Androidのパスワード画面ロックは十分なデータ盗難対策ですか？

Question

SDカードデータを除いて、Androidの組み込みのパスワード/ピン/パターン画面ロックは、盗難時に携帯電話の内部ストレージに保存されているデータを保護するのに十分ですか？または、泥棒がUSB経由でPCに電話を接続してこれを回避するか、デバイスを開いて内蔵ディスクを取り出し、ハッキングによって内部を確認できるようにすることはできますか？

追加の質問として：リモートスワイプアプリが適用されない場合、Androidのデータを保護するために他にどのようなオプションがありますか？

D.W. · Accepted Answer

いいえ。パターン/ PIN画面ロックは、高度な攻撃者からデータを保護するには不十分です。ただし、データが非常に高価値でない場合は、実際にはほとんどのユーザーにとって十分な可能性があります。

内部ストレージの暗号化を有効にするかどうかによって、2つのケースがあります。

暗号化を有効にしない場合。この場合、データはクリアテキストで携帯電話の内部ストレージに保存されます。原則として、十分に高度な攻撃者は、あなたの電話にアクセスできる場合、おそらく電話を分解し、フラッシュチップを引き出し、データを読み取ることができます。ただし、これには、通常の泥棒が持つ可能性が高いよりも高度な知識が必要です。 USBケーブルを接続するだけでは簡単ではありません。

したがって、主に園芸品種の泥棒に関心がある場合は、ロックパターンまたはPINで十分です。ロックパターンまたはPINが長く、指が油っぽくて電話に汚れが残るため、いくつかの注意が必要です。これらは後で表示されます。泥棒は、あなたのロックパターンまたはPINこれらの汚れから把握できます。。たとえば、次の研究論文を参照してください。

アダムJ.アビブ、キャサリンギブソン、エヴァンモソップ、マットブレイズ、ジョナサンM.スミススマッジタッチスクリーンへの攻撃、WOOT 2010。

このホワイトペーパーの結果を他の場所でまとめましたですが、短いバージョンでは、汚れはセキュリティに対する深刻な脅威であり、安全であることを確認するのは困難です。

暗号化を有効にする場合。暗号化を有効にする場合、内部ストレージ上のすべてのデータは、ロックパターンまたはPINから派生した暗号化キーを使用して暗号化されます。原則として、これは強力なセキュリティを提供すると想像できますが、実際には、いくつかの重大な欠点があります。

低いエントロピー。パターンに十分なエントロピーがないか、PIN強力な暗号化キーを提供するには不十分です。他のユーザーが計算しました =最大約400,000の可能性があることAndroidドットパターン。これは19ビットのエントロピーであり、暗号化キーには十分ではありません。（これはおそらく過大評価です。すべてのパターンは等しく可能性が高く、短いパターンはおそらくはるかに可能性が高くなります。これにより、実際の状況はこれらの数値が示すよりもさらに悪化します。PINの長さに応じて、可能なPINの数は同等またはそれ以下になります。

巧妙な攻撃者があなたの電話に物理的なアクセスを取得した場合、彼はおそらくそれを分解し、フラッシュチップを抽出し、暗号化されたデータを読み取ることができます。次に、40万通りの可能なロックパターンをすべて試し、それぞれから解読キーの候補を導き出し、どれが機能するかを確認する単純な総当たり検索を実装できる場合があります。 19ビットの暗号化キーは、この種のブルートフォース検索を防ぐのに十分なセキュリティではありません。したがって、攻撃者が電話を分解してフラッシュチップを読み取るのに十分な高度な知識を持っている場合、攻撃者がデータにアクセスできる可能性があると想定するのが賢明だと思います。
スマッジの問題。このシナリオでは、スマッジ攻撃も同様に悪いです。泥棒があなたのロック解除パターンまたはPIN=をあなたの電話の汚れを使用して回復できる場合、泥棒があなたのすべてのデータにアクセスできることは明らかです。汚れの攻撃の議論については上記を参照してください。ショートバージョン安全であると確信するのは難しいです。

