बस पैटर्न लॉक कितना सुरक्षित है?


53

मैंने हाल ही में एक फोन चोरी किया था। इसे बदल दिया गया है, मैंने अपने पासवर्ड बदल दिए हैं, फोन कंपनी ने चोरी के लिए कनेक्टिविटी बंद कर दी है ... मुझे लगता है कि मैं जितना हो सकता हूं उतना सुरक्षित हूं।

हालाँकि, यह मुझे हैरान कर गया। पैटर्न लॉक कितना सुरक्षित है? मेरे फोन में एक पैटर्न लॉक था, इसलिए मेरा मतलब है कि आकस्मिक उपयोगकर्ता इसे नहीं उठा सकता है और कुछ भी कर सकता है।

लेकिन अगर किसी के पास दुनिया में हर समय और कुछ तकनीकी जानकारी होती है, तो क्या वे इसे दरकिनार कर सकते हैं?

या क्या फोन केवल उपयोग करने योग्य है यदि व्यक्ति इसे मिटा देता है और खत्म हो जाता है?

नोट 1: मुझे पता है कि एसडी कार्ड पर डेटा एक अलग मुद्दा है, मैं सिर्फ फोन के बारे में सोच रहा हूं और यह आंतरिक रूप से संग्रहीत डेटा है।

नोट 2: मैंने किसी के Google खाते के माध्यम से पासवर्ड की वसूली के बारे में अन्य प्रश्न देखे हैं, लेकिन जिस व्यक्ति ने मेरा फोन लिया है (संभवतः) मेरे पैटर्न को उस तरह से रीसेट करने की क्षमता नहीं है, इसलिए मेरा मानना ​​है कि यह प्रश्न एक है अलग मुद्दा।


4
जैसा कि पहले कहा गया है, जब आपका हार्डवेयर गलत हाथों में पड़ता है, तो सभी दांव बंद हो जाते हैं - लगभग पर्याप्त रूप से कुशल और प्रेरित हैकर के खिलाफ कोई सुरक्षा नहीं है।
मार्टिन तपकोव

1
यह सूचीबद्ध किए बिना कि आपके फ़ोन की सामग्री कितनी मूल्यवान है, ऐसे प्रश्न का उत्तर देना असंभव है। जब आप पूछते हैं "कितना सुरक्षित है?", क्या आपका मतलब है: अपने बच्चे के लिए "कितना सुरक्षित है", अपने पड़ोसी के लिए, एक पेशेवर प्रोग्रामर के लिए, एक एंड्रॉइड गुरु के लिए या एक खुफिया एजेंसी के लिए? सामान्य प्रश्न सामान्य उत्तरों को कहते हैं।
मार्टिन तपनकोव

3
@MartinTapankov: सही है। इस प्रकार: आम तौर पर बोलना, संभावना के पूर्ण चरम से डरना अवास्तविक और अस्वाभाविक है। क्या मुझे वास्तव में यह निर्दिष्ट करना होगा कि मैं सीधा जवाब पाने के लिए अंतर्राष्ट्रीय जासूस नहीं हूं?
प्रश्नकर्ता

1
आमतौर पर, जब तक व्यक्ति आपके डेटा पर प्राप्त करने के विशिष्ट इरादों के साथ आपके फोन को नहीं चुराता है, तब तक वे शायद इसकी परवाह नहीं करते हैं। भले ही उन्हें पता था कि इसे कैसे दरकिनार किया जाए। आमतौर पर वे हार्डवेयर में अधिक रुचि रखते हैं। बेशक, अगर वे इसे दरकिनार करते हैं और एक नज़र डालते हैं और वास्तव में कुछ लुभाते हैं, तो आप मुश्किल में पड़ सकते हैं।
जिम मैककेथ

जवाबों:


24

आपको टच स्क्रीन फोन को क्रैक करने के लिए बहुत अधिक तकनीकी जानकारी की आवश्यकता नहीं है। टच स्क्रीन लॉक मैकेनिज्म (और विशेष रूप से पैटर्न लॉक) की सुरक्षा के बारे में हाल ही में एक श्वेत पत्र लिखा गया था और अनलॉक कोड प्राप्त करने के लिए स्क्रीन पर विशुद्ध रूप से चिकनाई का उपयोग करके इन उपकरणों को तोड़ दिया गया था।

