Android 15 Out
O Google ainda não conseguiu criar um sistema realmente seguro para os seus usuários. Segundo o pesquisador de segurança @the_grugq, no Twitter, o Android 7.0 Nougat não retorna a um estado criptografado após o primeiro desbloqueio, quando o dispositivo é configurado pelo usuário.
“A ‘Criptografia baseada em arquivos’ do Android N basicamente removeu a ‘criptografia em repouso’ completamente do sistema”, observou o especialista. “Depois que o sistema é desbloqueado, ele nunca volta a um estado de bloqueio criptografado. As chaves estão sempre na memória”.
O pesquisador em segurança observa que qualquer pessoa que conheça programação pode encontrar as chaves do smartphone facilmente. Ele até mostra o caminho, que fica vulnerável pelo fato de o Android ser um sistema aberto, diferentemente do iOS, que é mais fechado.
If you actually evict the keys from kernel memory, it will erase __all of your data__. Android N is terrible for security.
— the grugq (@thegrugq) October 18, 2016
No Reddit, um usuário observou que as chaves devem ficar na memória até que o aparelho seja desligado, ou ele acabaria travando por não conseguir ler seus próprios dados. “Presumo que no iOS também funciona assim, porque o sistema nunca seria capaz de fazer trabalho em segundo plano para aplicativos com dados criptografados”.
Outro usuário rebateu a avaliação: “Sim, mas espertinhos não conseguem acessar o código-fonte no caso do iOS”, observou.
Já the_grugq observa, ainda no tópico do Twitter, que as chaves deveriam estar no kernel, e não na memória do usuário. “Não ative a Criptografia Baseada em Arquivo” no Android N”, alerta o especialista, sugerindo um meio de manter o smartphone um pouco mais seguro.
Comentários