R
Вполне безопасно
Size: a a a
2018 May 24
R
Палец - нормальный секрет
AY
насколько безопасно хранить пароль юзера шифрованный пальцем?
можете дать линк про этих шифрование
A
До тех пор пока палец этот принадлежит пользователю
AS
наткнулся на уязвимость найденную на Android <4.4 - Bypassing screen locks using CVE-2013-6271
там суть в том, что отправляется интент в системное активити и любой локскрин отключается.
под рукой нет страренького телефона, я скачал эмулятор с android 4.1, но там не работает это. возможно ли что только на реальных устройствах будет работать? кто-нибудь проверял эту уязвимость у себя?
там суть в том, что отправляется интент в системное активити и любой локскрин отключается.
под рукой нет страренького телефона, я скачал эмулятор с android 4.1, но там не работает это. возможно ли что только на реальных устройствах будет работать? кто-нибудь проверял эту уязвимость у себя?
R
До тех пор пока палец этот принадлежит пользователю
Согласен, но тут мы уже входим в область применения 100 ваттных паяльников ;) Которые ломают любые защиты
GK
наткнулся на уязвимость найденную на Android <4.4 - Bypassing screen locks using CVE-2013-6271
там суть в том, что отправляется интент в системное активити и любой локскрин отключается.
под рукой нет страренького телефона, я скачал эмулятор с android 4.1, но там не работает это. возможно ли что только на реальных устройствах будет работать? кто-нибудь проверял эту уязвимость у себя?
там суть в том, что отправляется интент в системное активити и любой локскрин отключается.
под рукой нет страренького телефона, я скачал эмулятор с android 4.1, но там не работает это. возможно ли что только на реальных устройствах будет работать? кто-нибудь проверял эту уязвимость у себя?
и как предполагается отправить интент?
GK
если у тебя есть доступ к выполнению произвольного кода на устройстве, то локскрин - это меньшая из проблем
AS
adb или через другое приложение можно отправить
GK
adb или через другое приложение можно отправить
если у тебя есть доступ через adb, то, опять же, какая разница, какой там локскрин
AS
тут больше инфы - https://curesec.com/blog/article/blog/CVE-2013-6271-Remove-Device-Locks-from-Android-Phone-26.html
меня больше интересует вопрос, работает ли это действительно) на эмуляторе с 4.1 всего лишь запускается окно, в котором предлагается сменить пин устройства
меня больше интересует вопрос, работает ли это действительно) на эмуляторе с 4.1 всего лишь запускается окно, в котором предлагается сменить пин устройства
GK
это штука уровня "заставить пользователя установить apk, а затем предоставить ему администратора устройства"
AS
если у тебя есть доступ через adb, то, опять же, какая разница, какой там локскрин
я это знаю. вопрос же был в другом
AS
интент разве только админ устройства может отправить?
GK
интент разве только админ устройства может отправить?
нет, любое приложение
GK
но на 4.х любое приложение может делать что угодно, потому что пермишенов нет
AS
ладно, мы обсуждаем не то, о чем я спрашивал)
R
Кто-нибудь хочет выступить на MOSDROID с крутым докладом по ИБ? Ну или с крутым докладом по ведру)
R
Есть свободные слоты
R
Если это будет девушка, то будет вообще отлично =) А то что-то прекрасный пол не жалует наши мероприятия =(