Où les spécimens en question ont été réellement trouvés.

Arrière-plan

Il y a deux ans, le 21 octobre 2008 plateforme mobile Android a cessé d'être une simple base virtuelle pour les développeurs et est entré dans le monde réel sous la forme d'un communicateur T-Mobile G1 (HTC Dream). Depuis sa première version, le système a subi de nombreux changements, tant au niveau de la qualité du code que du nombre de fonctionnalités qui lui sont fournies. Cependant, comme l'ont souligné à juste titre certains Khabrovites, la qualité et la popularité de la plateforme dépendent non seulement de l'intensité de son développement et de la qualité de son propre code, mais aussi des applications qu'elle permet d'utiliser.

De plus, si vous aimez faire attention aux petits détails, vous avez peut-être remarqué qu'Android ressemble à système opérateur, a rapidement acquis une grande popularité non seulement parmi utilisateurs ordinaires, mais aussi des fabricants d'appareils mobiles - après tout, ils ont rapidement commencé à produire des communicateurs de classe affaires.
Attention, il y a beaucoup de captures d'écran !

Personne n'est parfait

Cependant, la principale différence entre les appareils Android et les communicateurs professionnels réside dans la possibilité d'utiliser activement les services Internet, non seulement ceux fournis par le développeur principal - Google, mais également bien d'autres. Tout cela conduit les utilisateurs de la plateforme à devoir stocker de nombreuses données personnelles - non seulement les codes PIN de leurs cartes bancaires, mais aussi de nombreux mots de passe. Pendant longtemps J'ai moi-même stocké les mots de passe en "simple" carnet de notes- AK Notepad, cependant, je souhaite maintenant examiner les applications qui vous permettent de le faire plus correctement - en cryptant des informations qui ne sont pas destinées aux étrangers.

Revoir

Liste des candidats sélectionnés pour examen :

Lorsqu'il est lancé pour la première fois, KeePasDroid invite l'utilisateur à en créer un nouveau ou à ouvrir socle existant stockage du mot de passe :

GardezPassDroid. Riz. 1. Création/sélection d'une base de données pour les mots de passe.

J'exécutais cette application pour la première fois, il fallait donc créer la base de données :

GardezPassDroid. Riz. 2. Entrez le mot de passe principal.

En option, KeePassDroid propose également d'utiliser un fichier clé au lieu d'un mot de passe. J'utilise rarement des fichiers pour l'autorisation (à l'exception des connexions SSH), j'ai donc entré le mot de passe principal habituel.

Sans plus de questions, l'application m'a montré une liste de deux groupes avec un seul bouton « Ajouter un groupe », ce que je n'ai pas manqué de faire :

GardezPassDroid. Riz. 3. Liste des groupes avec le groupe « Réseaux Sociaux » que j'ai créé.

Malheureusement, au début, je n'ai pas remarqué que l'icône du groupe était sélectionnée lors de sa création, et changer l'icône d'un groupe déjà créé n'est pas prévu dans KeePassDroid :

KeePassDroid en a un une agréable opportunité- création de groupes imbriqués. Par conséquent, trier les mots de passe et les diviser en groupes et sous-groupes n'est limité que par le vol de votre imagination :)

Ainsi, au sein du groupe « Réseaux sociaux » qui a vu le jour, j'ai décidé de créer un seul élément - pour enregistrer le mot de passe de mon compte sur Facebook. Cela s'est avéré assez simple : à l'intérieur du groupe, vous devez cliquer sur le bouton « Ajouter une entrée », ce que j'ai fait :

Après avoir ajouté un élément, le groupe ressemble à ceci :

À l’intérieur de l’élément, vous pouvez voir les informations que vous avez saisies précédemment. Le mot de passe est affiché sous forme de points - sous forme claire, vous ne le reconnaîtrez pas même lors de la modification de l'élément. Au lieu de cela, KeePassDroid vous invite à copier le mot de passe dans votre presse-papiers en plaçant cette invite dans la zone de notification du système. Mais pour une raison quelconque, deux fois Selon l'utilisateur @pr0tey, dans la première ligne, l'application vous demande de copier votre identifiant, dans la seconde votre mot de passe (Fig. 9).

GardezPassDroid. Riz. 10. Menu Programme.	GardezPassDroid. Riz. 11. Paramètres.

Le menu du programme (Fig. 10), à mon avis, a des fonctionnalités suffisantes et nécessaires - rechercher des éléments existants, modifier le mot de passe principal et les paramètres du programme, ce qui m'a en quelque sorte rappelé les paramètres Programmes TrueCrypt(Fig. 11). KeePassDroid vous permet de stocker ou non l'historique du fichier clé, la durée de stockage dans le presse-papiers, de masquer ou non le mot de passe, etc. Dans l’ensemble, mes impressions sur l’application sont positives.

2. Dossiers B

Site officiel

Cela ressemble à la création d'une base de données lors de l'exécution d'applications de stockage informations classifiées- c'est une sorte de norme tacite parmi les développeurs Plateformes Android

L'application B-Folders ne s'écarte pas de ce standard, et dès le premier lancement l'utilisateur voit une offre standard :

Dossiers B. Riz. 1. Création d'une base de données pour les mots de passe.

Lors de la création d'une base de données, l'utilisateur a la possibilité de préciser l'emplacement de son stockage (dans mémoire interne téléphone, ou sur une carte SD), définissez un mot de passe et spécifiez également le temps après lequel la base de données sera fermée si elle n'est pas utilisée. Pour l'ouvrir, vous devrez saisir à nouveau le mot de passe.

