Quão seguro é um bloqueio de padrão? -- security camp android Relacionado O problema

Just how secure is a pattern lock?

problema

português

Recentemente, tive um telefone roubado. Tem sido substituído, eu mudei minhas senhas, a empresa telefônica desligou a conectividade para o roubado ... Eu acho que sou tão seguro quanto eu posso ser.

No entanto, isso me perguntou. Quão seguro é o bloqueio de padrão? Meu telefone tinha um bloqueio de padrão, então eu suponho que significa que o usuário casual não pode pegá-lo e fazer qualquer coisa.

Mas se alguém teve o tempo todo no mundo e algum know-how técnico, eles poderiam contornar isso?

ou é o telefone somente utilizável se a pessoa o enxuga e começar a acabar?

nota 1: Eu sei que os dados no cartão SD são um problema separado, estou apenas imaginando o telefone e são dados internamente armazenados.

nota 2: Eu vi outras perguntas sobre a recuperação da senha através da sua conta do Google, mas a pessoa que levou meu telefone (presumivelmente) não tem a capacidade de redefinir meu padrão Dessa forma, então eu acredito que esta questão é uma questão separada.

english

I recently had a phone stolen. It's been replaced, I've changed my passwords, the phone company has shut down connectivity for the stolen one... I think I'm pretty much as safe as I can be.

However, it did get me wondering. How secure is the pattern lock? My phone had a pattern lock, so I assume that means that the casual user can't pick it up and do anything.

But if one had all the time in the world and some technical know-how, could they circumvent it?

Or is the phone only useable if the person wipes it and starts over?

Note 1: I know the data on the SD card is a separate issue, I'm just wondering about the phone and it's internally stored data.

Note 2: I've seen other questions about recovery of the password via one's Google account, but the person who has taken my phone (presumeably) doesn't have the ability to reset my pattern that way, so I believe this question is a separate issue.

Questioner 2012-01-26 03:44:13Z

Como já foi dito antes, quando seu hardware cai nas mãos erradas, todas as apostas estão desligadas - não há praticamente nenhuma proteção contra um hacker suficientemente qualificado e motivado Martin Tapankov 2012-01-26 09:02:21Z, License: CC BY-SA 3.0

Sem listar exatamente quão valioso o conteúdo do seu telefone é, essa questão é impossível de responder. Quando você perguntar "o quão seguro?", Você quer dizer: "Quão seguro" para o seu filho, para o seu vizinho, para um programador profissional, para um guru android ou para uma agência de inteligência? Perguntas gerais chamam respostas gerais Martin Tapankov 2012-01-26 14:37:14Z, License: CC BY-SA 3.0

@Martintapankov: certo. Assim: em geral, temendo que os extremos absolutos da possibilidade seja irrealista e desnecessário. Eu realmente tenho que especificar que eu não sou um espião internacional para obter uma resposta direta? Questioner 2012-01-26 15:10:35Z, License: CC BY-SA 3.0

De um modo geral, a menos que a pessoa roubasse seu telefone com intenções específicas de obter em seus dados, então eles provavelmente não se importam com isso. Mesmo que eles soubessem como contornar isso. Normalmente, eles estão mais interessados no hardware. Claro que se eles contornam e dar uma olhada e localização algo realmente tentador, então você pode estar em apuros Jim McKeeth 2012-01-30 21:36:08Z, License: CC BY-SA 3.0

As it has been said before, when your hardware falls into the wrong hands, all bets are off -- there's virtually no protection against a sufficiently skilled and motivated hacker Martin Tapankov 2012-01-26 09:02:21Z, License: CC BY-SA 3.0

Without listing exactly how valuable the contents of your phone are, such question is impossible to answer. When you ask "How secure?", do you mean: "how secure" for your kid, for your neighbour, for a professional programmer, for an Android guru or for an intelligence agency? General questions call for general answers Martin Tapankov 2012-01-26 14:37:14Z, License: CC BY-SA 3.0

@MartinTapankov: Right. Thus: Generally speaking, fearing the absolute extremes of possibility is unrealistic and unneccessary. Do I really have to specify that I'm not an international spy in order to get a straight answer? Questioner 2012-01-26 15:10:35Z, License: CC BY-SA 3.0

