パスワードを忘れた? アカウント作成
2174711 story
Google

AndroidのパターンロックはFBIでも解読できない? 64

ストーリー by hylom
FBIでも手が出せない 部門より
greentea 曰く、

FBIが押収した犯罪容疑者のAndroidから情報を抜き出すためアンロックしようと試みたものの、失敗に終わったそうだ。そのため、Google側に必要な情報を提出するよう依頼する事態になっているという(WIREDArs Technica)。

Androidではロック解除に画面上のマークをあらかじめ指定した順序でタッチ操作する必要があるが、このとき一定回数間違えるとメールアドレスおよびパスワードによる解除が必要になるという。

もちろん、分解して中のデータを吸い出すことはできるであろうが、そういったことをせずにロックを解除することは難しいよう。

ただしとある2ちゃんねらーから「嫁に指紋跡で解読された」との報告もあるため、画面を綺麗に保つことも安全管理上、重要かもしれない。

ちなみに、FBIはGoogle側にメールアドレスやパスワード情報のほか、メール検索履歴やWeb検索履歴、GPSのトラッキングデータ、Web閲覧履歴、テキストメッセージなどの情報も要求しているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by skapontan (35455) on 2012年03月21日 18時24分 (#2121049) 日記

    パターンロックが破れなかったのはわかったけど、
    4桁のパスワードならさっくり破れたわけ?>FBI
    iPhoneのパス破りの記事は古いのしか発見出来なかったので、
    現状を知ってる人どうぞ。

    • by Anonymous Coward on 2012年03月21日 19時19分 (#2121070)

      Googleのステマだな。

      親コメント
    • by shesee (27226) on 2012年03月21日 20時59分 (#2121097) 日記
      ガラケーなら、忘れたというと裏で黒い箱に繋げてパスワード解析してましたね。SIMロックもあっさり初期化されました。パターンロックを忘れた人は苦情対応どうやってたんだろう。>キャリア殿
      親コメント
    • by Anonymous Coward

      PINロックだと0000~9999の10000通り、しかしアンドロのパターンロックは38万9112通り。
      39倍ほど強固。
      しかもPINロックより手軽に運用できる。

      ・・・というかWindowsMobileでもあったよな。パターンロックアプリ。
      iPoneにもあるんじゃないの?

      • by Anonymous Coward

        ではなくて
        「一定回数間違えるとメールアドレスおよびパスワードによる解除が必要」
        とていう条件ならパターンロックにこだわる必要ないよね、
        っていう話だと思った。
        一定回数が10000回なら別だけど。

        • by Anonymous Coward

          4桁番号とかだと、他でも使いまわしてるだろうから
          「一つ判明するとどんどん芋づる式にやられる」ってのが大きいと思う。

          パターンロックもその手法自体がメジャーになって
          一人の個人がそこら中でパターンロックを使うようになれば
          同じ問題になっていくけど、今はそうじゃないから
          単純に「他に類推するネタがない」という強度があるんじゃないかと。

      • by Anonymous Coward
        iPhoneの場合、PINを10回以上間違えるとデータが消去されるように設定する事が出来ます。

        #会社のメールにアクセスするプロファイルを入れると、この設定が強制ONされてしまう。
        • by Anonymous Coward on 2012年03月22日 1時02分 (#2121165)

          それを逆手にとって、親に逆らう子どもがいるそうです。 [twitter.com]

          6歳娘「そんな事言ったらiPadのパスコードわざと10回間違えてデータ壊してやるからねっ!」 …そんな脅し方やめて( ;´Д`)

          親コメント
        • by Anonymous Coward

          それ、初期化後バックアップ書き戻してリトライできるんじゃないの?

