DeesTroy报告的基于文件的加密漏洞已在May的安全更新中修复

2020-08-11 10:46:30 来源: INeng财经

随着Android 7.0 Nougat 的引入,Google切换到了基于文件的加密方法,而不是我们在棉花糖中使用的全盘加密。每种方法都有其优点和缺点,但是Google的安全团队认为,由于当今大多数旗舰智能手机都提供了硬件级别,因此Android更适合使用基于文件的加密。尽管这样做确实使某些事情更安全,但周围仍有一些残留物没有更新。

具体来说,/ data / system /中有一个device_policies.xml文件,其中包含有关密码的统计信息。其中包括诸如密码的有效质量,密码的持续时间以及存在多少个大写,小写,数字,符号和特殊字符之类的信息。因此,虽然密码没有完全泄露您的密码,但是知道这种信息的黑客比没有密码时更容易尝试将暴力破解到设备中。

在使用全盘加密的设备上,只有在您成功输入PIN码,图案或密码后才能访问此文件。但是,当设备使用基于文件的加密系统时,这种情况会完全改变。使用基于文件的加密的电话,在完成无密码的设备加密过程后即可轻松访问该文件。TWRP 名望的DeesTroy于十一月发现这一点,当时他们在开始在Pixel手机上进行TWRP开发之前修补了Nexus 5X。

昨天,Google发布了May的安全更新的详细信息,该漏洞终于在AOSP代码中得到了修补。您可以在此处找到有关特定修补程序的详细信息,并查看Google对漏洞的评价为中等。这是由于这样的事实,尽管它没有放弃密码,但确实使攻击者在成功进行暴力攻击后更容易绕过锁定屏幕。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。