Generally speaking, unless the person stole your phone with specific intentions of getting at your data then they probably don't care about it. Even if they knew how to circumvent it. Typically they are more interested in the hardware. Of course if they do circumvent it and take a look and spot something really tempting, then you may be in trouble Jim McKeeth 2012-01-30 21:36:08Z, License: CC BY-SA 3.0

Lista de respostas

Você nem precisa de muito técnico saber como rachar a maioria dos telefones de tela de toque. Havia um papel branco escrito recentemente sobre a segurança dos mecanismos de bloqueio de tela de toque (e bloqueios de padrão em particular) e quebrando esses dispositivos usando puramente as manchas gordurosas na tela para obter o código de desbloqueio.

.
8 Conclusão
Neste artigo exploramos ataques de manchas usando óleos residuais em dispositivos de tela de toque. Nós investigamos a viabilidade de capturar essas manchas, concentrando-se em seu efeito na senha padrão de smartphones Android. Usando fotografias tiradas sob um variedade de posições de iluminação e câmera, mostramos que em muitos situações de recuperação de padrões completos ou parciais é possível, mesmo com Smudge "ruído" do uso do aplicativo simulado ou distorção causada por contato com roupas incidentais. Nós também delineamos como um invasor poderia usar as informações obtidas de um ataque de borrão para melhorar o probabilidade de adivinhar os padrões de um usuário. ...

ataques de borracha em smartphone touch telas (PDF)

O resto do papel vale a pena ler também.

You don't even need much technical know how to crack most touch screen phones. There was a white-paper written recently about the security of touch screen lock mechanisms (and pattern locks in particular) and breaking into these devices using purely the greasy smudges on the screen to get the unlock code.

8 Conclusion
In this paper we explored smudge attacks using residual oils on touch screen devices. We investigated the feasibility of capturing such smudges, focusing on its effect on the password pattern of Android smartphones. Using photographs taken under a variety of lighting and camera positions, we showed that in many situations full or partial pattern recovery is possible, even with smudge xe2x80x9cnoisexe2x80x9d from simulated application usage or distortion caused by incidental clothing contact. We have also outlined how an attacker could use the information gained from a smudge attack to improve the likelihood of guessing a userxe2x80x99s patterns. ...

Smudge Attacks on Smartphone Touch Screens (PDF)

The rest of the paper is well worth a read too.

GAThrawn 2012-01-26 13:43:52Z

Isso é o que eu mencionei acima, mas não consigo encontrar o papel neste momento Leandros 2012-01-26 13:55:21Z, License: CC BY-SA 3.0

@Davemg Eu acho que a "variedade de posições de iluminação e câmera" eram realmente apenas para que pudessem simular de maneira repetível como você seguraria o telefone até o sol e mudaria seu ângulo até que todas as manchas estejam claras. Dito isso, eles também fizeram um pouco de alterações e cor de contraste aumentaram algumas das fotos para tornar as coisas mais fáceis de ver em alguns casos (Figura A6 é um bom exemplo). Pessoalmente, acho que, enquanto é improvável, esse tipo de coisa é muito mais provável do que um ladrão casual usando as ferramentas de depuração do ADB para inspecionar a memória interna do telefone GAThrawn 2012-01-26 14:04:43Z, License: CC BY-SA 3.0

@Davemg Dê uma olhada neste trabalho sobre obter pinos de um caixa eletrônico usando IR: Peanut 2012-05-01 16:41:12Z, License: CC BY-SA 3.0

@Gathawn relativos ao papel que você postou se você lê-lo, eles realmente não usam esse cenário de ataque realista "Bastemos nossa simulação de uso no aplicativo de telefone"; Se você olhar para a foto, eles realmente não usavam muito em termos de swiping para cima e para baixo para começar e para mim, pelo menos, o aplicativo de telefone é realmente um dos menos usados Peanut 2012-05-01 16:48:56Z, License: CC BY-SA 3.0

Thats what I mentioned above, but I cant find the paper at this time Leandros 2012-01-26 13:55:21Z, License: CC BY-SA 3.0