          パターンロックといえば昔Palm使ってたときこんなの入れてたな。
            www.freeware-palm.com/download-gridlock-v1-32.html

          • by Anonymous Coward

            現在のバージョンだとiOSはパスコードロックかけた状態だとバックアップ取れないみたいなのでロックの掛かったiPhoneを取ってきた場合だと無理そうですね。

      • by Anonymous Coward

        私のXperia arcではロック画面のPINロックなら4桁以上で登録できるので、他のAndroid機種も同じじゃないかな。
        さっき試してみたけど、20桁は入力できた。(Not登録)

        そもそも他の人が仰っているとおり、
        「一定回数間違えるとメールアドレスおよびパスワードによる解除が必要」
        という仕様がセキュリティ強度を上げているのだと思うので元記事の内容が見当違いだと思います。

      • by Anonymous Coward

        iOSで4桁制限は簡易ロックにしたときで、簡易ロックを外せばパスフレーズによるロックになるからパターンは一気に爆発しますね。
        パターンロックは標準ではありません。が、例によってjailbreakすれば設定できた記憶があります。

  • by racco (37699) on 2012年03月22日 2時30分 (#2121182)

    >ちなみに、FBIはGoogle側にメールアドレスやパスワード情報のほか、メール検索履歴やWeb検索履歴、GPSのトラッキングデータ、Web閲覧履歴、テキストメッセージなどの情報も要求しているという。

    アンロックはgoogleが拒否したときのタスクでは?

  • by Anonymous Coward on 2012年03月19日 9時42分 (#2119570)

    近い人ほど類推しやすい気がするけど。
    それと同じようにロックパターンもふだんなにげに指の動きを見ていた嫁さんにはなんとなくわかっていたのかも。
    フロントカメラでの顔認識とあわせて認証するとかそのうちやると面白そうだ。
    #整形で顔面崩壊し掛けてるとかみんな同じ顔だとか噂される芸能人達がどう認識されるとか妄想するのは下世話なニンゲン。

  • by Anonymous Coward on 2012年03月19日 11時31分 (#2119663)

    >「嫁に指紋跡で解読された」との報告もあるため、 画面を綺麗に保つことも安全管理上、重要かもしれない。
    逆に考えるんだ。
    画面全体を汚して指紋だらけにすれば、指紋跡から推測するのは不可能になるぞ!

    いっそ画面全体をペンキで塗りつぶせばいいんじゃね?

  • by Anonymous Coward on 2012年03月21日 18時20分 (#2121047)

    FBIって、FaceBook Ireland だったりしません?

  • by Anonymous Coward on 2012年03月21日 18時30分 (#2121051)

    泣き言を吐くな!

    「難しいもよう」あるいは「難しいようだ」のtypo?
    typoじゃなくこの文のままでそういう意味としたかった?

    • by Anonymous Coward on 2012年03月21日 18時36分 (#2121054)

      FBI:「難しいよう(泣」
      とか書いても萌えたりしてあげないんだからね!

      親コメント
      • by Anonymous Coward

        FBI「たすけてー、CIエモーン」
        という光景が脳裏に浮かんだ。

    • by Anonymous Coward

      難しいようとうくにく

    • by Anonymous Coward

      「難しいようだ」の方の意図で問題なく読めたけど……。
      泣き言解釈はおもしろおかしいと思ったけれど、これtypo?

      • by Anonymous Coward

        「~とかをした。」的な、いかにもたどたどしい学生論文って雰囲気はしますな。

  • Googleへ問い合わせてサーバー側の情報を貰う、というのについては、サービス事業者であるGoogle側で出来てしまうことに違和感はない。
    しかし、端末側のパスワードロックを解除する仕組みをGoogleが持っている(のなら)、それは問題があると思う。
    それは例えていうと、業務上の機密データが格納されているWindows PCであっても、Microsoftであれば(見ようと思えば)自由に見えてしまう、ということと同じことではないのかと。
    まして、その手口が漏洩して悪用されないとも限らない。

    FBIには悪いが、自分で所持する端末の情報を第三者であれば見ることができるというのは、セキュリティ的に脆弱だと捉えるべきではないか?

