タグ付けされた質問 「security」

セキュリティ問題に関するより一般的な質問については。独自のタグがある特定の問題については、「マルウェア」、「ウイルス対策」、「プライバシー」、「紛失した電話」などのタグを使用してください。詳細については、完全なタグwikiを参照してください。Androidのセキュリティに関する詳細な問題については、姉妹サイト(http://security.stackexchange.com/questions/tagged/android)をご覧ください。

2
ユーザーにapkファイルを提供するのは「安全」ですか?
Playストアで利用可能なアプリがある場合、誰かにapkファイルの直接ダウンロードを提供することは「安全」ですか(適切なキーで署名されているか、単にデバッグバージョンか)? の意味で「安全」 は、マーケットプレイスはapkに特別なことをして、ソースコード、署名キーなどを保護しますか? 私が尋ねる理由は、私のアプリのユーザーが彼らのマーケットプレイス/プレイストアはもはや機能していないため、アプリをアップグレードできないと言っているからです。 このアプリは無料アプリなので、表面的には問題を確認できません-ただ確認するだけでした。 これにより疑問が生じますが、マーケットプレイスからダウンロードしたアプリの有料版と有料版のAPKは携帯電話にあります。これらのapk(電話)は、何らかの理由で電話/ Googleアカウントに固有ですか?それ以外の場合、アプリを購入してそのapkを他の人に渡すことを妨げるものは何ですか?

6
暗号化にPINコードを使用するのは合理的に安全ですか?
Android 4.0(Samsung Galaxy Nexus)には、電話を暗号化する可能性があります。Android 3.0の暗号化についてこれを見つけましたが、Android 4で使用されているアルゴリズムと同じですか?http://source.android.com/tech/encryption/android_crypto_implementation.html 私の主な質問は、PINコードを使用して電話を解読することです。 画面のロック解除と携帯電話の復号化に同じパスワードを使用することを強制されるのはなぜですか? この制限では、単純な電話でロックを解除するために17文字を入力するのが難しいため、複雑性の低いパスワード(PIN番号など)のみを使用できます。 画面のロック解除に対するブルートフォース攻撃は、5回の試行ごとに強制的に再起動することで防止できます。そのため、非常に強力なパスワードは必要ありません。PINで十分です。 このタイプの保護はディスクでは使用できないため、より強力なパスワードが必要になります。(複雑なパスワードを持つユーザーは非常に少ないため、パスワードのエントロピーが増加してもあまり役に立ちません。したがって、攻撃者は単純にほとんどのパスワードを複雑さの低いもので試すことができます)。両方の機能に同じパスワードを使用せざるを得ない理由は何ですか?


6
紛失した電話を見つけたり、返品できるようにするにはどうすればよいですか?
Where's My Droidのようなアプリを探して、紛失したデバイスを探します。 理想的には、2つの特定の機能を備えたものがあればいいのにと思っています。 ここに示すように、Windows Phone 7のように、メッセージを画面に表示してユーザーがメッセージを返すのを支援する機能。 GPSをリモートでオンにして、電話の物理的な位置を確認する機能。バッテリーの消耗を避けるために、GPSを常時オンにしておく必要はありません。 非ルートGalaxy S Captivateで実行します。

3
ルートベースのファイアウォール(AFWall +)と非ルートベースのファイアウォール(NetGuard)の間にセキュリティの違いはありますか?
ルートベースのファイアウォール(AFWall +など)と非ルートベースのファイアウォール(NetGuardなど)の技術的な違いは何ですか? このようなソフトウェアによって効果的に提供されるセキュリティに影響はありますか? 私はすでにNetGuardのソースコードを少しチェックしてアイデアを出しましたが、これはまだ良い質問かもしれないと思うので、このテーマに関する他の人の分析を取得したいと思います。 私はそのような質問をそのようなソフトウェアによって提供されるコア技術機能に限定したいと思います(ファイアウォールの種類:ステートレスまたはステートフル、ハードコードされた例外はありますか、信頼できないパケットを処理するコードの堅牢性など)、セカンダリ機能ではありませんまたはソフトウェアの主要な目的に具体的に影響を与えない限り、彼らが持つかもしれない反機能(広告、追跡、化粧品など)。 言い換えれば、暴言はありません;)! 制限がある場合、それらが実装固有のものであるか(開発チームが選択した結果)または使用された技術の結果(非常に異なるシステムに依存している場合、対処しなければならない可能性があります)他にはない制限付き)。