Malheureusement, au moment de créer la base de données B-Folders, j'étais « content » écran désagréable Cependant, après un redémarrage, il a continué à fonctionner :

Dossiers B. Riz. 2. L'application s'est fermée de manière inattendue.

Lors du premier lancement, les développeurs d'applications informent leurs utilisateurs des nouvelles fonctionnalités du programme à l'aide d'une fenêtre contextuelle :

Dossiers B. Riz. 3. Notification des nouvelles fonctionnalités.

La notification indique que le programme a désormais la possibilité de créer une base de données sur une carte SD, ainsi que de la synchroniser à l'aide d'un câble USB, en plus de précédemment méthodes existantes faites-le sur le réseau. Personnellement, je n'aime pas ces notifications et je pense que la liste des fonctionnalités du programme pourrait simplement être placée dans la section « aide » ou quelque chose de similaire.

Créer nouvel élément dans B-Folders, c'est simple - vous devez cliquer sur le bouton « Nouvel élément », après quoi le programme vous proposera le choix suivant :

Dossier B. Riz. 4. Liste des éléments créés.

Comme toujours, je crée un dossier (groupe, catégorie) « réseau social » (Fig. 5), à l'intérieur il y a un élément « Mot de passe de connexion » (Fig. 6)

Tout comme KeePassDroid, B-Folders vous permet de créer des éléments à l'intérieur d'autres éléments et, surtout, des sous-dossiers. De cette manière, l'utilisateur dispose d'une plus grande liberté dans la répartition de ses éléments.

En travaillant avec le programme, il a été révélé fonctionnalité étrange. B-Folders, pour une raison quelconque, ferme la base de données de mots de passe lorsque vous cliquez sur les boutons Retour ou Accueil et vous devrez donc saisir le mot de passe principal à chaque fois si vous souhaitez simplement basculer entre B-Folders et le navigateur. À mon avis, ce n’est pas très pratique.

Pour terminer la description, je dirai ce qui suit. Les dossiers B ont point fort- possibilité de se synchroniser avec ordinateur de bureau, cependant, je n'aime pas vraiment les programmes qui stockent mes mots de passe et, en même temps, ont un accès incontrôlé à Internet.

En général, l'impression est positive, mais je souhaite également aux auteurs de rendre l'application plus stable.

3. Handy Safe Pro

Site officiel

Lorsqu'elle est lancée pour la première fois, l'application avertit honnêtement l'utilisateur qu'un version gratuite pendant une période de 14 jours (Fig. 1.)

Pratique et sûr Pro. Riz. 1. Avertissement concernant l'essai.	Pratique et sûr Pro. Riz. 2. Création d'une nouvelle base de données.

La prochaine étape - selon une tradition déjà établie - est la création d'une base de données permettant de stocker des informations secrètes (Fig. 2.). Après cette procédure, Handy Safe Pro affiche un écran avec une molette prédéfinie beaux dossiers, ce qui ne m'intéresse cependant pas - car je crée à nouveau un dossier « réseaux sociaux » afin d'y placer l'élément « Facebook » :)

Lors de l'ajout d'un nouvel élément au dossier « réseau social », l'application a affiché une liste très modeste de trois éléments - Carte, Modèle et Dossier, mais ensuite :

Pratique et sûr Pro. Riz. 5. Ensembles d'éléments.

Oh oui! Les développeurs m'ont fourni une liste des services Internet les plus populaires, y compris un vaste et belle icône Mon Facebook préféré s'est démarqué !

Remplir des informations sur un élément est similaire aux programmes évoqués précédemment, mais les informations à remplir ne sont pas limitées. quantité fixe champs – vous êtes libre d’ajouter autant d’informations de contact que vous le souhaitez. La seule chose qui m'a semblé un peu étrange, c'est qu'un champ de texte normal est utilisé pour saisir le mot de passe, ce qui est quand même un peu étrange pour une telle application.

Cependant, lors de la visualisation des informations sur un élément, les informations saisies apparaissent à l'utilisateur selon les besoins (Fig. 8) et ne sont révélées qu'après avoir cliqué sur le bouton « Afficher le mot de passe » (Fig. 9) :

Navigation informations détaillées, vous avez également la possibilité de copier le mot de passe dans le presse-papiers.

Pratique et sûr Pro. Riz. 10. Menu Programme.	Pratique et sûr Pro. Riz. 11. Paramètres.

Handy Safe Pro, comme B-Folders, a la capacité de synchroniser les données avec un ordinateur de bureau, cependant, vos données ne seront pas transférées sur Internet.

4. Maître de mot de passe

Site officiel

Password Master est peut-être le plus étrange de tous les programmes abordés dans cette revue.

Eh bien, dans une famille avec son lot de moutons noirs, il fallait encore que quelqu'un se démarque du lot. La création traditionnelle d'une base de données est représentée par la saisie d'un mot de passe principal, qui ne peut être qu'une combinaison de chiffres. Personnellement, je ne pense pas que ce soit très sécurisé, cependant, certains pourraient apprécier la saisie simplifiée des informations pour un appareil mobile. Qui sait... Une autre bizarrerie de cette application était l'écran vous demandant d'indiquer votre boîte mail principale. Rôle principal boîte aux lettres- la possibilité de restaurer le mot de passe maître si vous l'oubliez subitement. Bien entendu, c’est encore une fois une commodité au détriment de la sécurité.

Lors de la création d'un élément, Password Master, malheureusement, n'offre pas la possibilité de créer vos propres catégories, j'ai donc dû créer l'élément « Facebook » tel quel, en lui attribuant la catégorie « Internet », au lieu de la catégorie « réseau social ». que j'ai déjà aimé.

