Vlákno názorů k článku
Zařízení s Androidem lze odemknout zadáním jakéhokoliv dlouhého hesla
od nene - Prectite si nejaky normalni zdroj:
http://www.extremetech.com/mobile/214423-heres-why-you-shouldnt-panic-about-the-android-lock-screen-hack
Zajimalo by me, jestli...
-
nene (neregistrovaný)
Prectite si nejaky normalni zdroj:
http://www.extremetech.com/mobile/214423-heres-why-you-shouldnt-panic-about-the-android-lock-screen-hackZajimalo by me, jestli si hystericky diskutujici zkusi vzit ponauceni, a priste radeji zapatraji nez aby hned meli silny nazor. Pochybuji...
-
Lael Ophir (neregistrovaný)
Můj silná názor je ten, že Googlu trvalo dva měsíce přidat jednu řádku do definice formu, a to že někde v kódu cosi padá při délce stringu nad 500 znaků nebylo opraveno vůbec, stejně jako to že občas padá kamera pokud se snímá větší množství obrázků. Androidu od jiných výrobců se problém může a nemusí týkat, podle toho jestli nahradili lock screen, kameru a další komponenty.
Samozřejmě to není tak závažné jako třeba Stagefright bug, kvůli kterému operátoři vypínají podporu MMSek. Problém s lock screenem spíš ilustruje mizernou bezpečnostní situaci na Androidu a přístup Googlu k té situaci. Dost mi to připomíná MS kdysi v době, kdy jeho produkty měly největší problémy se zabezpečením.
-
j (neregistrovaný)
Jasne, na widle neexistuje asi tak bambiliarda postupu jak se do nich lokalne dostat. Vubec ne ... takovej Ophcrack to vubec nezvladne v radu vterin ... a nejen ze se dotycny do tech widli dostane lokalne, on se dokonce dozvi hesla vsech uzivatelu.
A nebo takovej ... M$ cmoud ... jooo, tomu se rika bezpecnost, virtualne umoznit userovi dlouhy heslo, ale ve skutecnosti pouzit jen prvnich 6 znaku. Ted je to prej vylepseny, tech znaku muze byt maximalne 16 ... to aby to M$ nemel moc slozity pri jejich lusteni ze?
-
Lael Ophir (neregistrovaný)
Jak to souvisí s Androidem? To že pokud na PC nepoužíváte šifrování ani SecureBoot, tak po bootu z jiného média můžete přimountovat disk a hrabat se v databázi uživatelů je poměrně logické. Na Linuxu tak můžete triviálně založit nového uživatele nebo změnit heslo stávajícímu.
Ad virtualne umoznit userovi dlouhy heslo, ale ve skutecnosti pouzit jen prvnich 6 znaku - toho jsem si nevšiml, kdy/kde to tak bylo?
Ad je to prej vylepseny, tech znaku muze byt maximalne 16 - k tomu MS vydal statement:
Please note our research has shown uniqueness is more important than length and (like all major account systems) we see criminals attempt to victimize our customers in various ways; however, while we agree that in general longer is better, we’ve found the vast majority of attacks are through phishing, malware infected machines and the reuse of passwords on third-party sites – none of which are helped by very long passwords. Sixteen characters has been the limit for years now. We will always prioritize the protection needs of users’ accounts and we will continue to monitor the new ways hijackers and spammers attempt to compromise accounts, and we design innovative features based on this. At this time, we encourage customers to frequently reset their Microsoft account passwords and use unique passwords that are different from other services. -
Pavel TišnovskýZlatý podporovatelTo je zajímavé, mají někde tu studii zveřejněnou? (fakt by mě to zajímalo, však debaty délka hesla vs. unikátnost se vedly i tady na rootu).
