我的密码在售后服务有多安全? -- security 领域 和 password 领域 和 data-recovery 领域 android 相关 的问题

How safe are my passwords at after-sales service?


6
vote

问题

中文

我的手机目前不起作用。三星让我在批准的维修中心将其删除,这将处理往返三星的发货和接待。

无法启动我的手机,我不可能从中删除个人文件。

我知道,一旦修复,任何处理手机的人都可以访问所有文件。但我的密码怎么样?我知道可以通过root访问权限保存WiFi密码。来自应用程序的密码也是可能的吗? (Gmail,Dropbox,来自Chrome的网站密码......)

底线:如何安全是 UN 加密设备上的数据/密码?

英文原文

My phone is currently inoperative. Samsung asked me to drop it at an approved repair center, which will handle shipment and reception to/from Samsung.

Being unable to boot my phone, it was impossible for me to remove personal files from it.

I am aware all my files will be accessible to anyone handling my phone, once repaired. But what about my passwords ? I know it's possible to get saved WiFi passwords with root access. Is it possible too for passwords from applications ? (Gmail, Dropbox, Website passwords from Chrome, ...)

Bottom line: How safe are my data/passwords on an unencrypted device ?

        
       
       

回答列表

3
 
vote
vote
最佳答案
 

一般信息

作为 andro nerd 在他的答案,最多应用程序存储密码(和其他敏感信息)加密。有些人甚至不存储它们(他们使用一种"令牌" ,因为大多数Google Apps都可以使用,或者他们不存储那样的东西)。

不幸的是,只有大多数应用程序似乎在乎。有些商店一切普通文本(某些HTC设备上的库存电子邮件应用程序为例,例如:存储密码甚至目录信息纯文本以进行交换服务。该指控的来源可以在下面提到的书中找到)。

哪个应用程序是安全的?

很难真正的知道哪个应用程序是保存的,尽管有些服务可以帮助您解决它 - 请参阅例如Viaforensic的 appwatchdog ,他们彻底调查了这样的东西(但有限的Ressources是 / em>从覆盖一切)。某些安全博客也通知了发现的问题 - 如果某些知名的应用程序受到这种安全漏洞的影响(例如提到的电子邮件应用程序,或 skype ),世界上所有的博客都将传播字。

如何在自己的

上检查它

了解结构如何保存数据,您可以调查自己(如果您的设备植根于此)。 Andrew Hoog的书 Android取证和移动安全性是一个教授你如何的好源这样做:

应用程序将其数据存储在 /data/data 中的数据,其中包含应用程序包名称的目录(对于skype,这将是 /data/data/com.skype.merlin_mecha/ )。默认情况下,仅通过应用程序访问该目录(当然,当然,root) - 这就是为什么它需要root权限挖掘更深入。以下基本结构如下:

  /data/data/com.example.demoapp ├── cache                Directory │   └── webviewCache     Directory │       ├── 027e59a0     Cache file │       └── 057606c4     Cache file ├── databases            Directory │   └── example.db       SQLite database ├── lib                  Directory └── shared_prefs         Directory     └── example.xml      Config file   

显然,有两个主要的地方来检查:

  1. shared_prefs 目录,包含XML文件。因为那些是纯文本,他们应该容易调查。
  2. databases 目录。数据库文件通常在SQLite标准中,因此您可以使用SQLite命令行客户端调查它们,或者使用 sqliteman等图形前端。

关于这个主题的彻底信息将在这里走得太远 - 但是你有希望。

结论

我不会那么关心三星官方服务(虽然"坏人" 可以坐在任何地方 - 但是一个人不应该绕过偏执狂。但当然是一个普遍的想法,以小心为什么小心一个用途。对于您目前的情况来说太晚了,可能是 - 但总是有明天。

 

General information

As The Andro Nerd pointed out in his answer, most apps store passwords (and other sensitive information) encrypted. Some even don't store them at all (they use a kind of "tokens", as is available with most Google apps -- or they don't store anything like that).

Unfortunately, only most apps seem to care this way. Some store everything plain text (the stock email app on some HTC devices is known for that, for example: Storing passwords and even directory information plain text for Exchange services. Sources for this allegation can be found in the book mentioned below).

Which apps are safe?

It's hard to really know which apps are save, though some services help you figure it out -- see e.g. ViaForensic's AppWatchdog, where they thoroughly investigate apps for things like that (but with limited ressources are far from covering everything). Some security blogs inform about found issues as well -- and if some well-known app is affected by such a security hole (as e.g. mentioned email app, or Skype), all the blogs in the world will spread word.

