¿Qué tan seguros son mis contraseñas en el servicio postventa? -- security campo con password campo con data-recovery camp android Relacionados El problema

How safe are my passwords at after-sales service?


6
vote

problema

Español

Mi teléfono es actualmente inoperante. Samsung me pidió que lo dejara en un centro de reparación aprobado, que manejará el envío y la recepción a / desde Samsung.

Siendo incapaz de arrancar mi teléfono, fue imposible para mí eliminar los archivos personales de él.

Soy consciente de que todos mis archivos serán accesibles para cualquier persona que maneje mi teléfono, una vez reparado. Pero ¿qué pasa con mis contraseñas? Sé que es posible obtener contraseñas WiFi guardadas con acceso a la raíz. ¿Es posible también para contraseñas de aplicaciones? (Gmail, Dropbox, contraseñas del sitio web de Chrome, ...)

Línea inferior: ¿Qué tan seguros son mis datos / contraseñas en un dispositivo encriptado?

Original en ingles

My phone is currently inoperative. Samsung asked me to drop it at an approved repair center, which will handle shipment and reception to/from Samsung.

Being unable to boot my phone, it was impossible for me to remove personal files from it.

I am aware all my files will be accessible to anyone handling my phone, once repaired. But what about my passwords ? I know it's possible to get saved WiFi passwords with root access. Is it possible too for passwords from applications ? (Gmail, Dropbox, Website passwords from Chrome, ...)

Bottom line: How safe are my data/passwords on an unencrypted device ?

        
       
       

Lista de respuestas

3
 
vote
vote
La mejor respuesta
 

Información general

Como The Andro Nerd señaló en su respuesta , más Las aplicaciones almacenan contraseñas (y otra información confidencial) cifrada. Algunos incluso no los almacenan en absoluto (usan un tipo de "tokens", como está disponible con la mayoría de las aplicaciones de Google, o no almacenan nada de eso).

Desafortunadamente, solo las aplicaciones más parecen preocuparse de esta manera. Algunos almacenaran todo el texto liso (la aplicación de correo electrónico en algunos dispositivos HTC se conoce para eso, por ejemplo: almacenar contraseñas e incluso información de información de directorios para los servicios de intercambio. Las fuentes para esta alegación se pueden encontrar en el libro mencionado a continuación).

¿Qué aplicaciones son seguras?

Es difícil realmente saber qué aplicaciones son guardar, aunque algunos servicios lo ayudan a resolverlo: vea, por ejemplo, Appwatchdog , donde investigan a fondo las aplicaciones para cosas así (pero con Ressources limitadas son lejos < / EM> de cubrir todo). Algunos blogs de seguridad también informan sobre los problemas encontrados, y si alguna aplicación conocida se ve afectada por dicho agujero de seguridad (como por ejemplo, la aplicación de correo electrónico mencionada, o Skype ), todos los blogs del mundo se extenderán la palabra.

Cómo comprobarlo por su cuenta

Conociendo las estructuras Cómo se guardan los datos, puede investigarse (si su dispositivo está enraizado, es decir). El libro de Andrew Hoog Forense de Android y seguridad móvil es una buena fuente que te enseña cómo Haz eso:

Aplicaciones almacena sus datos debajo del ABCDEFGHIJKLMNABCDEFGHIJKLMN0 , en un directorio con el nombre del paquete de aplicaciones como nombre (para Skype, esto sería ABCDEFGHIJKLMNABCDEFGHIJKLMN1 ). De forma predeterminada, ese directorio es accesible solo por la aplicación (y, por supuesto, por root), por lo que requiere que los privilegios de root sean más profundos. La estructura básica a continuación es la siguiente:

  /data/data/com.example.demoapp ├── cache                Directory │   └── webviewCache     Directory │       ├── 027e59a0     Cache file │       └── 057606c4     Cache file ├── databases            Directory │   └── example.db       SQLite database ├── lib                  Directory └── shared_prefs         Directory     └── example.xml      Config file   

Obviamente, hay dos lugares importantes para verificar:

  1. El directorio shared_prefs , que contiene archivos XML. Como esos son de texto simple, deben ser fáciles de investigar.
  2. El directorio ABCDEFGHIJKLMNABCDEFGHIJKLMNABCDEFGHIJKLMN4. Los archivos de base de datos generalmente están en el estándar SQLite, por lo que puede investigarlos con un cliente de línea de comandos SQLite, o con una frontend gráfica como sqliteman .

