Quanto è sicuro usare l'autenticazione basata su impronte digitali su dispositivi Android non criptati?

Question

Quanto è sicuro usare l'autenticazione basata su impronte digitali su dispositivi Android non criptati?

#1 da (1 voti)

5

Poiché avevo bisogno delle autorizzazioni di root per diverse app sul mio dispositivo Samsung Galaxy S8 + ( SM-G955F ), ho seguito una guida che mostrava come installare un binario superutente su Android 7 del dispositivo.

C'è stato un avvertimento: tale procedura richiede che la crittografia sia disabilitata affinché il dispositivo sia avviabile; I dispositivi Samsung si rifiuteranno infatti di decodificare la loro memoria all'avvio se rilevano una partizione boot modificata. Così ho continuato e ho rimosso le funzionalità di crittografia dal mio dispositivo.

Ora, quello che mi chiedo è: dato che ho diverse app (ad esempio KeePassDroid, Solid Explorer, Google Play Store ) che possono facilitare l'autenticazione dell'utente memorizzando le password in modo tale che possano essere accedute semplicemente scansionando un'impronta digitale sul sensore, il fatto che la memoria principale del mio dispositivo sia decifrata significa che le copie salvate delle password possono essere lette in testo in chiaro da chiunque possa accedere al filesystem di root del mio dispositivo?

Ad esempio, diciamo che perdo il mio telefono, qualcuno ci inciampa, lo collega alla sua macchina e avvia il ripristino TWRP , che fornisce loro l'accesso come root al file system Android. Esiste una directory in cui trovano password chiare o facilmente decifrabili, protette tramite autenticazione tramite impronta digitale? Oppure esiste un altro sistema di crittografia basato su hardware?

encryption android biometrics

posta Manchineel 10.04.2018 - 23:31

fonte

1 risposta

Leggi altre domande sui tag encryption android biometrics

Gli armadi delle app migliorano la sicurezza degli smartphone? Come qualcuno attaccherebbe un segreto non veramente casuale prodotto da un umano?

score 1 · Accepted Answer

Non possiamo rispondere a questo per tutti i casi possibili (non puoi spiegare la stupidità umana) ma cercherò di dare una risposta pertinente.

Now, what I wonder is: since I have several apps (e.g. KeePassDroid, Solid Explorer, Google Play Store) that can ease user authentication by storing passwords in such a way that they can be accessed by simply scanning a fingerprint on the sensor, will the fact that my device's main storage is decrypted mean that the saved copies of the passwords can be read in plaintext by anyone who can access the root filesystem of my device?

Credo che gli sviluppatori di software di sicurezza affidabili e rinomati non dipendano dal fatto che il dispositivo sia crittografato per proteggere i propri dati. In tal caso, qualsiasi software di file explorer con privilegi sarebbe in grado di mostrare i tuoi file in testo semplice.

For instance, say I lose my phone, someone stumbles upon it, connects it to their machine and boots TWRP recovery, which gives them root access to the Android file system. Is there a directory in which they find clear or easily-decryptable passwords secured via fingerprint authentication? Or is there some other, maybe hardware-based, encryption system?

Come nel paragrafo precedente, se si utilizza un software affidabile e famoso, non ci si deve preoccupare di questo. L'autenticazione tramite impronta digitale è solo una modalità di autenticazione e non dovrebbe avere nulla a che fare con il modo in cui crittografate i dati dell'app. Lo stesso vale per la crittografia del dispositivo. Idealmente, non farebbe la differenza per gli sviluppatori di app.