Supponiamo che un utente malintenzionato abbia ottenuto l'accesso fisico a un dispositivo (uno smartphone, per esempio). Sarebbe più difficile per l'autore dell'attacco compiere azioni dannose sul telefono quando il telefono è spento?
Sto facendo la domanda perché sono consapevole di diversi punti:
-
Cambiare fisicamente alcuni tipi di dispositivi è difficile per gli attaccanti con abilità media. Ad esempio, mentre sarebbe facile collegare un keylogger hardware a una tastiera collegata a un computer desktop di grandi dimensioni, farlo su un telefono senza essere scoperto dall'utente è considerevolmente più difficile (ad esempio, variazione di peso, vincoli di spazio, usura anomala e rottura) . Per questo motivo, gli attaccanti possono cercare altri vettori di attacco.
-
Per un sistema in esecuzione, è difficile per ripristinare lo stato del sistema dopo averlo modificato fisicamente. Ad esempio, la manipolazione della RAM del sistema può portare a un arresto. Se gli amministratori sono a conoscenza di un comportamento anomalo del mattino successivo, possono eseguire controlli hardware prima che qualsiasi keylogger hardware registri le proprie password di amministrazione. Per un telefono, la schermata di blocco potrebbe cambiare dopo il riavvio (ad esempio sblocco delle impronte digitali disabilitato, notifiche non lette scomparse).
-
Per un sistema in esecuzione sarebbe più facile eseguire il codice su di esso, ad esempio, inserendo dispositivi rimovibili o sfruttando le vulnerabilità nella schermata di blocco. Per un sistema con una sicurezza superiore alla media, gli autori di attacchi potrebbero non essere in grado di eseguire facilmente il codice (ad esempio server bloccati, controllo della firma del kernel durante l'avvio, ecc.)
Apprezzerei se noti altri punti / attenuazioni.