Le mot de passe est écrit dans un champ de texte normal, après quoi il semble que les développeurs de ce produit logiciel Ils ne se souciaient pas du tout de la sécurité.

L'apparence des éléments dépend directement de la catégorie sélectionnée :

Maître de mot de passe. Riz. 5. Ajout de Facebook.

Les paramètres de cette application sont banals, je ne m'y attarderai donc pas. Les impressions du programme sont très mitigées, même si cela plaira peut-être à ceux qui aiment les logiciels très simples.

5. OI en sécurité

Site officiel

Travailler avec OI Safe est similaire à travailler avec demandes précédentes– tout commence par la saisie du mot de passe principal (Fig. 1) et un avertissement indiquant que vous devez enregistrer la clé (Fig. 2) :

Après acceptation accord d'utilisation dans OI Safe, comme dans KeePassDroid, l'utilisateur voit une liste de deux catégories prédéfinies : Professionnel et Personnel. Malheureusement, j'ai commis une erreur et j'ai décidé de créer un élément « Facebook » dans la catégorie Personnel. Remarquant l'erreur, j'ai annulé la création, mais OI Safe a ajouté un élément vide à la catégorie (Fig. 3.4) :

Le deuxième inconvénient de cette action est l'impossibilité d'attribuer des icônes à des éléments ou à des catégories.

Le menu du programme (Fig. 4.) semble très modeste à moins que vous ne sélectionniez l'élément « Plus » (Fig. 7).

Les paramètres du programme sont également similaires à ceux de KeePassDroid et, tout comme KeePassDroid, OI Safe ne prend pas en charge la synchronisation des données utilisateur avec un ordinateur de bureau.

Mon étrange conclusion

J'ai examiné un petit échantillon, une seule direction de programmes présentés sur l'Android Market, et à mon humble avis - un ensemble applications existantes tout à fait capable de satisfaire de nombreux utilisateurs. Mais serez-vous d’accord avec moi ou non ?

Balises :

• androïde
• stockage de mot de passe
• marché androïde

Ajouter des balises

Articles et astuces

Tout le monde sait qu'au fond d'un appareil mobile, vous pouvez trouver une section où sont stockés les mots de passe dans Android ?. Cependant, beaucoup de gens pensent que ces mots de passe restent là. accès libre, et si le téléphone est perdu, quelqu'un pourra utiliser le compte en ouvrant simplement le dossier « account.db ». En fait, c’est une énorme idée fausse. C’est bien plus compliqué que ça, puisque tout est lié au matériel.

Lorsque vous vous inscrivez à Google, vous saisissez votre adresse e-mail et votre mot de passe. Votre appareil transmet ensuite au serveur code imei, qui est unique pour tous les modèles de téléphone, et reçoit en retour un jeton d'autorisation (jeton d'authentification). Ce jeton sera valable uniquement pour votre téléphone et c'est ce jeton, et non le mot de passe du compte, qui se trouvera dans le dossier account.db.

Si vous perdez un appareil enregistré, vous pouvez vous connecter à votre compte Google, par exemple depuis un ordinateur, et le désactiver. Désormais, personne ne peut entrer dans votre compte personnel Avec appareil perdu.

Mots de passe enregistrés dans le navigateur Android

Profiter Internet mobile, nous visitons souvent des sites où une inscription est requise, et pour gagner du temps, nous cliquons sur le bouton « Mémoriser ». Dans le même temps, nous ne pensons pas à l’endroit où sont stockés les mots de passe que nous spécifions dans Android. Et ils sont enregistrés dans le navigateur que nous utilisons, par exemple Opera mini. Et si disponible programmes nécessaires ces données sont faciles à visualiser. Et pour cela il n'est pas du tout nécessaire de le savoir, tout est simplifié.

Pour voir vos mots de passe enregistrés, vous aurez besoin programme spécial, fournissant des droits d'administration. Il peut s'agir d'Universal Androot ou de tout autre service similaire. Vous devez également télécharger l'application SQLite Editor et l'exécuter. Lorsque vous le lancerez pour la première fois, le programme analysera probablement votre appareil pour détecter la présence d'une base de données, après quoi il affichera une liste d'applications qui auront leur propre base de données. Recherchez le navigateur que vous utilisez dans la liste et cliquez dessus. Maintenant, un menu apparaîtra devant vous, dans lequel vous devez sélectionner « WebView ». db". Dans la fenêtre « mot de passe » qui apparaît, vous pouvez retrouver tous les mots de passe qui ont été enregistrés dans le navigateur.

Est-il possible de masquer les mots de passe sous Android

Il est peu probable que vous puissiez masquer les mots de passe enregistrés. Par conséquent, si quelqu'un d'autre que vous a accès à votre appareil mobile, suivez ces règles :

1) Désactivez l'option « Mémoriser » lors de l'enregistrement d'un nouveau compte.
2) Après chaque visite des pages Internet, supprimez votre historique de navigation.
3) Videz votre cache au moins une fois par semaine.

J'utilise l'incroyable service de stockage de mots de passe LastPass depuis des années et je trouve qu'il est le meilleur du genre. Cependant, pour la plateforme Android, ce service propose uniquement option payante une utilisation qui ne convient pas à tout le monde. Dans cet article, nous verrons comment récupérer vos mots de passe de LastPass, les transférer sur Android et les organiser stockage sécurisé et une utilisation pratique.

