PDA

View Full Version : Google disattiva la crittografia su Android 5.0


Redazione di Hardware Upg
03-03-2015, 15:01
Link alla notizia: http://www.hwupgrade.it/news/telefonia/google-disattiva-la-crittografia-su-android-50_56299.html

È stato verificato che alcuni prodotti basati su Lollipop vengono commercializzati con la crittografia del disco disattivata. Google ha modificato le specifiche eliminando l'obbligo di tale funzionalità .

Click sul link per visualizzare la notizia.

themac
03-03-2015, 15:29
Ma ce la stanno menando dall'uscita di Lollipop con questa cosa della crittografia, che adesso Android e' rivolto al mondo pro, che adesso Android e' pronto per i professionisti rampanti che usano due, tre BlackBerry impilati ecc. ecc.

E ora ?

TheMac

demon77
03-03-2015, 15:42
La storia della crittografia è divnetata spinosa per questioni di prestazioni.
Attivandola si incorre in un aumento dei consumi, un maggiore impegno della CPU e un rallentamento delle fasi scrittura e lettura sulla memeoria interna..

Detto questo è chiaro come mai non vogliono attivarla di default.

Per risolvere il problema alla radice ci vorrebbe una componente del soc specifica e dedicata e appsitamente progettata per la codifica e decodifica dei dati..

s0nnyd3marco
03-03-2015, 15:47
La storia della crittografia è divnetata spinosa per questioni di prestazioni.
Attivandola si incorre in un aumento dei consumi, un maggiore impegno della CPU e un rallentamento delle fasi scrittura e lettura sulla memeoria interna..

Detto questo è chiaro come mai non vogliono attivarla di default.

Per risolvere il problema alla radice ci vorrebbe una componente del soc specifica e dedicata e appsitamente progettata per la codifica e decodifica dei dati..

Concordo, ma preferisco lasciarla opzionale. Considera che la crittografia non e' la panacea a tutti i mali, ma richiede anche un utilizzo "cum grano salis". A poco serve avere lo storage crittografato se poi installi app e giochi provenienti da tutte le parti, fai il root del device e dai i permessi a qualunque cosa.

Piuttosto che integrino di default la gestione dei permessi per le app come iOS oppure come alcuni moduli xposed.

acerbo
03-03-2015, 16:06
Sul nexus 7 LTE l'aggiornamento da 4.4.4 é stato direttamente alla 5.0.2 e l'encryption é disabilitata per default.
Il problema é ch le performances non sono per nulla milgiorate, con KitKat il tablet era una scheggia, adesso nonostante il passaggio ad ART é tutto meno reattivo, dal boot del sistema all'apertura delle applicazioni, nulla di drammatico, ma mi aspettavo dei miglioramenti in questo senso.
Tra l'altro la tanto pubblicizzata autonomia che in wifi doveva aumentare sensibilmente con lollipop non la riscontro affatto.

Pancho Villa
03-03-2015, 16:18
Il problema più grave è che android ti costringe a usare una pass alfanumerica per il blocco schermo se vuoi usarla, c'è un modo di aggirare questa restrizione, bisogna avere il root e avviare la crittografia da adb, ma va solo per il dispositivo e non per la sd :muro:
Tutto questo quando a conti fatti la cosa più logica è crittografare la SD che è il componente più vulnerabile (anche un bambino saprebbe sfilarla e leggere tutti i dati da un pc o un altro smartphone) e usare un blocco schermo di qualche tipo che impedisce anche di collegare il tel al pc, meglio ancora con un bootloadre bloccato, il che terrebbe al sicuro dal 99% dei ladri. Inoltre da prove fatte con il mio vecchio S3 la crittografia della SD incide pochissimo, mentre quella del dispositivo è una mazzata tremenda

Per me utilizzabile solo usando il lettore di impronte, pare che con lollipop abbiano introdotto questa possibilità su S5

Pancho Villa
03-03-2015, 16:21
Concordo, ma preferisco lasciarla opzionale. Considera che la crittografia non e' la panacea a tutti i mali, ma richiede anche un utilizzo "cum grano salis". A poco serve avere lo storage crittografato se poi installi app e giochi provenienti da tutte le parti, fai il root del device e dai i permessi a qualunque cosa.

Piuttosto che integrino di default la gestione dei permessi per le app come iOS oppure come alcuni moduli xposed.

