Quão seguro é um bloqueio de padrão? -- security camp android Relacionado O problema

Just how secure is a pattern lock?


53
vote

problema

português

Recentemente, tive um telefone roubado. Tem sido substituído, eu mudei minhas senhas, a empresa telefônica desligou a conectividade para o roubado ... Eu acho que sou tão seguro quanto eu posso ser.

No entanto, isso me perguntou. Quão seguro é o bloqueio de padrão? Meu telefone tinha um bloqueio de padrão, então eu suponho que significa que o usuário casual não pode pegá-lo e fazer qualquer coisa.

Mas se alguém teve o tempo todo no mundo e algum know-how técnico, eles poderiam contornar isso?

ou é o telefone somente utilizável se a pessoa o enxuga e começar a acabar?

nota 1: Eu sei que os dados no cartão SD são um problema separado, estou apenas imaginando o telefone e são dados internamente armazenados.

nota 2: Eu vi outras perguntas sobre a recuperação da senha através da sua conta do Google, mas a pessoa que levou meu telefone (presumivelmente) não tem a capacidade de redefinir meu padrão Dessa forma, então eu acredito que esta questão é uma questão separada.

Inglês Original

I recently had a phone stolen. It's been replaced, I've changed my passwords, the phone company has shut down connectivity for the stolen one... I think I'm pretty much as safe as I can be.

However, it did get me wondering. How secure is the pattern lock? My phone had a pattern lock, so I assume that means that the casual user can't pick it up and do anything.

But if one had all the time in the world and some technical know-how, could they circumvent it?

Or is the phone only useable if the person wipes it and starts over?

Note 1: I know the data on the SD card is a separate issue, I'm just wondering about the phone and it's internally stored data.

Note 2: I've seen other questions about recovery of the password via one's Google account, but the person who has taken my phone (presumeably) doesn't have the ability to reset my pattern that way, so I believe this question is a separate issue.

  
       
       

Lista de respostas

24
 
vote

Você nem precisa de muito técnico saber como rachar a maioria dos telefones de tela de toque. Havia um papel branco escrito recentemente sobre a segurança dos mecanismos de bloqueio de tela de toque (e bloqueios de padrão em particular) e quebrando esses dispositivos usando puramente as manchas gordurosas na tela para obter o código de desbloqueio.

.

8 Conclusão
Neste artigo exploramos ataques de manchas usando óleos residuais em dispositivos de tela de toque. Nós investigamos a viabilidade de capturar essas manchas, concentrando-se em seu efeito na senha padrão de smartphones Android. Usando fotografias tiradas sob um variedade de posições de iluminação e câmera, mostramos que em muitos situações de recuperação de padrões completos ou parciais é possível, mesmo com Smudge "ruído" do uso do aplicativo simulado ou distorção causada por contato com roupas incidentais. Nós também delineamos como um invasor poderia usar as informações obtidas de um ataque de borrão para melhorar o probabilidade de adivinhar os padrões de um usuário. ...

ataques de borracha em smartphone touch telas (PDF)

O resto do papel vale a pena ler também.

 

You don't even need much technical know how to crack most touch screen phones. There was a white-paper written recently about the security of touch screen lock mechanisms (and pattern locks in particular) and breaking into these devices using purely the greasy smudges on the screen to get the unlock code.

8 Conclusion
In this paper we explored smudge attacks using residual oils on touch screen devices. We investigated the feasibility of capturing such smudges, focusing on its effect on the password pattern of Android smartphones. Using photographs taken under a variety of lighting and camera positions, we showed that in many situations full or partial pattern recovery is possible, even with smudge xe2x80x9cnoisexe2x80x9d from simulated application usage or distortion caused by incidental clothing contact. We have also outlined how an attacker could use the information gained from a smudge attack to improve the likelihood of guessing a userxe2x80x99s patterns. ...

Smudge Attacks on Smartphone Touch Screens (PDF)

The rest of the paper is well worth a read too.

 
 
       
       
18
 
vote

é inseguro dependendo de alguns casos * .