1. Exporter les mots de passe depuis LastPass

Récupérer vos mots de passe depuis ce service est très simple, le processus ne prend que quelques clics. Pour ce faire, vous devez vous rendre sur l’interface web du service et sélectionner « Exporter » dans le menu principal. Après cela, vous devez spécifier le nom du fichier et l'emplacement où il sera enregistré sur votre ordinateur.

2. Convertissez les mots de passe LastPass en mots de passe KeePass

Pour travailler avec des mots de passe sur un appareil mobile, nous utiliserons le programme. Il a des clients pour presque toutes les plateformes, a fait ses preuves en termes de sécurité, est pratique et gratuit. Mais avant de transférer vos mots de passe vers appareil mobile, ils doivent être convertis sous une forme compréhensible pour ce programme. Cette fonctionnalité existe dans la version de bureau de KeePass.

Installez KeePass sur votre ordinateur et créez nouvelle base mots de passe en spécifiant l’un des dossiers de Dropbox comme emplacement. Importez ensuite le fichier depuis Mots de passe LastPassà la base de données de mots de passe que vous avez créée.

3. Keepass2Android

Une fois que vos mots de passe sont sous une forme que KeePass peut comprendre, vous pouvez les transférer directement sur votre appareil mobile. La meilleure façon de procéder est d'utiliser client mobile Keepass2Android, qui peut synchroniser votre base de données de mots de passe via Dropbox. Installez ce programme, puis ouvrez la base de données de mots de passe que vous avez créée précédemment.

4. Remplissez automatiquement les mots de passe

L'un des plus fonctions pratiques LastPass est une opportunité remplissage automatique informations d'identification sur les sites enregistrés. Keepass2Android a également une fonction similaire, bien qu'elle soit implémentée un peu différemment. Le programme dispose d'un clavier spécial avec lequel les mots de passe sont saisis. Cela se produit comme suit.

1. Vous ouvrez la page de connexion dans votre navigateur (presque tous les navigateurs Android sont pris en charge).
2. En utilisant le menu « Envoyer », vous transférez cette page à Keepass2Android. Le programme trouve un mot de passe adapté à cette page dans sa base de données.
3. Ensuite, vous êtes invité à sélectionner un clavier. Sélectionnez l'option Keepass2Android.
4. Un clavier spécial apparaît sur lequel vous pouvez utiliser touches spéciales vous pouvez entrer en un clic champs obligatoires votre login et mot de passe pour la page ouverte.

Maintenant vous aurez sur votre gadget mobile une base de données bien sécurisée et synchronisée contenant tous vos mots de passe. De plus, nous avons la possibilité de saisir facilement des mots de passe en utilisant clavier spécial, qui vous permet d'accéder très rapidement et facilement aux sites dont vous avez besoin.

Alors que nos vies se numérisent rapidement, nous sommes littéralement entourés d’une variété de mots de passe. Et lorsque le nombre de services atteint des dizaines, se souvenir de leurs mots de passe est tout simplement irréaliste. Vous pouvez bien sûr utiliser le même mot de passe partout, mais cela est très peu sécurisé. Vous l'avez perdu - et tous les détails de votre vie pourraient revenir à quelqu'un de peu sympathique. Il est donc plus correct d'inventer partout différents mots de passe, puis notez-les dans un endroit isolé.

Mais comment choisir ce lieu ? Pour que ce soit à la fois pratique et fiable ? Il existe des centaines d'options. Je ne vous parlerai pas de toutes les applications de stockage de mots de passe. Cela prendra trop de temps car j'ai essayé beaucoup de choses. Je vais vous parler mieux des deux sur lesquels j'ai finalement opté.

J'utilise Android avec plaisir depuis de nombreuses années. application gratuite Dossiers B. Contrairement à de nombreux analogues, il est véritablement gratuit - il n'y a aucune restriction sur le nombre de champs dans les enregistrements, ni sur le nombre d'enregistrements eux-mêmes. La base de données est stockée sous forme cryptée ; par défaut, l'accès à celle-ci s'ouvre après saisie d'un mot de passe ou d'un code PIN (au choix). Pour un montant supplémentaire, vous pouvez activer le déverrouillage par empreinte digitale (299 roubles).

Le développeur travaille sur l'application depuis 2009 et semble avoir pensé à tout. Dans les paramètres, vous pouvez modifier l'apparence de l'application et des cartes, régler l'heure d'effacement forcé du presse-papiers après y avoir copié le mot de passe, permettre à la base de données de s'autodétruire après un certain nombre de mots de passe mal saisis, etc. . etc. La paranoïa des auteurs a atteint le point qu'il est même impossible de prendre une capture d'écran dans l'application - et c'est d'ailleurs tout à fait correct.

Vous pouvez trouver à redire sur deux choses. Premièrement, l'interface n'est pas localisée - tout est en anglais. Il n'y a aucun problème avec les noms et mots de passe russes, et toutes les inscriptions importantes sont dupliquées avec des icônes claires. Mais pour certains, cela peut être une nuisance.

Deuxièmement, il n'y a pas d'option synchronisation automatique socles avec stockage en nuage. Peut-être que cela est également fait pour sécurité supplémentaire bases de données de mots de passe. Mais ce dernier peut être enregistré sous forme de fichier crypté, envoyé vers n'importe quel cloud (Dropbox, OneDrive, etc.) et téléchargé de là sur un autre téléphone. La procédure prend littéralement une minute et tous vos paramètres favoris sont déplacés avec la base de données.

