¿Qué tan seguro es usar la autenticación basada en huellas digitales en dispositivos Android sin cifrar?

Question

¿Qué tan seguro es usar la autenticación basada en huellas digitales en dispositivos Android sin cifrar?

#1 de Limit (1 votos)

5

Ya que necesitaba permisos de root para varias aplicaciones en mi dispositivo Samsung Galaxy S8 + ( SM-G955F ), seguí una guía que mostraba cómo instalar un binario de superusuario en el Android 7 del dispositivo.

Hubo una advertencia: tal procedimiento requiere que el cifrado esté deshabilitado para que el dispositivo pueda iniciarse; De hecho, los dispositivos Samsung se negarán a descifrar su almacenamiento al iniciarse si detectan una partición boot modificada. Así que seguí con él y eliminé las funciones de cifrado de mi dispositivo.

Ahora, lo que me pregunto es: ya que tengo varias aplicaciones (p. ej., KeePassDroid, Solid Explorer, Google Play Store ) que pueden facilitar la autenticación del usuario almacenando contraseñas de tal manera que se pueda acceder a ellas. simplemente escaneando una huella dactilar en el sensor, ¿el hecho de que el almacenamiento principal de mi dispositivo se descifre significa que las copias guardadas de las contraseñas pueden ser leídas en texto sin formato por cualquiera que pueda acceder al sistema de archivos raíz de mi dispositivo?

Por ejemplo, supongamos que pierdo mi teléfono, alguien lo encuentra, lo conecta a su máquina y arranca la recuperación TWRP , lo que les da acceso de root al sistema de archivos de Android. ¿Hay algún directorio en el que encuentren contraseñas claras o fáciles de descifrar que estén protegidas mediante la autenticación de huellas digitales? ¿O hay algún otro sistema de cifrado, quizás basado en hardware?

encryption android biometrics

pregunta Manchineel 10.04.2018 - 23:31

fuente

1 respuesta

Lea otras preguntas en las etiquetas encryption android biometrics

¿Cómo funciona Gmit's -mmitigate-rop? cuenta de iTunes se unió a grupo familiar sin permiso

score 1 · Accepted Answer

No podemos responder esto en todos los casos posibles (no se puede explicar la estupidez humana), pero intentaré dar una respuesta relevante.

Ahora, lo que me pregunto es: ya que tengo varias aplicaciones (por ejemplo, KeePassDroid, Solid Explorer, Google Play Store) que pueden facilitar la autenticación del usuario almacenando las contraseñas de tal manera que se pueda acceder simplemente escaneando una huella digital ¿El hecho de que el almacenamiento principal de mi dispositivo esté descifrado significa que cualquiera que pueda acceder al sistema de archivos raíz de mi dispositivo puede leer las copias guardadas de las contraseñas en texto sin formato?

Creo que los desarrolladores de software de seguridad confiable y reputado no dependerán de que el dispositivo esté encriptado para proteger sus datos. Si ese fuera el caso, entonces cualquier software de explorador de archivos con privilegios podría mostrar sus archivos en texto sin formato.

Por ejemplo, digamos que pierdo mi teléfono, alguien lo encuentra, lo conecta a su máquina y arranca la recuperación de TWRP, lo que les da acceso de root al sistema de archivos Android. ¿Hay algún directorio en el que encuentren contraseñas claras o fáciles de descifrar que estén protegidas mediante la autenticación de huellas digitales? ¿O hay algún otro sistema de cifrado, quizás basado en hardware?

Al igual que en el párrafo anterior, si usa un software confiable y reputado, no debería tener que preocuparse por esto. La autenticación de huellas digitales es solo un modo de autenticación y no debe tener nada que ver con la forma en que cifras los datos de tu aplicación. Lo mismo ocurre con el cifrado del dispositivo. Idealmente, no haría una diferencia para los desarrolladores de aplicaciones.