패턴 잠금은 얼마나 안전합니까?

53

최근에 전화를 도난당했습니다. 전화 번호가 바뀌었고 비밀번호를 변경했으며 전화 회사가 도난 당 한 사람의 연결을 종료했습니다 ... 가능한 한 안전하다고 생각합니다.

그러나, 나는 궁금해했다. 패턴 잠금은 얼마나 안전합니까? 내 휴대 전화에는 패턴 잠금 장치가 있으므로 일반 사용자가 전화를 받아서 아무것도 할 수 없다고 가정합니다.

그러나 세상에서 항상 기술적 인 노하우를 가지고 있다면 그것을 우회 할 수 있을까요?

아니면 사람이 닦고 다시 시작하는 경우에만 전화를 사용할 수 있습니까?

참고 1 : SD 카드의 데이터는 별도의 문제라는 것을 알고 있습니다. 전화와 내부 저장 데이터에 대해 궁금합니다.

참고 2 : Google 계정을 통한 비밀번호 복구에 대한 다른 질문을 보았지만 전화를받은 사람은 (아마도) 내 방식으로 패턴을 재설정 할 수 없으므로이 질문은 별도의 문제.

security

— 질문자
소스

4

이전에 말했듯이 하드웨어가 잘못된 손에 들어가면 모든 베팅이 해제됩니다. 실력 적으로 숙련되고 동기 부여 된 해커에 대한 보호는 사실상 없습니다.

— Martin Tapankov

1

휴대 전화의 내용이 얼마나 귀중한지를 정확히 나열하지 않으면 그러한 질문에 대답 할 수 없습니다. "얼마나 안전한가?"라고 물을 때, 아이, 이웃, 전문 프로그래머, 안드로이드 전문가 또는 정보 기관에 대한 "보안 수준"은 무엇입니까? 일반적인 질문은 일반적인 답변을 요구합니다.

— Martin Tapankov

3

@MartinTapankov : 그렇습니다. 따라서, 일반적으로 말하자면, 극단적 인 가능성을 두려워하는 것은 비현실적이고 불필요합니다. 나는 정답을 얻기 위해 국제 스파이가 아니라고 구체적으로 명시해야합니까?

— Questioner

1

일반적으로 사람이 데이터를 가져 오려는 특정 의도로 휴대 전화를 훔치지 않았다면 아마 신경 쓰지 않을 것입니다. 그들이 그것을 우회하는 방법을 알고 있었더라도. 일반적으로 하드웨어에 더 관심이 있습니다. 물론 그들이 그것을 피하고 실제로 유혹적인 것을 발견하면 문제가 생길 수 있습니다.

— Jim McKeeth

24

대부분의 터치 스크린 폰을 크랙하는 방법에 대해 많은 기술 지식이 필요하지 않습니다. 터치 스크린 잠금 메커니즘 (특히 패턴 잠금)의 보안과 잠금 해제 코드를 얻기 위해 순전히 화면의 기름기 많은 얼룩을 사용하여 이러한 장치를 침입하는 백서가있었습니다.

결론
이 논문에서 우리는 터치 스크린 장치에 잔류 오일을 사용한 얼룩 공격에 대해 살펴 보았다. 우리는 Android 스마트 폰의 암호 패턴에 미치는 영향에 중점을 두어 그러한 얼룩을 포착하는 타당성을 조사했습니다. 다양한 조명 및 카메라 위치에서 촬영 한 사진을 사용하여 여러 상황에서 시뮬레이션 된 응용 프로그램 사용으로 인한 얼룩 "잡음"또는 우발적 인 의류 접촉으로 인한 왜곡으로도 전체 또는 부분 패턴 복구가 가능함을 보여주었습니다. 또한 공격자가 얼룩 공격으로부터 얻은 정보를 사용하여 사용자 패턴을 추측 할 가능성을 개선하는 방법에 대해서도 간략하게 설명했습니다. ...

스마트 폰 터치 스크린의 얼룩 공격 (PDF)

나머지 논문도 읽을 가치가 있습니다.

— 가트 라운
소스

그것이 위에서 언급했지만 현재로서는 논문을 찾을 수 없습니다.

— Leandros

1

@DaveMG "다양한 조명과 카메라 위치"는 실제로 휴대 전화를 태양에 쬐고 모든 얼룩이 없어 질 때까지 각도를 변경할 수있는 방식으로 반복 가능한 방식으로 시뮬레이션 할 수 있다고 생각합니다. 또한 일부 사진에서 약간의 대비 변화와 색상 향상을 통해 일부 경우에 더 쉽게 볼 수 있도록했습니다 (그림 A6이 좋은 예입니다). 개인적으로, 나는 이런 종류의 일이 ADB 디버그 도구를 사용하여 휴대 전화의 내부 메모리를 검사하는 일반적인 도둑보다 훨씬 가능성이 있다고 생각합니다.

— GAThrawn

1

@DaveMG IR을 사용하여 ATm에서 PIN을 가져 오는 방법에 대한이 작업을 살펴보십시오. nakedsecurity.sophos.com/2011/08/17/…

— Peanut

@GAThrawn 귀하가 게시 한 논문과 관련하여 게시 한 논문과 관련하여 실제로 현실적인 공격 시나리오를 사용하지는 않습니다. "우리는 전화 응용 프로그램에 대한 사용 시뮬레이션을 기반으로합니다." 사진을 보면 처음에는 위아래로 스 와이프하는 측면에서 많이 사용하지 않았으며 적어도 전화 앱은 실제로 가장 많이 사용되지 않습니다.

