パターンロックのセキュリティはどのくらいのセキュアですか? -- security フィールド android 関連 問題

Just how secure is a pattern lock?


53
vote

問題

日本語

私は最近電話をかけました。それは交換され、私のパスワードを変更しました、電話会社は盗まれた1つのための接続を停止しています...私はできる限り安全なので、私はほとんど安全だと思います。

しかし、それは私に疑問に思いました。パターンロックはどのくらいのセキュアですか?私の電話はパターンロックをしていたので、私はカジュアルなユーザーがそれを拾い上げて何でもすることができないことを意味します。

しかし、世界でいつも時間があったら、彼らはそれを回避することができますか?

または電話がそれを拭くならば、電話は使いやすい?

注1: SDカードのデータが別の問題であることを知っています、私は電話について疑問に思っていて、内部的に保存されているデータです。

注2:自分のGoogleアカウントを介したパスワードの回復に関する他の質問を見たことがありますが、私の電話をかけた人(想定的に)私のパターンをリセットする能力はありませんそのようにして、この質問は別の問題であると思います。

英語

I recently had a phone stolen. It's been replaced, I've changed my passwords, the phone company has shut down connectivity for the stolen one... I think I'm pretty much as safe as I can be.

However, it did get me wondering. How secure is the pattern lock? My phone had a pattern lock, so I assume that means that the casual user can't pick it up and do anything.

But if one had all the time in the world and some technical know-how, could they circumvent it?

Or is the phone only useable if the person wipes it and starts over?

Note 1: I know the data on the SD card is a separate issue, I'm just wondering about the phone and it's internally stored data.

Note 2: I've seen other questions about recovery of the password via one's Google account, but the person who has taken my phone (presumeably) doesn't have the ability to reset my pattern that way, so I believe this question is a separate issue.

  
       
       

回答リスト

24
 
vote

ほとんどのタッチスクリーンの電話のどのようにクラックする方法も大幅に知られていません。最近、タッチスクリーンロックメカニズム(および特にパターンロック)のセキュリティについて最近記述されたホワイトペーパーがあり、スクリーン上の洗練された汚れを使用してこれらのデバイスに分割されて、ロック解除コードを取得します。

8結論
本稿では、タッチスクリーンデバイスの残留油を使用して汚れ攻撃を検討しました。実現可能性を調べました そのような汚れを捉えるため、パスワードへの影響に焦点を当てて Androidスマートフォンのパターン。 Aの下で撮った写真を使う さまざまな照明とカメラの位置、私たちは多くの人にそれを示しました であっても、完全または部分的なパターンの回復が可能です シミュレートされたアプリケーションの使用または歪みからの「ノイズ」を汚し 付随的な衣服の接触によって。攻撃者の概要についても概説しました 改善するために汚れ攻撃から得られた情報を使用することができます ユーザーのパターンを推測する可能性。 ...

スマートフォンタッチスクリーン(PDF)

紙の残りの部分は読む価値があります。

 

You don't even need much technical know how to crack most touch screen phones. There was a white-paper written recently about the security of touch screen lock mechanisms (and pattern locks in particular) and breaking into these devices using purely the greasy smudges on the screen to get the unlock code.

8 Conclusion
In this paper we explored smudge attacks using residual oils on touch screen devices. We investigated the feasibility of capturing such smudges, focusing on its effect on the password pattern of Android smartphones. Using photographs taken under a variety of lighting and camera positions, we showed that in many situations full or partial pattern recovery is possible, even with smudge xe2x80x9cnoisexe2x80x9d from simulated application usage or distortion caused by incidental clothing contact. We have also outlined how an attacker could use the information gained from a smudge attack to improve the likelihood of guessing a userxe2x80x99s patterns. ...

Smudge Attacks on Smartphone Touch Screens (PDF)

The rest of the paper is well worth a read too.

 
 
       
       
18
 
vote

いくつかのケースに応じて安全でない*

これは EXPLOIT そのハッカーまたは上記のサンプルです。平均的なユーザーが(ADBツールと電話機に接続されている電話機を使用する): -

クラックパターンロックへのコード 例 ..

上記の悪用と特定のグリッチは、次のバージョンでGoogleで固定されている可能性がありますが、パターンロックはパターンロックのままです。つまり、Androidのユーザインタフェースを使用するための単なるソリッドゲートウェイと見なすことができます。 パターンロックは電話機の内容を暗号化しません。 ADBシェルを使用してハッカーが遊んでいるのをやめません。彼は Android SDKで自由に提供されているADBツールを使用して、電話などの内部メモリを表示できます。 / a>

また、内部メモリは、取り付けるか読み取る方法が他の方法がある可能性があるため、ほとんど妥協されています。

今のことを言うことができるのは、追加のセキュリティメジャーとして、「USBデバッグ」を無効にしてもいいでしょう。

 

It is insecure depending on a few cases*.