Donc, je n'aurais probablement utilisé que des dossiers B, mais la vie m'a obligé à rechercher une solution multiplateforme. Pour que vous puissiez également espionner les mots de passe particulièrement délicats sur Android, iOS et votre ordinateur. J'ai tout essayé et j'ai finalement opté pour... Mot de passe Kaspersky Directeur. L'application est également gratuite par défaut, mais si vous n'ajoutez pas d'argent, vous ne pouvez stocker que 15 mots de passe. Si vous en voulez plus, veuillez payer un supplément. Vous ne pouvez pas acheter l'application pour toujours ; la licence est valable un an. Mais malheureusement, c'est le cas de tous les jeux multiplateformes décents avec synchronisation en ligne. La seule question est le prix.

Et aussi étrange que cela puisse paraître, dans le cas de Kaspersky Password Manager, cela peut être très différent. J'ai été stupide d'acheter une licence directement via Magasin d'applications, où ils m'ont escroqué de 1000 roubles. Et sur le site de Kaspersky Lab, la même chose ne coûte que 450 roubles. Si vous avez acheté une licence pour Kaspersky Sécurité totale(1990 roubles par an pour deux ordinateurs), vous obtiendrez alors Password Manager en bonus entièrement gratuitement.

Étant donné que Password Manager a des racines russes, la localisation est présente dans en entier. Pour les sites Internet, les applications et les données personnelles, il existe différents formats cartes, et il y a une section séparée pour les notes. Bien sûr, également crypté. J'ai aimé que lorsque vous entrez un mot de passe pour un site, son icône soit automatiquement mise à jour dans le menu - cela permet de ne pas se perdre plus facilement lorsqu'il y a beaucoup de mots de passe. De plus, si vous ouvrez le site directement depuis l'application, celle-ci tentera d'insérer le mot de passe dans le formulaire. Cela ne fonctionne pas toujours, car les formulaires sont rédigés de différentes manières. Mais parfois, cela fait vraiment gagner du temps.

Les mots de passe saisis une fois sont stockés dans le cloud de Kaspersky Lab et sont accessibles depuis tous les appareils autorisés. Protection supplémentaire garantit la présence d'un mot de passe principal : c'est-à-dire qu'il ne suffit pas de saisir les informations de votre compte, vous en avez besoin d'un autre par-dessus. Connectez-vous à l'application à l'aide d'un code PIN, d'une empreinte digitale ou - in Coque iPhone X – le long du museau du visage. Il existe des versions pour PC et Mac, mais il est probablement plus facile d'y accéder via un navigateur.

Le seul inconvénient du produit est le manque de possibilité d'achat licence à vie, d'une manière ou d'une autre, c'est plus calme avec elle. Mais il semble que le temps pour de telles licences soit compté.

Prenez soin de vos mots de passe ! Il y a trop à perdre avec eux. Il suffit de rappeler les centaines de malades qui ont oublié les détails de leur portefeuille Bitcoin :)

Vues : 4 540

Imaginons la situation suivante. On retrouve un smartphone sous Contrôle Android 4.1–4.4 (ou CyanogenMod 10–11) et au lieu de le rendre à son propriétaire, nous décidons de le garder pour nous et d'en extraire toutes les informations confidentielles possibles. Nous allons essayer de faire tout cela sans outils spécialisés comme divers systèmes pour effectuer directement un dump de la mémoire NAND ou des périphériques matériels pour supprimer S-ON et pour que le propriétaire ne sache pas ce que nous faisons et ne puisse pas trouver ou bloquer l'appareil à distance. Permettez-moi tout de suite de faire une réserve : il ne s'agit pas du tout d'un guide d'action, mais d'un moyen d'explorer la sécurité des smartphones et de fournir des informations à ceux qui souhaitent protéger leurs données.

AVERTISSEMENT!

Toutes les informations sont fournies à titre informatif uniquement. Ni l'auteur ni les éditeurs ne sont responsables de préjudice possible causés par les matériaux de cet article.

Actions prioritaires

Nous avons donc mis la main sur le smartphone de quelqu’un d’autre. Peu importe comment, il est important que nous l’ayons déjà. La première chose que nous devons faire est de le détacher de réseau cellulaire, c'est-à-dire en suivant le commandement des Gopniks, retirez et jetez la carte SIM. Cependant, je recommanderais de ne le faire que si la carte SIM peut être retirée sans éteindre le smartphone, c'est-à-dire soit en soulevant délicatement la batterie, soit via la fente latérale, s'il s'agit d'un smartphone avec batterie non amovible(Nexus 4/5, par exemple). Dans tous les autres cas, il vaut mieux se limiter à activer le mode avion, car il est fort possible que le mode de cryptage des données utilisateur soit activé sous Android et, après l'avoir éteint, le smartphone sera verrouillé jusqu'à ce que la clé de cryptage soit entré.

Aussi, vous ne devez en aucun cas connecter votre smartphone à un Réseaux Wi-Fi, puisque, peut-être, le logiciel de suivi installé dessus (et il est déjà intégré à Android 4.4.1) commencera immédiatement son travail et vous pourrez avoir une rencontre « fortuite » avec le propriétaire et ses amis (vous n'avez pas s'inquiéter pour la police, c'est une telle victime qu'elle enverra). Caméra frontale Je l'enregistrerais avec quelque chose juste au cas où, peut-être qu'elle prend des photos maintenant et qu'elles seront envoyées à la première occasion.

Écran de verrouillage

Maintenant que nous avons sécurisé notre personne, nous pouvons commencer les fouilles. Le premier obstacle que nous devrons contourner est l'écran de verrouillage. Dans 95 % des cas, il n’aura aucune protection, mais nous ne pouvons pas oublier les cinq pour cent restants.

