Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Какой блокировкой лучше защитить Android-смартфон | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

В современных Android-смартфонах доступна масса способов блокировки экрана. Можно использовать пин-код или пароль, установить графический паттерн, разблокировать смартфон отпечатком пальца или даже лицом. От такого разнообразия легко растеряться, поэтому давайте разберемся, какой способ наиболее безопасен, а какой лучше использовать на практике.

Пин-код

Современные операционные системы эффективно препятствуют подбору пин-кодов — ограничивают количество попыток ввода и увеличивают интервал между новыми попытками. Поэтому в теории пин-код — особенно длинный, из 6 или 8 цифр — вполне может быть достаточно безопасным вариантом защиты смартфона.

Но есть пара нюансов. Во-первых, для того чтобы пин-код был надежным, ему неплохо бы быть случайным. Большинство же людей склонны устанавливать что-то легко угадываемое, чаще всего связанное с датой рождения. А это существенно упрощает процесс подбора.

Во-вторых, чтобы пин-код хорошо защищал ваш смартфон, он должен храниться в тайне. Современный человек разблокирует смартфон очень часто — несколько сотен раз в день, каждый день. Так что если кто-то задастся целью подсмотреть ваш пин-код, ему будет несложно это сделать.

 

Посмотреть полную статью

Ссылка на комментарий
Поделиться на другие сайты
Umnik Корифей

Umnik

Опубликовано
Опубликовано
Quote

Кроме того, недавно исследователи обнаружили во фреймворке этого способа аутентификации ряд уязвимостей. BrutePrint — атака, основанная на их эксплуатации, — позволяет подобрать отпечаток пальца.

Нет. Ошибки связаны с реализациями производителей телефонов, а не с Android Framework. К тому же атака требует физического проникновения внутрь телефона. Устройство нужно разобрать, подпаяться к шине и надеяться, что за это время телефон не выключится. Если он выключится, то атака становится невозможной вовсе.

 

Quote

К сожалению, для Android нет полноценного аналога уже хорошо себя зарекомендовавшей технологии Face ID, используемая в айфонах.

Есть и давно. Использование же её лежит на производителе: хочет - делает, не хочет - не делает. Автор путает не связанные вещи, которые для пользователя выглядят похоже. В старших версиях Android добавилась ДОПОЛНИТЕЛЬНО упрощённая процедура распознавания лица. Точнее, она была очень давно, ещё с версии 4, потом её убрали, заменив на полный аналог FaceID от Apple (то есть требуется аппаратная поддержка - специальные камеры, 3D сканирование, вот это всё). И даже выпустили Pixel 4, который полноценно поддерживает эту фичу. У меня лежит этот телефон и я до сих пор могу использовать разблокировку по лицу полноценную.

Но потом случился кризис полупроводников, всё стало очень дорогим и производители стали экономить на комплектующих. Первыми улетели как раз вот эти сканеры, вместо них производители вернули отпечатки пальцев (в т.ч. Google вернул в Pixel устройства), а в дополнение к полноценной Face ID ещё вернули улучшенный аналог того старого механизма. И вот он как раз считается и всегда считался самим Google низкобезопасным. В итоге автор статьи путает две разные технологии, обе которых поддерживаются Android, но вторая не используется на устройствах, т.к. производители просто экономят.

Таким образом сам Adnroid прекрасно поддерживает биометрию не только по пальцу, но и по лицу, но производители устройств просто не ставят дорогие датчики в телефоны — как оказалось, людей и отпечаток под экраном устраивает. В итоге Pixel 7 стоит дешевле iPhone того же года на 20-40 тысяч рублей.

 

И очень важная ошибка статьи — нельзя использовать биометрию без пина/пароля/паттерна. Биометрия - второй, не основной способ разбокирования. Он используется для того, чтобы реже спрашивать пароли. Но после перезагрузки или если телефон долго лежит без дела или если телефон решит, что пора бы переспросить - будет запрос только основного способа, а биометрия будет отвергаться.

 

Ну и ещё про PIN. Некоторые прошивки, ориентированные на безопасность, например GrapheneOS, при запросе PIN показывают клавиатуру с перемешанными цифрами. То есть если кто-то увидит, куда примерно тычут пальцем, то это ему не поможет, т.к. в следующий раз на этих местах будут стоять другие цифры.

