Użytkownicy Androida mają problem
Naukowcy z Cambridge University, Laurent Simon i profesor Ross Anderson, przyjrzeli się jednemu z mechanizmowi bezpieczeństwa w Androidzie i odkryli, że zawiera on poważne wady. Wspomniany mechanizm to wbudowana w Androida funkcja resetu urządzenia do ustawień fabrycznych. Okazało się, że wbrew oczekiwaniom, usunięte w ten sposób dane można bez problemu odzyskać. Co więcej, możliwe jest ich odzyskanie nawet jeśli włączona była funkcja pełnego szyfrowania dysku. Podczas resetu nie były bowiem usuwane klucze szyfrujące. Dzięki dostępowi do pliku z tymi kluczami napastnik mógł odczytać zawartość.
Badacze oceniają, że nawet 500 milionów urządzeń z Androidem nie czyści dokładnie dysków, a 630 milionów urządzeń nie czyści wewnętrznych kart SD.
Wśród pięciu „krytycznych błędów” w Androidzie, uczeni wymieniają:
- nieprawidłowe usuwanie danych z partycji w urządzeniach z Androidem 2.3.x,
- niedokończone aktualizacje wysyłane przez producentów na androidowe urządzenia,
- brak odpowiednich sterowników zapewniających prawidłowy reset w przypadku nowszych urządzeń z Androidem,
- brak prawidłowego usuwania danych z kart SD,
- słabe szyfrowanie dysku, aż do wersji 4.4.
Brytyjscy naukowcy na potrzeby swoich badań przetestowali 26 smartfonów z Androidem, które kupili w sklepach z używaną elektroniką. Na urządzeniach był zainstalowany system w wersji od 2.3 do 4.3. Na wszystkich urządzeniach znaleziono przynajmniej fragmenty danych z informacjami kontaktowymi, zdjęciami, filmami, SMS-ami, e-mailami oraz dane pozostawione przez różne aplikacje. We wszystkich urządzeniach mogli odzyskać tokeny uwierzytelniające Google'a, a w 80% przypadków odzyskali główne tokeny. Na potrzeby testów wykorzystali jeden z głównych tokenów do odzyskania pliku uwierzytelniającego. Po restarcie smartfon bez problemu zsynchronizował wszystkie kontakty, e-maile itp. - napisali naukowcy.
Uczeni radzą, by użytkownicy Androida korzystali z pełnego szyfrowania dysku, używali silnych haseł składających się co najmniej z 11 znaków, w tym symboli, cyfr oraz wielkich i małych liter. Jeśli chcą usunąć dane, powinni po zresetowaniu urządzenia użyć specjalistycznej aplikacji firmy trzeciej do wypełnienia całego nośnika przypadkowymi bitami. Aplikacja nie powinna mieć szczególnych uprawnień dostępu. Ponadto aplikację tę trzeba zainstalować ręcznie, w przypadku automatycznej instalacji istnieje bowiem niebezpieczeństwo, że aplikacja nie nadpisze tokenów Google'a.
Komentarze (3)
wilk, 22 maja 2015, 18:34
Teoretycznie można zaszyfrować pamięć losowym hasłem i zrobić reset do ustawień fabrycznych. Pozostaje tylko kwestia ile faktycznie jest szyfrowane.
Czytałem oryginał i tutaj nie o to chodzi. Problem w tym, że aby skorzystać z takiej aplikacji trzeba ją zainstalować ze sklepu, ale skoro zrobiliśmy już reset do ustawień fabrycznych, to musimy znowu wpisać dane dostępowe do konta Google i token ponownie utworzymy.
Astroboy, 22 maja 2015, 19:41
Zastanowił mnie tytuł artykułu. Czy użytkownicy innych systemów mogą być pełną twarzą szczęśliwi?
Czy może stoi za tym jakaś intencja?
IMHO użytkownicy Androida, jak i użytkownicy wszelkich innych systemów nie grzeszą zwyczajnie rozsądkiem. Ignorancja rulez!
wilk, 23 maja 2015, 00:42
Problemem nie jest tylko system, choć opieszałość w aktualizacji sterowników jest naganna. Winę niejako z projektu ponosi też sposób zarządzania pamięciami flash, więc tyczy się to każdego telefonu, dysku SSD czy zwykłego microSD, ograniczający wielokrotne dostępy do tej samej komórki.