Pull to refresh

Comments 14

В заголовке «взломали», хотя просто сделали реверс open source проекта, даже сама компания так написала
В прошлый четверг компания объявила, что этот анализатор был обновлен функцией, которая позволяет клиентам декодировать данные из Signal.
Опять учёный изнасиловал журналиста.
При полном физическом доступе к устройству такой исход — неудивителен. Это фундаментальная проблема, а не уязвимость.
Если бы вся эта байда шифровалась паролем, водимым пользователем, а не хранящимся в памяти, такой проблемы бы не было.

Но да, тут мы на оси «удобство <---> безопасность» смещаемся сильно вправо. Удобный вход «пальцем» работать не будет, придётся каждый раз вводить пароль.
Если бы вся эта байда шифровалась паролем, водимым пользователем, а не хранящимся в памяти, такой проблемы бы не было.
Да, можно было бы, я бы даже не отказал от такого режима. Но в таком случае слабым место был бы пользователь. Давайте не забывать о том, что мы рассматриваем ситуацию, в которой скорее всего физически доступ имеется не только к телефону, но и к пользователю…

Тем не менее, предположим, что всё шифруется ключом, сгенерированным от пароля пользователя. Сомневаюсь, что многие стали бы каждый раз вводить длинный надёжный пароль, это действительно неудобно. В таком случае, вне зависимости от того как вы генерируете ключ (key derivation) из пароля пользователя, пространство перебора будет ограничено длинной самого пароля. Перебор этот к тому же, очень даже хорошо параллелится.

Удобный вход «пальцем» работать не будет, придётся каждый раз вводить пароль.
По-моему палец хуже слабого пароля.
Keystore разве не шифруется ключом разблокировки телефона?
Все давно придумано до нас. Оставляем удобный вход пальцем и закидываем в кейстор сложный пароль, но для шифрования базы используем пароль из кейстора который пользователь не видит+пароль который вводит пользователь. В таком случае остается удобный вход пальцем, но секретные чатики недоступны. Чтобы туда попасть нужно еще тот ключ за 5$ из известного XKCD комикса. Что сильно усложняет задачу взломщика.
Если на сигнал обратили внимание, значит популярность его выросла заметно и он стал интересен. Интересно также, какой мессенджер будет следующим?
мне кажется, что обратили на него внимание уже давно. Другой вопрос, что его может заменить в плане безопасности…

Почему не считаются? Есть полностью свободный Replicant, но список устройств небольшой, они устаревшие и вроде бы wifi не работает нигде (могу ошибаться).
Ещё есть PINEPHONE, смартфон на линуксе с хардварными свичами и вроде бы открытой спецификацией.

Именно из-за пайнфона и т.д. написал «экосистемы». Они радуют, но вот.

Про андроиды — копабельность маленькая.

Если есть доступ к телефону то зачем что-то взламывать? Можно ведь просто из приложения все прочитать.

Only those users with full accounts are able to leave comments. Log in, please.