, Android Newsy

Szyfrowanie dysku w smartfonach wcale nie jest bezpieczne…

fot. Android Community

fot. Android Community

Te artykuły także cię zainteresują:

Popularne produkty:
  • http://00ff00.pl adamo1139

    Dzięki za naprawdę szybką odpowiedź i poprawę tekstu 😉

  • http://00ff00.pl adamo1139

    Błędy w tym artykule: miejsce na ataki brute force jest zawsze, o ile nie ma mechanizmu kasującego dane po niewielkiej ilości prób. Smartfony poniżej Androida nie są podatne na tego expoilta, bo nie ma tam funkcji FDE 😉 (Full Disk Encryption), wszystkie dane są trzymane w pamięci urządzenia, nie w układach zabezpieczonych fizycznie przez nadpisaniem; atak brute force przy tak długim kluczu praktycznie wymaga superkomputera i wielee wolnego czasu. Osoba, która znalazłam buga, powinna w ramach programu Bug Bounty poinformować firmę odpowiadającą za ten software/hardware, czyli w mojej opinii Qualcomma. Wg mojej informacji fix przekazany przez Google trafił już do wielu urządzeń dość dawno temu, nie pamiętam już dokładnie. I najprawdopodobniej osoba brała udział w programie bug Bounty.

    • http://www.gsmmaniak.pl/ Aleksander Piskorz

      Tu się zgadza, informacja na temat błędu trafiła do Qualcomma oraz Google – obie firmy zbagatelizowały sprawę informując, że nie ma się co przejmować opisywanym błędem. Druga kwestia jest taka, że w przypadku oblokowanego bootloadera możemy przywrócić starszą wersję oprogramowania, która dalej jest podatna na atak – mimo wgrania fixa lub innej poprawki. Całe bezpieczeństwo zależy w tym przypadku od bezpieczeństwa samego kernela i modułu KeyMaster – to prawda. Wygląda więc na to, że wszystko jest winą implementacji TrustZone…

  • http://00ff00.pl adamo1139

    Z tego, co ja wyczytałem w źródle, co którego podlinkowaliście, to Apple stosuje 256-bitowy sprzętowy klucz, TrustZone (Android) stosuje 128-bitowy klucz Master Key i klucz KeyMaster w RSA-2048 zrobiony z Master Key i hasła. Ja tak to rozumiem. 1h dotyczy zupełnie innej rzeczy, a mianowicie iP i jasno pisze o tym w źródle. Pisałem parę dni temu, że odkryto exploita, dzięki któremu superkomputer może odkopać hasło z posiadanego KeyMastera w długi okres czasu. Proszę o wyjaśnienie pod tym postem przez autora artykułu, bo moim zdaniem nie zapoznał się że źródłem i pisze nieprawdę. Do czasu wyjaśnień nie będę czytał innych tekstów autora i zastanowię się do zrezygnowania z odwiedzania tego portalu. Zachęcam też do tego innych.

    • http://www.gsmmaniak.pl/ Aleksander Piskorz

      „but the FDE system also binds the key to specific hardware which leaves you with a 256-bit unique and randomly generated ID” – zrozumiałem, że 256-bitowy, jednak źródło podaje również 128-bitów, tak jak wspomniałeś w komentarzu.

      „The problem is that Android vulnerabilities now allow enterprising hackers to get the FDE key, and what’s left for hackers to do is just brute force the user’s password, which only takes time depending on how strong the password is” – i to prawda, z tą godziną przesadziłem i poprawiłem, bo faktycznie może zająć to dłużej, niekoniecznie przy użyciu superkomputera, bo takim zapewne hakerzy nie dysponują. 🙂

    • http://www.gsmmaniak.pl/ Aleksander Piskorz

      Dziękuję za uwagi merytoryczne, przeanalizowałem jeszcze raz, dokładniej tekst i poprawiłem elementy, które mogły wprowadzać w błąd. Pozdrawiam. 🙂

  • Confettius

    W majowej łatce poprawiono ten problem – aktualnie Nexusy i Samsungi mają możliwość załatania problemu, niestety mała grupa osób pobrała łatkę.
    Odnośnie innych marek nie mam informacji o dostępności tej aktualizacji.

    • Linek

      Ile ta łatka miała mega? Bo coś jakiś czas temu pobierałem, co miało 20 kilka MB, a zabezpieczenia nadal pozostały maj 2016. Tel.: Moto X Style


reklama