Перейти к содержанию

Какой блокировкой лучше защитить Android-смартфон | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

В современных Android-смартфонах доступна масса способов блокировки экрана. Можно использовать пин-код или пароль, установить графический паттерн, разблокировать смартфон отпечатком пальца или даже лицом. От такого разнообразия легко растеряться, поэтому давайте разберемся, какой способ наиболее безопасен, а какой лучше использовать на практике.

Пин-код

Современные операционные системы эффективно препятствуют подбору пин-кодов — ограничивают количество попыток ввода и увеличивают интервал между новыми попытками. Поэтому в теории пин-код — особенно длинный, из 6 или 8 цифр — вполне может быть достаточно безопасным вариантом защиты смартфона.

Но есть пара нюансов. Во-первых, для того чтобы пин-код был надежным, ему неплохо бы быть случайным. Большинство же людей склонны устанавливать что-то легко угадываемое, чаще всего связанное с датой рождения. А это существенно упрощает процесс подбора.

Во-вторых, чтобы пин-код хорошо защищал ваш смартфон, он должен храниться в тайне. Современный человек разблокирует смартфон очень часто — несколько сотен раз в день, каждый день. Так что если кто-то задастся целью подсмотреть ваш пин-код, ему будет несложно это сделать.

 

Посмотреть полную статью

Umnik

Umnik

Опубликовано
Опубликовано
Quote

Кроме того, недавно исследователи обнаружили во фреймворке этого способа аутентификации ряд уязвимостей. BrutePrint — атака, основанная на их эксплуатации, — позволяет подобрать отпечаток пальца.

Нет. Ошибки связаны с реализациями производителей телефонов, а не с Android Framework. К тому же атака требует физического проникновения внутрь телефона. Устройство нужно разобрать, подпаяться к шине и надеяться, что за это время телефон не выключится. Если он выключится, то атака становится невозможной вовсе.

 

Quote

К сожалению, для Android нет полноценного аналога уже хорошо себя зарекомендовавшей технологии Face ID, используемая в айфонах.

Есть и давно. Использование же её лежит на производителе: хочет - делает, не хочет - не делает. Автор путает не связанные вещи, которые для пользователя выглядят похоже. В старших версиях Android добавилась ДОПОЛНИТЕЛЬНО упрощённая процедура распознавания лица. Точнее, она была очень давно, ещё с версии 4, потом её убрали, заменив на полный аналог FaceID от Apple (то есть требуется аппаратная поддержка - специальные камеры, 3D сканирование, вот это всё). И даже выпустили Pixel 4, который полноценно поддерживает эту фичу. У меня лежит этот телефон и я до сих пор могу использовать разблокировку по лицу полноценную.

Но потом случился кризис полупроводников, всё стало очень дорогим и производители стали экономить на комплектующих. Первыми улетели как раз вот эти сканеры, вместо них производители вернули отпечатки пальцев (в т.ч. Google вернул в Pixel устройства), а в дополнение к полноценной Face ID ещё вернули улучшенный аналог того старого механизма. И вот он как раз считается и всегда считался самим Google низкобезопасным. В итоге автор статьи путает две разные технологии, обе которых поддерживаются Android, но вторая не используется на устройствах, т.к. производители просто экономят.

Таким образом сам Adnroid прекрасно поддерживает биометрию не только по пальцу, но и по лицу, но производители устройств просто не ставят дорогие датчики в телефоны — как оказалось, людей и отпечаток под экраном устраивает. В итоге Pixel 7 стоит дешевле iPhone того же года на 20-40 тысяч рублей.

 

И очень важная ошибка статьи — нельзя использовать биометрию без пина/пароля/паттерна. Биометрия - второй, не основной способ разбокирования. Он используется для того, чтобы реже спрашивать пароли. Но после перезагрузки или если телефон долго лежит без дела или если телефон решит, что пора бы переспросить - будет запрос только основного способа, а биометрия будет отвергаться.

 

Ну и ещё про PIN. Некоторые прошивки, ориентированные на безопасность, например GrapheneOS, при запросе PIN показывают клавиатуру с перемешанными цифрами. То есть если кто-то увидит, куда примерно тычут пальцем, то это ему не поможет, т.к. в следующий раз на этих местах будут стоять другие цифры.

