アカウント名:
パスワード:
そもそも、他人がスマホにインストールされたアプリの利用している、SQLLiteを覗ける時点で全て手遅れでしょうに。槍玉に挙げられているアプリは、利用シーンとして「パスワードを入れないと、スマホに保存してる画像などを簡単に見れないようにする」ものです。いわゆる、「風呂・トイレに行ってる間に、友人・恋人・家族にスマホの中身を盗み見られた!」というのを防止するアプリな訳で、その実装が複雑かつ堅牢なものである必要性は全く無いでしょう。
また、有料機能は「パスワードを間違った際にフロントカメラを利用して、パスワード入力者を撮影する」といった機能です。上記の想定用途に合ったものと言えます。
このアプリを例に出して「最も無価値なアプリは何か?」を聞く時点で、「おまえは何を言っているんだ?」としか思えません。
暗号化によるセキュリティをウリにしてるんだし、その肝心の暗号化がザルなら意味ないじゃん!というのがネタなんだろうけど、このアプリの説明見ると、encryptという単語は1回しか出ないし、private contactsとそのcontactsからのメッセージを暗号化する、のみみたいだね。無駄に期待値が高すぎたのかもしれない。
席を立った数分でSDカードにデータコピーされて抜かれたら見れちゃうとかなら、それはそれでやっぱ宜しくないのでは?
それはもう暗号云々というよりもっと色々なデータを抜かれる問題の方が大きいだろ
他にも問題があるからといって、この問題が縮小される訳でも無し。
えーと…、SQLiteは調査の為に覗いただけなので、攻撃時に覗く必要は無いですよ…。/mnt/sdcard/SystemAndroid/Data/*/.image/* にある暗号ファイルを解読すれば良いだけです。この解読は単純なXOR暗号なので容易です。
# XORだけというのはちょっとお粗末過ぎるような…。
盗み見たのがバリバリの技術者でしたとか、NSAでしたとかだと、こんなレベルじゃなくて暗号化が何bitなら解析に時間がかかるだろうだとか、バックドア仕込まれてないかとかの別の心配が要りますよね。
#最近の浮気調査する興信所はこれくらい破れないと仕事にならないとかなら別
ていうか端末ローカルで完結してるアプリケーションではどんな暗号化も単なる難読化でしかない。端末内に耐タンパ性のあるブラックボックス用意してそれを介在させない限り、すべての処理は追跡可能。
ですよねぇ。そこに強固なセキュリティが必要かどうかを考える必要があるでしょう。自分も件のアプリは必要にして十分だと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
"Vault-Hide SMS, Pics & Videos"の何が問題なのか? (スコア:5, すばらしい洞察)
そもそも、他人がスマホにインストールされたアプリの利用している、SQLLiteを覗ける時点で全て手遅れでしょうに。
槍玉に挙げられているアプリは、利用シーンとして「パスワードを入れないと、スマホに保存してる画像などを簡単に見れないようにする」ものです。
いわゆる、「風呂・トイレに行ってる間に、友人・恋人・家族にスマホの中身を盗み見られた!」というのを防止するアプリな訳で、その実装が複雑かつ堅牢なものである必要性は全く無いでしょう。
また、有料機能は「パスワードを間違った際にフロントカメラを利用して、パスワード入力者を撮影する」といった機能です。
上記の想定用途に合ったものと言えます。
このアプリを例に出して「最も無価値なアプリは何か?」を聞く時点で、「おまえは何を言っているんだ?」としか思えません。
Re: (スコア:0)
暗号化によるセキュリティをウリにしてるんだし、その肝心の暗号化がザルなら意味ないじゃん!というのがネタなんだろうけど、
このアプリの説明見ると、encryptという単語は1回しか出ないし、private contactsとそのcontactsからのメッセージを暗号化する、のみみたいだね。
無駄に期待値が高すぎたのかもしれない。
Re: (スコア:0)
席を立った数分でSDカードにデータコピーされて抜かれたら見れちゃうとかなら、
それはそれでやっぱ宜しくないのでは?
Re: (スコア:0)
それはもう暗号云々というより
もっと色々なデータを抜かれる問題の方が
大きいだろ
Re: (スコア:0)
他にも問題があるからといって、この問題が縮小される訳でも無し。
Re: (スコア:0)
えーと…、SQLiteは調査の為に覗いただけなので、攻撃時に覗く必要は無いですよ…。
/mnt/sdcard/SystemAndroid/Data/*/.image/* にある暗号ファイルを解読すれば良いだけです。この解読は単純なXOR暗号なので容易です。
# XORだけというのはちょっとお粗末過ぎるような…。
Re: (スコア:0)
盗み見たのがバリバリの技術者でしたとか、NSAでしたとかだと、こんなレベルじゃなくて暗号化が何bitなら解析に時間がかかるだろうだとか、バックドア仕込まれてないかとかの別の心配が要りますよね。
#最近の浮気調査する興信所はこれくらい破れないと仕事にならないとかなら別
Re: (スコア:0)
ていうか端末ローカルで完結してるアプリケーションではどんな暗号化も単なる難読化でしかない。
端末内に耐タンパ性のあるブラックボックス用意してそれを介在させない限り、すべての処理は追跡可能。
Re: (スコア:0)
ですよねぇ。
そこに強固なセキュリティが必要かどうかを考える必要があるでしょう。
自分も件のアプリは必要にして十分だと思います。