Комментарии 48
Apple сохраняет пароли от Wi-Fi в зашифрованном виде (AES) при помощи 256 битного ключа, который хранится только на конкретном устройстве (другое устройство не сможет расшифровать эти данные)
А в чем тогда смысл хранить эти данные в облаке?
Я не держу Apple, но предполагаю, что это для случая сброса настроек до заводских — можно будет сразу получить и расшифровать старые пароли.
Тем более что шифруются только пароли, и на другом устройстве их не будет. Последний абзац.
Тем более что шифруются только пароли, и на другом устройстве их не будет. Последний абзац.
>> В свете последних событий не очень хочется что-бы Американские спецслужбы так легко могли получить доступ к домашним и корпоративным сетям.
*зевнул* да пущай балуюцца, они же «ну тупыая!»
*зевнул* да пущай балуюцца, они же «ну тупыая!»
Лажает Гугл в последнее время…
Не очень понятно, с чего автор бага взял, что данные хранятся в незашифрованном виде? Чтобы получить все эти данные, нужно залогиниться под своим логином/паролем, разве нет?
Да и отключение функции Back Up My Data автоматически удаляет всю эту информацию.
Да и отключение функции Back Up My Data автоматически удаляет всю эту информацию.
Суть в том, что далеко не все люди знают об этой фиче и еще меньше из знающих — понимают на что подписываются. В статье говорится про университет в Паасу, так вот соглашение об использовании у них существует давно, но специально для простых людей они еще раз разжевали и написали что именно нужно сделать и как это важно (за неделю до публикации бага).
Так вопрос не про то, что происходит в Паасу, а в том, с чего взяли, что данные незашифрованы? Передача на серверы гугла зашифрована, а получить их с сервера можно только по аутентификации через аккаунт гугла.
Или по просьбе правообладателей спецслужб.
Вы правы, только тот кто имеет доступ к гугл-аккаунту может получить эти пароли, однако в свете последних событий можно утверждать что эти пароли попадают в PRISM, ни о каком шифровании (паролем от гугл-аккаунта например) ни где не сказано, вывод — канальное шифрование есть, однако информация на сервере лежит открытым текстом.
Вы правы, только тот кто имеет доступ к гугл-аккаунту может получить эти пароли, однако в свете последних событий можно утверждать что эти пароли попадают в PRISM, ни о каком шифровании (паролем от гугл-аккаунта например) ни где не сказано, вывод — канальное шифрование есть, однако информация на сервере лежит открытым текстом.
Ну а делов-то прикрутить Wi-Fi-точку по WPA2-Enterprise с верификацией по RADIUS, там хоть есть пароль у NSA, хоть нет — абсолютно неважно :).
А где будут храниться данные для подключения? Все там же в Android-е. Проблема в том, что и VPN пароли/настройки «бэкапятся» на сервера Google
В исходной статье есть про это
The risk that Google or NSA staff will park in front of Joe Blogg's house and rummage around his home network may be marginal, but for businesses using single sign-on procedures, the Wi-Fi password is often the gateway to company email and to VPNs to the company network, etc. And European companies are unlikely to be keen on the idea of this backup service, activated by default, allowing US secret services to access their networks with little effort.
Мне тут намекнули что все-таки не Паасу, а Пассау…
Вы как-то странно отвечаете на вопрос :)
Я тоже не увидел ни в баге, ни в статье доказательства того, что гугл хранит пароли от WiFi в незашифрованном виде, но это не помешало вам даже выделить подчеркиванием этот факт :) Кроме того бэкап данных привязывается к пользовательскому аккаунту, так что, во-первых, сторонний человек не получит к ним доступ, во-вторых, логично было бы предположить, что происходит шифрация паролем пользователя. Конечно, насчет последнего хорошо было бы явно услышать информацию от гугла, но и бездоказательно утверждать обратно тоже очень странно.
Кстати, насчет «не все люди знают об этой фиче» — это явно сообщается пользователю при активации аккаунта.
Я тоже не увидел ни в баге, ни в статье доказательства того, что гугл хранит пароли от WiFi в незашифрованном виде, но это не помешало вам даже выделить подчеркиванием этот факт :) Кроме того бэкап данных привязывается к пользовательскому аккаунту, так что, во-первых, сторонний человек не получит к ним доступ, во-вторых, логично было бы предположить, что происходит шифрация паролем пользователя. Конечно, насчет последнего хорошо было бы явно услышать информацию от гугла, но и бездоказательно утверждать обратно тоже очень странно.
Кстати, насчет «не все люди знают об этой фиче» — это явно сообщается пользователю при активации аккаунта.
Осилил-таки все обсуждение, так что сам могу ответить на свой же вопрос :)
В общем суть претензии не в том, что они хранятся в незашифрованном виде (более того, я бы все-таки предположил, что это не так), а в том, что у гугла на сервере есть все данные, чтобы получить эти пароли. То есть:
а) при активации аккаунта на новом девайсе получаешь все пароли — значит, привязка не к железу.
б) при смене пароля от аккаунта все равно можешь бэкапить и получать пароли — значит, привязка не к паролю. Хотя вот тут можно было бы предположить, что происходит просто перезатирание старого бэкапа новым, зашифрованным новым паролем, так что нельзя исключать такой вариант.