ボトムライン。電話をつかんで走る泥棒から身を守りたいだけなら、ロック解除パターンまたはPINで十分かもしれません。現実的には、このような泥棒はおそらく自分の電話を無料で欲しがっているだけです。おそらくデータをあまり気にしないか、それを手に入れるために多くの労力を費やさないでしょう。したがって、彼らがあなたのデータにアクセスするための簡単な方法がない限り、私は平均的な泥棒が気にしないと思います;彼らはあなたの電話を工場出荷時のデフォルトにリセットし、それからそれを使い始めるでしょう。

一方、あなたがあなたの電話のデータに興味を持っている誰かによって標的にされるかもしれないと考える理由があるなら、これらの方法のどれも強力な保護を提供するのに十分ではないと思います。暗号化をオンにすると少しは役立ちますが、おそらく強力な保護は提供されません。

スマッジアタックから身を守りたい場合は、スマートフォンの画面をふき取る習慣を身に付けることができます（これは完璧とは言えませんが、スマッジアタックを難しくしたり、成功する頻度が低くなる可能性があります）。

詳細については、 iPhoneの「ドットを接続する」パスワードは安全ですか？を参照してください。

USBデバッグ。他の人が述べたUSBデバッグはどうですか？確かに、携帯電話でUSBデバッグを有効にすると、これを知っている泥棒はUSBケーブルを接続してデータをダンプすることができます。しかし、USBデバッグを有効にするエンドユーザーはごくわずかしかいない（そして、一般のストリートシーフの何分の1がこれについて知っているか、それを試してみるのか？）、これはおそらくほとんどのAndroid =ユーザー。

Cyril N. · Answer

http://preyproject.com/ のようなものをインストールして、泥棒の場合に携帯電話を保護することもできます。

最初は懐疑的でしたが、データ接続（wifi/3g）に接続する必要があるだけではありません。SMSを送信して、携帯電話の場所を知ったり、一部のデータ（アカウントなど）を削除したりといった特定のアクションをトリガーすることもできます。あなたが何を求めているか:)）。

見てください！ :)

Lucas Kauffman · Answer

USBデバッグがオンになっている場合は、adbシェルを起動できます。ロックされていても、電話からファイルをプルできます。電話がルート権限を取得している場合は、アプリケーションデータベースと構成ファイルにアクセスできます（/ dataフォルダーにアクセスできます）。

Cx42netが言ったように、パターンを推測できる場合は、あなたが参加します。それができない場合（設定されている場合）は、それをPCに接続して、Googleアカウントにログインすることです。これで電話のロックが解除されます。

[〜＃〜]編集[〜＃〜]

忘れていたのですが、IMBのコメントを思い出しました。私はこれを自分のアプリケーションに使用しました。すべての個人ファイルをSDカードにコピーするだけのアプリケーションを書くのは非常に簡単です。 USBデバッグがオンになっている場合、IDE（Eclipseなど））からアプリをインストールする場合、権限を受け入れる必要はありません。

jpeg729 · Answer

ダウンロードモードのパワーを忘れないでください。特に、ブートローダーがロックされている少し古いデバイスの場合はそうです。たとえば、Galaxy S2の場合、ダウンロードモードにして、カスタムカーネル+リカバリをフラッシュし、リカバリで再起動して、adb経由でロックコードを削除するのに約5分かかります。

もちろん、もしあなたがあなたの電話を暗号化したならば、それはあまり役に立ちません。とはいえ、より強力なコンピューターで解読するために、暗号化されたロックコードを読み取ることができました。

暗号化されたブートローダーを使用するようにアップグレードされた最新の電話の多くも、暗号化されていないバージョンまたはクラック可能なバージョンを備えています。たとえば、LGのG2には、4.2.2に付属するブートローダーがlokiパッチに対して脆弱です。とはいえ、G2の個々のパーティションをフラッシュする方法はわかりません。 NSAはその問題に取り組んでいると思います。