E invece serve, se perdi il telefono i tuoi dati sono al sicuro, a meno che sei sfortunato e trovi un hacker

https://www1.informatik.uni-erlangen.de/frost

Revan1988
03-03-2015, 16:37
E invece serve, se perdi il telefono i tuoi dati sono al sicuro, a meno che sei sfortunato e trovi un hacker

https://www1.informatik.uni-erlangen.de/frost

Sei ironico vero?
Non mi sembra una cosa da hacker, piuttosto da appassionato...

Pancho Villa
03-03-2015, 16:39
Sei ironico vero?
Non mi sembra una cosa da hacker, piuttosto da appassionato...

Era per dire... no non sarebbe nemmeno complicatissima la procedura, quasi quasi la provo con il mio :asd:
Ma di solito uno se trova un telefono la prima cosa che fa lo spenge... riducendo di molto la possibilità di recuperare le chiavi dalla ram, inoltre con un bootloader bloccato non puoi farla...
E vorrei provare anche con la RAM del mio pc protetto con bitlocker

omar8792
03-03-2015, 16:45
E invece serve, se perdi il telefono i tuoi dati sono al sicuro, a meno che sei sfortunato e trovi un hacker

https://www1.informatik.uni-erlangen.de/frost

c'è anche la funzione "cancella dati" che sta in gestione dispositivi di google , però non ho idea di come funzioni :D

Pancho Villa
03-03-2015, 16:47
c'è anche la funzione "cancella dati" che sta in gestione dispositivi di google , però non ho idea di come funzioni :D

Il tel deve essere accesso e connesso a internet... ma se trovassi/rubassi un telefono la prima cosa che farei è spegnerlo e togliere la sim, quindi ciccia

Pesmerga
03-03-2015, 17:09
Sul nexus 7 LTE l'aggiornamento da 4.4.4 é stato direttamente alla 5.0.2 e l'encryption é disabilitata per default.
Il problema é ch le performances non sono per nulla milgiorate, con KitKat il tablet era una scheggia, adesso nonostante il passaggio ad ART é tutto meno reattivo, dal boot del sistema all'apertura delle applicazioni, nulla di drammatico, ma mi aspettavo dei miglioramenti in questo senso.
Tra l'altro la tanto pubblicizzata autonomia che in wifi doveva aumentare sensibilmente con lollipop non la riscontro affatto.

Quoto, su Nexus 7 (2012) le prestazioni con lollipop sono decisamente una schifezza e l'update 5.0.2 ha fatto poco e niente; prima di lollipop non mi era mai capitato che il tablet crashasse con un riavvio completo. Son tornato alla 4.4.4 e il tablet è tremendamente migliorato, però riguardo la durata ho avuto l'esperienza contraria, con Lollipop effettivamente consumava meno e durava molto di più specie in standby.

Mparlav
03-03-2015, 17:17
La storia della crittografia è divnetata spinosa per questioni di prestazioni.
Attivandola si incorre in un aumento dei consumi, un maggiore impegno della CPU e un rallentamento delle fasi scrittura e lettura sulla memeoria interna..

Detto questo è chiaro come mai non vogliono attivarla di default.

Per risolvere il problema alla radice ci vorrebbe una componente del soc specifica e dedicata e appsitamente progettata per la codifica e decodifica dei dati..

Non so se quella implementata nel Qualcomm 805 svolga questa funzione:
https://www.qualcomm.com/news/snapdragon/2014/11/07/cryptographic-module-snapdragon-805-fips-140-2-certified

acerbo
03-03-2015, 19:05
Quoto, su Nexus 7 (2012) le prestazioni con lollipop sono decisamente una schifezza e l'update 5.0.2 ha fatto poco e niente; prima di lollipop non mi era mai capitato che il tablet crashasse con un riavvio completo. Son tornato alla 4.4.4 e il tablet è tremendamente migliorato, però riguardo la durata ho avuto l'esperienza contraria, con Lollipop effettivamente consumava meno e durava molto di più specie in standby.

Si mi sa che hai ragione, forse in standby l'autonomia é aumentata, ma a schermo accesso nessuna differenza.

Pancho Villa
03-03-2015, 19:15
La storia della crittografia è divnetata spinosa per questioni di prestazioni.
Attivandola si incorre in un aumento dei consumi, un maggiore impegno della CPU e un rallentamento delle fasi scrittura e lettura sulla memeoria interna..