8 निष्कर्ष
इस पत्र में हमने टच स्क्रीन उपकरणों पर अवशिष्ट तेलों का उपयोग करके धब्बा हमलों की खोज की। हमने एंड्रॉइड स्मार्टफोन के पासवर्ड पैटर्न पर इसके प्रभाव पर ध्यान केंद्रित करते हुए, इस तरह की स्मूदीज़ को कैप्चर करने की व्यवहार्यता की जांच की। विभिन्न प्रकार की प्रकाश व्यवस्था और कैमरा पोजिशन के तहत ली गई तस्वीरों का उपयोग करते हुए, हमने दिखाया कि कई स्थितियों में पूर्ण या आंशिक पैटर्न रिकवरी संभव है, यहां तक ​​कि संयोगवश अनुप्रयोग के उपयोग से "शोर" या आकस्मिक कपड़ों के संपर्क से उत्पन्न विकृति के कारण भी। हमने यह भी रेखांकित किया है कि एक हमलावर किसी उपयोगकर्ता के पैटर्न का अनुमान लगाने की संभावना को बेहतर बनाने के लिए एक धब्बा हमले से प्राप्त जानकारी का उपयोग कैसे कर सकता है। ...

स्मार्टफ़ोन टच स्क्रीन (पीडीएफ) पर धब्बा हमलों

बाकी पेपर अच्छी तरह से पढ़ने लायक है।


Thats जो मैंने ऊपर उल्लेख किया है, लेकिन मुझे इस समय कागज नहीं मिल रहा है।
Leandros

1
@DaveMG मुझे लगता है कि "लाइटिंग और कैमरा पोजिशन की विविधता" वास्तव में सिर्फ इतनी थी कि वे एक दोहराने योग्य तरीके से अनुकरण कर सकते थे कि आप फोन को सूरज तक कैसे पकड़ेंगे और सभी कोणों के स्पष्ट होने तक इसका कोण बदल देंगे। उन्होंने कहा कि उन्होंने कुछ मामलों में कुछ चीजों को देखने के लिए आसान बनाने के लिए फ़ोटो पर थोड़े विपरीत बदलाव और रंग में सुधार किया (चित्रा ए 6 एक अच्छा उदाहरण है)। व्यक्तिगत रूप से मुझे लगता है कि असम्भव होने के बावजूद, इस तरह की बात एडीबी डीबग टूल का उपयोग करके फोन की आंतरिक मेमोरी का निरीक्षण करने के लिए एक आकस्मिक चोर की तुलना में कहीं अधिक संभावना है।
गठरन

1
@DaveMG के पास IR का उपयोग कर एक एटीम से पिन प्राप्त करने के बारे में काम के इस टुकड़े पर एक नज़र है: नग्नsecurity.sophos.com/2011/08/17/…
मूंगफली

@Gathrawn आपके द्वारा पोस्ट किए गए पेपर से संबंधित है यदि आप इसे पढ़ते हैं तो वे वास्तव में उस यथार्थवादी हमले के परिदृश्य का उपयोग नहीं करते हैं "हम टेलीफोन एप्लिकेशन पर हमारे उपयोग सिमुलेशन आधारित हैं;" यदि आप उस चित्र को देखते हैं जो उन्होंने प्रारंभ और नीचे की ओर स्वाइप करने के मामले में वास्तव में इसका उपयोग नहीं किया था और अपने लिए कम से कम टेलीफ़ोन ऐप वास्तव में कम से कम उपयोग किया गया है।
मूंगफली

18

यह कुछ मामलों * के आधार पर असुरक्षित है

यहाँ एक शोषण का एक नमूना है जो एक हैकर या एक उपर्युक्त औसत उपयोगकर्ता (adb टूल और एक पीसी से जुड़े फोन के साथ) कर सकता है: -

पैटर्न लॉक को क्रैक करने के लिए कोड शोषण २

****** मई केवल रूट किए गए उपकरणों पर लागू होता है। (हालांकि सभी एडीबी कमांड को रूट की आवश्यकता नहीं होती है) "यूएसबी डिबगिंग" को भी एडीबी टूल * का उपयोग करने से पहले सेट किया जाना चाहिए। लेकिन जैसा कि एल्डररैथिस ने कहा, कुछ उपकरणों को एडीबी के माध्यम से भी रूट किया जा सकता है। वास्तव में, एक कुशल हैकर को आंतरिक डेटा तक पहुंच प्राप्त करने के लिए खामियां भी मिल सकती हैं। (शायद यहां तक ​​कि यूएसबी डिबगिंग विकल्प के बिना एडीबी का उपयोग करने का एक तरीका खोजें)

एंड्रॉइड पैटर्न लॉक में कई ग्लिच हैं जो इसे अपेक्षाकृत असुरक्षित बनाते हैं। यहाँ एक उदाहरण है ..

