Bezpieczenstwo danych w android, MIUI, wzór, pin, haslo.

[lg4xhd]

Wersja MIUI i posiadany smartfon:

5.5.29 i starsze

Opis znalezionego błędu / problemu:

Przy ustawionej blokadzie telefonu Pin lub hasło, po zablokowaniu telefonu nadal jest dostęp do prywatnych danych!

Po połączeniu z komputerem poprzez USB tak zablokowanego telefonu, można sobie bez problemu przeglądać SMSy, notatki, pliki itp. za pomocą programu MI PC suite.

Gdy natomiast podłączymy odblokowany telefon do komputera i przeglądamy jego pamięć poprzez protokół MTP w windows. To po zablokowaniu partycja i dane nadal są "widoczne" w windows.

Moim zdaniem jest to bardzo poważny błąd.

Nasze dane są praktycznie w ogóle nie zabezpieczone w przypadku np. Zagubienia czy kradzieży telefonu.

Logcat

jeśli napotkałeś FC, koniecznie wstaw logcat!

Dodatkowe informacje

Edytowane 2 Czerwca 2015 przez lg4xhd

[fredek]

Wersja MIUI i posiadany smartfon:

5.5.29 i starsze

Opis znalezionego błędu / problemu:

Przy ustawionej blokadzie telefonu Pin lub hasło, po zablokowaniu telefonu nadal jest dostęp do prywatnych danych!

Po połączeniu z komputerem poprzez USB tak zablokowanego telefonu, można sobie bez problemu przeglądać SMSy, notatki, pliki itp. za pomocą programu MI PC suite.

...

 

Sprawdziłem właśnie - Mi3 soft 5.5.29.

 

 

Ani MiPhone ani MTP nie ma do niczego dostępu przed odblokowaniem telefonu

[lg4xhd]

To odblokuj telefon i zobacz, bo zapewne też nie działa Ci udostępnianie internetu z PC przez kabel i najprawdopodobniej nie działa Ci obecnie w ogóle połączenie z programem MiPc suite.

Taki dostep jest wtedy, gdy aktywna jest opcja "udostepnij internet z PC".

Możesz to sprawdzić, czy masz tą opcję?

Edytowane 2 Czerwca 2015 przez lg4xhd

[fredek]

Masz na myśli opcję Wipe Cache w MI-Recovery czy coś innego ?

[lg4xhd]

nie, edytowałem posta, bo źle napisałem.

Pamiętaj, że wipe usuwa wszystkie dane.

Chodziło mi o sprawdzenie czy po odblokowaniu telefonu masz dostęp poprzez pc suite.

Czy wogóle w telefonie masz taką opcję jak udostępnienie internetu z pc.

Zauważyłem, że po aktualizacji romów bez zrobienia wipe opcja ta znika i pcsuite wogóle nie widzi telefonu, nawet odblokowanego.

Gdy ta opcja jest dostępna i działa, można bez problemu nawet na zablokowanym telefonie przeglądać dane za pomocą tego programu.

Edytowane 2 Czerwca 2015 przez lg4xhd

[fredek]

PC suite nie działa po odblokowanu (dostęp przez mtp działa), cache właśnie wyczyściłem w mi-recovery.

[lg4xhd]

PC suite nie działa po odblokowanu (dostęp przez mtp działa), cache właśnie wyczyściłem w mi-recovery.

hehe czyli gdy byś zrobił wipe, czyli wymazał wszystkie dane w telefonie, to byś miał dostępną tą opcje, jednocześnie pcsuite widział by nawet zablokowany telefon.

tylko wipe zrób wtedy, gdy nie masz ważnych danych w telefonie bo on usuwa wszystko, ustawienia, zdjęcia, pliki, chodziło mi o wipe data.

Edytowane 2 Czerwca 2015 przez lg4xhd

[fredek]

No wipe data nie mam zamiaru robić ale ja tu żadnej dziury w bezpieczeństwie telefonu nie widzę :>

Bo niby gdzie miałaby być?

 

Fakt nie działa PC Suite z najnowszą wersją, pewnie trzeba poczekać na aktualizację.

hehe czyli gdy byś zrobił wipe, czyli wymazał wszystkie dane w telefonie, to byś miał dostępną tą opcje, jednocześnie pcsuite widział by nawet zablokowany telefon.

tylko wipe zrób wtedy, gdy nie masz ważnych danych w telefonie bo on usuwa wszystko, ustawienia, zdjęcia, pliki, chodziło mi o wipe data.

 

Ty chyba mylisz pojęcia... jak ktoś ci zajuma telefon to chodzi o to by nie uzyskał dostępu do Twoich danych, jakby uzyskał to byłby błąd i to poważny.

A to że ktoś może wymazać dane to nic nowego, to samo zrobię przez fastboot i Ci żadne super programy zabezpieczające nie pomogą.