@DaveMG I think the "Variety of lighting and camera positions" were actually just so that they could simulate in a repeatable way how you'd hold the phone up to the sun and change its angle until all of the smudges are clear. That said they also did a bit of contrast changes and colour enhance on some of the photos to make things easier to see in some cases (Figure A6 is a good example). Personally I think, whilst unlikely, this sort of thing is far more likely than a casual thief using the ADB debug tools to inspect the phone's internal memory GAThrawn 2012-01-26 14:04:43Z, License: CC BY-SA 3.0

@DaveMG Have a look at this piece of work about getting PINs off an ATm using IR: Peanut 2012-05-01 16:41:12Z, License: CC BY-SA 3.0

@GAThrawn Relating to the paper you posted if you read it they don't really use that realistic an attack scenario "We based our usage simulation on the telephone application;" If you look at the picture they didn't really use it much in terms of swiping up and down for a start and for myself at least the telephone app is actually one of the least used Peanut 2012-05-01 16:48:56Z, License: CC BY-SA 3.0

é inseguro dependendo de alguns casos * .

Aqui está uma amostra de um exploração que um hacker ou um acima O usuário médio pode fazer (com a ferramenta ADB e o telefone conectado a um PC): -

código para quebrar o bloqueio de padrão Exploit 2

^{****** só pode ser aplicado em dispositivos enraizados. (Nem todos os comandos do ADB exigem raiz embora) "Depuração USB" também deve ser definido antes de usar a ferramenta ADB *. Mas como Eldarerathis disse, alguns dispositivos também podem ser enraizados através do ADB. Na verdade, um hacker qualificado também pode encontrar lacunas para obter acesso aos dados internos. (talvez até encontrar uma maneira de utilizar o ADB sem a opção de depuração USB)}

O bloqueio padrão do Android também tem muitas falhas que tornam relativamente insegurança. Aqui está um Exemplo ..

Enquanto as façanhas mencionadas acima e certas falhas podem ser fixadas pelo Google nas próximas versões, um bloqueio de padrão continua sendo um bloqueio de padrão. Ou seja, pode ser considerado como um mero gateway sólido para usar a interface do usuário do Android. Um bloqueio de padrão não criptografa o conteúdo de um telefone. Não vai parar um hacker de brincar usando o shell adb. Ele pode ver a memória interna do telefone, etc, usando a ferramenta ADB que é gratuitamente fornecida no Android SDK < / a>

Além disso, a memória interna é praticamente comprometida, pois pode haver outras maneiras de montá-lo ou lê-lo.

Tudo o que posso dizer por enquanto seria melhor se você desativar "depuração USB", a menos que você precise, como uma medida de segurança adicional.

It is insecure depending on a few cases*.

Here's a sample of an exploit that a hacker or an above average user can do (with the adb tool and the phone connected to a PC) :-

Code to crack pattern lock Exploit 2

^{******May only apply on rooted devices. (not all adb commands require root though) "USB debugging" should also be set prior to using the adb tool*. But as eldarerathis said, some devices can also be rooted through the ADB. In fact, a skilled hacker may also find loopholes for gaining access to the internal data. (perhaps even find a way to utilize the adb without the usb debugging option)}

The Android Pattern lock also has many glitches making it relatively unsecure. Here's an example..

While the exploits mentioned above and certain glitches may be fixed by Google in the upcoming versions, a pattern lock remains a pattern lock. ie, It can be considered as a mere solid gateway to using the android's user interface. A pattern lock does not encrypt the contents of a phone. It will not stop a hacker from playing around using the adb shell. He can view the internal memory of the phone etc using the adb tool which is freely provided in the Android SDK

Also, the internal memory is pretty much compromised as there may be other ways to mount it or read it.

All I can say for now is it would be better if you disable "usb debugging" unless you need it, as an added security measure.