7
セキュリティオプションがグレー表示
携帯電話(Samsung Galaxy S2)をICSで実行しています。最近、Microsoft Exchnage ActiveSyncをアクティブにして、会社の電子メールに接続しました。「パターンロック解除」などのすべてのセキュリティオプションを無効にしました。私はそれを嫌い、Microsoft Active Exchangeアカウントを電話から削除しましたが、これらのオプションはまだ無効になっています。有効にするにはどうすればよいですか?


7
今日Androidスマートフォンを購入し、できるだけ長い間セキュリティアップデートが必要な場合、どのようにスマートフォンを選択すればよいですか?カスタムROMを使用したいと思います。
バックグラウンド かなりの数のソフトウェア開発者が、製品の特別な「長期サポート」(LTS)または「延長サポートリリース」(ESR)エディションを提供しています。製品を1回インストールすると、ソフトウェアの次のメジャーバージョンにアップグレードする必要なく、最大10年間セキュリティアップデートを入手できます。 以下に例を示します。FirefoxESRの1つのバージョンをインストールしてから、そのバージョンのセキュリティ更新プログラムを約1年間入手できます。または、Ubuntu LTSの1つのバージョンをインストールし、そのバージョンのセキュリティ更新プログラムを5年間入手できます。 残念ながら、GoogleはAndroidの特別な長期サポート版を提供していません。セキュリティ修正は、Googleがそれらのバックポートを停止するまで、デバイスのAndroidバージョンにバックポートされます。これらのパッチが適用されたAndroidバージョンは、デバイスの製造元またはサードパーティのROMビルダーが新しいイメージの作成を停止するまで、デバイスの新しいファームウェアイメージに組み込まれます。 (たとえば、Android 6.0.1 "Marshmallow"にはまだセキュリティ修正が適用されているようです。Android6.0.1の最新バージョンはandroid-6.0.1_r56〜android-6.0.1_r63です。これら8つのAndroidバージョンはそれぞれ同じ日:'16年8月1日。8つはそれぞれ異なるNexusデバイスのセットをサポートするように設計されていました。デバイスメーカーは8つを選択して他のAndroidデバイスに移植できます。 Android 5.1.1「Lollipop」でもセキュリティ修正が行われているようです。最新バージョンはandroid-5.1.1_r38で、16年7月19日にリリースされました。ビルドコードLMY49Mでも知られています。) iOS Appleは、最初のリリース後3〜5年間iOSデバイスをサポートする傾向があります。(情報源。)新機能(デバイスの速度を低下させるため、アップグレードが促進されます)とセキュリティ更新の両方を提供します。しかし、Appleデバイスよりもオープンで拡張可能なデバイスが必要です。 私の質問 今日Android携帯電話を購入していて、その携帯電話のセキュリティ更新プログラムを可能な限り長年入手したい場合、どのように選択すればよいですか? (毎月のセキュリティ更新は素晴らしいですが、今日は毎月のセキュリティ更新については質問していません。私のAndroid携帯電話が最も頻繁にセキュリティ更新を取得するということではありません。購入後—アップデートの間に6〜12か月待たなければならない場合でも) 携帯電話の特定のメーカーとモデルを推奨せず、そのままにしてください。このような答えは、今日の読者には役立ちますが、数年後にこの質問を見る読者には役立ちません。代わりに、製品を自分で比較する方法を教えてください。ベストセラーのデバイスを選択することはどのくらい重要ですか?ミッドレンジの電話(契約なしで100〜200ドル)を購入するか、ハイエンドの電話(契約なしで600〜800ドル)を購入するかは問題になりますか?Linuxカーネルにドライバーをインストールするメーカーからハードウェアを選択する必要がありますか?選択を行うには、他にどのような基準を使用する必要がありますか? セキュリティ更新プログラムを取得するためにカスタムROMをダウンロードしてインストールすることを望んでいますが、自分で何もコンパイルするつもりはないと仮定してください。 私はあなたが完全な正確さで未来を予測できないことを知っています。頑張ってください。