Aqui está uma amostra de um exploração que um hacker ou um acima O usuário médio pode fazer (com a ferramenta ADB e o telefone conectado a um PC): -

código para quebrar o bloqueio de padrão Exploit 2

****** só pode ser aplicado em dispositivos enraizados. (Nem todos os comandos do ADB exigem raiz embora) "Depuração USB" também deve ser definido antes de usar a ferramenta ADB *. Mas como Eldarerathis disse, alguns dispositivos também podem ser enraizados através do ADB. Na verdade, um hacker qualificado também pode encontrar lacunas para obter acesso aos dados internos. (talvez até encontrar uma maneira de utilizar o ADB sem a opção de depuração USB)

O bloqueio padrão do Android também tem muitas falhas que tornam relativamente insegurança. Aqui está um Exemplo ..

Enquanto as façanhas mencionadas acima e certas falhas podem ser fixadas pelo Google nas próximas versões, um bloqueio de padrão continua sendo um bloqueio de padrão. Ou seja, pode ser considerado como um mero gateway sólido para usar a interface do usuário do Android. Um bloqueio de padrão não criptografa o conteúdo de um telefone. Não vai parar um hacker de brincar usando o shell adb. Ele pode ver a memória interna do telefone, etc, usando a ferramenta ADB que é gratuitamente fornecida no Android SDK < / a>

Além disso, a memória interna é praticamente comprometida, pois pode haver outras maneiras de montá-lo ou lê-lo.

Tudo o que posso dizer por enquanto seria melhor se você desativar "depuração USB", a menos que você precise, como uma medida de segurança adicional.

 

It is insecure depending on a few cases*.

Here's a sample of an exploit that a hacker or an above average user can do (with the adb tool and the phone connected to a PC) :-

Code to crack pattern lock Exploit 2

******May only apply on rooted devices. (not all adb commands require root though) "USB debugging" should also be set prior to using the adb tool*. But as eldarerathis said, some devices can also be rooted through the ADB. In fact, a skilled hacker may also find loopholes for gaining access to the internal data. (perhaps even find a way to utilize the adb without the usb debugging option)

The Android Pattern lock also has many glitches making it relatively unsecure. Here's an example..

While the exploits mentioned above and certain glitches may be fixed by Google in the upcoming versions, a pattern lock remains a pattern lock. ie, It can be considered as a mere solid gateway to using the android's user interface. A pattern lock does not encrypt the contents of a phone. It will not stop a hacker from playing around using the adb shell. He can view the internal memory of the phone etc using the adb tool which is freely provided in the Android SDK

Also, the internal memory is pretty much compromised as there may be other ways to mount it or read it.

All I can say for now is it would be better if you disable "usb debugging" unless you need it, as an added security measure.

 
 
         
         
8
 
vote

pelo menos na maioria dos telefones, você pode apenas manter a chave / teclas de volume para chegar ao fastboot / recuperação. De lá, pode-se facilmente obter conexão ADB, mesmo que você não tenha depuração USB e acesse diretamente para a memória interna. De lá, é possível enraizar o telefone para possibilitar a edição de arquivos internos e desative o bloqueio, como alimentação por dentro. Tudo isso pode ser feito em vários minutos!

 

At least on most phones you can just hold down the volume key/keys to get to the fastboot/recovery. From there one can easily get adb connection, even if you don't have usb debugging on, and access straight to the internal memory. From there it is even possible to root the phone to make it possible to edit internal files and disable the lock, like Power-Inside suggested. All this can be done in several minutes!

 
 
   
   
1
 
vote

O padrão não é muito seguro, porque você pode simplesmente fazer uma limpeza de dados na recuperação. E você está no telefone. Além disso, o padrão pode ser visto na tela, porque você desliza toda vez que você desbloqueia seu telefone este padrão.

 

The pattern is not very safe, because you can simply do a data wipe in recovery. And you're in the phone. In addition the pattern can often seen in the screen, because you swipe everytime you unlock your phone this pattern.

 
 
 
 

Perguntas relacionadas

2  Permitir login com várias senhas  ( Allow login with multiple passwords ) 
É possível configurar várias senhas aceitas para o login no Android? Ou talvez um login seguro alternativo. (Nota: Reconhecimento facial e impressão digital ...

3  O aplicativo pode ser instalado em um telefone Android sem confirmação, apenas visitando ou clicando em links na página?  ( Can application be installed on an android phone without confirmation just by v ) 
Eu fui em putlocker e depois tenho algum pop-up dizendo algo sobre erro do sistema e depois outro assim: Naquele momento eu desliguei meu telefone. Mas a...