हालांकि ऊपर उल्लिखित कारनामे और आगामी संस्करणों में Google द्वारा कुछ निश्चित टांके लगाए जा सकते हैं, एक पैटर्न लॉक एक पैटर्न लॉक रहता है। यानी, इसे एंड्रॉइड के यूजर इंटरफेस का उपयोग करने के लिए एक ठोस गेटवे माना जा सकता है। एक पैटर्न लॉक एक फोन की सामग्री को एन्क्रिप्ट नहीं करता है। यह एक हैकर को adb शेल का उपयोग करने के आसपास खेलने से नहीं रोकेगा। वह अदब टूल का उपयोग करके फोन आदि की आंतरिक मेमोरी को देख सकता है जो एंड्रॉइड एसडीके में स्वतंत्र रूप से प्रदान किया गया है

इसके अलावा, आंतरिक मेमोरी बहुत समझौता है क्योंकि इसे माउंट करने या इसे पढ़ने के अन्य तरीके हो सकते हैं।

सभी के लिए मैं कह सकता हूं कि यह बेहतर होगा यदि आप "यूएसबी डिबगिंग" को अक्षम करते हैं जब तक कि आपको इसकी आवश्यकता नहीं होती है, एक अतिरिक्त सुरक्षा उपाय के रूप में।


2
मुझे समझ नहीं आ रहा है कि हैकर इसका इनपुट कहां करेगा। क्या उन्हें USB द्वारा पहुँच प्राप्त करने की आवश्यकता नहीं होगी, और ऐसा करने के लिए, क्या उन्हें उपकरण से पहुँच प्रदान करने की आवश्यकता नहीं होगी? या यह किसी तरह की रिकवरी बूट या कुछ और द्वारा निष्पादित किया गया है?
प्रश्नकर्ता

1
यह काम तभी करता है, जब फोन रूट हो। (बस कहना चाहते हैं)
लिएंड्रो

1
@ क्या: यह भी काम नहीं करेगा यदि यूएसबी डिबगिंग अक्षम है, क्योंकि लॉक आपको इसे चालू करने के लिए सेटिंग तक पहुंचने से रोक देगा। एक निहित और डिबगिंग-सक्षम फोन को देखते हुए, यह काम करता है (और आपके मामले में ऐसा लगता है कि यह लागू नहीं होता है)।
eldarerathis

3
@DaveMG: सैद्धांतिक रूप से, एक हमलावर आपके डिवाइस को रूट करने का प्रयास कर सकता है adbयदि डिबगिंग चालू किया गया था, तो। वे सफल हुए या नहीं यह विशिष्ट डिवाइस और एंड्रॉइड वर्जन पर निर्भर करेगा, मुझे लगता है, क्योंकि कुछ में आसानी से शोषक कमजोरियां (जैसे जिंजरबैंक ) और अन्य नहीं हैं।
एल्डारैथिस

1
यह विधि काम नहीं करती है! पंक्ति lock_pattern_autolockमौजूद नहीं है। बस मेरे 2 सेंट
Leandros

8

कम से कम अधिकांश फोन पर आप फास्टबूट / रिकवरी पाने के लिए वॉल्यूम कुंजी / कुंजी दबा सकते हैं। वहां से आप आसानी से अदब कनेक्शन प्राप्त कर सकते हैं, भले ही आपके पास यूएसबी डिबगिंग न हो, और सीधे आंतरिक मेमोरी तक पहुंच हो। वहां से फोन को रूट करना और आंतरिक फ़ाइलों को संपादित करना और लॉक को अक्षम करना संभव है, जैसे पावर-इनसाइड का सुझाव दिया गया है। यह सब कई मिनटों में किया जा सकता है!


बूट करते समय वॉल्यूम कुंजी / कुंजियों को दबाए रखकर, आप फास्टबूट / रिकवरी प्राप्त कर सकते हैं, जैसे मैंने कहा। मेरा मानना ​​है कि यह आपको तुरंत अदब एक्सेस प्रदान करता है। आप वहां से रूट (कम से कम अधिकांश फोन) कर सकते हैं
varesa 13

फ़ोन थोड़ा अलग तरीके से करते हैं। गैलेक्सी 2 पर आपको लगता है कि वॉल्यूम और घर को रोक कर रखा गया है।
वार्सा

1

पैटर्न बहुत सुरक्षित नहीं है, क्योंकि आप बस रिकवरी में डेटा मिटा सकते हैं। और आप फोन में हैं। इसके अलावा पैटर्न अक्सर स्क्रीन में देखा जा सकता है, क्योंकि आप हर बार स्वाइप करते हैं जब आप अपने फोन को इस पैटर्न को अनलॉक करते हैं।


2
वसूली और प्रारूप हमेशा सुलभ afaik हैं, लेकिन पोस्टर उसकी आंतरिक डेटा सुलभ होने के बारे में अधिक चिंतित है"..I'm just wondering about the phone and it's internally stored data."
इरफान
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.