Detto questo è chiaro come mai non vogliono attivarla di default.

Per risolvere il problema alla radice ci vorrebbe una componente del soc specifica e dedicata e appsitamente progettata per la codifica e decodifica dei dati..
Il mio i3 regge perfettamente la crittografia con bitlocker (AES 128 bit credo) senza nessun calo di prestazioni apprezzabile e non ha nessuna accelerazione particoalre ;)

Comunque leggetevi questo

https://source.android.com/devices/tech/security/encryption/

bob91
03-03-2015, 22:00
Piuttosto che integrino di default la gestione dei permessi per le app come iOS oppure come alcuni moduli xposed.

Parole sante, è una delle più grandi mancanze di android IMHO

s0nnyd3marco
04-03-2015, 08:38
E invece serve, se perdi il telefono i tuoi dati sono al sicuro, a meno che sei sfortunato e trovi un hacker

https://www1.informatik.uni-erlangen.de/frost

Scusa ma non la ritengo una reale minaccia per gli utenti generici, che non hanno sul telefono dati confidenziali o segreti industriali. Un remote wipe e/o cambio di tutte le password baste e avanza per evitare la maggior parte dei problemi. Questo genere di attacco e' rivolto principalmente a target specifici.

Piuttosto sono molto piu' preoccupato dalle app che per funzionare richiedono mille mila permessi e che una volta concessi non puoi piu' levarli.

Per me google ha fatto bene a lasciare agli utenti/implementatori scegliere se attivare o no la crittografia.

Parole sante, è una delle più grandi mancanze di android IMHO

Per me piu' che una mancanza e' una scelta precisa (purtroppo a svantaggio dell'utente).

Pancho Villa
04-03-2015, 12:08
Scusa ma non la ritengo una reale minaccia per gli utenti generici, che non hanno sul telefono dati confidenziali o segreti industriali. Un remote wipe e/o cambio di tutte le password baste e avanza per evitare la maggior parte dei problemi. Questo genere di attacco e' rivolto principalmente a target specifici.

Ma quale remote wipe?? :D
Uno ruba il tuo telefono, e subito lo spegne e butta la sim. Ciao ciao gestione dispositivi android http://s28.postimg.org/51qz2l2bd/ciaoasd_25x19.gif (http://postimage.org/)

C'è dentro una microsd non crittografata? Anche un bambino sarebbe capace di attaccarla al PC o in un altro telefono e guardarsi tutte le tue foto/video degli ultimi 2 anni, magari poi hai anche qualche documento con le pass salvate e a quel punto sei bello che fritto :ciapet:
Per la memoria itnerna, se hai un bootloader bloccato hai una qualche sicurezza garantita dal wipe automatico, se no basta flashare una custom recovery e puoi recuperare tutti i dati, un po' come il PC, la schermata di blocco di windows ti impedisce di farlo avviare, ma se attacchi il disco a un altro e se non è crittografato è tutto a portata di mano

Piuttosto sono molto piu' preoccupato dalle app che per funzionare richiedono mille mila permessi e che una volta concessi non puoi piu' levarli.

Per me google ha fatto bene a lasciare agli utenti/implementatori scegliere se attivare o no la crittografia.


Queste qua invece per me sono seghe mentali, al 90%. Perché allora non dovresti usare, fb, posta elettronica, whatsapp, manco il telefono se è per questo

Il punto è che Google doveva inserire un sistema per crittografare con password crittografica complessa al boot e blocco schermo con un semplice pin di 4/5 cifre o segno o impronta digitale con blocco automatico del telefono dopo N tentativi errati, invece ti costringe a usare una pass alfanumerica ogni volta che sblocchi lo schermo, questa è l'assurdità :muro:

devilred
04-03-2015, 12:15
diciamo pure che android e' il figliol prodigo di ubuntu e derivate, ad ogni nuova versione corrispondono nuovi problemi. prima o poi la gente si stanchera' di aspettare e cambiare rom ogni settimana e passera' ad altro, io gia' mi sto avvicinando al limite di sopportazione.

s0nnyd3marco
04-03-2015, 14:11
Ma quale remote wipe?? :D
Uno ruba il tuo telefono, e subito lo spegne e butta la sim. Ciao ciao gestione dispositivi android http://s28.postimg.org/51qz2l2bd/ciaoasd_25x19.gif (http://postimage.org/)

