Ani tovární nastavení na Androidu nevymaže osobní data
25.5.2015, Jan Pánek, aktualita
Pozdvižení způsobila seminární práce dvou studentů, kteří zjistili, že ani po obnovení továrního nastavení se nesmažou osobní data, takže se lze například přihlásit do PlayStoru nebo na Facebook bývalého majitele.
Podle dvou studentů z Cambridgské univerzity, Laurenta Simona a Rosse Andersona, je v ohrožení až půl miliardy zařízení s Androidem, která byla prodána novým majitelům.
Podle nich jsou totiž data, pokud útočník využije specifickou chybu, na androidním telefonu obnovena, úspěšně budou znova synchronizovány kontakty, emaily a podobně. Zpřístupní se aplikace jako Facebook.
A jak si to dva studenti ověřili? Vybrali náhodně 21 použitých přístrojů na Androidu, který byl ve verzi od 2.2 Froyo po 4.3 Jelly Bean. Mezi značkami byli zastoupeni tradiční výrobci jako HTC, Samsung, LG nebo Motorola, také byly prověřeny telefony přímo od Googlu, čímž je myšlena řada Nexus, jež obsahuje čistý Android.
Poté se na všech těchto přístrojích pokusili připojit na účty bývalých uživatelů. Podařilo se jim to v 80 % případů. Podle Andersona není jediná firma, kterou by šlo vinit. Vina je prý na všech stranách, ale prý je řada Nexus lépe zabezpečená než ostatní telefony. Kdyby měl říct, že je vina na něčí straně o trošku větší, prohlásil by, že výrobci mohou ovlivnit, jak moc je telefon zranitelný, ale problém je v celém ekosystému.
To nejsmutnější a zároveň nejvíce pobavující je fakt, že výrobci o tomto problému již dlouho ví. Například na oficiální stránce s dotazy pro HTC One M8 se píše: "Obnovení do továrního nastavení nemusí dlouhodobě vymazat data z vašeho telefonu, což zahrnuje i osobní data."
Situace se sice podle studentů zlepšila s příchodem Androidu 4.4 Kit Kat, který je těžší prolomit, ale ani ten není 100% bezpečný.
Dá se tedy problémům předejít? Kromě zřejmého řešení neprodávat svůj použitý androidní telefon navrhli řešení i Laurent Simon a Ross Anderson. Podle nich je jedinou rozumnou možností zašifrovat telefon před obnovením továrního nastavení.
Prý ale nestačí, když použijete jednoduchý kód pro zaheslování - i 4místný lze prý jednoduše rozšifrovat a případný hacker by neměl velký problém nabourat se do osobních dat. Vhodné by bylo vytvořit až 11místné heslo z různých znaků, ne-li delší. V takovém případě by měl být prodej zařízení bezpečný.
Nezapomínejte, že se nejedná pouze o chytré telefony, ale i o tablety a v budoucnu bude třeba si dávat pozor i na chytré hodinky nebo chytré televize, protože i tam budete připojeni na služby a účty. Vzhledem k tomu, že výrobci o této chybě ví déle, je možné, že existují lidé, kteří podobné telefony ze second-handu skupují a zneužívají. Takže pokud budete prodávat androidní telefon, rozhodně si dávejte pozor a zašifrujte si svůj telefon.
Zdroj: Betanews
Podle nich jsou totiž data, pokud útočník využije specifickou chybu, na androidním telefonu obnovena, úspěšně budou znova synchronizovány kontakty, emaily a podobně. Zpřístupní se aplikace jako Facebook.
A jak si to dva studenti ověřili? Vybrali náhodně 21 použitých přístrojů na Androidu, který byl ve verzi od 2.2 Froyo po 4.3 Jelly Bean. Mezi značkami byli zastoupeni tradiční výrobci jako HTC, Samsung, LG nebo Motorola, také byly prověřeny telefony přímo od Googlu, čímž je myšlena řada Nexus, jež obsahuje čistý Android.
Poté se na všech těchto přístrojích pokusili připojit na účty bývalých uživatelů. Podařilo se jim to v 80 % případů. Podle Andersona není jediná firma, kterou by šlo vinit. Vina je prý na všech stranách, ale prý je řada Nexus lépe zabezpečená než ostatní telefony. Kdyby měl říct, že je vina na něčí straně o trošku větší, prohlásil by, že výrobci mohou ovlivnit, jak moc je telefon zranitelný, ale problém je v celém ekosystému.
To nejsmutnější a zároveň nejvíce pobavující je fakt, že výrobci o tomto problému již dlouho ví. Například na oficiální stránce s dotazy pro HTC One M8 se píše: "Obnovení do továrního nastavení nemusí dlouhodobě vymazat data z vašeho telefonu, což zahrnuje i osobní data."
Situace se sice podle studentů zlepšila s příchodem Androidu 4.4 Kit Kat, který je těžší prolomit, ale ani ten není 100% bezpečný.
Dá se tedy problémům předejít? Kromě zřejmého řešení neprodávat svůj použitý androidní telefon navrhli řešení i Laurent Simon a Ross Anderson. Podle nich je jedinou rozumnou možností zašifrovat telefon před obnovením továrního nastavení.
Prý ale nestačí, když použijete jednoduchý kód pro zaheslování - i 4místný lze prý jednoduše rozšifrovat a případný hacker by neměl velký problém nabourat se do osobních dat. Vhodné by bylo vytvořit až 11místné heslo z různých znaků, ne-li delší. V takovém případě by měl být prodej zařízení bezpečný.
Nezapomínejte, že se nejedná pouze o chytré telefony, ale i o tablety a v budoucnu bude třeba si dávat pozor i na chytré hodinky nebo chytré televize, protože i tam budete připojeni na služby a účty. Vzhledem k tomu, že výrobci o této chybě ví déle, je možné, že existují lidé, kteří podobné telefony ze second-handu skupují a zneužívají. Takže pokud budete prodávat androidní telefon, rozhodně si dávejte pozor a zašifrujte si svůj telefon.
Zdroj: Betanews