Il existe trois principaux types d’écran de verrouillage sécurisé sur Android. Il s'agit d'un code PIN à quatre chiffres, d'un motif ou d'une photo du visage. Pour débloquer les deux premiers, vingt tentatives au total sont proposées, réparties en cinq morceaux avec une « minute de repos » entre eux. Il existe plusieurs tentatives de déverrouillage à l'aide d'une photo du visage, après quoi le smartphone passe à un code PIN. Dans les trois cas, après l'échec de toutes les tentatives, le smartphone se bloque et demande Mot de passe Google.

Notre tâche est d'essayer de contourner l'écran de verrouillage pour ne pas recourir au mot de passe Google, que nous ne pourrons certainement pas deviner. Le moyen le plus simple de procéder consiste à utiliser une connexion USB et ADB :

$ adb shell rm /data/system/gesture.key

Ou comme ceci :

$ adb shell $ cd /data/data/com.android.providers.settings/databases $ sqlite3 settings.db > mettre à jour la valeur de l'ensemble du système = 0 où name="lock_pattern_autolock" ; > mettre à jour la valeur définie par le système = 0 où name="lockscreen.lockedoutpermanently" ; >.quitter

Cependant, cette méthode présente deux problèmes. Il nécessite les droits root et ne fonctionnera pas sous Android 4.3 et supérieur, car l'accès à ADB nécessite une confirmation de l'appareil, ce qui est impossible à faire lorsque l'écran est verrouillé. De plus, l'accès ADB peut être désactivé dans les paramètres.

Nous pouvons descendre d'un niveau et utiliser la console de récupération pour supprimer le fichier de clé de verrouillage. Pour ce faire, redémarrez simplement dans la console de récupération (éteignez + rallumez tout en maintenant enfoncée la touche d'augmentation du volume) et flashez le fichier suivant. Il contient un script qui supprimera /data/system/gesture.key et supprimera le verrou sans perturber le firmware actuel.

Le problème de cette approche est la dépendance à l’égard d’une console de récupération personnalisée. La console de stock n'acceptera tout simplement pas le fichier comme signé de manière incorrecte signature numérique. De plus, si le cryptage des données est activé, lors du prochain démarrage, le téléphone sera verrouillé et uniquement suppression complète toutes les données qui vont à l'encontre de notre tâche.

Encore plus niveau bas- il s'agit de fastboot, c'est-à-dire de manipulation de l'appareil au niveau du bootloader. La beauté de cette méthode est que le chargeur de démarrage déverrouillé vous permet de faire n'importe quoi avec l'appareil, y compris télécharger et installer une console de récupération personnalisée. Pour ce faire, éteignez simplement le smartphone (encore une fois, nous tenons compte du cryptage des données) et allumez-le en mode bootloader à l'aide du bouton power + « volume bas ». Après cela, vous pouvez vous connecter à l'appareil à l'aide du client fastboot :

$périphériques à démarrage rapide

Maintenant, nous téléchargeons l'image « brute » de la console de récupération personnalisée (avec l'extension img) pour « notre » appareil et essayons de la télécharger sans installation :

$ démarrage rapide cwm-recovery.img

Si le chargeur de démarrage de l'appareil est déverrouillé, le smartphone redémarrera dans la console, à travers laquelle vous pourrez activer le mode ADB, l'utiliser pour télécharger la « mise à jour », dont le lien est donné ci-dessus, et la flasher. Ensuite, il suffira de redémarrer pour obtenir accès completà un smartphone. À propos, si vous devenez propriétaire de l'un des appareils Nexus, vous pouvez facilement déverrouiller son chargeur de démarrage comme ceci :

$ Déverrouillage OEM Fastboot

Mais ce n’est qu’une matière à réflexion, puisque l’opération de déverrouillage réinitialise automatiquement l’appareil aux paramètres d’usine.

Parlons maintenant de ce qu’il faut faire si toutes ces méthodes ne fonctionnent pas. Dans ce cas, vous pouvez essayer de trouver un bug dans l’écran de verrouillage lui-même. Étonnamment, malgré l'absence d'un tel Android pur, on les retrouve assez souvent dans les écrans de verrouillage des firmwares de marque du fabricant. Par exemple, dans Note de galaxie 2 et Galaxy S 3 basés sur Android 4.1.2, un bug amusant a été trouvé une fois qui vous permettait d'accéder brièvement au bureau en appuyant simplement sur le bouton " Appel d'urgence", puis le bouton ICE (en bas à gauche dans le composeur) et enfin le bouton Home. Après cela, le bureau est apparu pendant littéralement une demi-seconde, ce qui était largement suffisant pour supprimer le verrou.

Un bug encore plus stupide a été trouvé dans le Xperia Z : vous pouviez composer un code sur le numéroteur d'urgence pour accéder au menu d'ingénierie ( # #7378423## ), utilisez-le pour accéder au menu NFC Diag Test puis quittez le bureau en appuyant sur le bouton « Accueil ». Il m’est très difficile d’imaginer comment des insectes aussi sauvages pourraient apparaître, mais ils existent.