 

Podejrzewa, że jakbym miał klucz Acida do podpisywania zipów dla MIUI i trochę pogłówkował to bym uzyskał dostęp do Twoich danych z poziomu recovery flashując odpowiednio spreparowaną paczkę. W twrp zrobię to bez problemu, ciekawe czy mi-recovery jest odporne na takie zabawy

Sprawdziłem na szybko: w mi-recovery stockowym nie działa adb, mtp i inne takie wynalazki także błędu w zabezpieczeniach jak dla mnie nie ma

[lg4xhd]

Gdybys zrobił teraz wipe to byś zobaczył. Ja tez mam 5.5.29 ale po wygraniu zrobiłem wipe.

U mnie pc suite właśnie działa, tak jak opisuję wyżej.

Edytowane 2 Czerwca 2015 przez lg4xhd

[lg4xhd]

 

Ty chyba mylisz pojęcia... jak ktoś ci zajuma telefon to chodzi o to by nie uzyskał dostępu do Twoich danych, jakby uzyskał to byłby błąd i to poważny.

A to że ktoś może wymazać dane to nic nowego, to samo zrobię przez fastboot i Ci żadne super programy zabezpieczające nie pomogą.

 

 

powiem tak, gdy mam dostępną opcję "internet z PC"(taki przełącznik) i mam ją załączoną, to nawet na zablokowanym telefonie PCsuite pozwala przeglądać zawartość.

Mogę napisać, jak doprowadzić do ujawnienia tego błędu (musisz mieć zainstalowane MI PC suite).

Powiedzmy, że znalazłeś swój ulubiony rom, chcesz go sobie zainstalować "na czysto" i nie masz zamiaru telefonu już aktualizować w najbliższym czasie.

Wgrywasz sobie od nowa ten jeden jedyny ulubiony rom i po wgraniu robisz mu full wipe. Po czym normalnie korzystasz z telefonu.

 

Może dokładniej w punktach:

1. Wgrywasz swój ulubiony rom i robisz całkowity reset telefonu do ustawień fabrycznych.

2. Po tym zabiegu, masz już dostępną i działającą opcję "udostępniania połączenia z PC" przy każdym połączeniu z komputerem i MIPCsuite (ikonka wtyczki na pasku zadań android).

3. Użytkujesz sobie normalnie telefon, sms-ujesz, dzwonisz  itp. Krótko mówiąc: gromadzisz na nim dane. (ale nie uaktualniasz softu bo to Twój ulubiony).

4. Ustawiasz blokade PIN lub hasło i blokujesz telefon.

5. Podpinasz telefon do komputera.

6. Odpalasz lub samo odpala sie MIPCSuite i co widzisz?

Wszystkie swoje SMSy, notatki, pliki itp. w komputerze w tym programie. Telefon leży sobie obok, niby zablokowany.

Nie wiem dlaczego po jakiejkolwiek przeprowadzonej aktualizacji MIUI (czy z updatera, czy z recovery), opcja "udostępnij Internet z PC" w ogóle przestaje działać.

Oprócz tego, w ogóle całkowicie przestaje działać też połączenie z programem PC Suite - nawet odblokowanego telefonu, niezabezpieczonego.

Tak jakby jakaś usługa się wyłączała po instalacji softu i dopiero WIPE ją przywracało do działania.

Być może jest jakiś inny sposób na przywrócenie tej funkcji bez robienia wipe (może wyczyszczenie danych jakiejś aplikacji) - tego nie sprawdzałem jeszcze.

Mam nadzieje, że mnie zrozumiałeś ?

Jak ktoś ma czas i chęci niech sobie sprawdzi powyższe. Moim zdaniem, jest to dość poważny błąd.

Najszybciej sprawdzą to osoby u których opcja "udostępnianie internetu z PC" działa prawidłowo. Bo nie muszą wtedy resetować telefonu, zaczynają od punktu (4).

Edytowane 3 Czerwca 2015 przez lg4xhd

[fredek]

Rozumiem Twój punk widzenia tylko nadal to nie jest błąd z zakresu bezpieczeństwa.

 

Tak samo jak to, że jak włączysz debugowanie na porcie USB uzyskam dostęp do danych na zablokowanym telefonie jeżeli kiedykolwiek autoryzowałem to połączenie.

 

Tak samo jak błędem z zakresu bezpieczeństwa nie jest to, że jak masz TWRP to mam w recovery dostęp przez  MTP i ADB do wszystkich danych.

 

Podobnie z uruchomionym serwerem ftp.

 

Zresztą niech się ktoś mądrzejszy wypowie ja napisałem tylko jak ja to widzę

[lg4xhd]

No ej, nie żartuj. Gubisz zablokowany telefon i byle połączenie z usb pozwala na gmeranie w jego pamięci za pomocą oficjalnego softu od MI.

To tak jak byś zamknął samochód i każdy, kto ma jakiegoś innego pilota od auta, mógł otworzyc Twój;)

Podejrzewam, że gdyby nie ten błąd ze znikająca funkcją "internet z pc" po instalacji romu, juz nie jedna osoba by to zauwazyla.

Podejrzewam, ze większości osobom tutaj nie działa w ogóle połączenie z programem Mi suite.

Jeśli jednak jest tu ktoś, komu działa, to niech ustawi blokade na PIN i sprawdzi, ew. potwierdzi lub zaprzeczy.

Edytowane 3 Czerwca 2015 przez lg4xhd