23. lokakuuta 2017

Opetuksia Android-puhelinten tietoturvasta

Ei saatana, luulin, että puhelimessani oli jotain vikaa, kun se "ei soittanut mitään musiikkia eikä videota". Noh, nyt kun tarkemmin asiaa tutkin, niin ne kaikki musat ja videot olivat puhelimen muistikortilla...joka oli kryptattu viime Androidin asennuksen jälkeen...jonka jälkeen olin asentanut puhelimeen uudemman firmwarepäivityksen...josta seurasi tietenkin factory reset...josta seurasi tietenkin, että salausavaimet sanoivat poks. Ja koska Android 7.xx:ssa on tiedostosalaus (ei tiedostojärjestelmäsalaus), niin nuo tiedostot näyttivät olevan aivan ok päällisinpuolin...sisältä tietenkin kryptattuja. LOL.

Ei muuta kuin muistikortti formatointiin, uudet biisit sisälle ja johan toimii. Ja minä idiootti tappelin pitkään ja ihmettelin, mikä on kun ei musa kuulu! :D

Tulikin tästä mieleen muutama asia Androidin tietoturvasta, jotka on pakko kertoa.
  1. Androidin 7.xx version kryptaus on itse asiassa hitusen paskempi sikäli kuin Android 6.xx kryptaus, koska tuossa uudessahan on mahdollista selvittää tiedostojen nimet, koot, muokkauspäivämäärät jne. vaikka niitä ei auki saakkaan kryptauksen vuoksi! Käytännössä noilla tiedoilla jo tekee vaikka mitä. Android 6.xx kryptaus olisi parempaa, koska siinä koko tiedostojärjestelmä on salattu, eikä mitään tietoja mistään tiedostoista tms. voi urkkia mitenkään esille.

  2. Android 7.xx kryptaus on sikälikin paskempaa, että oletuksena siinä on sama tunnussana/pin-koodi SEKÄ itse salauksen purkuun ETTÄ puhelimen lukituksen aukaisemiseen. Periaatteessa tuolla ei ole merkitystä, jos se on pitkä ja monimutkainen, mutta käytännössä kuka viitsii näpyttää niin helvetin pitkää rimpsua joka kerta, kun päällä olevan puhelimen avaa lukituksesta? Järkevämpää olisi, että puhelimen sisältö olisi salattu pitkällä ja monimutkaisella tunnussanalla X ja sitten puhelimen lukitus aukeisi lyhyemmällä pinkoodilla Y. Jos joku saa puhelimen napattua sen ollessa päällä ja lukittuna, ei sen sisälle kuitenkaan pääse käsiksi ja liian monta pin-koodin näpyttelyä saisi aikaan puhelimen factoryresetin jolloin myös salausavaimet tuhotaan. Tämmöinen vaihtoehto ainakin pitäisi olla, että käyttäjä voisi itse valita, miten salaus jne. toteutetaan, nyt ei ole. No, onneksi tähän ongelmaan on olemassa ratkaisu täällä. :)

  3. Androidin salaus on sinällään tehokasta. Puhelimen sisältö on oletuksena kryptattu vahvalla salauksella ja salausavaimella, joka muodostetaan satunnaisesti ja talletetaan eräänlaiselle turvapiirille. Kun käyttäjä sitten ottaa - jos ottaa - käyttöön "suojatun käynnistyksen", niin tällöin...näin simppelisti sanottuna ja lyhennettynä maallikon tajuttavaksi...käyttäjän salasana/pin-koodi JA puhelimen turvapiiriin tallennettu tieto yhdessä muodostavat salauksen purkuavaimen. Käyttäjän salasanaa/pin-koodia ei tallenneta mihinkään tätä varten, joten ilman sitä puhelimen salausta ei ole mahdollista purkaa. Salaus on kuitenkin aina "vahvempi" kuin pelkkä käyttäjän salasana/pin-koodi, koska se on yhdistelmä turvapiirin tietoa ja salasanaa/pin-koodia.

  4. Ne perkeleen päivitykset on syytä olla asennettuna itse puhelimeen! Tälläkin hetkellä on olemassa mm. tämä haavoittuvuus bluetoothissa, jonka kautta kaikki haavoittuvat bluetooth-laitteet (eli kaikki) voidaan kaapata huomaamatta kokonaan haltuun. Niin ikään on tämä haavoittuvuus wlan-systeemeissä, jonka kautta kaikki haavoittuvat wlan-laitteet (eli kaikki käytännössä) voidaan kaapata huomaamatta kokonaan haltuun. Kummatkaan näistä eivät edellytä uhrilta mitään muuta, kuin että bluetooth tai wlan on puhelimessa (tai muussa laitteessa) päällä. Päivityksiä on ehkä, ehkä ei, saatavilla, mutta jos puhelimesi päivitysversio on puolisen vuottakin vanha, voit olla varma, että sinulla ei sitä päivitystä ole, eikä ehkä tulekaan koskaan. Onneksi aina voi itse tietenkin ladata jostain uusimman firmwaren, rootata tai vain päivittää puhelin siihen. On käsittämätöntä, että mikään laki ei velvoita myyjää pitämään tuotetta päivitettynä...

2 kommenttia:

Anonyymi kirjoitti...

Paljonkohan sinulle maksettiin tästä Android-sissimarkkinointimainoksesta?

Kaikki tietävät, Markus, että olet tietoturva-asioissa yhtä mitätön kuin kaikessa muussakin, joten sinun kirouksesi on lähinnä siunaus Androidille.

Markus Jansson kirjoitti...

Uli-uli-uli.