Una información completa sobre este tema iría demasiado lejos aquí, pero tienes la idea, espero.

Conclusión

No estaría mucho preocupado por el servicio oficial de Samsungs (aunque "malos", podría sentarse en todas partes, pero uno no debe ir paranoico al respecto. Pero, por supuesto, es una idea generalmente buena tener cuidado de las aplicaciones. uno usa. Demasiado tarde para su caso actual, podría ser, pero siempre hay un mañana.

 

General information

As The Andro Nerd pointed out in his answer, most apps store passwords (and other sensitive information) encrypted. Some even don't store them at all (they use a kind of "tokens", as is available with most Google apps -- or they don't store anything like that).

Unfortunately, only most apps seem to care this way. Some store everything plain text (the stock email app on some HTC devices is known for that, for example: Storing passwords and even directory information plain text for Exchange services. Sources for this allegation can be found in the book mentioned below).

Which apps are safe?

It's hard to really know which apps are save, though some services help you figure it out -- see e.g. ViaForensic's AppWatchdog, where they thoroughly investigate apps for things like that (but with limited ressources are far from covering everything). Some security blogs inform about found issues as well -- and if some well-known app is affected by such a security hole (as e.g. mentioned email app, or Skype), all the blogs in the world will spread word.

How to check it on your own

Knowing the structures how data are saved, you could investigate yourself (if your device is rooted, that is). Andrew Hoog's book Android Forensics and Mobile Security is one good source teaching you how to do that:

Apps store their data below the /data/data, in a directory with the apps package name as name (for skype, this would be /data/data/com.skype.merlin_mecha/). By default, that directory is accessible by the app alone (and, of course, by root) -- which is why it requires root privileges to dig deeper. The basic structure below is as follows:

/data/data/com.example.demoapp xe2x94x9cxe2x94x80xe2x94x80 cache                Directory xe2x94x82   xe2x94x94xe2x94x80xe2x94x80 webviewCache     Directory xe2x94x82       xe2x94x9cxe2x94x80xe2x94x80 027e59a0     Cache file xe2x94x82       xe2x94x94xe2x94x80xe2x94x80 057606c4     Cache file xe2x94x9cxe2x94x80xe2x94x80 databases            Directory xe2x94x82   xe2x94x94xe2x94x80xe2x94x80 example.db       SQLite database xe2x94x9cxe2x94x80xe2x94x80 lib                  Directory xe2x94x94xe2x94x80xe2x94x80 shared_prefs         Directory     xe2x94x94xe2x94x80xe2x94x80 example.xml      Config file 

Obviously, there are two major places to check:

  1. the shared_prefs directory, containing XML files. As those are plain-text, they should be easy to investigate.
  2. the databases directory. Database files are usually in the SQLite standard, so you can investigate them with either an SQLite command line client, or with a graphical frontend like SQLiteMan.

A thorough information on this topic would go too far here -- but you got the idea, I hope.

Conclusion

I wouldn't be that much concerned with Samsungs official service (though "bad guys" could sit everywhere -- but one should not go paranoid about it. But of course it is a generally good idea to be careful of which apps one uses. Too late for your current case, might be -- but there's always a tomorrow.

 
 
         
         
1
 
vote

Las aplicaciones más (si no todas) almacenarán las contraseñas guardadas en un formato cifrado en su base de datos en su carpeta de datos.

Como tal, sus contraseñas estarán a salvo: tendrían que acceder a la base de datos y luego descifrará la contraseña cifrada.

Además, lo más probable es que limpie su dispositivo de todos modos (no siempre hecho, depende de la reparación).

 

Most (if not all) applications will store saved passwords in an encrypted format in their database in their data folder.

As such, your passwords will be safe - they would have to access the database, and then decrypt the stored the encrypted password.

As well as that, they will most likely wipe your device anyway (not always done, depends on the repair).