Баг закрыли, мотивировав тем, что AOSP только предоставляет интерфейс, но не транспорт (который является частью google services и потому закрыт), а между тем могли бы реализовать шифрацию а AOSP, чтобы, во-первых, на транспортный уровень передавались уже зашифрованные данные, во-вторых, чтобы этот код был открыт и все могли проверить его на корректность.
В общем суть претензии не в том, что они хранятся в незашифрованном виде (более того, я бы все-таки предположил, что это не так), а в том, что у гугла на сервере есть все данные, чтобы получить эти пароли. То есть:
а) при активации аккаунта на новом девайсе получаешь все пароли — значит, привязка не к железу.
б) при смене пароля от аккаунта все равно можешь бэкапить и получать пароли — значит, привязка не к паролю. Хотя вот тут можно было бы предположить, что происходит просто перезатирание старого бэкапа новым, зашифрованным новым паролем, так что нельзя исключать такой вариант.
Баг закрыли, мотивировав тем, что AOSP только предоставляет интерфейс, но не транспорт (который является частью google services и потому закрыт), а между тем могли бы реализовать шифрацию а AOSP, чтобы, во-первых, на транспортный уровень передавались уже зашифрованные данные, во-вторых, чтобы этот код был открыт и все могли проверить его на корректность.
Баг закрыли, потому что он «не в той ветке», обсуждение закончилось словами «so, please re-open this issue.»
Не может гугл ничего шифровать моим паролем, потому как не знает его, а хранит только его хэш. По крайней мере, я надеюсь на это…
Но фича ведь и правда удобная. Как-то подключался у друзей к WiFi, пришел потом с планшетом, а он автоматом подключился и не пришлось вводить этот ужас опять посимвольно.
Причем если мне память не отказывает, то на телефоне был ЦианогенМод.
Причем если мне память не отказывает, то на телефоне был ЦианогенМод.
Это не совсем то. Пароли и сети Android и так помнит. Суть в том, что эти данные еще и отсылаются Гуглу. В случае восстановления данных — удобно, в случае неразглашения паролей (не только от домашнего роутера друзей) — не очень.
Я имел ввиду, что вводил один раз на телефоне, когда планшета даже еще не было, а потом пришел с новым планшетом и WiFi автоматически подключился. То есть он хранится с моим аккаунтом и синхронизируется именно с Гугловскими серверами.
Хотя я плохо в этом разбираюсь и может синхронизация Андроида происходит не с серверами Гугла, а есть что-то специфическое у альянса?
Хотя я плохо в этом разбираюсь и может синхронизация Андроида происходит не с серверами Гугла, а есть что-то специфическое у альянса?
Неприятно, конечно, но пароль доступа моего домашнего вай-фай по ценности где-то сразу после правильным ответом на секретный вопрос о девичьей фамилии моей матери
Хранение паролей, привязанных к своему аккаунту в открытом виде — это как хранение в дропбокс своих личных файлов…
В дропбоксе лежат либо TrueCrypt контейнеры, а где они не поддерживаются (на работе например) — архивы с 128-и символьным паролем для временного пользования.
Я например храню в DropBox-е кучу личных файлов, в том числе сканы пасспортов, банковские реквизиты, итп. Плюс это еще, парой скриптиков, в одностороннем порядке, бэкапится в box, skydrive, google drive и ubuntu one ;) Спасибо encfs, все надежно зашифровано.
Очень удобная функция. Я бы вообще отдал им все свои личные данные (хотя они и так у них есть), чтобы была возможнсоть полностью восстановить телефон — приложения, их данные, файлы на /sdcard — автоматически, из облака, что-то вроде восстановление iPhone из резервной копии.
Как справедливо заметили выше, в статье нет доказательства того, что Google хранит эти данные в незашифрованном виде. Получить данные можно только если авторизуешься под своим логином. Что же до спецслужб, то по-моему и дураку ясно, что если ты сильно вне закона, то не стоит пользоваться Андроидом или iOs. В общем, проблема ни о чём.
Как справедливо заметили выше, в статье нет доказательства того, что Google хранит эти данные в незашифрованном виде. Получить данные можно только если авторизуешься под своим логином. Что же до спецслужб, то по-моему и дураку ясно, что если ты сильно вне закона, то не стоит пользоваться Андроидом или iOs. В общем, проблема ни о чём.
После информации что хром хранит пароли незашифрованные, можно поверить что и на сервере они пароли не шифруют.
Все браузеры, как минимум по умолчанию, хрянат пароли незашифроваными. Единственное решение, для локального шифрования паролей — это мастер пароль (что не всегда удобно), а кодирирование фалов с помощью вшитого фиксированого ключа (так, кажется, эксплорер делает) — это не более чем защита от глупого пользователя, но никак не «шифрование».
Для меня это не проблема — дома уже года два как в Wi-Fi использую WPA2-Enterprise (EAP-TLS на сертификатах).
Если кому-то интересно, все пароли от известных сетей в андроиде лежат в виде текста в файле /data/misc/wifi/wpa_supplicant.conf, правда, чтобы до него добраться, нужны root-права.
Интересно и чем поможет резиденту США мой пароль на подключение к домашнему Wi-Fi если они его узнают?
По моему это сведения из разряда на заборе «Вася любит Дашу»
По моему это сведения из разряда на заборе «Вася любит Дашу»
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Android хранит незашифрованные пароли от Wi-Fi на серверах Google