Ich baue eine einfache Android-Anwendung für mich selbst. Es ist ein einfacher Passwort-Manager, wo ich alle meine Konten speichern kann. Ich möchte nur wissen, ob es möglich ist, die Daten der Android App zu hacken oder zu extrahieren, auch wenn es offline ist? Vielen DankIst es möglich, die Daten der Android App zu hacken, auch wenn sie offline ist?
Sind die Passwort Hashes Server oder Client-Seite gespeichert? Wenn die Passwörter clientseitig gespeichert sind, dann ist es ja möglich. Wenn die Kennwörter im Klartext gespeichert werden, ist dies für Angreifer mit lokalem Zugriff auf das Gerät umso besser.
Meine Hoffnung wäre, dass Sie die Verschlüsselung mit symmetrischen Schlüsseln für die Passwörter verwendet haben, die nur mit Ihrem Master-Passwort als Schlüssel entschlüsselt werden können und die Klartext-Exposition selbst im Speicher minimieren.
Ich würde immer Ja mit diesen Dingen annehmen. Ich würde empfehlen, die Verschlüsselung der Daten zu überprüfen, ein einfacher Startbildschirm für ein App-Passwort würde funktionieren. Ich würde sicherstellen, dass der private Verschlüsselungsschlüssel etwas ist, das nur durch das Passwort erzeugt werden kann, das auf dem Sperr-/Begrüßungsbildschirm eingegeben wurde. Abgesehen davon, sollten Sie auf Lager ROMs in Ordnung sein, aber natürlich nicht verlassen Fisch apps auf Ihrem Gerät. Wenn ich das aufbauen würde, könnte ich sogar in 2-Faktor-Authentifizierung über nfc schauen.
Was würden Sie als NFC-Implementierung vorschlagen? Ein Hardware-Token, das einen anderen Verschlüsselungsschlüssel für eine sekundäre Verschlüsselungsschicht enthält? Ich denke nicht, dass dies für seine Implementierung notwendig ist, da das Tragen eines Hardware-Tokens für Ihr Android-Gerät wie ein Overkill für einen einfachen Passwort-Manager aussieht. Vorausgesetzt natürlich, dass diese Passwörter keine nuklearen Codes sind.In diesem Fall würde der Nachteil der Verfügbarkeit durch den Vertraulichkeitsgewinn ausgeglichen. – DeepS1X
Es ist definitiv nicht "benötigt", aber ich würde für 2 Faktor über meine Yubikey gehen und ich würde auch eine Selbstzerstörung Funktion in, lol. – Alex
Während wir dabei sind, werde ich für alle Fälle den Fallout und den Biometriescanner kaufen. – DeepS1X
Niemand kann Daten an einen entfernten Server übertragen, wenn das Gerät offline ist, aber es gibt auch andere Möglichkeiten, Ihr Problem bedenkt, wie,
Erstellen Sie ein Programm, um Daten aus der Datenbank zu sammeln und senden es durch SMS (Unter Berücksichtigung Passwörter sind Textdaten und klein)
erstellen sie ein Programm, Daten zu sammeln und in Low-Profile zu bleiben und sie an einen Server zu senden, wenn das Gerät online
wurdeTechnisch möglich, Aber mach dir keine Sorgen, Chancen für jemanden, der so etwas tut, ist sehr niedrig, Gehen Sie mit Ihrer Idee und verschlüsseln Daten, wenn Sie können, um einfach zu stehlen zu vermeiden.
Glücklich Codierung :)
Ich nahm lokalen Rechnerzugang an, aber ich denke, Backdoor-Implementierungen wären genauso gut Abrufen der Daten – DeepS1X
Ja, es auf der Client-Seite installiert ist. – vidalbenjoe
Ich möchte nur meine Passwörter in der App anzeigen :) – vidalbenjoe
Dann ist es in der Tat anfällig für Offline-Angriffe. – DeepS1X