  • Like (+1) 1
  • Спасибо (+1) 3

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Секс-шантаж с использованием ИИ: новая угроза приватности | Блог Касперского
      Автор KL FC Bot
      В 2025 году исследователи кибербезопасности обнаружили несколько открытых баз данных различных ИИ-инструментов для генерации изображений. Уже этот факт заставляет задуматься о том, насколько ИИ-стартапы заботятся о приватности и безопасности данных своих пользователей. Но куда большую тревогу вызывает характер контента в этих базах.
      Большое количество сгенерированных картинок в этих базах данных — изображения женщин в белье или вовсе обнаженных. Часть из них явно была создана на основе детских фотографий или же предполагала омоложение и оголение взрослых женщин. И наконец, самое неприятное. Некоторые порнографические изображения были сгенерированы на основе совершенно невинных фотографий настоящих людей, вероятно, взятых из соцсетей.
      Сегодня поговорим о том, что такое секс-шантаж и почему из-за ИИ-инструментов его жертвой может стать любой, опишем содержание обнаруженных открытых баз данных, а также дадим советы, как не стать жертвой секс-шантажа в эпоху ИИ.
      Что такое секс-шантаж
      Секс-шантаж в эпоху Интернета превратился в настолько распространенное явление, что даже обрел в мире собственное название – sextortion (сочетание слов sex и extortion – вымогательство). Разные его виды мы уже подробно рассматривали в посте Пятьдесят оттенков секс-шантажа. Напомним, что при этой разновидности шантажа жертву запугивают публикацией интимных изображений или видео, чтобы заставить выполнить какие-то действия или выманить деньги.
      Ранее жертвами секс-шантажа обычно становились работницы индустрии для взрослых или женщины, поделившиеся интимным контентом с ненадежным человеком.
      Однако активное развитие искусственного интеллекта и особенно технологии преобразования текста в изображения (text-to-image) коренным образом изменило ситуацию. Теперь жертвой секс-шантажа может стать буквально любой человек, выложивший в публичный доступ свои самые невинные фотографии. Все дело в том, что генеративный ИИ дает возможность быстро, легко и достаточно правдоподобно «оголить» людей на любых цифровых изображениях или за несколько секунд подставить к голове человека сгенерированное обнаженное тело.
       
      View the full article
    • KL FC Bot
      Кража денег при помощи прямой и обратной ретрансляции NFC | Блог Касперского
      Автор KL FC Bot
      Благодаря удобству технологии NFC и оплаты смартфоном, в наши дни многие вообще перестали носить кошелек и не могут вспомнить ПИН-код от банковской карты. Все карты «живут» в платежном приложении, оплатить которым покупку быстрее и проще, чем доставать физическую карту. Мобильные платежи еще и безопасны — технология разрабатывалась относительно недавно и предусматривает многочисленные защитные меры от мошенничества. Тем не менее злоумышленники изобрели несколько вариантов злоупотребления NFC для кражи денег с ваших карточек. К счастью, для защиты своих средств достаточно знать об этих трюках и избегать опасных сценариев пользования NFC.
      Что такое ретрансляция NFC и NFCGate
      Ретрансляция NFC — это техника, при которой данные, бесконтактно передаваемые между источником (например, банковской картой) и приемником (например, платежным терминалом), перехватываются на одном промежуточном устройстве и в реальном времени передаются на другое. Приложение для ретрансляции устанавливается на два смартфона, связанных через Интернет. Карту прикладывают к первому смартфону, а второй смартфон подносят к считывателю в терминале или банкомате — и с их стороны все выглядит так, будто рядом находится настоящая карта, хотя физически она может быть в другом городе или даже стране.
       
      View the full article
    • KL FC Bot
      Основные сценарии атак с подделкой сайта и бренда организации
      Автор KL FC Bot
      Подделка бренда, веб-сайта и рассылок компании стала распространенной техникой злоумышленников, продолжающей набирать популярность. Всемирная организация интеллектуальной собственности (WIPO) отмечает значительный рост подобных инцидентов в 2025 году. Хотя чаще всего жертвами имперсонации становятся технологические компании и потребительские бренды, в целом этой угрозе подвержены все индустрии и во всех странах — отличается только способ, которым самозванцы эксплуатируют подделку. На практике встречаются следующие сценарии атаки:
      клиентов и покупателей бренда заманивают на поддельный сайт и выманивают реквизиты доступа в настоящий онлайн-магазин фирмы либо платежные данные для прямой кражи средств; сотрудников и партнеров компании заманивают на фальшивую страницу входа в корпоративные порталы, чтобы получить легитимные учетные данные для проникновения в сеть организации; клиентов и покупателей побуждают связаться с мошенниками под разными предлогами: получение техподдержки, возврат ошибочного платежа, участие в опросе с призами, получение компенсации за те или иные публично известные события, связанные с брендом. Далее у жертвы пытаются украсть побольше денег; партнеров и сотрудников компании заманивают на специально созданные страницы, имитирующие внутренние системы фирмы, чтобы получить одобрение платежа или перенаправить легитимный платеж мошенникам; клиентам, партнерам и сотрудникам предлагают скачать на фальшивом сайте компании вредоносное ПО, чаще всего инфостилер, замаскированный под корпоративные приложения. За словами «заманивают» и «предлагают» скрывается широкий спектр тактик: почтовые рассылки, сообщения в мессенджерах и посты в соцсетях, напоминающие официальную рекламу, сайты-двойники, продвигаемые в поисковых системах инструментами SEO и даже платной рекламой.
       
