Лидер проекта TWRP Этан “Dees Troy” Йонкер опубликовал сообщение, в котором предупредил всех владельцев смартфонов под управлением Android Nougat о неожиданной опасности. Оказалось, что при установке цифрового пароля для доступа к телефону в одной из директорий файловой системы создается документ, отображающий информацию о этот самый пароль. Причем отражены характеристики пароля настолько точные, что позволяют хакеру провести тонкую настройку инструментов для брутфорсу. Другими словами, Android Nougat куда менее устойчива к взлому, чем ее предшественницы.
В файле “device_policies.xml“, который находится в директории /data/system/, можно найти следующую информацию:
<Active-password quality = “131072” length = “4” uppercase = “0” lowercase = “0” letters = “0” numeric = “4” symbols = “0” nonletter = “4” />
Как мы видим, атакующая сторона получает всю информацию о характеристике пароля, благодаря чему диапазон и время атаки существенно сокращаются. Проблема, как утверждается, связана с новой пофайлово системой шифрования. В прежних версиях ОС с системой шифрования всего диска получить доступ к подобной информации можно было только после разблокировки смартфона с помощью пароля, тогда как теперь доступ к файлу доступен в любом состоянии смартфона при условии безпарольного шифрования.
Впрочем, по мнению экспертов The Grugq, оба метода шифрования в Android недостаточно хороши, потому что предоставляют доступ к информации в любом случае. На iOS, например, доступ к данным ограничен куда сильнее, даже если смартфон разблокирован.
Источник информации: tomshardware.com
По материалам Ua Format