0  É o Google fotos Sincronização segura em WiFi pública  ( Is google photos synchronisation secure on public wifi ) 
Alguém pode (proprietário de NW pública ou intruso) realizar homem no ataque do meio e roubar as fotos enquanto eles estão sendo sincronizados com o WiFi públ...

3  Existe alguma maneira para se conectar a uma rede WPA Enterprise Wi-Fi com a versão 1.5 em um backflip da Motorola?  ( Is there anyway to connect to a wpa enterprise wi fi network with version 1 5 on ) 
As únicas opções de segurança disponíveis ao adicionar uma nova rede Wi-Fi são: nenhum wep wpa pessoal wpa2 pessoal Eu esperava conectar-se ao WPA...

1  Diretório suspeito ".mysecuritydata" em armazenamento interno  ( Suspicious directory mysecuritydata in internal storage ) 
Eu tenho um dispositivo Galaxy Note (N7000) Execução de estoque Android 4.1.2. Eu estava navegando no armazenamento interno e notei um diretório chamado ".mys...

5  Por que meu tablet Nvidia está procurando servidores chineses (Baidu.com)?  ( Why is my nvidia tablet looking for chinese serversbaidu com ) 
Não tenho certeza se esta é a área certa para a pergunta, ou se é um grande negócio, mas aqui eu vou. Ao usar pelo tablet NVIDIA para desenvolver um aplicativ...

8  Como posso alterar o Selinux de impor a permissiva no Samsung Galaxy Note 3?  ( How can i change selinux from enforcing to permissive on samsung galaxy note 3 ) 
meu dispositivo é Samsung Galaxy Note 3 SM-N9005. Este telefone vem com selinux definido para impor por padrão. Eu tenho tentado mudar isso para permissiv...

25  Certificado Instalar sem bloqueio de pino obrigatório  ( Certificate install without mandatory pin lockscreen ) 
Google Support diz : . O tipo de bloqueio que é aceitável pode ser predeterminado pelo seu sistema administrador. Onde posso definir o que é aceitável...

55  É um antivírus realmente necessário para o Android?  ( Is an antivirus really needed for android ) 
Eu uso o Linux por meio década agora, então não estou acostumado a lidar com vírus mais. Para minha surpresa, vi alguma discussão sobre antivírus no Android. ...

3  Localizando o telefone roubado após a redefinição de fábrica  ( Locating stolen phone after factory reset ) 
Eu suponho que qualquer ladrão razoável limpará o telefone o mais rápido possível, removendo assim quaisquer aplicativos de rastreamento e contas de usuário. ...

0  Impedir a imagem não autorizada piscando  ( Prevent unauthorized image flashing ) 
Eu me pergunto se há uma maneira de evitar que alguém use fastboot para piscar um dispositivo Android. De fato, enquanto se deve ser capaz de ativar USB ...

59  Existem ferramentas para sandbox um aplicativo de malware ainda mais do que as permissões concedidas no Android?  ( Are there any tools to sandbox a malware application even more than the granted ) 
Suponha que eu queira executar algum programa que solicita muitas permissões. Por exemplo, registre do microfone ou leia o IMEI do meu telefone. No entanto, n...

7  Logout do Gmail no meu dispositivo  ( Logout from gmail on my device ) 
Isso me incomoda que meu telefone Android está logado permanentemente na minha conta do Gmail. Eu quero fazer logout do dispositivo e de alguma forma, faça ...

11  Posso criar um perfil restrito em um celular Android?  ( Can i create a restricted profile on an android cellphone ) 
fundo Eu quero me impedir de ver a pornografia no meu celular. Eu ocasionalmente vou a grupos de apoio ao vício, mas ainda não fiz os doze passos que eles r...

5  Existem bons firewalls disponíveis? [fechado]  ( Are there any good firewalls available ) 
. FECHADO. Esta questão é off-tópico . Atualmente não está aceitando respostas. Quer melh...




© 2021 pergunte.org All Rights Reserved. Casa de perguntas e respostas todos os direitos reservados


Licensed under cc by-sa 3.0 with attribution required.