 
 

Relacionados problema

0  Evitar que la imagen no autorizada parpadee  ( Prevent unauthorized image flashing ) 
Me pregunto si hay una manera de evitar que alguien use fastboot para flashear un dispositivo Android. De hecho, mientras que uno debe ser capaz de encend...

5  ¿Hay alguna forma de limpiar un dispositivo basado en una contraseña determinada? A Like una contraseña "Limpiarme"?  ( Is there a way to wipe a device based on a certain password a like a wipe me ) 
¿Hay alguna forma (una aplicación quizás) que limpiará un teléfono si se ingresa una contraseña determinada en la pantalla de bloqueo? Por ejemplo, "LetMein" ...

3  ¿Cómo puedo cifrar mi tarjeta SD externa en Android?  ( How can i encrypt my external sd card on android ) 
Quiero cifrar o proteger con contraseña en mi sdcdard externo. Por lo tanto, siempre que retire la tarjeta EX SD, no permitirá mostrar ninguno de sus datos ...

7  ¿Cómo prepararme y teléfono inteligente / tableta en el evento que falta o se roba?  ( How to prepare myself smartphone tablet in the event it goes missing or is sto ) 
Me gustaría saber qué medidas o pasos, etc. que deben realizarse, para proteger y AMP; Salvaguardar cualesquiera que se encuentre "datos" en mi teléfono intel...

7  ¿Puede mi teléfono Android ser hackeado sin instalar permisos?  ( Can my android phone be hacked without installing permissions ) 
Después de leer este artículo ( Informe de teléfono inteligente Kaspersky ) Esto me preguntó. Obviamente, si instalo una aplicación dodgy a través de Play S...

19  ¿Es "seguro" para proporcionar a los usuarios el archivo APK?  ( Is it safe to provide users with the apk file ) 
Me preguntaba, si tengo una aplicación disponible en la tienda de juegos, es "seguro" para proporcionar una descarga directa del archivo APK a alguien (ya sea...

7  Perdí mi teléfono inteligente Android. Play Store me dice que alguien ha insertado una tarjeta SIM. ¿Cómo puedo averiguar el número de teléfono?  ( I lost my android smartphone play store tells me that someone has inserted a si ) 
Perdí mi Samsung Galaxy S, que fue firmado en Google Play. Ahora, Play Store ha identificado que alguien ha insertado otra tarjeta SIM con un proveedor de ser...

7  WiFi Hotspot Security?  ( Wifi hotspot security ) 
¿Hay alguna forma de agregar seguridad adicional a un punto de acceso WiFi creado por un teléfono Android? Estoy usando un Samsung GT-S5300 con Android 2.3....

4  ¿Dónde encuentra la configuración u opción de intentos de contraseña en ICS?  ( Where do you find the password attempts setting or option in ics ) 
Quiero detener esta función o, al menos, establecer el número de intentos de un número más alto que 3. ...

1  Mi dispositivo está tratando de abrir la aplicación MSECURE siempre que lanza un navegador de Internet  ( My device is trying to open msecure app whenever i launch an internet browser ) 
Cada vez que inicie un navegador de Internet en mi teléfono DROID, intenta iniciar otra aplicación (en mi caso Msecure). Esto sucede con Dolphin y mi navega...

34  ¿Cuál es la implicación de seguridad de tener un cargador de arranque desbloqueado?  ( Whats the security implication of having an unlocked boot loader ) 
Los dispositivos Nexus se pueden desbloquear usando el comando Fastboot ABCDEFGHIJKLMNABCDEFGHIJKLMN2 Para instalar un firmware personalizado. Por razones d...

1  ¿Está fuera la configuración de la bandera de seguridad diferente de la habilitación / deshabilitación de Fastboot?  ( Is the setting off on of the security flag different from enabling disabling of ) 
Estoy siguiendo el libro XDA Desarrolladores Android Hackers Toolkit 2012 . En los capítulos iniciales, dice que: El la segunda etapa de inicio de arranq...

0  ¿Cómo proteger las credenciales de mi cuenta de Google en mi teléfono Android?  ( How to protect my google account credentials on my android phone ) 
Actualmente uso Gmail en mi escritorio con verificación de 2 pasos (por SMS) habilitada y lo considero seguro. Ahora estoy comprando un teléfono Android y me ...