— 땅콩

18

몇 가지 경우에 따라 안전하지 않습니다 * .

다음 은 해커 또는 평균 이상의 사용자가 수행 할 수 있는 익스플로잇 샘플입니다 (adb 도구 및 전화기가 PC에 연결된 경우).

패턴 잠금을 해독하는 코드 익스플로잇 2

^{****** 루팅 된 기기에만 적용 할 수 있습니다. (모든 adb 명령에 루트가 필요한 것은 아닙니다) adb 도구 *를 사용하기 전에 "USB 디버깅"도 설정해야합니다. 그러나 eldarera가 말했듯이 일부 장치는 ADB를 통해 루팅 될 수도 있습니다. 실제로, 숙련 된 해커는 내부 데이터에 액세스하기위한 허점을 찾을 수도 있습니다. (아마도 usb 디버깅 옵션없이 adb를 활용할 수있는 방법을 찾으십시오)}

Android 패턴 잠금 장치에는 많은 결함이있어 상대적으로 안전하지 않습니다. 다음은 예입니다 ..

위에 언급 된 악용과 특정 결함은 향후 버전에서 Google에 의해 수정 될 수 있지만 패턴 잠금은 패턴 잠금으로 유지됩니다. 즉, 안드로이드의 사용자 인터페이스를 사용하는 단순한 게이트웨이로 간주 될 수 있습니다. 패턴 잠금은 전화기의 내용을 암호화하지 않습니다. 해커가 adb 셸을 사용하는 것을 막지 않습니다. 그는 Android SDK에 자유롭게 제공되는 adb 도구를 사용하여 전화 등의 내부 메모리를 볼 수 있습니다.

또한, 내장 메모리를 마운트하거나 읽을 수있는 다른 방법이있을 수 있으므로 내부 메모리가 거의 손상되었습니다.

내가 지금 말할 수있는 것은 추가 보안 수단으로 필요하지 않으면 "usb 디버깅"을 비활성화하면 더 좋을 것입니다.

— 어판
소스

2

해커가 어디서 입력했는지 이해할 수 없습니다. USB로 액세스 할 필요가없고 그렇게하기 위해 디바이스에서 액세스 권한을 부여 할 필요가 없습니까? 아니면 일종의 복구 부팅이나 다른 방법으로 실행됩니까?

— Questioner

1

전화가 루팅 된 경우에만 작동합니다. (단지 말하고 싶습니다)

— Leandros

1

@Dave : USB 디버깅이 비활성화 된 경우에도 작동하지 않습니다. 잠금으로 인해 설정을 액세스하지 못하게되어 설정하지 못합니다. 그러나 루팅되고 디버깅이 가능한 전화가 있으면 작동하지만 작동하지 않는 것처럼 들립니다.

— eldarerathis

3

@DaveMG : 이론적으로 공격자는 adb디버깅이 설정된 경우 를 통해 장치를 루팅하려고 시도 할 수 있습니다. 그들은 특정 장치와 안드로이드 버전에 따라 달라 성공 여부 일부 (처럼 쉽게 악용 취약점이 있기 때문에, 나는 가정 Gingerbreak ) 다른 사람들이하지 않습니다.

— eldarerathis

1

이 방법 은 작동 하지 않습니다 ! 행 lock_pattern_autolock이 존재하지 않습니다. 그냥 내 2 센트

— Leandros

8

최소한 대부분의 전화기에서는 볼륨 키 / 키를 누르고 있으면 빠른 부팅 / 복구가 가능합니다. 거기에서 USB 디버깅을 사용하지 않고 내부 메모리에 직접 액세스하더라도 쉽게 adb 연결을 얻을 수 있습니다. 거기에서 Power-Inside가 제안한 것처럼 전화기를 루팅하여 내부 파일을 편집하고 잠금을 비활성화 할 수도 있습니다. 이 모든 작업은 몇 분 안에 완료 할 수 있습니다!

— 바레 사
소스

부팅하는 동안 볼륨 키 / 키를 누르면 내가 말한 것처럼 빠른 부팅 / 복구 할 수 있습니다. 나는 이것이 당신에게 즉각적인 adb 액세스를 제공한다고 생각합니다. 당신은 거기에서 뿌리를 내릴 수도 있습니다 (적어도 대부분의 전화)

— varesa

전화는 약간 다르게합니다. 갤럭시 2에서는 볼륨을 낮추고 집에 있어야하는 것 같습니다.

— varesa

1

복구시 단순히 데이터 지우기를 수행 할 수 있으므로 패턴이 안전하지 않습니다. 그리고 당신은 전화 중입니다. 또한 휴대 전화에서이 패턴을 잠금 해제 할 때마다 스 와이프하므로 패턴이 화면에 자주 표시 될 수 있습니다.

— 리 안드로스
소스

2

복구 및 형식은 항상 액세스 가능하지만 포스터는 내부 데이터에 액세스 할 수있는 것에 더 관심이 있습니다."..I'm just wondering about the phone and it's internally stored data."

— Irfan