Säkerhetsrisk - Galaxy S III eller alla Android?

Jag blev lite fundersam för ett par dagar sedan då jag kopplade in min telefon i en dator på jobbet för att ladda. Jag lämnade telefonen ur sikte då jag var nöjd över att jag använder pin code-lock (dvs en variant av grafiskt lösenord) och bara har ett internt minneskort i min Samsung Galaxy S3 nu. När jag vänder mig om ser jag hur datorn poppat upp Ny enhet vad vill du göra-rutan i Windows varpå min kollega väljer att visa innehållet och direkt kommer åt alla mina dokument, bilder och annat som finns på det interna SD-kortet.

Jag hade för mig att man inte kommer åt något på telefonen när man använder ett lösenord för skärmlåset? Men jag kanske minns fel, har det varit såhär på alla versioner och telefoner? Jag har inga enheter att testa på längre...

Jag blev iaf jävligt less på denna svaghet/bugg/risk när jag nu insåg att det visst var jobbigt då förra luren med alla privata bilder försvann och det bara är att plugga in dem i en dator för att få tillgång till allt på sd-kortet

Sent from my GT-I9300 using Tapatalk 2

 

Japp självklart är det så här, låt oss säga att det inte var så här och någon stjäl din telefon. Då kan dom ju lika gärna bara plocka ur dit minneskort och sätta in det i en annan enhet

Skickat från min GT-I9300 via Tapatalk 2

 

Kolla om du kan ändra några USB-inställningar någonstans. På min Galaxy Nexus och min Galaxy S1 med CyanogenMod (kommer inte ihåg hur det var med stock) är jag tvungen att dra ned notifikationsfältet och aktivera masslagring, vilket inte går utan att låsa upp det grafiska lösenordet

 

Detta är inte en bugg utan hur filsystem fungerar. Även alla appar kan läsa din data på samma sätt, endast skrivning kräver att du ger rättigheten. Tror dock att läsning blev en rättighet i 4.1, inte säker dock. Du får googla ämnet.

Anledningen att det fungerar så är att om det inte gjort det, så hade man inte kunnat flytta data på en dator utan speciella program.

 

När jag kopplar Xperia ARC med ICS får jag rutan med olika alternativ där lista filer är en av dem. När jag väljer den får jag filhanterare med töm ruta och visas inga filer tills jag löser upp skärmen.

 

Så är det även på min HTC G1 med Android 1.6 (och så var det även med 1.5 och 1.1). Dock vet jag inte hur det är med nyare telefoner. Dock gäller ju detta endast SD-kortet, på min G1 kan man inte se telefonens interna minne på detta vis via USB-kabeln.

FAT som man brukar använda som filsystem till SD-kort är inte något clusterfilsystem. Det innebär att endast en dator kan ha filsystemet öppet åt gågnen. Antingen kan telefonen använda filsystemet eller också kan PCn använda filsystemet. Om bägge skulle använda filsystemet samtidigt skulle det bli kaos när någon skriver till systemet, eller än värre, om bägge samtidigt skulle skriva till systemet utan att vara medvetna om den andra datorns existens.

Därför ger telefonen ett val, vill du låta PCn få filsystemet i form av ett USB-minne, eller vill du kanske bara ladda?

Så för att svara på den ursprungliga frågan, nej, så har det inte varit i alla versioner av Android. Jag skulle tro att din telefon inte delar ut internminnet som någon USB-disk utan att den i stället kör något annat protokoll där telefonen agerar server mellan dator och filsystem. Ett exempel på sådana protokoll är PTP som används av många digitalkameror. Ett skäl till att det blivit populärt att bygga enheter som använder sådana protokoll i stället för USB-disk-koppling är att man bakom det protokollet kan använda vilket filsystem man vill på flash-minnet. Då man kopplar in enheten som en USB-disk har man nästan bara FAT att välja på som filsystem och det filsystemet har många begränsningar, inte minst att Microsoft vill ha betalt.

m v h Henrik

 

Har man väl fått fysisk kontroll över en telefon/dator så är det bara kryptering av mediet som gäller.
Jag vet inte hur Android gör, men iPhone vet jag använder hårdvarukryptering för att skydda data.