Here's a sample of an exploit that a hacker or an above average user can do (with the adb tool and the phone connected to a PC) :-

Code to crack pattern lock Exploit 2

******May only apply on rooted devices. (not all adb commands require root though) "USB debugging" should also be set prior to using the adb tool*. But as eldarerathis said, some devices can also be rooted through the ADB. In fact, a skilled hacker may also find loopholes for gaining access to the internal data. (perhaps even find a way to utilize the adb without the usb debugging option)

The Android Pattern lock also has many glitches making it relatively unsecure. Here's an example..

While the exploits mentioned above and certain glitches may be fixed by Google in the upcoming versions, a pattern lock remains a pattern lock. ie, It can be considered as a mere solid gateway to using the android's user interface. A pattern lock does not encrypt the contents of a phone. It will not stop a hacker from playing around using the adb shell. He can view the internal memory of the phone etc using the adb tool which is freely provided in the Android SDK

Also, the internal memory is pretty much compromised as there may be other ways to mount it or read it.

All I can say for now is it would be better if you disable "usb debugging" unless you need it, as an added security measure.

 
 
         
         
8
 
vote

少なくともほとんどの電話機では、FastBoot / Recoveryにアクセスするためにボリュームキー/キーを押したことができます。 USBデバッグがない場合でも、内部メモリに直接アクセスする場合でも、そこからADB接続を取得できます。そこから電話を根本的なファイルを編集し、電源内を推奨するようにロックを無効にすることを可能にするために電話を根本的にすることさえ可能です。これはすべて数分で行うことができます!

 

At least on most phones you can just hold down the volume key/keys to get to the fastboot/recovery. From there one can easily get adb connection, even if you don't have usb debugging on, and access straight to the internal memory. From there it is even possible to root the phone to make it possible to edit internal files and disable the lock, like Power-Inside suggested. All this can be done in several minutes!

 
 
   
   
1
 
vote

リカバリでデータを拭くだけでデータをすることができるので、パターンはあまり安全ではありません。そしてあなたは電話に入っています。 さらに、このパターンのロックを解除するたびにスワイプしているため、パターンが画面に表示されることがよくあります。

 

The pattern is not very safe, because you can simply do a data wipe in recovery. And you're in the phone. In addition the pattern can often seen in the screen, because you swipe everytime you unlock your phone this pattern.

 
 
 
 

関連する質問

25  必須のPIN LOCKSCREENなしの証明書のインストール  ( Certificate install without mandatory pin lockscreen ) 
Googleサポート 許容できるロックの種類はシステムで予め決められている場合があります 管理者 私は何が許容できるものを定義できるか?必要に応じて証明書を再生することができます。 だから私は再びスライドロックスクリーンを使うことができます。 (私...

7  私のデバイス上のGmailからのログアウト  ( Logout from gmail on my device ) 
私のAndroid携帯電話が私のGmailアカウントに恒久的にログインしていることを悩ませます。 デバイスからログアウトしたい場合は、私のアカウントに接続するときに電話機がユーザー名/パスワードを尋ねるようにしてください。 そのような選択肢がないようです。私...

8  SELINUXをSAMSUNG GALAXY NOTE 3で許可を許可することからSELINUXを変更できますか?  ( How can i change selinux from enforcing to permissive on samsung galaxy note 3 ) 
私の装置はSamsung Galaxy注3 SM-N9005です。 この電話には、デフォルトで施行するSELinuxが付属しています。 これを許可されていないが、無駄に変更しようとしています。 Samsungの指示に従ってソースコードからカーネルを構築し、R...

59  Androidの付与された権限をもっと多くてもマルウェアアプリケーションをサンドボックスにサンドボックスするためのツールはありますか?  ( Are there any tools to sandbox a malware application even more than the granted ) 
許可が多すぎるプログラムを実行したいとします。たとえば、マイクロフォンからの記録または携帯電話のIMEIを読んでください。ただし、データマイニングを除いて、この特定のアプリケーションにMICまたはIMEIの数からの録音が必要なのは実際的な説明はありません。 こ...

11  Android携帯電話で制限されたプロファイルを作成できますか?  ( Can i create a restricted profile on an android cellphone ) 
背景 私は自分の携帯電話でのポルノを見ることを防ぎたいです。私は時折中毒サポートグループに行きますが、まだお勧めしている12のステップをまだしていません。私は十分に良いフィルタリング設定を設定した場合、私はこれらのステップを実行せずに少なくともいくらかOKを管...

5  良いファイアウォールが利用可能ですか? [閉まっている]  ( Are there any good firewalls available ) 
閉じたこの質問はオフトピックです。現在答えを受け付けていません。 この質問を改善したいですか? ...