  • Like (+1) 1
  • Спасибо (+1) 3
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Как защитить онлайн-коммерцию от атак мошенников | Блог Касперского
      Автор KL FC Bot
      По данным исследовательской компании Juniper Research, оборот электронной торговли в 2024 году превысил 7 триллионов долларов и, по прогнозам, вырастет в полтора раза за следующие пять лет. Но интерес злоумышленников к этой сфере растет еще быстрее. В прошлом году потери от мошенничества превысили $44 млрд, а за пять лет вырастут до $107 млрд.
      Онлайн-площадка любого размера, работающая в любой сфере, может стать жертвой — будь это маркетплейс контента, магазин стройматериалов, бюро путешествий или сайт аквапарка. Если вы принимаете платежи, ведете программу лояльности, поддерживаете личный кабинет клиента — к вам обязательно придут мошенники. Какие схемы атаки наиболее популярны, что за потери несет бизнес и как все это прекратить?
      Кража аккаунтов
      Благодаря инфостилерам и различным утечкам баз данных у злоумышленников на руках есть миллиарды пар e-mail+пароль. Их можно по очереди пробовать на любых сайтах с личным кабинетом, небезосновательно надеясь, что жертва атаки везде использует один и тот же пароль. Эта атака называется credential stuffing, и, если она будет успешна, злоумышленники смогут от имени клиента оплачивать заказы привязанной к аккаунту кредитной картой или использовать баллы лояльности. Также мошенники могут использовать аккаунт для махинаций с покупкой товаров и оплатой сторонними банковскими картами.
       
      View the full article
    • KL FC Bot
      Как отключить доступ Gemini к вашим данным на Android | Блог Касперского
      Автор KL FC Bot
      7 июля 2025 года Google выпустила обновление Gemini, которое дает AI-помощнику доступ к приложениям Phone, Messages, WhatsApp и Utilities на Android-устройствах. Компания анонсировала это событие e-mail-рассылкой пользователям своего чат-бота, которых просто поставили перед фактом: «Мы упростили взаимодействие Gemini с вашим устройством… Gemini скоро сможет помочь вам использовать «Телефон», «Сообщения», WhatsApp и «Утилиты» на вашем телефоне, независимо от того, включена ли ваша активность приложений Gemini или нет».
      С точки зрения Google, обновление улучшает приватность, поскольку теперь пользователям доступны функции Gemini без необходимости включать Gemini Apps Activity. Удобно, не правда ли?
       
      View the full article
    • KL FC Bot
      Triada: троян, предустановленный на Android-смартфоны «из коробки» | Блог Касперского
      Автор KL FC Bot
      Частенько на кассе супермаркета кассир предлагает купить товары по акции: «Шоколадку будете? Очень хорошая, с большой скидкой сейчас». Если вам повезет, вы получите вкусный бонус по хорошей цене; но гораздо вероятнее, что вам пытаются продать не самый ходовой товар — либо с истекающим сроком годности, либо с еще какими-то скрытыми недостатками.
      А теперь представьте, что от шоколадки вы отказались, но вам все равно ее незаметно подбросили в пакет или — еще хуже — в карман, где она растаяла, испортила вещи, продукты и принесла кучу проблем. Похожая ситуация произошла с пользователями, купившими поддельные смартфоны известных марок на маркетплейсах. Нет, в подарок им подсунули не шоколадку, а вшитый в прошивку новенького — из коробки — смартфона троян Triada, который доставляет куда больше неприятностей, чем растаявшая плитка: кража криптовалют, аккаунтов в Telegram, WhatsApp и соцсетях, перехват SMS-сообщений и многое другое.
      Что за Triada
      Так мы в «Лаборатории Касперского» назвали троян, который впервые обнаружили и подробно описали в 2016 году. Этот мобильный зловред внедрялся практически во все запущенные на устройстве процессы, существуя при этом только в оперативной памяти.
      Появление Triada означало новый этап в эволюции мобильных угроз, направленных на Android. До Triada трояны были довольно-таки безобидными, специализировались в основном на показе рекламы и скачивании себе подобных, но новая угроза показала, что отныне все будет иначе.
      Со временем уязвимости в Android, которые эксплуатировали в том числе и ранние версии Triada, были устранены, а в прошивки добавили ограничения на работу суперпользователей — например, запрет на редактирование системных разделов даже с root-правами в новых версиях Android. Остановило ли это киберпреступников? Конечно, нет. В марте 2025-го мы обнаружили «адаптированную к трудностям» версию Triada, которая умудряется извлечь пользу из новых ограничений: злоумышленники заражают прошивки смартфонов еще до их продажи, и предустановленные в системных разделах зловреды оказывается практически невозможно удалить.
       
