Domanda:
La crittografia di un dispositivo Android aggiunge un reale vantaggio in termini di sicurezza rispetto al blocco della chiave?
Andreas J.
2013-11-27 00:44:35 UTC
view on stackexchange narkive permalink

La crittografia del mio dispositivo Android renderebbe i miei dati più sicuri in caso di furto?

Mi sembra che poiché la chiave di crittografia è necessariamente identica al codice PIN o alla password utilizzato per il blocco dei tasti, l'accesso ai dati del telefono si basa semplicemente sul recupero del codice PIN o della password o in qualche modo aggirando il meccanismo di blocco. E questo vale indipendentemente dal fatto che la crittografia sia stata applicata o meno:

  • Senza crittografia un utente malintenzionato deve sbloccare il dispositivo con il codice PIN o password per accedere a qualsiasi dato
  • Con la crittografia un utente malintenzionato deve decrittografare il dispositivo con lo stesso codice PIN o password per accedere a tutti i dati

Quindi crittografare il dispositivo o meno sembra non avere importanza !? In entrambi i casi, il ladro deve recuperare il codice PIN o la password (o aggirare il meccanismo di blocco) per accedere al telefono.

Esistono scenari in cui la crittografia fornisce effettivamente una protezione aggiuntiva oltre al blocco della chiave, considerando quanto sopra ?

Considera il caso di un dispositivo Android 4.4 KitKat predefinito di fabbrica, che non è rootato e non ha le opzioni sviluppatore abilitate.

Nota che non intendo proteggere i miei dati da persone e organizzazioni con capacità estese, come strumenti forensi e massicci di code-breaking. Mi chiedo semplicemente se abilitare la crittografia effettivamente produrrà una maggiore sicurezza contro il tuo hacker per hobby medio con abilità nel rooting, ecc.

Non chiedere se devi crittografare il tuo dispositivo. È solo chiedere opinioni e, davvero, nessuno può rispondere per te. Chiedete invece le cose che dovreste considerare durante la crittografia (o meno).
Non cerco consigli generali su cosa considerare. Penso di averlo già coperto. Mi piacerebbe che mi spiegasse uno scenario plausibile per quando la crittografia produrrà effettivamente una maggiore sicurezza considerando il mio profilo di rischio (vedi domanda originale aggiornata). Grazie.
Otto risposte:
YBRL
2014-12-22 14:43:00 UTC
view on stackexchange narkive permalink
  1. Decifrare il dispositivo e bypassare il meccanismo di blocco sono cose completamente diverse. La richiesta del codice PIN / password nella schermata di blocco standard avviene DOPO l'avvio del dispositivo. È possibile aggirarlo ottenendo l'accesso indiretto ai dati già disponibili . E bypassare la password della schermata di blocco è relativamente facile: con la crittografia abilitata, si verifica PRIMA dell'avvio e NON ci sono dati che possono essere ottenuti senza ottenere la chiave effettiva. Non c'è bypass lì, tranne l'estrazione della chiave da te con la forza fisica ... (Un presupposto ovvio qui è che il meccanismo / software di crittografia effettivo non ha bug evidenti, ma questa ipotesi mina QUALSIASI discussione sulla sicurezza, quindi io ' Non lo sto tenendo in considerazione).

  2. Il tuo telefono potrebbe avere una scheda SD esterna con molti dati (come la mia). La crittografia lo proteggerà se il telefono viene perso, poiché l'espulsione e il tentativo di montarlo altrove falliranno. Non è un attacco "a livello forense".

La funzionalità di crittografia della scheda SD esterna è offerta solo da pochi costruttori e non fa parte di Android di serie. Vedi [Cosa copre "Crittografa telefono"?] (Https://android.stackexchange.com/q/41502/107603)
Someone
2015-08-17 03:06:29 UTC
view on stackexchange narkive permalink

Non ho bisogno della tua password per accedere ai tuoi dati. Posso smontare il tuo dispositivo o metterlo in una modalità speciale che consente l'accesso diretto. Se i tuoi dati non sono crittografati, posso estrarre il tuo disco e collegarmi al mio PC per accedervi.

bitwize
2013-11-27 02:47:53 UTC
view on stackexchange narkive permalink

Anche se è un peccato che il PIN per la crittografia del dispositivo sia identico al PIN di sblocco, la crittografia fornisce ancora molta più protezione. Esistono modi per recuperare i dati non crittografati senza sbloccare il dispositivo. Lo scenario principale da cui protegge la crittografia è quello di un utente malintenzionato che rimuove l'unità da un telefono rubato e recupera i dati con strumenti forensi.

