Android

[Umnik]

Мне для собственного карьерного роста нужно вести домашние проекты, дабы обучаться и в будущем иметь больше денег. Направление сохраняю андроидовское. Так что вопрос к вам. С какими проблемами сталкиваются пользователи Андроида и при этом решения ЛК не помогают обнаружить причину вовсе или не могут сделать это быстро? Речь про угрозы, а не про ошибки продуктов, разумеется.

 

Пока я сделал прототип, который сообщает, какое приложение открывает страницу с рекламой, который бы помог здесь: https://forum.kasperskyclub.ru/index.php?showtopic=63945Но т.к. автор темы не выходит на связь, прототип выкладывать не стал и начал делать из него более-менее удобное приложение, которое может установить любой и пусть оно в фоне там работает, пока внезапно не понадобится.

 

Есть что ещё по-быстрому набросать как прототип, проверить, работает ли предложенное и, если да, доводить прототип до реального инструмента, который, возможно, пригодится любому, кто пожелает помочь с такой же проблемой кому-то другому в будущем.

[Friend]

@Umnik, да, такое приложение думаю было бы удобно для борьбы с рекламными приложениями на Androide.

Сейчас очень много разных устройств на Androide. с разным уровнем оптимизации и не понятно куда в настройках  нужно добавлять приложение в исключения, чтобы она не выгружалась. Можно ли сделать приложение, которое сможет определить все эти исключения и подсказать как добавить туда нужное приложение?

[Umnik]

 

 

Можно ли сделать приложение, которое сможет определить все эти исключения и подсказать как добавить туда нужное приложение?

Только ведением некой БЗ, к которой будет обращаться приложение и показывать инструкции для конкретных устройств/прошивок. К сожалению, производидели не делают API для того, чтобы чётко понимать, что и как у них делать.

 

Но в целом вести БЗ можно. И, возможно, я сделаю что-то подобное. Но пока у меня в приоритете именно безопасность. Для той же БЗ нужно иметь сервер, куда бы приложение ходило, а ничего подобного у меня пока нет. Хардкодить же инструкции в приложение — глупость. Для каждого чиха нужно будет обновлять приложение, вместо обновления инструкции на сервере.

[Mrak]

 

 

С какими проблемами сталкиваются пользователи Андроида и при этом решения ЛК не помогают обнаружить причину вовсе или не могут сделать это быстро?

Для меня есть одна проблема: 

Защита документов на смартфоне, которые можно при этом править в защищенном хранилище (например, те же вордовские документы). 

КПМ (что на телефоне, что на компе) стойко и упорно не желает импортировать в себя вордовские документы вообще. Не говоря уже о редактировании этих документов непосредственно в защищённом хранилище. Выходит, что платная версия КПМ для андроид в наличии, но защищать он может лишь фоточки. Для тех, кто работает со значимыми документами и нуждается в открытии/правки их на андроиде программа в этой части становится бесполезной. 

 

Но я сомневаюсь, что правильно адресовал "хотелку" и под прототип не подойдет. 

[Umnik]

Что является защищённым хранилищем? Или речь о том, что бы как раз заиметь хранилище?

[Mrak]

 

 

Что является защищённым хранилищем? Или речь о том, что бы как раз заиметь хранилище?

В КПМ для андроид (как впрочем и для иных ОС) можно добавлять документы, которые хранятся в самом КПМ (в том числе в облаке) и недоступны без мастер-пароля. К примеру, выдал телефон кому-то позвонить или поиграться, но доступа к документам вордовским ни у кого все равно не будет. При этом документы лежат в облаке и зашифрованы. Т.е. поменял в телефоне, изменения и на компе произошли. В этом отличие от того же облака майл.ру - взломают и вот он доступ ко всем документам (в случае параноиков - даже взламывать не будут, у нужных людей и так ключи ко всем ящикам на майл.ру, яндексе и т.п.).

Увы, но КПМ так не умеет. Он даже загрузить в себя документы ворда не в силах. 

Хранилище вроде бы даже есть (то есть вопрос не о "заиметь"), просто хранилище использовать невозможно. Бредовая ситуация. 

[Umnik]

Нужен VeraCrypt с синхронизацией контейнера в указанном сервисе? Если упрощённо говорить.

[den]

@Umnik, да, такое приложение думаю было бы удобно для борьбы с рекламными приложениями на Androide.

Реклама в приложении, может это условие его бесплатности. Я выкл интернет, когда запускаю такое приложение.

Изменено 5 ноября, 2019 пользователем den

[Umnik]

Реклама в приложении — это нормально. Не должно быть рекламы ВНЕ приложений. Я сделал уже прототип, который определяет, что такое внезапно открывает браузер. Прототип работал и потому я переписываю его как более-менее нормальное приложение, с хранением истории в базе данных, а не в лог-файле, например.

[Mrak]

 

 

Нужен VeraCrypt с синхронизацией контейнера в указанном сервисе? Если упрощённо говорить.

Да. Только у них это идет через скачивание большого контейнера, что очень не удобно. 

Можно использовать связку бокскриптор+любое облако, но тоже неудобно. 

Хочется, чтобы было защищенное облако (как у КПМ) с введением 1го пароля.