-
Seti (neregistrovaný)
On se vůbec M$ vyžívá v různém omezování :-D
http://www.ghacks.net/2015/09/16/make-sure-your-windows-10-start-menu-does-not-exceed-512-items/
-
nobody (neregistrovaný)
:-D tak hlavne ze ma Lael plnou hubu kecu o trvani 2mesice pridani v Adroidu omezeni na 500 znaku, ale ze Microsoftu trva uz 2 mesice zruseni omezeni na 512 polozek to je v pohode :-D hlavne nechapu jak Windows10 muze byt kvuli tomu nestabilni a zpomalenej, "chapal" bych kdyby proste dalsi polozky kvuli omezeni nezobrazoval, ale tohle je videt co to je za zprasenej hybridni system co neumi poradne nic ;)
-
Lael Ophir (neregistrovaný)
Popsaný problém se projevuje až při 512+ položkách ve Start Menu, což se nejspíš týká velmi malého procenta zákazníků. Problém je údajně v nějaké interní DB, která cachuje ty položky Start Menu, a změna kódu má kaskádové dopady. Problém se ovšem týká malého procenta uživatelů a nemá bezpečnostní dopady. Takže srovnání s možností odemknout telefon s Androidem bez hesla a dvěma měsíci na přidání jednoho řádku do zdrojáku je pěkná demagogie. Ale jinak v poho :)
-
Cohen (neregistrovaný)
Nevím, co si představujete pod zdrojem, ale to, co linkujete, je _názor_. Předpokládám, že Váš názor je podobný. Jenže můj nikoliv, ta chyba je sice poměrně kuriózní a nepřikládám jí velký význam, ale spíše ukazuje na problém v koncepci zamykací obrazovky.
Pokud ta aplikace spadne, systém by neměl pustit obrazovku k sezení. Může se jí pokusit restartovat, případně nahradit nějakou nouzovou a pokud to nezafunguje, neměl by být telefon dále použitelný. Zřejmě tam nějaký podobný princip je, ostatně v diskuzi ohledně chyby se píše o tom, že cokoliv jiného, než vstup do seznamu aplikací, vede k opětovnému uzamčení zařízení. Ale zjevně je ten systém naimplementovaný špatně a to mělo být opraveno, ne maximální velikost pole. To je jako zamknout si pokoj, protože tam máte bordel, místo toho, abyste si uklidil.
Pro srovnání - na iOSu to funguje tak, že pokud provádíte na zamknuté obrazovce jinou činnost než odemknutí telefonu, aplikace si může v rámci svých oprávnění vyžádat dešifrování svého kontejneru a s ním pak pracuje. Proto pokud se najde v dané aplikaci chyba, která útočníka pustí za hranice toho, co mu mělo být umožněno, může maximálně pracovat s daty oné aplikace, s ničím dalším, ostatní kontejnery jsou zašifrované a nepřístupné. Tomuto přístupu není z mého pohledu co vytknout, jde o velmi slušnou prevenci a co si pamatuji, tak už se to minimálně jednou Applu vyplatilo.
-
Filip JirsákStříbrný podporovatelOtázka je, zda zamykací obrazovka mobilního telefonu má být považována za nějaké významné zabezpečení. Třeba už jenom proto, jak málo entropie je obvykle v heslech (často PIN se 4 číslicemi nebo jednoduchý znak) a jak často se telefon odemyká – a pokud tedy někdo bude mít tu drzost lézt do cizího telefonu, nejspíš bude mít i tu drzost odpozorovat na první pokus PIN nebo znak (s heslem, o kterém je zprávička, by to přeci jen bylo trošku komplikovanější).
Myslím ,že u takhle primitivního „zabezpečení“ je legitimní i přístup „když to selže, hlavně ať je telefon dál použitelný“.
-
Pavel TišnovskýZlatý podporovatel
V tomto případě je situace docela úsměvná, protože se uživatelé (správně) poučují o tom, jak si mají volit dobrá (ne nutně dlouhá) hesla. Takže někdo takto poučený zahodí možnost použít pattern nebo čtyřmístný PIN a namísto toho si navolí odemykání na základě hesla. A právě na tyto uživatele teď všichni mají skvěle popsaný vektor útoku...