Irfan 2012-09-15 05:48:24Z

Eu não entendo onde o hacker iria inserir isso. Eles não precisam ganhar acesso por USB e fazer isso, eles não precisam conceder acesso do dispositivo? Ou isso é executado por algum tipo de bota de recuperação ou algo assim? Questioner 2012-01-26 10:53:03Z, License: CC BY-SA 3.0

Este trabalho somente, se o telefone estiver enraizado. (Eu só queria dizer) Leandros 2012-01-26 12:58:57Z, License: CC BY-SA 3.0

@Dave: Isso também não funciona se a depuração USB estiver desativada, já que o bloqueio impediria que você acesse a configuração para ligá-lo. Dado um telefone encaixado e de depuração, porém, isso funciona (e no seu caso soa assim não se aplica) eldarerathis 2012-01-26 14:19:30Z, License: CC BY-SA 3.0

@Davemg: teoricamente, um atacante poderia tentar enraizar o seu dispositivo via eldarerathis 2012-01-26 15:16:07Z, License: CC BY-SA 3.0

Este método Leandros 2012-01-28 17:49:33Z, License: CC BY-SA 3.0

I don't understand where the hacker would input this. Wouldn't they need to gain access by USB, and to do that, wouldn't they need to grant access from the device? Or is this executed by some kind of recovery boot or something? Questioner 2012-01-26 10:53:03Z, License: CC BY-SA 3.0

This work only, if the phone is rooted. (Just want to say) Leandros 2012-01-26 12:58:57Z, License: CC BY-SA 3.0

@Dave: This also won't work if USB debugging is disabled, since the lock would prevent you from accessing the setting to turn it on. Given a rooted and debugging-enabled phone, though, this does work (and in your case it sounds like this does not apply) eldarerathis 2012-01-26 14:19:30Z, License: CC BY-SA 3.0

@DaveMG: Theoretically, an attacker could attempt to root your device via eldarerathis 2012-01-26 15:16:07Z, License: CC BY-SA 3.0

This method Leandros 2012-01-28 17:49:33Z, License: CC BY-SA 3.0

pelo menos na maioria dos telefones, você pode apenas manter a chave / teclas de volume para chegar ao fastboot / recuperação. De lá, pode-se facilmente obter conexão ADB, mesmo que você não tenha depuração USB e acesse diretamente para a memória interna. De lá, é possível enraizar o telefone para possibilitar a edição de arquivos internos e desative o bloqueio, como alimentação por dentro. Tudo isso pode ser feito em vários minutos!

At least on most phones you can just hold down the volume key/keys to get to the fastboot/recovery. From there one can easily get adb connection, even if you don't have usb debugging on, and access straight to the internal memory. From there it is even possible to root the phone to make it possible to edit internal files and disable the lock, like Power-Inside suggested. All this can be done in several minutes!

varesa 2012-01-31 19:01:00Z

Ao manter a chave / teclas de volume durante a inicialização, você pode chegar a Fastboot / Recovery, como eu disse. Eu acredito que isso lhe dá acesso instantâneo de ADB. Você pode até mesmo raiz (pelo menos mais telefones) de lá varesa 2012-02-01 13:05:15Z, License: CC BY-SA 3.0

Os telefones fazem isso de forma ligeiramente diferente. Na Galaxy 2 você parece ter que segurar o volume para baixo e para casa varesa 2012-02-02 05:54:44Z, License: CC BY-SA 3.0

By holding down the volume key/keys while booting, you can get to fastboot/recovery, like I said. I believe that this gives you instant adb access. You can even root (at least most phones) from there varesa 2012-02-01 13:05:15Z, License: CC BY-SA 3.0

Phones do it slightly differently. On galaxy 2 you seem to have to hold volume down and home varesa 2012-02-02 05:54:44Z, License: CC BY-SA 3.0

O padrão não é muito seguro, porque você pode simplesmente fazer uma limpeza de dados na recuperação. E você está no telefone. Além disso, o padrão pode ser visto na tela, porque você desliza toda vez que você desbloqueia seu telefone este padrão.

The pattern is not very safe, because you can simply do a data wipe in recovery. And you're in the phone. In addition the pattern can often seen in the screen, because you swipe everytime you unlock your phone this pattern.