[Umnik]

Можно шифровать и дешифровать локально файлы, а на сервер отправлять всегда только шифрованные. И тогда вид облака не имеет значения, потому что владелец облака не сможет дешифровать документы. Так норм? Только шифрование данных для телефона — довольно дорогая операция. Современные процессоры мобильные в общем-то имеют поддержку AES, но только топовые. Упрощённые же модели будут выполнять шифрование программно и это будет высаживать батарею.

 

И вот ещё фишка. Шифровать можно только паролем, а можно криптообъектом устройства. Первое даст возможность дешифровать файлы везде, где известен твой пароль, а второй подход привяжет шифрование только к твоему устройству и никто и никогда (до тех пор, пока квантовые компьютеры не станут доступными, либо не утечёт приватный ключ производителя чипа) не сможет дешифровать твои данные, даже если будет знать твой пароль. При этом ты всегда сможешь сделать экспорт для переноса, то есть отвязать криптообъект и перешифровать экспортируемые данные только паролем. А на новом телефоне снова шифрануть криптообъектом нового телефона.

 

То есть первый вариант более простой (используется в ЛК и вообще у всех, кто даёт доступ с более чем 1 устройства) в повседневном использовании, но утечка пароля или рутование телефона через уязвимость позволит восстановить данные. Это вариант, если работа нужна с более чем 1 устройства. Второй вариант более сложный в повседневном использовании, т.к. будет требовать каждый раз проводить перешифрование (операцию можно сильно ускорить, но всё же), зато безопаснее него ничего нет. Утечка пароля ничего не даст злоумышленнику. Рутование устройства, чтобы забрать данные изнутри приложения тоже ничего не даст, т.к. привязка будет к конкретной железке, распаянной на материнской плате.

 

Ещё есть третий вариант — асимметричное шифрование. Когда для шифрования и расшифровки используются разные пароли. Одним можно сделать только одно, другим — другое. Утечка пароля шифрования даст возможность создать документ, но не даст возможности прочитать другие, а утечка пароля дешифрования даст возможность прочитать документы, но не даст возможности их модифицировать или создать новый. Но асимметричное шифрование ОЧЕНЬ дорого для устройства и, по-моему, мобильные процессоры не поддерживают его аппаратно. Даже десктопные процессоры упрощённых линеек (типа Целеронов и подобных) не будут его поддерживать аппаратно, вроде.

 

Я код не пишу, я пока просто размышляю и рассказываю. Но идея мне нравится, я давно хотел сделать что-то подобное.

 

Для себя бы я делал завязку на железку, т.к. 99% времени использовал бы телефон. А вот бэкапы бы делал с отвязкой, но при этом пароль к бэкапам был бы строго другим, не тем же, что и пароль на устройстве. Потому что нельзя делать одинаковые пароли, да.

 

Вообще при шифровании по криптообъекту пароль пользователя можно даже не использовать, хватит и железки. Плюс подхода — пользователю нужно будет помнить только пароль бэкапов (или паролИ, если разные бекапы будут с разными паролями). Минус — физический доступ к телефону у спецслужб приведёт к тому, что они извлекут данные из чипа и получат ключ (успешные извлечения делали как отдельные люди, так и фирмы, работающие по госзаказам; разумеется и у тех, и у других было специальное оборудование). Или может быть утечка у производителя. А вот сумма пароль+криптообъект даст лишь половинку ключа и без знания пароля он бесполезен.

[Mrak]

Можно шифровать и дешифровать локально файлы, а на сервер отправлять всегда только шифрованные. И тогда вид облака не имеет значения, потому что владелец облака не сможет дешифровать документы. Так норм?

Норм. Это умеет boxcryptor. Только у них проблемы с шифрованием имен файлов (постоянные ошибки из-за слишком длинного шифрованного имени файла), постоянной необходимостью запуска 2х программ вместо одной (облако и boxcryptor должны быть включены). 

 

Идея про привязку к железу и отсутствие необходимости помнить пароль - супер. В итоге телефон на отпечатке пальца (его не забудешь), а документы зашифрованы через телефон. На всякий пожарный отдельно хранить ключ и все восхитительно. Вопрос о реализации. Тот же boxcryptor воспринимается мною как костыль (причем неудобный), хотя в теории позволяет гигабайтами синхронизировать зашифрованные документы.

[Friend]

@Mrak, иногда происходит глюк на устройстве, и программа может запросить пароль вместо отпечатка пальца.

[Umnik]

@Friend, это программное решение. При реализации интерфейса взаимодействия с биометрией нужно реализовать несколько методов, в которые Андроид будет пулять события. Одно из событий — ошибка разлочки по биометрии. Приложение может в этом методе держать счётчик и просить пароль, если счётчик превысил какой-то порог. Ну мало ли, у человека датчик сдох или палец порезан.

[Umnik]

 

 

(облако и boxcryptor должны быть включены).

А вот это странно. Облако — это офклиент сервиса (Дропбокс, например) или их клиент к другим сервисам? Просто если второе, то это можно понять. А первое — зачем. Ведь офклиенты и так подписаны на событие изменения в файловой системе в контролируемых папках и автоматически синхроинизируются. Пинать отдельно их не надо.