C'è dentro una microsd non crittografata? Anche un bambino sarebbe capace di attaccarla al PC o in un altro telefono e guardarsi tutte le tue foto/video degli ultimi 2 anni, magari poi hai anche qualche documento con le pass salvate e a quel punto sei bello che fritto :ciapet:
Per la memoria itnerna, se hai un bootloader bloccato hai una qualche sicurezza garantita dal wipe automatico, se no basta flashare una custom recovery e puoi recuperare tutti i dati, un po' come il PC, la schermata di blocco di windows ti impedisce di farlo avviare, ma se attacchi il disco a un altro e se non è crittografato è tutto a portata di mano


Guarda lo so benissimo, ma il scenario di cui parli implica che uno ti ruba il telefono per prendere quello che c'e' dentro. Nel mio caso, ma penso che riguardi anche il 90% della popolazione, questo e' un non problema. Cosa pensi che tenga nello smartphone? Un po di musica e qualche foto? Sicuramente nulla di valore per un malintenzionato.

Se dovessi tenere qualche password o qualche informazione sicura, userei la crittografia, ma solo per il singolo file (tipo notecipher e compagnia).


Queste qua invece per me sono seghe mentali, al 90%. Perché allora non dovresti usare, fb, posta elettronica, whatsapp, manco il telefono se è per questo

Il punto è che Google doveva inserire un sistema per crittografare con password crittografica complessa al boot e blocco schermo con un semplice pin di 4/5 cifre o segno o impronta digitale con blocco automatico del telefono dopo N tentativi errati, invece ti costringe a usare una pass alfanumerica ogni volta che sblocchi lo schermo, questa è l'assurdità :muro:

Io percepisco come molto piu' reale la minaccia dello spyware per il furto di dati personali. Per questo vorrei che google integri i permessi in stile iOS e che chiarisca meglio sullo store i permessi sia in installazione che in aggiornamento, e mi riferisco a questo (http://tech.firstpost.com/news-analysis/google-play-store-ui-change-means-apps-can-silently-gain-access-deadly-permissions-225828.html).

Pancho Villa
04-03-2015, 14:49
Guarda lo so benissimo, ma il scenario di cui parli implica che uno ti ruba il telefono per prendere quello che c'e' dentro. Nel mio caso, ma penso che riguardi anche il 90% della popolazione, questo e' un non problema. Cosa pensi che tenga nello smartphone? Un po di musica e qualche foto? Sicuramente nulla di valore per un malintenzionato.


A me scoccerebbe molto regalare le mie foto personali, potrei essere ricattato, e nn posso nemmeno sapere quanti e quali dati ci sono nel mio tel quindi preferisco cifrare tutto, quantomeno la sd e so che il 99% delle persone nn riuscirebbe a cavare un ragno dal buco con sd crittografata e device protetto con blocco schermo. Invece una sd non crittografata significa praticamente regalare i propri dati in caso di furto, anzi basta lasciarlo incustodito per 2 minuti e qualcuno potrebbe fotterti la sola sd per poi accorgertene solo ore dopo

Il problema è l'implementazione della crittografia di google che di fatto è quasi inutilizzabile! :muro:

Io percepisco come molto piu' reale la minaccia dello spyware per il furto di dati personali. Per questo vorrei che google integri i permessi in stile iOS e che chiarisca meglio sullo store i permessi sia in installazione che in aggiornamento, e mi riferisco a questo (http://tech.firstpost.com/news-analysis/google-play-store-ui-change-means-apps-can-silently-gain-access-deadly-permissions-225828.html).

Praticamente nn dovresti usare internet

s0nnyd3marco
04-03-2015, 15:24
A me scoccerebbe molto regalare le mie foto personali, potrei essere ricattato,

Scusa, ma che foto hai sul telefono? :oink: :eek: :sofico:

e nn posso nemmeno sapere quanti e quali dati ci sono nel mio tel quindi preferisco cifrare tutto, quantomeno la sd e so che il 99% delle persone nn riuscirebbe a cavare un ragno dal buco con sd crittografata e device protetto con blocco schermo. Invece una sd non crittografata significa praticamente regalare i propri dati in caso di furto, anzi basta lasciarlo incustodito per 2 minuti e qualcuno potrebbe fotterti la sola sd per poi accorgertene solo ore dopo

Il problema è l'implementazione della crittografia di google che di fatto è quasi inutilizzabile! :muro:


Guarda, IMHO, il cool boot attack e' piu' un proof of concept che una reale minaccia: considera il punto

Then push the battery back and forth very quickly, such that it gets disconnected from the phone for less than 500ms.

