוצא דגם מתקדם יותר. לרוב הם מוכרים את המכשיר הישן ללא כל מחשבה מה יעלה בגורל המידע שנשמר עליו בזמן השימוש בו, שעובר לידיים זרות.
אילו צעדים יש לנקוט כדי להגן על הפרטיות שלכם? והאם כאשר מוחקים קובץ ממכשיר הוא באמת נמחק?

מאת גיל נוילנדר מנכ"ל ESET ישראל
מזל טוב! קניתם מכשיר טלפון חדש ומצאתם קונה למכשיר הישן. רגע לפני שאתם מוסרים לו את המכשיר שבו צברתם המון מידע אישי, תנו את הדעת לגבי כמה דברים חשובים. האם כאשר מוחקים את כל התמונות והסרטונים, למשל, הם באמת נמחקים? האמת היא ש... לא. מחיקת קובץ משמעותה לומר למערכת שבפעם הבאה שהיא צריכה "ליצור דטה" היא יכולה להחליף את השטח שבו נעשה שימוש על ידי הקובץ המדובר. אולם, עד שפעולת הכתיבה החדשה מתרחשת, המידע נותר מאוחסן פיזית בצורה של ביטים על כונן האחסון וניתן לשחזור מלא!

אבל מה קורה אם משחזרים את הגדרות היצרן?

זה כבר תלוי במערכת ההפעלה שמותקנת במכשיר. מחקר שנערך בתחילת 2015 הראה כי כאשר מבצעים שחזור הגדרות יצרן במכשירי אפל ובלק ברי המחיקה של הנתונים היא פיזית, ולכן לא ניתן לשחזר את המידע של המכשיר בשחזור מאוחר יותר. אולם, לא בכל מכשירי האנדרואיד ניתן היה לעשות זאת ובהחלט הצליחו לשחזר את המידע האישי שהיה עליהם.
לדברי החוקרים, הסיבה לכך נעוצה בשליטה הטובה יותר שיש לחברות אפל ובלק ברי על החומרה של המכשיר ולכן הן יכולות למחוק את המידע ששמור בו בצורה יעילה יותר. בהתחשב בכך שמערכות הפעלה כמו iOS משתמשות כברירת מחדל בהצפנה מובנית לתוך החומרה, יש רק צורך בשחזור הגדרות יצרן כדי למחוק את מפתחות ההצפנה באופן פיזי מהמכשיר. לעומת זאת, ההצפנה אינה כלולה כברירת מחדל במכשירים עם מערכת הפעלה של אנדרואיד ועל פי ממצאי החוקרים המידע יכול להיות משוחזר בהם גם לאחר מספר שחזורי הגדרות יצרן.
מה הסכנות הטמונות בשחזור המידע?

הטלפונים הסלולריים הפכו למכשירים אישיים מאוד. השימוש בהם כרוך בשיתוף בנתונים פרטיים מאוד דוגמת פרטי כרטיס אשראי, רישומי רכישה, פרטי התקשרות של חברים ובני משפחה, קטעי וידאו, תמונות (כולל תמונות עירום אם צילמתם כאלה...), לוחות זמנים, מיקומים גיאוגרפיים, היסטוריית גלישה, היסטוריית חיבורי Wi-Fi, שמות משתמש וסיסמאות לדוא"ל ושירותים אחרים מבוססי ענן, הודעות טקסט, היסטוריית שיחות במדיות חברתיות וכן מידע רב אחר.
כל המידע הזה יכול להגיע לידיים זרות כולל לכאלה שמשתמשות במידע לצורך הנדסה חברתית נגד בעלי המכשיר. זה יכול אפילו להגיע למצב של סחיטה והונאה שבו פושע הסייבר מאיים לא להפיץ את הנתונים תמורת סכום כספי גדול. דאגה נוספת היא כי זרים עלולים לקבל גישה לחשבונות המשתמש וליישומים המותקנים במכשיר – כמו אפליקציות של קניות, חשבון בנק ומדיות חברתיות. מסיבה זו נקיטת אמצעי מניעה שונים תאפשר לנו להרגיש יותר מוגנים מפני סיכונים כאלה. מומלץ לפני שמוכרים את המכשיר להחליף סיסמאות לכל השירותים שנעשה בהם שימוש. זה כאב ראש, אבל כאב ראש חשוב ביותר!

איך אנשים זרים יכולים לשחזר את המידע האישי שלנו?
למרבה הצער, יש כלים רבים שמטרתם לשחזר נתונים המאוחסנים באופן פיזי במכשיר נייד. שירותים כאלה ידועים ככלי ניתוח משפטיים ובדרך כלל משתמשים בהם כדי לשבור את רצף הפעולות שהוביל לאירוע IT מסוים או בכדי למצוא ראיות שעלולות להוביל לבית המשפט. נשמע בדיוני שמישהו ישתמש בכלים כאלה? בכלל לא, חלק מהכלים הללו הם חינמיים לחלוטין ולאנשים עם כוונות זדוניות יש בהחלט גישה אליהם אם ברצונם להשיג מידע.
אז איך אנחנו יכולים להגן על עצמנו?
כפי שכבר צוין בתחילת הכתבה, באשר למשתמשים במערכת ההפעלה iOS איפוס ושחזור הגדרות יצרן של המכשיר הן פעולות מספקות בהחלט. אבל מה יעשו משתמשי האנדרואיד? האופציה הפשוטה ביותר כדי להקשות על יד זרה לשחזר מידע היא להצפין אותו לפני שמבצעים שחזור הגדרות יצרן במכשיר. בדרך זו גם אם מישהו ייצור עותק פיזי של המכשיר, קטעי הנתונים המאוחסנים של המידע יהיו בלתי אפשריים לפיענוח ולשימוש. על מנת לפצח את הקטעים הללו יהיה על האדם הזר לקבל את מפתח ההצפנה שמוגן על ידי סיסמה שהוגדרה על ידי המשתמש. בל נשכח כי ככל שהסיסמה תהיה מסובכת יותר, כך יהיה קשה יותר לפצח אותה. ההצפנה לא מבטיחה מאה אחוז של הגנה, אבל היא בהחלט מרתיעה את רוב פושעי הרשת.
אז איך מצפינים באנדרואיד?

לפני שמבצעים איפוס ושחזור הגדרות יצרן במכשיר מצפינים באופן הבא: Settings > Security > Encrypt device. לאחר מכן מאפסים כך: Settings > Backup & reset > Factory data reset.

כמו כן, ניתן למצוא אפליקציות בחנות Google Play שמבטיחות למחוק את החלקים הפיזיים בזיכרון, אבל המחיקה שהן מבצעות אינה מלאה לחלוטין. המשתמש יצטרך עדיין לבצע שחזור הגדרות יצרן לפני ואחרי הרצת האפליקציה. בנוסף, צריך להימנע משימוש בחנות של גוגל כדי להתקין את היישום על הטלפון הסלולרי כדי למנוע שוב כניסה עם נתוני חשבון גוגל לתוך הטלפון. זה קצת בלגן.
ולבסוף, בל נשכח להוציא את כרטיס ה-sim ואת כרטיס המיקרו SD מהמכשיר. עכשיו אחרי שביצענו את כל הפעולות להגנה על הפרטיות שלנו, אפשר למסור את המכשיר לידיים חדשות.