Concernant le contournement clé graphique, tout est assez simple ici. Il peut être désactivé de la même manière que le code PIN, mais il en existe deux autres fonctionnalités supplémentaires. Premièrement, même malgré le nombre impressionnant options possibles clés, les gens, en raison de leur psychologie, choisissent le plus souvent une clé similaire à l'une des lettres alphabet latin, c'est-à-dire les mêmes Z, U, G, numéro 7 et ainsi de suite, ce qui réduit le nombre de possibilités à quelques dizaines. Deuxièmement, lors de la saisie d'une touche, votre doigt laisse sur l'écran une marque pas du tout illusoire, qui, même floue, est assez facile à deviner. Cependant, le dernier inconvénient peut être facilement compensé par des mesures de protection film mat, sur lequel il ne reste tout simplement aucune trace.

Eh bien, la dernière chose dont je voudrais parler est ce qu'on appelle le contrôle du visage. Il s'agit de l'option de blocage la plus lourde, qui, d'une part, est très facile à contourner en montrant simplement au smartphone une photo du propriétaire, mais d'autre part, elle est assez difficile, car sans même connaître le nom du propriétaire, il n'est pas possible d'avoir sa photo. Même si cela vaut certainement la peine d'essayer de vous prendre en photo, il est fort possible que vous ressembliez à l'ancien propriétaire.

À l'intérieur

Disons que nous avons contourné l'écran de verrouillage. Désormais, nos actions viseront à retirer le plus possible plus d'informations depuis un smartphone. Permettez-moi de faire une réserve tout de suite : le mot de passe de Google, des services comme Facebook, Twitter et le numéro cartes de crédit nous ne l'obtiendrons pas. Ni l’un ni l’autre ne sont simplement disponibles sur smartphone ; au lieu de mots de passe, des jetons d'authentification sont utilisés, qui donnent accès au service uniquement avec de ce smartphone, et ces derniers sont stockés sur les serveurs des services correspondants ( Google Play, PayPal), et les mêmes jetons sont utilisés à la place.

De plus, vous ne pourrez même pas acheter quelque chose sur Google Play, car il dernières versions vous oblige à demander votre mot de passe Google à chaque fois que vous effectuez un achat. Cette fonction peut d'ailleurs être désactivée, mais même dans ce cas, le sens des achats sera perdu, puisque tout le contenu sera lié au compte de quelqu'un d'autre.

D’un autre côté, nous pourrions très bien, sinon détourner complètement les comptes, du moins lire le courrier de l’utilisateur, Facebook et d’autres informations personnelles, et il se peut qu’il y ait déjà quelque chose d’intéressant là-dedans. Dans ce cas, Gmail générera un bénéfice spécial, qui pourra être utilisé pour restaurer votre compte sur d'autres services. Et si l'utilisateur n'a pas encore eu le temps de se rendre dans un magasin de communication pour bloquer la carte SIM, alors il sera possible de confirmer son identité à l'aide du numéro de téléphone. Mais vous ne devriez le faire qu'après avoir éteint tout le monde mécanismes de défense(nous ne voulons pas être suivis à l’aide d’un antivol).

Suppression de l'antivol

Toutes les applications de suivi des smartphones fonctionnant sous Android peuvent être divisées en trois groupes : « poubelle », « jouets » et « pull ». Les premiers se distinguent par le fait qu'ils ont été rédigés par des étudiants d'écoles techniques en trois heures et représentent en fait le plus candidatures régulières, qui peut récupérer les données d'un capteur de position et les envoyer vers un emplacement inconnu. La beauté particulière de ces logiciels est qu’ils sont très faciles à détecter et à supprimer. En fait, parcourez simplement la liste logiciel installé, saisissez des noms incompréhensibles dans la recherche, identifiez les logiciels antivol et supprimez-les. C'est exactement ce qu'il faut faire dans un premier temps.

Le deuxième type d’application prétend être un outil sérieux, mais en réalité ce n’en est pas un. Généralement, un tel logiciel peut non seulement envoyer des coordonnées à serveur distant, mais aussi pour se cacher, et aussi pour se protéger contre la suppression. La deuxième fonction est généralement implémentée en créant l'application en tant que service sans Interface graphique. Dans ce cas, son icône ne sera pas visible dans la liste des applications, mais l'application elle-même sera bien entendu suspendue en arrière-plan, ce qui est facile à déterminer à l'aide de n'importe quel gestionnaire de processus.

La protection contre la suppression dans de tels « logiciels » est généralement mise en œuvre en vous inscrivant en tant qu'administrateur de périphérique. La deuxième action que vous devez effectuer est donc d'aller dans « Paramètres -> Sécurité -> Administrateurs de périphériques » et de décocher simplement toutes les applications qui y sont répertoriées. Le système doit demander un code PIN ou un mot de passe, mais s'il ne figure pas déjà sur l'écran de verrouillage, l'accès sera accordé immédiatement. C'est drôle, mais l'antivol de Google, qui est en fait intégré au système d'exploitation, est désactivé exactement de la même manière.

Enfin, le troisième type d'application est l'antivol, qui a été programmé par des personnes. Principale différence applications similaires c'est qu'en plus de se déguiser, ils savent aussi s'enregistrer dans la partition /system (s'il y a root), c'est pourquoi vous devez les supprimer moyens standards devient impossible. Le seul problème est qu'ils seront toujours visibles dans la liste des processus, et pour les désactiver, il suffit d'aller dans « Paramètres -> Applications -> Tous », puis de cliquer sur l'application souhaitée et cliquez sur le bouton « Déconnecter ».

C'est tout ce qu'est la protection. Cette liste devrait également inclure applications normales, implémenté en tant que module du noyau ou au moins une application Linux native, qui ni gestionnaire de normes Cela ne montrera aucun processus, mais pour une raison quelconque, je n’ai encore rien vu de tel. D'un autre côté, les commandes ps et lsmod les exposeraient toujours (à moins qu'il ne s'agisse d'une véritable porte dérobée), de sorte que le niveau de furtivité n'augmenterait pas beaucoup.

