Vlákno názorů k článku
Android L bude ve výchozím stavu šifrovat uživatelská data
od JeCh - Teda napsat čtyři odstavce o tom, že se...
-
Lael Ophir (neregistrovaný)
U Applu a BlackBerry nevím. U WP se šifrování nastavuje na straně serveru. Ve firmě tedy stačí nastavit policy "Require Device Encryption", a všechny WP telefony synchronizované s MS Exchange serverem se pak automaticky zašifrují. Šifra je AES-128, klíč je uložený v TPM a chráněný PINem (při uložení klíče ve flash memory by šifrování nemělo moc smysl, protože by šel klíč vytáhnout). Aplikace na SD kartách jsou šifrované vždy. Je možné nastavit Device wipe threshold - když uživatel zadá vícekrát špatně PIN, zařízení se samo vymaže. Zařízení může zamknout nebo vymazat také uživatel nebo administrátor vzdáleně. Pokud maže obsah admin, lze si vybrat, jestli se zachovají soukromé informace, nebo se zařízení smázne kompletně. Lze také zařízení lokalizovat pomocí GPS, vzdáleně ho prozvonit, nebo vzdáleně změnit PIN.
Při připojení přes USB se dá přistupovat k obsahu telefonu jen pokud je odemčený pomocí PIN, zadávaného na telefonu.
Synchronizace s Exchange serverem (nevím jak s ostatními) používá SSL.
Je také možné zakázat developer unlock pomocí policy Disable development unlock (side loading), zakázat přístup na Windows Phone Store, povolit jen vybrané aplikace, zakázat vybrané aplikace, vynutit instalaci aplikace a zakázat browser.
Dá se také vynutit používání S/MIME, zakázat Bluetooth, kamera, zakázat sdílení z aplikací (například na Facebook) atd.
Ze standardních features WP používá UEFI SecureBoot, TPM, DEP a ASLR.
http://go.microsoft.com/fwlink/?LinkId=266838Za největší výhodu WP ale považuji aplikační model, který je vytvořený s ohledem na bezpečnost. Aplikace například nemohou odesílat SMS nebo provádět volání bez vědomí uživatele, odchytávat obsah obrazovky jiných aplikací, přikreslovat prvky do okna jiné aplikace, číst SMS, číst data jiných aplikací atd.
Některá nastavení lze zatím dělat jen na serveru, včetně nastavení šifrování. MS údajně má brzo přijít s možností provést tahle nastavení lokálně bez přístupu na server, což pomůže domácím uživatelům.
-
Lael Ophir (neregistrovaný)
To Android fakt umí? O tom bych se rád dozvěděl víc. Mějme příklad: firma má desktopy na Windows a používá MS Exchange. Chce používat telefony s Androidem. U telefonu chce zapnout (a nedovolit uživateli vypnout) šifrování, vynutit heslo na odemčení obrazovky, zakázat kameru, vynutit instalaci firemní aplikace a zakázat přístup na Google Play a použití browseru. Samozřejmě chce mít admin možnost zařízení na dálku zamknout nebo smazat (nejlépe jen pracovní část zařízení). Pokud to Android umí, jak na to?
-
Telefon s Androidem neslouží primárně jako dálkové ovládání otroka. To jaksi nekoresponduje s principem svobody a volnosti Androidu.
Na druhou stranu ale není problém díky širokýmu API Androidu vytvořit aplikaci, která telefon takhle ořeže. Případně si už nějakou existující pořídit. V příští verzi L budou možnosti zabezpečení telefonu ještě víc rozšířené.
Kompletní dálkový ovládání telefonu (lokace, kamery, odposlouchávání, prozvonění, vymazání, zamčení) pomocí dat nebo SMS funguje už léta.
-
Lael Ophir (neregistrovaný)
Firemní telefon (případně BYID-phone) obsahuje firemní data, a firma proto musí mít kontrolu nad jeho zabezpečením. Jako bezpečák byste si asi neakceptoval situaci, kdy si uživatel může na firemní telefon nainstalovat jakýkoliv malware, který například hesla z KeyStore.
http://securityintelligence.com/android-keystore-stack-buffer-overflow-to-keep-things-simple-buffers-are-always-larger-than-needed/
http://www.root.cz/zpravicky/meziaplikacni-utok-na-android-umoznuje-ukrast-uzivatelska-data/BTW ten princip svobody a volnosti jde v Androidu tak daleko, že se telefony dodávají se zamknutým bootloaderem, a Google postupně přesouvá nové aplikace z AOSP do uzavřených Google Mobile Services.
Příští verze Androidu možná bude pro podnikové nasazení vhodnější. S ohledem na rozšíření malwaru (včetně Google Play) o tom ale mám pochybnosti. Svěřit telefonu s Androidem přístup do banky nebo číslo kreditky bych se velmi dobře rozmyslel.