How to check it on your own

Knowing the structures how data are saved, you could investigate yourself (if your device is rooted, that is). Andrew Hoog's book Android Forensics and Mobile Security is one good source teaching you how to do that:

Apps store their data below the /data/data, in a directory with the apps package name as name (for skype, this would be /data/data/com.skype.merlin_mecha/). By default, that directory is accessible by the app alone (and, of course, by root) -- which is why it requires root privileges to dig deeper. The basic structure below is as follows:

/data/data/com.example.demoapp xe2x94x9cxe2x94x80xe2x94x80 cache                Directory xe2x94x82   xe2x94x94xe2x94x80xe2x94x80 webviewCache     Directory xe2x94x82       xe2x94x9cxe2x94x80xe2x94x80 027e59a0     Cache file xe2x94x82       xe2x94x94xe2x94x80xe2x94x80 057606c4     Cache file xe2x94x9cxe2x94x80xe2x94x80 databases            Directory xe2x94x82   xe2x94x94xe2x94x80xe2x94x80 example.db       SQLite database xe2x94x9cxe2x94x80xe2x94x80 lib                  Directory xe2x94x94xe2x94x80xe2x94x80 shared_prefs         Directory     xe2x94x94xe2x94x80xe2x94x80 example.xml      Config file 

Obviously, there are two major places to check:

  1. the shared_prefs directory, containing XML files. As those are plain-text, they should be easy to investigate.
  2. the databases directory. Database files are usually in the SQLite standard, so you can investigate them with either an SQLite command line client, or with a graphical frontend like SQLiteMan.

A thorough information on this topic would go too far here -- but you got the idea, I hope.

Conclusion

I wouldn't be that much concerned with Samsungs official service (though "bad guys" could sit everywhere -- but one should not go paranoid about it. But of course it is a generally good idea to be careful of which apps one uses. Too late for your current case, might be -- but there's always a tomorrow.

 
 
         
         
1
 
vote

大多数(如果不是全部)应用程序将以其数据文件夹中的数据库中的加密格式存储已保存的密码。

因此,您的密码将是安全的 - 它们必须访问数据库,然后解密存储的加密密码。

以及它们最有可能擦拭设备(并非总是完成,取决于修复)。

 

Most (if not all) applications will store saved passwords in an encrypted format in their database in their data folder.

As such, your passwords will be safe - they would have to access the database, and then decrypt the stored the encrypted password.

As well as that, they will most likely wipe your device anyway (not always done, depends on the repair).

 
 

相关问题

11  如何远程从我的Android手机中注销所有基于Web的Gmail会话  ( How to remotely log out all web based gmail sessions from my android phone ) 
我可以远程退出我的Android手机中的所有网站Mail吗? 这个问题解释了如何做到这一点从Gmail网站与标准Web浏览器。这并不是在我的手机上工作,因为当我在手机中使用浏览器访问Gmail网站时,我被重定向到移动版本,因此我无法访问"此帐户的活动" 功能。 ...

0  如何将我的手机在静音模式中自动转换为常规模式,以便特定手机号码  ( How to convert my phone in silent mode into general mode automatically for speci ) 
如果我的手机处于静默模式,我希望我的手机通过仅为我的父母或朋友的特定号码呼叫来自动将静音模式转换为一般模式。 许多时候我的手机都处于沉默模式。如果他们是紧急呼叫,那么即使在沉默模式下也需要我在我的手机上得到一个警报。 ...

3  如何在没有root的情况下禁用flag_secure?  ( How to disable flag secure without root ) 
我刚才实现了旁路屏幕截图安全性的唯一方法是禁用这个 FLAG_SECURE ,因为我可以使用xposed模块完成。 但我不想root我的手机。是否有任何方法可以禁用<代码> FLAG_SECURE 并绕过屏幕截图security 没有root 。 ...

19  如何找到丢失的手机或帮助人们返回它?  ( How can i find a lost phone or help people return it ) 
我正在寻找一个像 的应用程序,我的droid 有助于找到丢失的设备。 理想情况下,我希望有一个可能有两个特定功能: 能够向屏幕显示消息以帮助人们返回它,如Windows Phone 7将拥有,如这里说明。 能够在远程转动GPS以帮助手机的物理位置。我不想一直都要保持GPS,避免电池排水。 在非生根的Ga...

0  我忘记了我的锁定模式,我如何重置它? [复制]  ( I forgot my lock pattern how do i reset it ) 
这个问题已经在这里有答案: 关闭 9年前。 可能的重复: 从忘记锁定模式中恢复 我有一个toshiba茁壮成长的android表,我忘记了我用作我的模式锁定的东西。如何重置它?有人请帮忙! ...