5  ¿Cómo deshabilito Gmail?  ( How do i disable gmail ) 
Sí, esto tiene ha sido preguntó < / a> antes de , pero ninguno realmente aborda mi preocupación, y yo No tenga la reputación suficiente para agregar comen...

5  ¿Qué tan seguro es un bloqueo de SIM?  ( How secure is a sim lock ) 
Tengo un bloqueo SIM habilitado en mi SIM, por lo que básicamente, si pongo mi SIM en otro teléfono o si reinicio mi teléfono, necesito ingresar al PIN de blo...

3  ¿Puede Java ser explotado a través de anuncios de aplicaciones de Android?  ( Can java be exploited through android app ads ) 
Resulta que Java tiene una falla de seguridad que se está explotando actualmente para poner malware en las computadoras de las personas. ¿Hay algún riesgo d...

1  ¿En qué versión de Android estaba disponible de cifrado / datos disponibles?  ( In which version of android was encryption of data made available ) 
Estos docs sugieren que ha estado disponible (solo) desde Android 3.0 Panal. Por el contrario, la conversación en las juntas de discusión sugiere que fue d...

3  ¿Cómo puedo saber si mi galaxia internacional S3 está sufriendo de síndrome de muerte súbita? Si es así, ¿cómo puedo arreglarlo?  ( How can i tell if my international galaxy s3 is suffering from sudden death synd ) 
Tengo un Samsung Galaxy S3 (XEF) internacional de 16GB que ejecuta el último firmware, 4.1.2 (Sí, la actualización de la suite Premium, estaba pensando que es...

27  ¿Qué significan los permisos de la aplicación de Android?  ( What do android application permissions mean ) 
Al instalar una aplicación, la aplicación enumera los permisos que necesita para realizar sus funciones. Estoy creando esta lista de los permisos definid...

1  Eliminar icono de la barra de estado descargada desde web  ( Delete status bar icon downloaded from web ) 
Me uní a Way2SMS para enviar SMS gratis de mi computadora portátil. Ahora encuentro un icono de la aplicación descargado a mi barra de estado en mi Samsung Ga...

Relacionados problema

0  Evitar que la imagen no autorizada parpadee 
5  ¿Hay alguna forma de limpiar un dispositivo basado en una contraseña determinada? A Like una contraseña "Limpiarme"? 
3  ¿Cómo puedo cifrar mi tarjeta SD externa en Android? 
7  ¿Cómo prepararme y teléfono inteligente / tableta en el evento que falta o se roba? 
7  ¿Puede mi teléfono Android ser hackeado sin instalar permisos? 
19  ¿Es "seguro" para proporcionar a los usuarios el archivo APK? 
7  Perdí mi teléfono inteligente Android. Play Store me dice que alguien ha insertado una tarjeta SIM. ¿Cómo puedo averiguar el número de teléfono? 
7  WiFi Hotspot Security? 
4  ¿Dónde encuentra la configuración u opción de intentos de contraseña en ICS? 
1  Mi dispositivo está tratando de abrir la aplicación MSECURE siempre que lanza un navegador de Internet 
34  ¿Cuál es la implicación de seguridad de tener un cargador de arranque desbloqueado? 
1  ¿Está fuera la configuración de la bandera de seguridad diferente de la habilitación / deshabilitación de Fastboot? 
0  ¿Cómo proteger las credenciales de mi cuenta de Google en mi teléfono Android? 
5  ¿Cómo deshabilito Gmail? 
5  ¿Qué tan seguro es un bloqueo de SIM? 
3  ¿Puede Java ser explotado a través de anuncios de aplicaciones de Android? 
1  ¿En qué versión de Android estaba disponible de cifrado / datos disponibles? 
3  ¿Cómo puedo saber si mi galaxia internacional S3 está sufriendo de síndrome de muerte súbita? Si es así, ¿cómo puedo arreglarlo? 
27  ¿Qué significan los permisos de la aplicación de Android? 
1  Eliminar icono de la barra de estado descargada desde web 



© 2021 respuesta.top Reservados todos los derechos. Centro de preguntas y respuestas reservados todos los derechos


Licensed under cc by-sa 3.0 with attribution required.