Esistono altri scenari in cui la crittografia proteggerà il tuo telefono. Se il debug USB è abilitato su un dispositivo pre-JB, un utente malintenzionato può utilizzare ADB per accedere ai dati. Su JB + il computer che accede al dispositivo tramite ADB deve essere già stato autorizzato dal telefono. Inoltre, un utente malintenzionato potrebbe utilizzare un exploit per ottenere l'accesso tramite USB e persino ottenere il root. Sfortunatamente la crittografia non ti proteggerà molto in questi scenari perché la maggior parte delle persone mantiene i propri dispositivi sempre accesi con la chiave di crittografia in memoria, quindi un utente malintenzionato potrebbe comunque accedere al dispositivo tramite USB se il debug è abilitato o utilizza un exploit.

Quindi sì, dovresti crittografare il tuo dispositivo con un PIN / password efficaci se non vuoi che i tuoi dati nelle mani di qualcun altro.

EDIT: grammatica / chiarezza

Capisco che non puoi mai proteggere i tuoi dati con una certezza del 100% e non intendo cercare di proteggere i miei dati da persone che hanno accesso a strumenti forensi (sono abbastanza sicuro che potrebbero avere accesso ai miei dati se crittografati o non), quindi il tuo primo punto non è così rilevante per la mia domanda. Ho aggiornato il post originale per renderlo più chiaro. Grazie.
Inoltre il mio telefono non è rootato, né ha opzioni sviluppatore abilitate, quindi un utente malintenzionato non dovrebbe essere in grado di "utilizzare ADB per accedere ai dati". E poiché dici, nel caso in cui un utente malintenzionato possa ottenere l'accesso come root (è davvero possibile su un dispositivo con schermo bloccato?) La crittografia "non ti proteggerà molto", non credo che la tua risposta fornisca uno scenario convincente in cui la crittografia varrebbe davvero la pena. Saresti d'accordo? Grazie.
Andreas J.
2013-11-27 13:28:44 UTC
view on stackexchange narkive permalink

La crittografia diventa preziosa solo se esiste il rischio che un utente malintenzionato possa utilizzare una vulnerabilità software per aggirare la schermata di accesso.

Ci sono stati alcuni esempi di ciò a causa di vulnerabilità in varie app (ad esempio Viber e Skype) e dispositivi ( Samsung) ma presumibilmente questi difetti sono stati risolti ormai. Tuttavia, potrebbero apparire nuove vulnerabilità.

Se l'opzione sviluppatore Debug USB è attivata o se il dispositivo è rootato, ci sono molti hack che aggirano il blocco dello schermo ( qui è un esempio; ce ne sono molti altri discussi nel forum xda-developers).

Tuttavia, su un dispositivo predefinito di fabbrica (senza root, senza impostazioni per sviluppatori ) della produzione recente e della versione Android non ci sono hack noti di cui sono a conoscenza che aggirano la schermata di blocco, ad eccezione di vulnerabilità software occasionali come quelle menzionate sopra.

D'altra parte, se diciamo ad esempio invece che la chiave di crittografia fosse diversa dal codice PIN o dalla password quindi la crittografia varrebbe sicuramente la pena, perché un possibile scenario potrebbe quindi essere che un utente malintenzionato possa ottenere il codice PIN o la password (es. leggendo la sequenza di sblocco sullo schermo o forza bruta che cracka il PIN), ma non sarebbe comunque in grado di accedere ai dati sul telefono poiché sarebbe crittografato con h una chiave di crittografia molto forte (e diversa).

Tieni presente che se hai un dispositivo rooted, esiste un modo per applicare una chiave di crittografia diversa dal codice PIN o dalla password. Si prega di vedere la risposta di neopran.

Jesse Wind
2013-12-07 13:53:18 UTC
view on stackexchange narkive permalink

La differenza principale tra un dispositivo crittografato e un dispositivo non crittografato è che un codice deve essere inserito ogni volta che il dispositivo viene avviato. Questo semplice livello di sicurezza aggiunge vantaggi alla tua vita quotidiana? Questa è una domanda a cui solo tu puoi rispondere. Altrimenti non c'è molto di un vantaggio per la sicurezza digitale. La funzione di sicurezza della crittografia sembra più pratica in una situazione di furto. Renderebbe quasi impossibile per il ladro quotidiano utilizzare le tue informazioni private contro di te. Spero di aver aiutato comunque. (:

In che modo la crittografia è più sicura rispetto all'utilizzo del solo blocco a chiave? In entrambi i casi è lo stesso codice pin o password che protegge i tuoi dati. Per favore leggi di nuovo la mia domanda.
Neog2
2014-09-22 05:28:30 UTC
view on stackexchange narkive permalink

In realtà ti manca il punto principale della crittografia.

