web-dev-qa-db-fra.com

Est-ce qu'un port de diagnostic de JTAG de travail sur Android téléphone a-t-il ajouté un risque inutile?

Pas assez de gens semblent connaître JTAG en dehors des communautés de pirate informatique et de Léo, mais la version courte est que JTAG permet à quiconque l'accès physique à votre téléphone à la hauteur de votre téléphone.

Je ne comprends pas pourquoi les dispositifs de consommation de masse de masse fondamentalement jetables ont besoin d'un port d'instrumentation de test de travail lorsqu'ils sont libérés au consommateur moyen; À mon avis, il s'agit d'une vulnérabilité de sécurité importante sur l'ensemble de l'ensemble Android écosystème.

--- Ajout d'une question de savoir si le périphérique est sécurisé ou non - il s'agit de savoir si la présence d'une interface JTAG fonctionnelle modifie de manière significative l'équation de coût/récompense pour des données de valeur inférieure pour un attaquant moins expérimenté. Évaluer le risque de sécurité consiste à évaluer les coûts et les risques de compromettre un système - il n'y a pas de système totalement sécurisé contre quoi que ce soit et qu'un système sécurisé ne vaut rien ne vaut rien (dans ce contexte) (par exemple, votre téléphone diffuse sa mémoire sur Open sans fil tout le temps) - Mon souci est que un port JTAG de travail sur un périphérique avec des données "intéressantes" sur elle est indifféremment plus faible qu'une personne sans un tel port et donc l'équation de coût/récompense est considérablement modifiée.

--- Ajout de la note d'éditeur de citation: JTAG est un mécanisme standard bien connu pour le test en champ. Bien qu'il fournisse une tempérabilité élevée et une observabilité, , il pose également de grands défis de sécurité .

Cet article analyse diverses attaques et propose des schémas de protection. Mohammad Tehranipoor, Université de Connecticut - citation -

7
Mark Mullin

Ce qui me dérange, c'est que les gens gèrent des données précieuses - dans certains cas, toute leur vie et d'autres données qui leur ont été confiées - dans des appareils pour lesquels ils ne peuvent pas, ne pas, et ne pas même essayer de maintenir la sécurité physique . Un téléphone est quelque chose qui est:

  1. coûteux;
  2. assez petit pour être facilement porté, mais suffisamment grand pour permettre la saisie facile;
  3. brandi par les utilisateurs tout en marchant dans la rue, sécurisé en position principalement par la force d'aspiration de leur oreille, tandis que l'utilisateur est distrait par une conversation et ne fait donc pas attention à son environnement immédiat.

Il n'est pas étonnant que les téléphones mobiles soient le type d'objet le plus souvent volé. Un téléphone mobile est un risque par lui-même.

Que le voleur sera capable d'accéder aux données sans gratter le cas, bien, cela ne me dérange pas.

2
Thomas Pornin