Содержание
Android на данный момент является самой популярной мобильной операционной системой в мире. В 2014 году было отгружено один миллиард устройств (на 800 миллионов больше, чем у Apple, занимающей второе место), и он контролирует 82 процента рынка.
Это отличная новость для Google, но она также означает, что катастрофы возникают, когда обнаруживаются ошибки и недостатки — проблемы могут затронуть огромный процент населения планеты.
К сожалению, в начале этой недели исследователи из Техасского университета обнаружили новый недостаток безопасности Android.
Мы рассмотрим, что это такое и что вы можете с этим сделать.
В чем проблема?
У современного телефона Android есть три способа защитить свой экран блокировки; ПИН-код, шаблон или пароль. Новый недостаток касается пользователей, которые решили использовать пароль.
Исследователи объяснили уязвимость в посте на веб-сайте университета, сказав: «Манипулируя достаточно большой строкой в поле пароля, когда приложение камеры активно, злоумышленник может дестабилизировать экран блокировки, вызывая его падение в дом. -screen «.
На практике это означает, что потенциальный хакер может получить доступ к вашему телефону, контактам, частной информации о приложениях, облачным хранилищам и многим другим личным данным, и все это без необходимости выполнять какие-либо хитрые трюки. Даже нормальный технически подкованный человек, который нашел потерянный телефон на улице, мог прорваться.
Хак работает, вводя случайную серию символов на клавиатуре телефона «Экстренный вызов», а затем многократно нажимая кнопку «Сделать фото» на камере. Это приведет к сбою экрана блокировки, и телефон в конечном итоге перезагрузится на домашний экран пользователя.
Оказавшись там, хакер будет иметь полный доступ к устройству, независимо от того, зашифрована ли файловая система или нет, это означает, что они могут даже разрешить доступ разработчика к устройству.
Вы можете увидеть взлом, продемонстрированный в видео ниже:
Вы в опасности?
К счастью, этот недостаток присутствует не в каждой версии Android — это затронет вас, только если у вас есть устройство Android Lollipop
это работает с версии 5.0 до 5.1.1.
Как уже упоминалось, взлом также работает, только если вы используете защиту паролем. Те, кто использует PIN-коды или шаблоны, безопасны.
Хотя эти два критерия, несомненно, ограничивают число людей, на которых это влияет, побочным эффектом является то, что он, вероятно, нацелен на наиболее заботящихся о безопасности пользователей — тех, кто считает, что длинный пароль более безопасен, чем ПИН или шаблон. При нормальных обстоятельствах они верны, но эта лазейка доказывает, что ничто не так безопасно, как вы думаете.
Что ты можешь сделать?
Самое главное, чтобы защитить ваш экран блокировки
так скоро, как возможно.
Уязвимость была исправлена в сборке LMY48M Android 5.1.1, которая была выпущена Google на прошлой неделе. На данный момент он доступен только для Nexus 4, 5, 6, 7, 9 и 10.
Google исправляет последний # обход блокировки экрана Android https://t.co/jiCRXLNj7b pic.twitter.com/kKljgW8pUH
— Евгений Касперский (@e_kaspersky) 16 сентября 2015 г.
Несмотря на то, что он доступен, несколько пользователей сообщили, что они еще не получили обновление по беспроводной сети. Если это так, вы можете перейти прямо на googlesource.com и загрузить новую сборку вручную.
Если у вас нет Nexus или вы еще не получили обновление по беспроводной сети, вам следует как минимум изменить вместо этого свои учетные данные для входа на экран блокировки на PIN-код.
Почему вы должны выбрать PIN-код поверх шаблона?
Шаблоны блокировки Android (ALP) существуют с 2008 года и используются многими людьми, но недавно исследователь предположил, что они не более безопасны, чем слишком очевидные пароли
такие как «пароль», «12345678» и «qwertyuiop».
Исследователем был Марте Лёге, выпускник Норвежского научно-технического университета в 2015 году. Она обнаружила, что ошеломляющие 44 процента ALP начались в верхнем левом углу, а гигантские 77 процентов — в одном из четырех углов.
Она также обнаружила, что большинство ALP содержат только пять «узлов», несмотря на то, что пользователям разрешено выбирать до девяти. Это означало, что возможное количество комбинаций было уменьшено с 389 112 до 7 152. Если ALP содержал только четыре узла, это еще больше уменьшилось до 1624.
«Люди предсказуемы», — сказала она. «Мы видим те же аспекты, что и при создании шаблонных блокировок, которые используются в PIN-кодах и буквенно-цифровых паролях».
Если вы настаиваете на использовании ALP, вам необходимо убедиться, что вы сохраняете свой шаблон сложным, и вам следует избегать воссоздания инициалов близких или домашних животных. Ее исследование показало, что при использовании таких инициалов у злоумышленников будет один шанс из десяти угадать ALP в пределах 100 догадок.
Проверьте некоторые из наиболее распространенных ALP на изображении ниже, если вы используете один из них, вы должны немедленно изменить его.
Выберите толковый PIN-код
Это означает, что самый безопасный способ обезопасить ваше устройство Android — использовать PIN-код, но все же есть некоторые основные рекомендации по безопасности, которые вы должны соблюдать.
Например, убедитесь, что вы используете код, отличный от того, который вы используете для своей банковской карты, или любые другие логины, для которых требуется PIN-код. Точно так же, как использование одного и того же пароля для всех ваших учетных записей в Интернете увеличивает вашу уязвимость, использование одного и того же PIN-кода в несколько раз снижает эффективность системы при каждом дублировании. Кроме того, избегайте юбилеев, дней рождения и повторяющихся номеров.
Microsoft также поддерживает эту идею; Недавно они рекомендовали пользователям Windows 10 использовать ПИН-код для входа на свой компьютер. Их логотип таков, что взломанный пароль
Если бы хакер получил доступ ко всей вашей учетной записи Microsoft, взломанный PIN-код позволил бы им всего этого отдельного устройства.
Вы защитили себя?
Вы один из уязвимых пользователей? Какие шаги вы предприняли, чтобы защитить себя
?
Это нарушение заставляет вас беспокоиться о безопасности Android? Какие еще нарушения существуют? Учитывая фрагментацию операционной системы, наверняка есть и другие, ожидающие своего открытия.
Возможно, вы нашли какой-то другой новый или уникальный метод авторизации?
Как всегда, мы хотели бы услышать от вас. Вы можете сообщить нам свои мысли и мнения в комментариях ниже.