27  我的手机只是偷了一小时左右。是否有任何追踪选项?  ( My phone was just stolen an hour or so ago are there any options for tracking ) 
我意识到这是一个很长的镜头,但几个小时前我的手机丢失了或偷走了。 当它被盗时,我没有安装任何特定的应用程序来跟踪它或擦除数据。所以......我的坏。我希望我有一个模式锁定将至少阻止任何人访问我的数据。 我的问题是,事实后我是否有任何用于跟踪或数据擦拭的选项? (我对跟踪更感兴趣。) 注意:我已经阅读了类似的问题,但...

0  Android要求重新输入WiFi密码。我的手机是否受到损害?  ( Android asks to re enter wifi passwords is my phone compromised ) 
我有一个Galaxy S8(SM-950F),带有Android版本8.0.0。我用magisk扎根了设备。我有几个Magisk模块,包括BixBy Remapper,F-Droid Prodiacalage扩展,LiboEmcrypto Disabler,LibseCure_Storage Companion和Cl...

0  “系统”正在尝试访问互联网  ( System is trying to access internet ) 
我正在使用onlowplus 3t,android 9.最近我安装了一个名为"noroot防火墙" 的应用程序,以防止应用程序访问Internet。我明确允许并拒绝访问互联网以获取某些应用,但不允许或拒绝"系统" (默认)应用程序来访问Internet。如果您不允许或拒绝访问,则当该应用程序尝试访问Internet时...

0  为什么CM13 OnePlus 2重置本身设置显示模式点?  ( Why cm13 of oneplus 2 resets itself setting show pattern dots ) 
我发现CM常常在锁屏中的安全点的可见度丢失。 这是令人沮丧的,因为我正在使用6x6网络,具有困难的模式。通过登录是挑战性的。 我已经看到cm的情况忘记了设置 安装任何未知来源等Amazon地下的应用程序 留下未知来源的设置打开 我设法在20次尝试后通过点传递代码。手机已重置设置显示模式点。 手机的其他变化 我只...

24  什么Android Sync'd数据被加密?  ( What android syncd data is encrypted ) 
释放 firefex插件for firefox 它已成为在开放Wi-Fi网络上浏览网站浏览的微不足道被第三方听众劫持。 Android提供方便的自动同步选项。但是,我担心我的数据可能是自动同步的,而我在当地咖啡店或购物中心连接到开放的Wi-Fi网络时。 是使用SSL或类似加密机制加密的所有数据Android自动同步...

6  OpenVPN与Android 2.3.x - 安全问题  ( Openvpn with android 2 3 x security concerns ) 
我需要使用我的Android 2.3.x手机来访问OpenVPN服务器。我有cm 7,支持openvpn和tun。我的主要关注点是我不知道将钥匙放在哪里。如果我的手机掌握在错误的手中,我就会把钥匙留在开放状态,我不能拥有它。 如果我有一个IC电话,我会有完整的文件系统加密,我会安全(r)。所以有另一种还是一些技术,我...

4  为什么我的手机无需更新密码?  ( Why my phone does not need to update the password ) 
我一天前更改了我的Gmail密码,但我的手机不要求我放入新的密码。我仍然可以使用旧密码访问我的Gmail。为什么? 手机rooted,sim解锁,运行Android 2.3 ...

1  课程0消息(Flash SMS)对Android设备做了什么?  ( What can class 0 message flash sms do to android devices ) 
我正在使用三星手机,我最近通过课程0消息进行匿名邮件 类0消息 紧急情况,联系 我现在的电子邮件 (电子邮件编辑) from :(电话号码编号) 我看到关于问题的文章,它说它可以显然可以重启手机吗?是真的吗? 我所做的是我回复了不知道它可能是骗局的电子邮件。 ...

0  升级后缺少Android 5.1.x安全设置  ( Android 5 1 x security settings missing after upgrade ) 
我的一位朋友问我寻求帮助,我目前使用三星手机与Android 5.1.1,并在主设置UI中遗漏病毒安全和CPU的设置。她说,"病毒" 警报应该是红色/黄色/绿色指标的东西。此外,还应该有一些关于操作系统的设置。 我猜的升级期间发生了变化。 我无法弄清楚她在说什么,我一直在使用Galaxy 2和4到现在,目前使用5....

19  是否有任何方法可以从我的手机中删除已经被盗的个人信息?  ( Is there any way to erase personal information from my phone that has already be ) 
我的手机被盗了。我不希望小偷访问我的任何个人信息,如电话内容中保存的呼叫,文本和信息。有没有任何可能的方式可以从手机中删除此信息? ...




© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有


Licensed under cc by-sa 3.0 with attribution required.