Il mio cellulare ha la batteria integrata, quindi renderebbe ancora piu' complicato questo attacco.


Praticamente nn dovresti usare internet

E perche' mai? Il software che installo sul mio pc proviene solo da fonti sicure (repository di debian), e se dovessi installare software closed source su cui ho dubbi, ci sono varie strategie per mitigare il tutto: da una vm separata, ad un light vm come docker, ad un mandatory access control tipo se linux, oppure un utente separato. Su uno smartphone le possibilita' per difendersi da eventuali app sono molto piu' limitate.

Pancho Villa
04-03-2015, 15:35
Scusa, ma che foto hai sul telefono? :oink: :eek: :sofico:


Nemmeno lo so, mi scoccerebbe che sbircino l'album vacanze e poi chissà cos'altro ci ho salvato. Quindi deve stare al sicuro, così se non altro sto più tranquillo


Guarda, IMHO, il cool boot attack e' piu' un proof of concept che una reale minaccia: considera il punto

Il mio cellulare ha la batteria integrata, quindi renderebbe ancora piu' complicato questo attacco.


Appunto, la crittografia è un metodo sicuro

E perche' mai? Il software che installo sul mio pc proviene solo da fonti sicure (repository di debian), e se dovessi installare software closed source su cui ho dubbi, ci sono varie strategie per mitigare il tutto: da una vm separata, ad un light vm come docker, ad un mandatory access control tipo se linux, oppure un utente separato. Su uno smartphone le possibilita' per difendersi da eventuali app sono molto piu' limitate.


Parlo dei servizi, anche partendo dal telefono

s0nnyd3marco
04-03-2015, 15:50
Nemmeno lo so, mi scoccerebbe che sbircino l'album vacanze e poi chissà cos'altro ci ho salvato. Quindi deve stare al sicuro, così se non altro sto più tranquillo


Passi le vacanze ad arcore? :sofico: (scusa, non ho resistito)


Appunto, la crittografia è un metodo sicuro


Sicuramente, ma visto il possibile aggravio di performance (a meno di hw dedicato) e di costo (nel caso del suddetto hw) mi va piu' che bene che la cosa sia opzionale.


Parlo dei servizi, anche partendo dal telefono

La cosa IMHO e' differente: nei servizi sono io che scelgo cosa mettere on line (file salvato sul cloud, la mail sul server, la foto pubblicata, l'appuntamento sul calendario, ecc...) mentre in caso delle app mi e' meno chiaro cosa facciano una volta che hanno accessso ai dati che io ho concesso. Ti faccio un esempio: per lavoro mi serve skype: volevo installarlo sul telefono ma richiede un saccodi permessi.

Cronologia app e dispositivo

recupero applicazioni in esecuzione

Identità

individuazione account sul dispositivo
aggiunta o rimozione account

Contatti

lettura contatti personali
modifica dei contatti personali

Posizione

posizione approssimativa (basata sulla rete)

SMS

ricezione messaggi di testo (SMS)
lettura messaggi di testo personali (SMS o MMS)

Telefono

chiamata diretta n. telefono

Foto/elementi multimediali/file

lettura dei contenuti dell'archivio USB
modifica/eliminazione di contenuti dell'archivio USB

Fotocamera

acquisizione di foto e video

Microfono

registrazione audio

Informazioni sulla connessione Wi-Fi

visualizzazione connessioni Wi-Fi

ID dispositivo e informazioni sulle chiamate

lettura stato e identità telefono

Altre

ricezione dati da Internet
lettura statistiche di sincronizz.
creazione account e configurazione password
esecuzione all'avvio
invio broadcast permanenti
disattivazione stand-by del dispositivo
visualizzazione connessioni di rete
utilizzo account sul dispositivo
modifica impostazioni audio
disattivazione blocco schermo
attivazione e disattivazione della sincronizzazione
spostamento sopra altre app
accoppiamento con dispositivi Bluetooth
accesso di rete completo
modifica delle impostazioni di sistema
connessione e disconnessione dal Wi-Fi
lettura impostazioni di sincronizz.
controllo vibrazione




servono proprio tutte?