      View the full article
    • KL FC Bot
      Инфостилер с маскировкой активности | Блог Касперского
      Автор KL FC Bot
      Наши эксперты обнаружили очередную волну рассылки вредоносных писем на адреса российских коммерческих организаций. Цель атаки — установка на компьютеры жертв инфостилера. Особенно любопытна эта атака тем, что в этот раз злоумышленники потратили определенные усилия для маскировки своей активности под коммуникацию с известным сайтом и работу легитимного ПО.
      Начало атаки
      Злоумышленники рассылают письмо с вредоносным вложением, замаскированным под обычный документ в формате PDF. На самом деле файл является исполняемым, просто его иконка заменена на иконку PDF, поэтому при двойном клике по файлу запускается цепочка заражения компьютера жертвы. В исследованной нами рассылке у вредоносных файлов были имена «УВЕДОМЛЕНИЕ о возбуждении исполнительного производства» и «Дополнительные выплаты», однако нельзя исключать, что злоумышленники используют и другие названия для того, чтобы убедить жертву кликнуть на файл.
      По факту, замаскированный под документ вредоносный файл является загрузчиком, собранным при помощи фреймворка .NET. Он скачивает другой загрузчик, устанавливаемый в системе в качестве службы, для закрепления на машине жертвы. Тот, в свою очередь, получает с командного сервера строчку в формате JSON с зашифрованными файлами, которые затем сохраняются на атакованном компьютере в папку C:\ProgramData\Microsoft Diagnostic\Tasks, а затем один за другим исполняются.
      Пример ответа от сервера
      Ключевая особенность такого метода доставки файлов на компьютер жертвы заключается в том, что злоумышленники могут возвращать с командного сервера абсолютно любую вредоносную нагрузку, которую загрузчик послушно скачивает и исполняет. В настоящий момент злоумышленники используют в качестве конечной нагрузки инфостилер, но потенциально эта атака может быть использована и для доставки более опасных угроз — шифровальщиков, вайперов или инструментов для более глубокого распространения в инфраструктуре жертвы.
       
      View the full article
    • KL FC Bot
      Новые законы и тенденции кибербезопасности в 2026 году | Блог Касперского
      Автор KL FC Bot
      Прошедший 2025 год серьезно изменил то, куда и как мы получаем доступ в Сети. Радикальные законодательные инициативы, появление ИИ-ассистентов и защита сайтов от ИИ-ботов перестраивают Интернет на наших глазах. Что нужно знать об этих изменениях и какие знания и привычки взять с собой в 2026 год? По традиции опишем это в виде восьми новогодних обещаний. Что обещаем себе в 2026?
      Изучить новые законы своего региона
      Минувший год был богат на законодательные инициативы, значительно меняющие правила пользования Сетью для обычных людей. За последнее время законодатели различных стран:
      запретили соцсети подросткам; ввели строгую проверку возраста, например по удостоверению личности, при посещении тех или иных категорий сайтов; потребовали получать явное родительское согласие на доступ несовершеннолетних ко многим онлайн-сервисам; применяли разные формы давления, включая блокировки и судебные иски к онлайн-платформам, не соблюдающим уже принятые законы о защите детей — наиболее яркая ситуация здесь у Roblox. Почитайте новости на сайтах, подающих их спокойно и не сенсационно, изучите комментарии юристов. Надо понять, какие обязательства ложатся на вас, а если у вас есть несовершеннолетние дети — что меняется для них.
      Возможно, с детьми предстоят трудные разговоры о новых правилах пользования соцсетями или играми. Важно, чтобы подростковый протест не привел детей к опасным ошибкам, таким как установка вредоносного ПО, замаскированного под «мод обхода ограничений», или уход в мелкие и никем не модерируемые соцсети. Подстраховать подрастающее поколение поможет надежная защита их компьютеров и смартфонов вместе с инструментами родительского контроля.
      Но дело не сводится к простому соблюдению законов. Почти наверняка вы столкнетесь с негативными побочными эффектами, которые законодатели не предусмотрели.
       
      View the full article
×
×
  • Создать...