Diciamo che tutto ciò che hai è un PIN sul tuo telefono.Se prendo il tuo telefono posso semplicemente collegarlo alla mia macchina Linux, o anche al pc, e ottenere documenti, immagini, vedere il tuo registri da Internet vedere quali app hai installato ottenere i tuoi dati da quelle app e importarli in un telefono diverso installa quell'app posiziona i tuoi dati nella cartella giusta e volia.

Quindi messaggi di testo, registri delle chiamate e tutto altrimenti è mantenuto sul dispositivo. Non ci vuole molto tempo anche con dire "Blocco note" per leggere parti di messaggi di testo. Ora ci saranno un mucchio di personaggi casuali e intendo pagine su pagine di sciocchezze che non hanno senso ma ci sarà del testo leggibile lì dentro, e questo è tutto senza usare app di terze parti.

Tutto questo può accadere indipendentemente dal fatto che il telefono sia bloccato o non bloccato quando è collegato a una macchina diversa.

ORA UN TELEFONO CRITTOGRAFATO diciamo che prendo il tuo telefono ma non ho il tuo codice. LE TUE INFORMAZIONI TUTTO QUANTO SOPRA, anche se ancora accessibile, è incomprensibile, anche le immagini sono criptate.

Ovviamente si presume che tu stia parlando di Whole Phone Encryption e non solo di una password di avvio che NON È CRITTOGRAFIA.

Buon punto, tuttavia, per quanto ne so, a meno che non si sblocca il blocco dello schermo sul telefono, non si monterà quando è collegato a un PC (Windows o Linux), quindi non saresti in grado di leggere i miei documenti senza rompere il blocco dello schermo, il che ci riporta alla mia domanda iniziale. Ho sbagliato?
questo è falso che posso montare con o senza blocco su Android. Lo sto facendo adesso. In Windows devi solo cambiare i permessi da un account amministratore. Sui sistemi basati su Linux è ancora più semplice. Non sono sicuro su Windows Phone però. Sto eseguendo KitKat 4.4.2 su una nota 3.
Se è vero, penso che la tua risposta si qualifichi come una soluzione alla mia domanda, tuttavia, non riesco a trovare supporto per la tua affermazione online. Potresti fornire collegamenti che descrivono come montare telefoni bloccati. Grazie.
Denis
2015-05-08 02:01:02 UTC
view on stackexchange narkive permalink

Blocco tasti, PIN o password non offrono alcuna protezione se il bootloader del telefono non è bloccato. Ad esempio, la maggior parte dei dispositivi Samsung (ad eccezione di quelli di Verizon o AT&T e di altri fornitori che non ho mai sentito) hanno bootloader sbloccati, almeno in Europa.

Se non hai i tuoi dati crittografati, uno solo deve eseguire il flashing di un ripristino personalizzato, che è molto semplice, e il lavoro è finito. Tali ripristini possono montare partizioni e montare chiavette USB utilizzando il cavo OTG.

Quindi, la crittografia è "una maggiore sicurezza contro il tuo hacker per hobby medio con abilità nel rooting, ecc." perché queste, o anche meno, sono tutte competenze richieste per ottenere dati da un dispositivo con password complessa, ma bootloader sbloccato.

Il problema con il bootloader bloccato è che lo sblocco di solito cancella tutti i dati dal dispositivo.

neopran
2013-11-27 05:01:55 UTC
view on stackexchange narkive permalink

Puoi sempre utilizzare un'app come questa: https://play.google.com/store/apps/details?id=org.nick.cryptfs.passwdmanager

Lo uso sul mio telefono e funziona molto bene, assicurati solo di leggere le istruzioni e di tenerle a mente.

Anche il tuo telefono deve essere rootato affinché questa app funzioni.

Direi che rende sicuramente i tuoi dati più sicuri se il tuo telefono viene rubato!

Puoi spiegare perché la crittografia "rende sicuramente i tuoi dati più sicuri" considerando la mia domanda originale e il fatto che il mio telefono non è rootato?
Questa risposta non è rilevante per la questione della crittografia del "dispositivo". Ti consiglio di eliminare questa risposta prima di ottenere un downvoting.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...