2
Androidの暗号化と脆弱性の標準的な説明
注:まあ、賞金は失効しました。考えられる理由の1つは、コメントから収集する際に対処するために必要な労力です。賛成票の数を見ると、他の人にも興味があるようです。私はまだ答えを受け取りたいので、ここに私が提案するものがあります-1ヶ月以内に良い答えが50のボーナスを得るでしょう。これは十分な時間とインセンティブを与えることを望みます 私はしばらくの間Android暗号化プロセスとその脆弱性を理解しようとしています このサイトおよび姉妹サイトには、このトピックの一部を扱う多くの質問があります。私のポイントを家に戻すために、これらの質問は全体ではなく部分に対処します(「盲人と象?」を連想させます:) マシュマロ暗号化保護とは何ですか? 完全なデバイス暗号化は、データをGoogleおよび政府から保護しますか? /android/137334/if-we-encrypt-our-device-can-user-connecting-to-adb-get-it SDカードの暗号化に関する質問 android-encryption-when-phone-on-on android-cyanogenmod-encryption-vs-gnu であり、RSAで使用できる電話のSIMカードに暗号化された素材があります android-device-encryption 私の理解(または誤解?) 暗号化パスワードは、ユーザーロック画面のPINと暗号化アルゴリズムの組み合わせから生成されます(PINの長さが制限されているため、固有の弱点があります) これはソルトされ、ルートの場所に保存され、ユーザーはアクセスできません これは、/ decryptを暗号化するための実際のパスワードを生成するために使用され、実際のパスワードはRAMに保存されます これは、ステップ1をデバイスSoCにリンクすることで強化されました(どのAndroidバージョン?デバイスを一意に識別するハードウェア要素はどれですか?それを偽物に置き換えることができますか?) したがって、暗号化キーとデバイスなしでデータを復号化することはできません(外部SDも保持します) 可能な回復方法- ブルートフォース、キーを取得するためのRAM情報のキャプチャ(ステップ3) 根ざしたデバイスが表示されるカスタム回復/多分ROMとカーネル点滅を通じてアクセスステップ2データの影響を受けやすくします?(trueの場合、これが大きなリスクとして宣伝されないのはなぜですか?) この情報が得られたとしても、実際のパスワードを生成するのは賢明な努力ではないと推測しています マシュマロは、外部SDを「内部ストレージ」または「ポータブルストレージ」として扱うことができます。論理的には、違いはないはずですが、わかりません 私の理解にはギャップがあり、おそらく他の重要な側面も見逃しています。 だから、私はユーザーの観点から理解するための標準的な説明を探しています 暗号化プロセス全体(外部SDを含む) KitKatからマシュマロまでのAndroidバージョン間の実装バリエーション(マシュマロの外部SDのデュアルオプションを含む) ユーザーレベルの脆弱性 注意 質問が広すぎるとみなされるリスクがあることは承知していますが、IMOは包括的な取り扱いを保証します 通信セキュリティの経験があり、暗号化の概念をユーザーレベルに変換する際の課題を理解しています。より深く理解するための説明ポインターを使用して、これに対処する答えを好むでしょう。プロセスの例は、厳密な意味で暗号的に正確である必要はありませんが、本質を伝える必要があります 考えられる利点は、関連する側面に関する将来の質問を「重複」させることです。 繰り返しの犠牲を払って、答えは主にユーザーレベルである必要がありますが、より深い理解のための適切な説明が必要です。二つの部分で答えを分割することに適した方法です。 私は、包括的な答えを奨励するために、些細な/カジュアル/パッチワークの答えを下票にすることをポイントにします