Leandros 2012-01-26 07:20:08Z

Recuperação e formato são sempre acessíveis afaik, mas o cartaz está mais preocupado com seus dados internos sendo acessíveis Irfan 2012-01-29 06:48:32Z, License: CC BY-SA 3.0

recovery and format are always accessible afaik, but the poster is more concerned about his internal data being accessible Irfan 2012-01-29 06:48:32Z, License: CC BY-SA 3.0

Clique aqui para obter mais respostas do Quão seguro é um bloqueio de padrão?

Perguntas relacionadas

☆0 Como converter meu telefone no modo silencioso no modo geral automaticamente para um número de celular específico ( How to convert my phone in silent mode into general mode automatically for speci )

Se meu celular estiver no modo silencioso e eu quero que meu telefone converte automaticamente o modo silencioso para o modo geral, recebendo chamada de númer...

☆3 Como desativar a flag_secure sem root? ( How to disable flag secure without root )

Acabei de perceber a única maneira de ignorar a segurança da captura de tela em determinados aplicativos é desativar este FLAG_SECURE , que como eu vejo pode...

☆27 Meu telefone foi apenas roubado uma hora ou mais atrás. Existem opções para rastreamento? ( My phone was just stolen an hour or so ago are there any options for tracking )

Eu percebo que este é um tiro longo, mas meu telefone foi perdido ou roubado há algumas horas. No momento em que foi roubado, eu não tinha nenhum aplicativo...

☆4 Por que meu telefone não precisa atualizar a senha? ( Why my phone does not need to update the password )

Eu mudei minha senha do Gmail há um dia, mas meu telefone não exige que eu coloque no novo. Eu ainda posso acessar meu Gmail com a senha antiga. Por quê? te...

☆6 OpenVPN com Android 2.3.x - Preocupações de segurança ( Openvpn with android 2 3 x security concerns )

Eu preciso usar meu telefone Android 2.3.x para acessar um servidor OpenVPN. Eu tenho cm 7 com suporte em suporte para OpenVPN e TUN. Minha principal preocupa...

☆0 Por que o CM13 do OnePlus 2 redefine-se de ajuste pontos de padrão? ( Why cm13 of oneplus 2 resets itself setting show pattern dots )

Eu descobri que CM perde muitas vezes sua configuração sobre a visibilidade dos pontos de segurança na tela de bloqueio. Isso é frustrante porque estou usando...

☆0 "Sistema" está tentando acessar a Internet ( System is trying to access internet )

Eu estou usando o OnePlus 3T, Android 9. Recentemente, eu instalei um aplicativo chamado "NorOot Firewall" para impedir que os aplicativos acessem a Internet....

☆0 Esqueci meu padrão de bloqueio, como faço para redefini-lo? [duplicado] ( I forgot my lock pattern how do i reset it )

. Esta pergunta já tem respostas aqui : fechado 9 anos atrás . . Duplicado possível: Recupera...

☆6 Quão seguras são minhas senhas em serviço pós-venda? ( How safe are my passwords at after sales service )

Meu telefone está atualmente inoperante. Samsung me pediu para largá-lo em um centro de reparo aprovado, que irá lidar com embarque e recepção de / para a Sam...

☆11 Como sair remotamente todas as sessões do Gmail baseadas na Web do meu telefone Android ( How to remotely log out all web based gmail sessions from my android phone )

Posso sair remotamente todas as sessões da Web do Gmail do meu telefone Android? Esta questão explica como fazer isso do site do Gmail com um navegador da...

Perguntas relacionadas

☆0 Como converter meu telefone no modo silencioso no modo geral automaticamente para um número de celular específico

☆3 Como desativar a flag_secure sem root?

☆27 Meu telefone foi apenas roubado uma hora ou mais atrás. Existem opções para rastreamento?

☆4 Por que meu telefone não precisa atualizar a senha?

☆6 OpenVPN com Android 2.3.x - Preocupações de segurança

☆0 Por que o CM13 do OnePlus 2 redefine-se de ajuste pontos de padrão?

☆0 "Sistema" está tentando acessar a Internet

☆0 Esqueci meu padrão de bloqueio, como faço para redefini-lo? [duplicado]

☆6 Quão seguras são minhas senhas em serviço pós-venda?

☆11 Como sair remotamente todas as sessões do Gmail baseadas na Web do meu telefone Android