Vidage racine et mémoire

L'étape suivante consiste à effectuer un vidage de la mémoire interne. Nous ne pouvons pas être sûrs qu'il n'y a plus de favoris sur le téléphone, surtout s'il micrologiciel propriétaire de HTC et Samsung, donc avant d'allumer le réseau, il est préférable de sauvegarder toutes ses données sur notre disque dur. Dans le cas contraire, ils risquent d'être supprimés à la suite d'un vidage à distance.

Pour cela il est impératif de droits root(à moins bien sûr que le téléphone ne soit pas encore rooté). Comment les obtenir fait l'objet d'un article séparé, d'autant plus que chaque smartphone a ses propres instructions. Le plus simple est de les retrouver sur un forum thématique et de les réaliser en connectant votre smartphone à votre ordinateur via USB. Dans certains cas, le root nécessitera un redémarrage, il est donc préférable de s'assurer immédiatement que les données du smartphone ne sont pas cryptées (Paramètres -> Sécurité -> Cryptage), sinon après le redémarrage nous en perdrons l'accès.

Une fois root obtenu, copiez simplement les fichiers dans disque dur Avec en utilisant la BAD. Nous ne nous intéressons qu'aux partitions /data et /sdcard, nous faisons donc ceci (instructions pour Linux) :

$ racine adb $ adb pull /data $ mkdir carte sd && cd carte sd $ adb pull /sdcard

Tous les fichiers seront reçus dans le répertoire actuel. Veuillez noter que si le smartphone ne dispose pas d'un emplacement pour carte SD, le contenu carte virtuelle la mémoire sera située dans la section /data et la deuxième commande ne sera tout simplement pas nécessaire.

Que faire ensuite avec ces fichiers, seule votre imagination vous le dira. Tout d’abord, vous devez faire attention au contenu de /data/data, tout y est stocké paramètres privés tout le monde applications installées(y compris ceux du système). Les formats de stockage de ces données peuvent être complètement différents, mais la pratique générale est de les stocker dans des formats traditionnels. Bases de données Android Données SQLite3. Ils sont généralement situés le long des chemins suivants :

/data/data/com.examble.bla-bla/setting.db

Vous pouvez tous les trouver à l'aide de la commande Linux find, exécutée dans le répertoire d'origine :

$trouver. -nom\*.db

Ils peuvent contenir non seulement des données personnelles, mais également des mots de passe (le navigateur intégré les stocke exactement ainsi et sous forme claire). Il vous suffit de télécharger n'importe quel gestionnaire de base de données graphique SQLite3 et de saisir la chaîne du mot de passe dans son champ de recherche.

Recherche d'applications

Nous pouvons désormais enfin désactiver le mode avion pour que le smartphone puisse communiquer avec les services Google et d'autres sites. Il ne devrait plus y avoir de carte SIM dedans, et la détermination de localisation (y compris par IP) peut être désactivée dans « Paramètres -> Localisation ». Après cela, il ne sera plus possible de nous suivre.

Que faire ensuite ? Parcourez la correspondance dans Gmail, trouvez des mots de passe. Des personnes particulièrement scrupuleuses créent même un dossier spécial pour les lettres avec mots de passe et informations confidentielles. Vous pouvez également essayer de demander un changement de mot de passe sur les services avec confirmation de en utilisant le courrier électronique, mais dans Cas Google, Facebook, PayPal et autres services normaux, cela ne fonctionnera que si vous disposez d'un numéro de téléphone, pour lequel vous devrez remettre la carte SIM à sa place.

En général, tout est standard ici. Nous avons un e-mail, peut-être un numéro de téléphone, mais pas de mots de passe pour les services. Tout cela devrait suffire à pirater de nombreux comptes, mais la question de savoir si cela est nécessaire ou non est une question plus sérieuse. Même Compte PayPal ou WebMoney est extrêmement difficile à restaurer même pour le propriétaire lui-même, et les informations reçues ici ne suffiront clairement pas. L'intérêt de détourner les comptes d'Odnoklassniki et d'autres sites similaires est très discutable.

Vous pouvez effacer la partition /system des signets possibles en réinstallant simplement le micrologiciel. De plus, il est préférable d'en utiliser un non officiel et de le flasher console standard récupération. Dans ce cas, l'anti-voleur ne pourra pas se sauvegarder en utilisant les fonctions de la console personnalisée.

Conclusions

En aucun cas je ne préconise de faire ce qui est décrit dans cet article. Les informations qu’il contient sont au contraire destinées aux personnes souhaitant protéger leurs données. Et ici, ils peuvent tirer plusieurs conclusions évidentes pour eux-mêmes.

• Premièrement : pour protéger les informations sur un smartphone, trois seulement suffisent mécanismes simples, déjà intégré au smartphone : mot de passe sur l'écran de verrouillage, cryptage des données et ADB désactivé. Activés ensemble, ils couperont complètement tous les chemins d’accès à l’appareil.
• Deuxièmement : avoir un antivol sur son smartphone est très bonne idée, mais il ne faut pas s'y fier à 100 %. Le mieux qu’il puisse offrir est la possibilité de supprimer des données si elles sont capturées par un voleur peu intelligent.
• Et troisièmement, le plus évident : immédiatement après avoir perdu votre smartphone, vous devez révoquer votre mot de passe Google, changer les mots de passe sur tous les services et bloquer votre carte SIM.