3
不正なホーム(ランチャー)アプリケーションをどのようにアンインストールしますか?
システム設定画面にアクセスできない(アプリケーションの管理に移動する)ホームアプリをインストールし、アプリ(マーケットアプリやサードパーティのインストール/ unistallerなど)を起動できない場合は、そのようなアプリケーションをアンインストールする方法はありますか? 新しいアプリにホーム画面の権限を引き継ぐ前に、Androidがあなたの許可を必要とすることを知っています。しかし、バグのある(または悪意のある)新しく公開されたLauncherアプリを試しているとしましょう。もちろん、Androidにこのアプリにホーム画面権限を与えることは大丈夫だと伝えることはもちろんです。今、それがインストールされたら、お使いの携帯電話は今では事実上役に立たない? 典型的なエンドユーザー(Eclipse / ADBを持っていない)がこの状況から抜け出す方法はありますか?完全に工場出荷時設定にリセットする以外に? ADBを介してアプリをアンインストールする方法があることを認識しています(「adb uninstall package.name」) しかし、典型的なエンドユーザーがこのような悪意のある/バギーなアプリをインストールすると、潜在的に台無しになるようです。これはAndroidのセキュリティホールのようです。

1
悪意のあるアプリがルート化されたら、その電話を保護するにはどうすればよいですか?
電話をルート化した。 Androidターミナルエミュレーターなどのターミナルエミュレーターを使用すると、パスワードなしで簡単にルートアクセスを取得できることに気付きました。 $ id uid=10059(app_59) gid=10059(app_59) groups=1015(sdcard_rw),3003(inet) $ su # id uid=0(root) guid=0(root) groups=0(root) Unixサーバーとデスクトップの世界では、スーパーユーザーアカウントはマシン上のすべてのリソースにアクセスできるため、パスワードのないスーパーユーザーアカウントは危険と見なされます。 これはAndroid携帯電話でも同様に危険ですか?その場合、ルートを取得しようとする悪意のあるアプリから携帯電話を保護するにはどうすればよいですか?この電話でスーパーユーザーアカウントにアクセスできるアプリを管理できますか?

1
デフォルトカーネルの機能をサポートするGoogleデバイスはありますか?
/systemNexusデバイスのシステムレスルート(パーティションの変更は行われません)の場合、元のカーネルバイナリを変更せずに実行可能ファイルの機能を設定できますか? 端末からの制限なしにファイルを管理したいことがよくあります(必須CAP_DAC_READ_SEARCH)。ただし、スーパーユーザーも使用したくない。 必要なものは、それらを使用するためのカーネルサポートに沿ってキャップを設定するためのツールです(他のユーザースペースのものに依存しません)。 問題は、そのようなデバイスを所有していないことです。だから私はそれがのいずれかで動作するかどうかわかりませんNexus 5X Nexus 6P Nexus 9 Pixel C。

2
デバイス管理権限を持つアプリにはどのような権限が付与されますか?
デバイス管理者アプリケーションには、連絡先、ストレージなどのすべて/すべての権限がありますか? developer.android.com device-adminから、これらの管理者権限がアプリケーションのアクセス許可を暗示しているかどうかは明らかではありません。 または、デバイス管理者は、画面のロック、電話のワイプ、アプリのアンインストールの防止(簡単)など、許可されているポリシー内の操作のみを実行できることを意味し、個人情報へのアクセス許可は権限の設定のみ?

1
Android、ChromeからSSL証明書をエクスポートする方法
最新のAndroid 4.4.2を搭載したNexus 5を使用しています。 Chromeの使用に登録しています。クライアント証明書を使用してユーザーを認証します。証明書をインストールし、モバイルでサイトを正常に使用できました。 しかし、ラップトップでサイトを使用したいのですが、Chromeはこれらの証明書を同期していないようです。モバイルのChromeで証明書に関するオプションが見つかりませんでした。 私はまた、中に何かを見つけることができませんでしたSettings> Security>Trusted credentials このクライアント証明書をAndroidからエクスポートすることは可能ですか?ラップトップのChromeにインポートできますか? Androidデバイスからこれらのクライアント証明書をエクスポートできることを知りたいので、インポートしてラップトップで使用できますか?

3
ロック画面を無効にできるように、デバイス管理者のセキュリティポリシーをオーバーライドするにはどうすればよいですか?
Android 2.2 Froyoでは、コーポレートExchangeメールアカウントを電話に追加しましたが、「デバイス管理者」によって設定されたセキュリティポリシーでは、ロック画面で4桁のPINを入力し、最大10秒間アイドル状態にする必要があります。 このセキュリティポリシーに従う必要がないように、ルートアクセスなどでAndroidをハッキングするにはどうすればよいですか。電話を使用するたびにPINを入力しなければならないことに非常に悩まされています。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.