3  ファクトリーリセット後に盗まれた電話を見つける  ( Locating stolen phone after factory reset ) 
私はどんな合理的な泥棒はできるだけ早く電話を拭くと仮定して、追跡アプリとユーザーアカウントを削除します。 私は電話を追跡する方法はありますか? 可能な方法は、カスタムROMに埋め込まれているトラッキングアプリケーション(およびそれが構成)を使用することです。 ...

1  内部記憶域の疑わしいディレクトリ ".mysecurityData"  ( Suspicious directory mysecuritydata in internal storage ) 
私は銀河系(N7000)デバイスをランニング株Android 4.1.2を持っています。私は内部ストレージを閲覧して、 ".mysecurityData"という名前のディレクトリに注目していました。これらの3番目のレベルのディレクトリには、3つのディレクトリ ...

2  複数のパスワードでログインを許可します  ( Allow login with multiple passwords ) 
ログインには、複数の承認されたパスワードをAndroidに設定することができますか?またはおそらく代替の安全なログイン。 (注:顔の認識と指紋は、安全ではなくカウントしていますが、RSA / NFCキーはカウントされます。) ログインするMySecRetpas...

3  Motorola Backflipでバージョン1.5を搭載したWPA Enterprise Wi-Fiネットワークに接続するにはどういうわけかありますか?  ( Is there anyway to connect to a wpa enterprise wi fi network with version 1 5 on ) 
新しいWi-Fiネットワークを追加するときの唯一のセキュリティオプションは次のとおりです。 なし WEP WPA Personal WPA2 Personal 私はそれがリストに追加された、またはそれをするための回避策/ハックを見つけることによ...

3  ページ上のリンクを訪問またはクリックするだけで、確認のないAndroid携帯電話にアプリケーションをインストールできますか。  ( Can application be installed on an android phone without confirmation just by v ) 
私はPutlockerに行き、その後、システムエラーについて何かを言って、その後このようなものについて言ってポップアップを得ました: その瞬間に私は私の電話をオフにしました。しかし、私が上記の画面に着いた前に、詐欺ページの「詳細を検索」のようなものをクリ...

0  不正な画像の点滅を防ぐ  ( Prevent unauthorized image flashing ) 
誰かが 9988776665544330 を使用しないようにする方法があるかどうかは、Androidデバイスを点滅させます。 確かに、 USBデバッグをオンにすることができなければならない 9988776665444331 は、ブートローダは保護AFAIKを...

5  なぜ私のNVIDIAタブレットが中国のサーバー(Baidu.com)を探しているのですか?  ( Why is my nvidia tablet looking for chinese serversbaidu com ) 
これが質問の正しい領域であるかどうか、またはそれが大したことさえあるならば、ここで私は行く。 NVIDIAタブレットで使用するために使用するとき、私は中国でサーバーに到達しようとしていたことを実感しました。私はこれをやろうと思うだろうと思うアプリがないので、こ...

55  Androidには実際に必要なウイルス対策が必要ですか?  ( Is an antivirus really needed for android ) 
私は今半年の間Linuxを使用しているので、もうウイルスを扱うためには使用されていません。私の驚きには、Androidのウイルス対策についての議論を見ました。私はまだインストールしていませんが、このバグ私:彼らは本当に必要ですか?市場で既知のウイルスがある(ま...

0  Googleの写真の同期は公共のWiFiで安全です  ( Is google photos synchronisation secure on public wifi ) 
誰か(公共のNWや侵入者の所有者)は、中間の攻撃で男を演奏し、公のWiFiを介して同期されている間写真を盗みますか? 彼らが私の携帯電話を制御していないと仮定すると、パッカーを盗聴するだけで、誰かが写真を盗むことができますか? ...

関連する質問

25  必須のPIN LOCKSCREENなしの証明書のインストール 
7  私のデバイス上のGmailからのログアウト 
8  SELINUXをSAMSUNG GALAXY NOTE 3で許可を許可することからSELINUXを変更できますか? 
59  Androidの付与された権限をもっと多くてもマルウェアアプリケーションをサンドボックスにサンドボックスするためのツールはありますか? 
11  Android携帯電話で制限されたプロファイルを作成できますか? 
5  良いファイアウォールが利用可能ですか? [閉まっている] 
3  ファクトリーリセット後に盗まれた電話を見つける 
1  内部記憶域の疑わしいディレクトリ ".mysecurityData" 
2  複数のパスワードでログインを許可します 
3  Motorola Backflipでバージョン1.5を搭載したWPA Enterprise Wi-Fiネットワークに接続するにはどういうわけかありますか? 
3  ページ上のリンクを訪問またはクリックするだけで、確認のないAndroid携帯電話にアプリケーションをインストールできますか。 
0  不正な画像の点滅を防ぐ 
5  なぜ私のNVIDIAタブレットが中国のサーバー(Baidu.com)を探しているのですか? 
55  Androidには実際に必要なウイルス対策が必要ですか? 
0  Googleの写真の同期は公共のWiFiで安全です