web-dev-qa-db-fra.com

Dans quelle mesure utilise-t-il l'authentification basée sur des empreintes digitales sur l'UNENCRYPTED Android?

Étant donné que j'avais besoin d'autorisations de racine pour plusieurs applications sur mon périphérique Samsung Galaxy S8 + (SM-G955F), j'ai suivi un guide qui a montré comment installer un binaire superutilisateur sur le périphérique Android 7 .

Il y avait une mise en garde: cette procédure nécessite que le cryptage soit désactivé pour que l'appareil soit amorcé; Les appareils Samsung refusent en effet de déchiffrer leur stockage lors du démarrage s'ils détectent une partition modifiée boot. Je viens donc de continuer avec elle et de supprimer les fonctionnalités de cryptage de mon appareil.

Maintenant, ce que je me demande est: puisque j'ai plusieurs applications (par exemple KeepAssDroïde, Solid Explorer, Google Play Store) qui peut faciliter l'authentification de l'utilisateur en stockant des mots de passe de manière à ce qu'ils puissent être consultés par Simplement numériser une empreinte digerne sur le capteur, le fait que le stockage principal de mon appareil est déchiffré signifie que les copies enregistrées des mots de passe peuvent être lues en clairexuant par quiconque peut accéder au système de fichiers racine de mon appareil?

Par exemple, disons que je perds mon téléphone, quelqu'un qui le sonne, la relie à leur machine et à leur bottes [~ # ~] TWRP [~ # ~] récupération, ce qui leur donne un accès root Android Système de fichiers. Existe-t-il un répertoire dans lequel ils trouvent des mots de passe clairs ou facilement déchiffrés sécurisés via l'authentification d'empreinte digitale? Ou existe-t-il un autre système de cryptage basé sur le matériel?

5
Manchineel

Nous ne pouvons pas répondre à cela pour tous les cas possibles (vous ne pouvez pas rendre compte de la stupidité humaine), mais je vais essayer de donner une réponse pertinente.

Maintenant, ce que je me demande est: puisque j'ai plusieurs applications (par exemple, Keepassdroid, Solid Explorer, Google Play Store) permettent d'assainir l'authentification de l'utilisateur en stockant des mots de passe de manière à ce qu'elles puissent être accessibles en numérisant simplement une empreinte digerne sur le capteur, Le fait que le stockage principal de mon appareil soit déchiffré signifie que les copies enregistrées des mots de passe peuvent être lues en clairexuant par quiconque peut accéder au système de fichiers racine de mon appareil?

Je crois que les développeurs de logiciels de sécurité de confiance et réputés ne dépendraient pas de l'appareil crypté pour protéger leurs données. Si tel était le cas, tout logiciel d'explorateur de fichiers privilégiés serait capable de montrer vos fichiers en clairexuant.

Par exemple, disons que je perds mon téléphone, quelqu'un qui le sonne, la relie à leur machine et bottes de récupération TWRP, qui leur donne un accès root au Android System. Y a-t-il un répertoire dans lequel Ils trouvent des mots de passe clairs ou facilement enregistrables sécurisés via l'authentification des empreintes digitales? Ou existe-t-il un autre système de cryptage basé sur le matériel?

Comme dans le paragraphe précédent, si vous utilisez des logiciels de confiance et réputés, vous ne devriez pas avoir à vous soucier de cela. L'authentification d'empreinte digitale n'est qu'un mode d'authentification et ne doit rien avoir à faire avec la manière dont vous chiffrez les données de votre application. Idée va pour le cryptage de périphérique. Idéalement, cela ne ferait pas la différence pour les développeurs d'applications.

1
Limit