 

Precis, S3 blir som en digitalkamera nu när du säger det. Där har vi förklaringen.

Jag hade som någon skrev en telefon tidigare där man var tvungen att aktivera masslagring och då fungerade inte den här metoden.

Och givetvis är det bara att ta ut minneskortet och stoppa det i en dator om man har ett externt men det går inte med det interna och det var de jag tyckte var skönt om man inte hade kommit åt det för då var datan "säker" för någon som inte hade full koll på hur man kringgår det grafiska lösenordet.

 

Just denna risk dök upp med ICS, som Henrik ovan säger kan endast en maskin ha tillgång till minnet och därmed blir det problem om man har installerat någon applikation på SD kortet och vill använda den när telefonen är inkopplad.

Just denna sak var det många som klagade över i 2.2 och 2.3. Med MTP protokollet (media transfer protocol) som ICS har som standard kan både telefonen och datorn skriva och läsa samtidigt då all data skickas först till telefonen och det är telefonen som skriver den på minneskortet.

På äldre versioner av Android var man tvungen att välja masslagring från notification, och att dra fram den medans telefonen var låst var inte möjligt då.

 

Fast standard i Android med MTP är att man inte kan komma åt filerna förrän mobilen är upplåst. Antar att Samsung inte tyckte det var smidigt och tog bort det skyddet i sin version.

Eller så beter det sig olika beroende på om det är inbyggt minne som i galaxy nexus eller ett sdkort.

 

Där finns under säkerhet så man kan kryptera både enhet och sd kort. Har dock inte testat funktionen själv.

Skickat från min GT-I9300 via Tapatalk 2

 

SÅ har det varit på de mobiler jag har... HTC Hero, HTC Desire samt HTC One S... på alla har jag varit kvungen att dra ner notifieringsfältet och tryckt lite för att få telefonen att bete sig som ett externt lagringsmedium...

MEN!!!

Det går att ställa in vad den ska göra som defualt i inställningarna... däribland att den ska bete sig som ett externt lagringsmedium... så det kan ju vara det som hänt för trådskaparen...

 

Den riktiga säkerhetsrisken uppstår snarare för att vissa appar missförstår hur sdkortet är tänkt att användas. Eftersom datan där kan läsas fritt av alla pga. FAT (och numera pga. bakåtkompabilitet även på enheter utan FAT) är det endast tänkt att bilder och media ska lagras där. Vissa appar har tidigare lagrat databaser med konton eller liknande känslig information där. Som det nämndes tidigare i tråden har det lagts till en permission för att läsa sdkortet. Denna tar dock inte effekt om man inte klickar i det Settings (under Development) utan är framför allt till för att utvecklare ska börja använda den redan nu om de behöver så att den i framtiden kan bli ett krav.

Har man data på sdkortet som man inte vill riskera att någon annan ser finns som sagt alternativet att kryptera telefonen. Stödet för sdkort är också byggt på antagandet att det är ett externt sådant och att det därmed alltid går att plocka ut och läsa av på annat sätt.

 

När min telefon är låst med PIN så kommer telefonen upp i utforskaren, men så länge den är låst så går det inte att se varken det interna eller det externa sdkortet. De dyker upp först efter att jag låst upp med PIN-koden.

 

Precis

På min s2 så kan jag kryptera telefonminnet och minneskortet. Valet ligger under inställningar -> säkerhet.

 

iPhone verkar ha det motsatta problemet:
http://mobil.idg.se/2.1085/1.460632?st=true&sts=http://www.idg.se/2.1085/1.460632

 

Vore inte mycket till kryptering om det gick att knäcka med annat än bruteforce...