      View the full article
    • KL FC Bot
      Что такое SMS-бластер и как защититься от опасных SMS в путешествии | Блог Касперского
      Автор KL FC Bot
      Фальшивые SMS от банков, служб доставки и городских учреждений — излюбленный мошенниками способ выманить финансовые данные и пароли. Эту разновидность фишинга часто называют smishing (SMS phishing). Опасные SMS фильтруют почти все сотовые операторы, и лишь малая часть доходит до получателей. Но мошенники придумали нечто новое. За последний год в Великобритании, Таиланде и Новой Зеландии были задержаны злоумышленники, которые рассылали сообщения, минуя сотового оператора, прямо на телефоны жертв. Эта технология получила название SMS blaster.
      Что такое SMS blaster
      «Бластер» притворяется базовой станцией сотовой сети. Он выглядит, как утыканная антеннами коробка размером с системный блок старого компьютера; мошенники кладут ее в багажник автомобиля или в рюкзак. Включенный «бластер» побуждает все телефоны поблизости подключиться к нему как к самой мощной базовой станции с наилучшим сигналом. Когда это происходит — присылает подключенному телефону фальшивое SMS. В зависимости от модели «бластера» и условий приема, радиус рассылки SMS составляет 500–2000 метров, поэтому злодеи предпочитают проводить свои операции в многолюдных районах. Риск максимален в популярных туристических, торговых и деловых центрах — там и зафиксированы все известные атаки. При этом мошенники не имеют никаких ограничений: не платят за SMS, могут подписывать SMS любым отправителем и включать в него любые ссылки. Злоумышленникам не надо знать номера телефонов жертв — любой телефон получит сообщение, если подключится к их «сотовой вышке».
       
      View the full article
    • KL FC Bot
      Защита истории посещений в браузерах | Блог Касперского
      Автор KL FC Bot
      В апреле, с выходом Google Chrome 136, наконец решена проблема приватности, которая есть во всех крупных браузерах и о которой широко известно с 2002 года. Причем еще 15 лет назад зарегистрирована ее массовая эксплуатация недобросовестными маркетологами. Это угрожающее описание имеет известная и, казалось бы, безобидная функция, элемент удобства: когда вы посетили какой-то сайт, ссылку на него ваш браузер начинает показывать другим цветом.
      «А хотите, я его кликну? Он станет фиолетовым в крапинку…»
      Менять цвет ссылки на посещенные сайты (по умолчанию — с синего на фиолетовый) придумали 32 года назад в браузере NCSA Mosaic, и оттуда эту удобную для пользователя практику заимствовали практически все браузеры девяностых. Затем она вошла и в стандарт стилизации веб-страниц, CSS. По умолчанию такое перекрашивание работает во всех популярных браузерах и сегодня.
      Еще в 2002 году исследователи обратили внимание, что этой системой можно злоупотреблять: на странице можно разместить сотни или тысячи невидимых ссылок и с помощью JavaScript проверять, какие из них браузер раскрашивает, как посещенные. Таким образом, посторонний сайт может частично раскрыть историю веб-браузинга пользователя.
      В 2010 году исследователи обнаружили, что этой технологией пользуются на практике: нашлись крупные сайты, шпионящие за историей веб-браузинга своих посетителей. В их числе были YouPorn, TwinCities и еще 480 популярных на тот момент сайтов. Услугу анализа чужой истории предлагали сервисы Tealium и Beencounter, а против рекламной фирмы interclick, внедрившей эту технологию для аналитики, был подан судебный иск. Суд фирма выиграла, но производители основных браузеров изменили код обработки ссылок, чтобы считывать состояние посещенности ссылок «в лоб» стало невозможно.
      Но развитие веб-технологий создавало новые обходные пути для подглядывания за историей посещений сайтов, хранимой браузером. Исследование 2018 года описало четыре новых способа проверять состояние ссылок, причем к двум из них были уязвимы все протестированные браузеры, кроме Tor Browser, а один из дефектов, CVE-2018-6137, позволял проверять посещенные пользователем сайты со скоростью до 3000 ссылок в секунду. Новые, все более сложные атаки по извлечению истории веб-браузинга, продолжают появляться и сейчас.
       
      View the full article
×
×
  • Создать...