Säkerhet !? Kryptering>mobildata>SSH>GoogleDrive

allmän diskussion om säkerhet vad gäller sk smartphones

(och i synnerhet android då som är störst och antagligen störst måltavla vad gäller skadlig kod )


Jag tycker nämligen själv det inte finns något svar, lösning alls. Bara små diskussioner. Man vet ju att mobilerna snart kommer bli så vanliga att skadlig kod,intrång garanterat kommer riktas emot dessa. Man använder dessutom mobilerna hela tiden,surfar utan säkerhet osv. Att installera en sk anti-virus app på mobilen är ju inte heller hela lösningen. Dessutom söker jag råd i mitt egna case som har varit ett stort frågetecken i över flera veckor nu trots trådar på flertalet forum



1. Har två st androidtelefoner. Men vad för säkerhet ska man använda sig av? Installera en app som övervakar aktiviteter och andra appar är väl inget vidare eftersom jag i princip aldrig installerar massa appar och trams.

2. Viktigare är väl isåfall att datatrafiken krypteras och webbläsaren säkras upp?

3. Kryptering av hela enheten är ochså en idé ifall den blir stulen och information riskeras att stjälas. Men vad finns det för risker? Att krypteringsapplikationen man installerat kraschar och telefonen inte går starta ens med safeboot osv? I PC-världen kom man ju på att alldeles för stark kryptering gömde bootsektor mfl vilket gav problematik vid systemfel och man var tvungen att göra en image av systemet för att boota i nödfall osv.

4. GoogleDrive har nu möjlighet till 2-vektors autentisering. ordinarie lösenord + en kod för att kontot ska öppnas. Men jag har inte fått svar på det viktigaste av allt.

*Vad heter den officiella appen som ska laddas ner? Google ska ju tydligen erbjuda ett program där man själv kan generera dessa koder som man plockar fram vid inloggning likt en bankdosa. Och vem garanterar säkerheten i denna app?

*Många tjänster å andra sidan kräver ju inga som helst autentiseringar. Ex Motorolas motoblur där man sätter upp kontodetaljer med namn+lösen en enda gång och därefter hämtar telefonen allt från googlekontot (kalendrar,kontakter,mfl) De flesta har ju lösningar där konton ska synkas mm men här signeras varken klienten eller trafiken ett jäkla dugg ?
Att ha säker inloggning via webbläsare faller ju om det är så Djävla lätt att nå kontot med 3e parts applikationer.

 

1. Antivirus är meningslöst eftersom det inte finns några virus för Android. Den viktigaste säkerheten är att vara medveten och fundera på vad man installerar och hela tiden se till att städa upp och ta bort det man inte behöver.
Undvik att roota din telefon så kan inte appar få för kraftfulla rättigheter.

2. Det viktiga är att använda tjänster som är säkra och använda en välkänd webbläsare.

3. Min telefon (Nexus 4 med 4.2.2) har valet att kryptera telefonen och kräva en PIN eller ett lösenord varje gång jag slår på den för att dekryptera den. Jag krypterar dock inte min telefon.
Vad är det för data som du vill skydda? Se till att inte lagra den på telefonen utan på andra tjänster som du accessar med telefonen.

4. Är det något nytt? Jag har kört 2-stegsverifiering väldigt länge för mitt Google-konto. I vilket fall som helst så laddar du hem Google Authenticator och aktiverar sedan 2-stegsverifiering.
För alla andra tjänster så ser du till att använda så starka lösenord som möjligt och aldrig använda samma lösenord på 2 tjänster. Jag kör Lastpass med 2-stegsverifiering (via Google Authenticator) för att ha unika och starka lösenord överallt.

 

Det finns inget enkelt svar på hur pass bra/dålig säkerheten i Android är eller vad man gör åt det. Har försökt göra min telefon så säker det går med rimliga åtgärder. Mina synpunkter nedan:

1. Android som operativsystem är mycket säkrare än t.ex. Windows. Problemet är apparna, mer nedan.

2. SSL/TSL går att knäcka om man kan lägga sig mellan din telefon och nätet. Kan enkelt göras när man använder ett WiFi-nät som man inte känner till. Gör inte bankaffärer, eller annat känsligt, på ett främmande nätverk. Data via telefonnätet går också att avlyssna men är mycket svårare att instrumentera.

3. Använd tvåstegs autentisering vid inloggning. Annars kan man enkelt få dina inloggningsdata till ditt googlekonto. Har du dina kortdata på kontot kan man använda dessa för att handla med. Ta bort kortuppgifterna från kontot när du handlat något. Man får vänta ett tag innan man kan ta bort dem.

4. När du skickar/tar emot mail så kör SSL. Tror att alla operatörerna erbjuder detta (gratis). Har även den stora fördelen att man då även kan skicka mail från ett annat nätverk än sin egen operatörs. Både inloggning och mailen som sådana är då krypterade.

5. Apparna är det största problemet. Ett tyskt universitet som testade säkerheten hittade en generell bank-app som var katastrofalt dåligt konstruerad säkerhetsmässigt. Sådant kan vi inte enkelt kolla själva. Man vet inte vad apparna gör. Använder Boat browser. När jag sniffade trafiken fann jag att den varje gång jag byter hemsida så skickar den något krypterat till en kinesisk site. De som gjort browsern nämner inget om detta, trafiken är krypterad, vet inte vad som skickas. Antagligen bara mina surfvanor man är ute efter men jag vet inte. Även om det är så nu, vad blir det i framtiden? De som utvecklar appar får färdiga programsnuttar från kineserna (API), tror inte de heller har någon koll på vad som skickas. Kan inte se någon annan möjlighet än att försöka undersöka varje app som är vital. Man kan sniffa trafiken och kolla vad som skickas.

Om du rootat kan du med appen Lycky Patcher plocka bort tillstånd från appar. Har plockat bort tillståndet att gå ut på Internet från några appar och de fungerar lika bra ändå. Bara att prova, enkelt dessutom.

6. Kryptera all väsentlig information. Jag krypterar inte disken utan de filer som är känsliga. Använder appen APG.

7. Roota eller ej, det är frågan. Har valt att göra det för att jag tror att jag totalt får en säkrare telefon på detta sätt. Av någon anledning har ingen gjort en redig brandvägg vilket man lätt kan göra om telefonen är rootad. Man kan då låta en app gå ut på Internet men spärra vissa portar/adresser. Har gjort ett eget skript som stoppar trafiken till den kinesiska siten ovan.

8. Har ett antivirusprogram för stöldskyddsprogrammet som följer med. Blir telefonen verkligen stulen är det ett enda kommando som gäller, radera allt på telefonen.

9. Viktigaste av allt, gör inga väsentliga affärer från din telefon. Gör dem endast från en dator som finns på ett nätverk som du har kontroll över.

 

Får tacka för sånt utförligt och bra svar. (En raritet på forum idag...)

Det är dock Googles 2-stegs autentisering jag fastnat på. Har läst på,efterforskat men ändå inte blivit tillfredställd med denna lösning.
Tänkte använda den interna appen för att generera engångs-koden istället för att få dem per SMS då man är beroende av gsm-trafik...


Dels så har min Defy en egen tjänst (motoblur) som synkar flera konton,hämtar kontakter etc. Denna klarar mig veterligen inte av 2-steget så den kommer säkert bara stå och få denied-request ? Måste väl vara ett sk "app-specifikt lösenord" ?

 

Om tjänsten inte stödjer 2-stegsverifiering så använder du ett app-specifikt lösenord. Det blir ungefär samma sak som med appen, men du måste skapa lösenordet via webbsidan istället för via appen.