アカウント名:
パスワード:
タレコミにある動画によれば約8分で突破されているわけですよね(最後まで観ていませんが)。どこかに置き忘れて、後で誰かに届けてもらったようなケースでは、端末にフルアクセスされていることを覚悟しないといけないということになるわけで、パスワードをアプリに保存しっぱなしの場合が多いことを考えると、結構嫌な脆弱性ではないかと思います。で、例によって自分の端末にいつアップデートが配布されるのかわからない、と。
重要度「中」に評価するのは別にとやかくいいませんが、少なくとも「今パスワードロックを使っている人はPINに変えろ」という情報くらいは広くアナウンスすべきじゃないかなあ。(もうしてたらすみません)
緊急通報画面でコピペできない機種もありますが、パスワード入力画面で長い長い文字列を直接入力すれば再現する可能性もあるので、がんばって入力する必要があります。
headless氏が参考にしなかったこちらのタレコミ [srad.jp]によるとコピペによる倍々ゲームで増やしていって163,840文字程度必要だったとか書いてるので、コピペができなかったらがんばって入力するとかいうレベルではないような。
それじゃあクラッシュすることの証明はクラッシュすればできるけど、クラッシュしないことを自分でテストして証明するのは事実上不可能ではありませんか(悪魔の証明)。
メカニカルな補助器具があればまだブルートフォースでいけそうだけど。
USBキーボード繋げて漬物石でも乗っけておけば楽に達成できそうね。
ロック画面自体は、パスワードが設定できるだけの、単なる誤操作防止機能だから、ストレージを暗号化する設定をしているなら。ロック画面が落ちてもストレージが複号できないので問題ない。
ストレージを暗号化する設定をしているなら。ロック画面が落ちてもストレージが複号できないので問題ない。
Android のストレージの暗号化設定は、ブート時にパスワードを入力し、それをもとに生成された復号キーが電源を切るまでずっとメモリ上に置かれる仕組みとなっています。
従って、悪意のある第三者が、電源が入ったままロック画面となっているスマホを入手した場合、ストレージを暗号化してても無意味です(画面ロックが外した段階で、データの内容を見られる状態となる)。
>ロック画面が落ちてもストレージが複号できないので問題ない。
では、あなたのAndroid端末を1日ほど貸してください。
×複号
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
時間がかかるといっても (スコア:1)
タレコミにある動画によれば約8分で突破されているわけですよね(最後まで観ていませんが)。
どこかに置き忘れて、後で誰かに届けてもらったようなケースでは、端末にフルアクセスされていることを覚悟しないといけないということになるわけで、
パスワードをアプリに保存しっぱなしの場合が多いことを考えると、結構嫌な脆弱性ではないかと思います。
で、例によって自分の端末にいつアップデートが配布されるのかわからない、と。
重要度「中」に評価するのは別にとやかくいいませんが、少なくとも
「今パスワードロックを使っている人はPINに変えろ」という情報くらいは広くアナウンスすべきじゃないかなあ。
(もうしてたらすみません)
Re:時間がかかるといっても (スコア:1)
メーカー:
機種:
キャリア:
バージョン:
ビルド:
状況:
緊急通報画面でコピペできない機種もありますが、パスワード入力画面で長い長い文字列を直接入力すれば再現する可能性もあるので、がんばって入力する必要があります。
Re:時間がかかるといっても (スコア:1)
headless氏が参考にしなかったこちらのタレコミ [srad.jp]によるとコピペによる倍々ゲームで増やしていって163,840文字程度必要だったとか書いてるので、コピペができなかったらがんばって入力するとかいうレベルではないような。
Re:時間がかかるといっても (スコア:1)
Re: (スコア:0)
それじゃあクラッシュすることの証明はクラッシュすればできるけど、クラッシュしないことを自分でテストして証明するのは事実上不可能ではありませんか(悪魔の証明)。
Re:時間がかかるといっても (スコア:1)
Re: (スコア:0)
メカニカルな補助器具があればまだブルートフォースでいけそうだけど。
Re: (スコア:0)
USBキーボード繋げて漬物石でも乗っけておけば楽に達成できそうね。
Re: (スコア:0)
ロック画面自体は、パスワードが設定できるだけの、単なる誤操作防止機能だから、
ストレージを暗号化する設定をしているなら。ロック画面が落ちてもストレージが複号できないので問題ない。
暗号化してても電源切っとかないと駄目 (スコア:4, 興味深い)
Android のストレージの暗号化設定は、ブート時にパスワードを入力し、それをもとに生成された復号キーが電源を切るまでずっとメモリ上に置かれる仕組みとなっています。
従って、悪意のある第三者が、電源が入ったままロック画面となっているスマホを入手した場合、ストレージを暗号化してても無意味です(画面ロックが外した段階で、データの内容を見られる状態となる)。
Re: (スコア:0)
>ロック画面が落ちてもストレージが複号できないので問題ない。
では、あなたのAndroid端末を1日ほど貸してください。
Re: (スコア:0)
×複号