老妹這幾天拼命玩起AirSig,說它可是最新科技..也是最強的認證機制...只見她拿著手機在空中胡亂畫一通..好似起乩哈...還一邊問我,知不知她剛寫了些什麼...我說,天曉得妳在鬼畫符啥...
她十分得意..但我忍不不住要提醒她...這AirSig看似很炫..但安全性如何,要實際查看才知..她忍不住想和我打賭,看我究竟能夠查出AirSig葫蘆裡賣的藥否...
結果不意外,各位看倌請看以下的連結,我查到的相關破解資訊如下:
http://www.cnblogs.com/pieces0310/p/4420090.html
個人積分:2分
文章編號:55522346
AirSig非常感謝您寶貴的意見回饋。您建議加密Master Password以提升Android被駭時的安全性,確實可以提升AirSig Password Wallet app的整體安全。另外,我們其實有針對使用者自訂的帳號密碼組做AES-256加密,並非以明碼儲存,如您引用文章內的截圖畫面中tag name="0 0", name="0 1"。
關於這個問題,也可以從實務的角度來分析竊取難度。
若要造成Private Data洩漏,必須滿足下列所有條件:
1. 取得使用者手機
2. 取得手機解鎖密碼
3. 取得手機ROOT權限
您測試的情況是建構在Android層被破解的條件下:因為您擁有自己的手機,及Android系統ROOT權限,在此情境下,不論是何種app,就資安的角度來說,所有資料都已經是不安全的。
無論如何,我們要再次感謝您寶貴的意見,讓AirSig產品可以持續改善進化,我們會在近期做Password Wallet app的更新,歡迎您下載使用,謝謝。
AirSig團隊 敬上
個人積分:19分
文章編號:55533806
謝謝Airsig團隊的用心,很樂見安全性能夠再提升.你們所說的也沒錯,要做到像Pieces0310所po的,的確需要解開圖形鎖,又要能取得root權限...
但小弟在這方面的了解是,,畢竟,密碼以明文的形式存在,就是件不智之舉,且不論如何突破多層螢幕鎖防護,亦不論如何取得root權限,加密才是最佳策略.
再說到螢幕鎖及root權限等關卡,依照Pieces0310所回的,我有去查了一下.ufed這樣的設備的確能夠在短時間內將手機製作映像檔,並具備破解密碼鎖及自動提權成為root等特異功能,也就是說,只要有了你手機的映像檔,再慢慢來分析也不遲...也許你會說那軟體很貴的..一般人不會有..我聽幾個在高科技業的朋友在說,她們公司也有此類性質的軟體...
別怪我太坦白,帳密的安全性對我而言,遠比登入的便利性來的重要許多...許多玩家都會把手機root或JB,但另一方面卻使門戶洞開,安全性大為降低而不自知,若App存放有帳密如貴公司的AirSig,豈能不更加謹慎小心..若有嚴實加密,至少若一旦手機落入他/她人之手,要破密還得花工夫研究演算法等等...那AirSig就真的有做到保障個人隱私..不希望像Pieces0310去年所揭露的破解WeChat加密資料庫一樣,到現在,新版WeChat仍未改變資料庫的加密規則...
htcj0110 wrote:
老妹這幾天拼命玩起AirSig...(恕刪)
