Re: [Hackmeeting] Android, sicurezza e root era:[chiacchier…

Delete this message

Reply to this message
Author: bolo
Date:  
To: hackmeeting
Old-Topics: Re: [Hackmeeting] chiacchierata in valsusa
Subject: Re: [Hackmeeting] Android, sicurezza e root era:[chiacchierata in valsusa]
On 08/07/2013 21:03, Jaromil wrote:
> On Mon, 08 Jul 2013, Panda wrote:
>
>> Utilizzare l'encryption di android potrebbe portare vantaggi sui furbofoni?
>> all'avvio ti chiede una passphrase per sbloccare lo store.
>
> sara' un AES256 sullo storage no? non ho letto il codice, ma cmq spero
> arrivin piu' pareri da chi se ne intende, intanto resto convinto che un
> telefono non roottato sia "piu' sicuro" (ma meno difeso da google/NSA)
> (e cmq mi riferisco al concetto di sicurezza di sora lella... perche' se
> vogliamo parlare della situazione sicurezza sul chip GSM...)
>


Non credo sia cosi' vantaggioso, perche' comunque i dati di rubrica,
email e gps sono esposti.
Comunque:
The actual encryption used for the filesystem for first release is 128
AES with CBC and ESSIV:SHA256. The master key is encrypted with 128 bit
AES via calls to the openssl library.[0]

Il problema principale con AndroidOS e' il fatto che il source code e'
generalemnete manipolato a piacimento da qualsisai casa costruttrice
tant'e' che i principali siti di riferimento come CyanogenMod o
xda-developers hanno come macro aree i vendors e i modelli.
Del perche' sia meglio essere root ho gia' parlato nel precedente thread.
Aggiungo solo che se sei root puoi fantasticare sul farti delle custom
ROM e installare ROM cucinate che fanno ad esempio permission spoofing
di quasi tutti dati che le app salvano sul tuo telefono:

"What is permission spoofing
Permission spoofing means that the framework will return spoofed
informations to Apps instead of the original information based on
permissions that the App requested during installation. The main
motivation for the development of this functionality is the protection
of the privacy of the phones owner.
Examples for spoofed information are:

    Empty contact list instead of real contacts - READ_CONTACTS
    False location instead of real location - ACCESS_COARSE_LOCATION /
ACCESS_FINE_LOCATION
    False Information for phone id and phone number - READ_PHONE_STATE
    Empty log instead of real phone call log - READ_CALL_LOG
    Empty calendar list instead of real calendar entries - READ_CONTACTS
    ....
"[1]


[0]
http://source.android.com/devices/tech/encryption/android_crypto_implementation.html

[1]
http://forum.xda-developers.com/showthread.php?t=2088460
--
openpgp ID 0x9F5767D1