    # 分解してデータ吸出しまでされれば仕方ないと思えなくもないが、ソフトウェア的に出来てしまうなら、ちょっと目を離した隙に情報が盗まれる危険性があるということになる。
    ## Androidはローカルにデータ保存しねーよ、全部クラウド上だ!ということだったらごめんなさい。

    • by Anonymous Coward on 2012年03月21日 19時16分 (#2121069)

      このとき一定回数間違えるとメールアドレスおよびパスワードによる解除が必要になるという。

      このメールアドレスとパスワードは、gmailのアドレスとパスワード、もっとわかりやすくいえば、その端末に紐付けられているgoogleのアカウントとそのパスワードの事です。
      つまり端末の認証方法の初期化と解除をネットワーク経由での認証により行うという物です。

      この手の事はおおよそのものに実装されていて、androidの場合、その一つがネットワーク経由での認証だった、というだけです。
      他にも、日本だと、ものによっては販売しているショップで解除することもできますし、リンクされてる記事には、製造元のサムスンに、そのためのコードの提供も要請しているようです。
      これまでのものでも同様の仕組みはありましたし、他の分野でも、よっぽどクリティカルでなければ、何らかの救済措置が用意されているのが通例です。
      そうでなければ怖くて使えませんよ。

      親コメント
      • by Anonymous Coward

        他の分野でも、よっぽどクリティカルでなければ、何らかの救済措置が用意されているのが通例です。
        そうでなければ怖くて使えませんよ。

        自分の端末からロックされてしまったユーザーが自分でロックを解除する救済措置については必要ですが、
        他人の端末からロックされてしまった第三者が勝手にロックを解除する救済措置については必要ない、
        と思うのですがいかがでしょうか?

        今回FBIが問い合わせているのは後者の手法ですよね?
        Google側が保持しているデータが、令状なり正規の手続きの上閲覧されるのは普通の行為だと思

        • by Anonymous Coward

          PCでもパスワードリセット出来る事が多いですよ。
          HDDを暗号化するなどしてリセット出来ない様にすることは出来ますが、そこまでやることは少ないと思います。
          ハードが手元にある時点でメモリカードとかHDDとかは取り出し可能ですし、
          強制執行ならクレジットカードの暗証番号のリセットだって可能だろうし、大家さんはあなたの部屋の鍵を開けるわけで、
          個人ユースでそこまでガチガチなのは求めないでしょう。
          それに、そう確実に個人を識別出来るハードがない以上、ハードによる救済措置は自分と他人を区別しませんし、
          人が介在するなら司法などにより簡単に覆ります。

          そもそも、そこまで守りたいデータがあるなら、暗号化なりなんなりそれぞれが必要な対処をするんじゃないですかね?

          • ハードが手元にある時点でメモリカードとかHDDとかは取り出し可能ですし、

            物理的に奪われて手間隙かければ取り出せてしまう、というのはそれはそれで仕方ないとは思うんですよね。
            そこまでいくともう物理的なセキュリティの話なので。

            あくまでOSレイヤーのセキュリティの話として。
            もし「OSの認証機構を迂回する仕組みが用意されており」「それをGoogleだけが知っている」とすれば、それはOSとして大きな問題点ではないでしょうか?
            (例えていうなら、セーフモードで起動したら、管理者パスワードを知らないユーザーでも権限

    • by Anonymous Coward

      端末のロックパターンを忘れた場合は、端末に登録されているGoogleアカウントのIDとパスワードでソレをリセットすることが出来ます。
      なのでアカウントのパスワードを再設定すれば、後は端末にアクセスし放題というわけ。

    • by Anonymous Coward
      >端末側のパスワードロックを解除する仕組みをGoogleが持っている(のなら)、それは問題があると思う。

      FBIがGoogleにパスワードを教えるよう要求したって、どこをどう読んだ?

      それとも、『(のなら)』とわざわざ書いたってことは、自分の言いたいことに前提となる事実を無理矢理合わせてミスリードしようとしてる?
      • by Anonymous Coward

        「FBIがGoogleにパスワードを教えるよう要求したって、どこをどう読んだ?」って、どこをどう読んだ?

        FBIが押収した犯罪容疑者のAndroidから情報を抜き出すためアンロックしようと試みたものの、失敗に終わったそうだ。そのため、Google側に必要な情報を提出するよう依頼

        だから、パスワードが無くても第三者がロックをリセットするなりして情報を抜き出す方法が無いか問い合わせたわけでしょ?
        で、『(のなら)』というのは、タレコミ文や元記事にはGoogleがどう回答したかは書いていない・・・Googleがそうした仕組みを用意しているか判らない、のだからもしあったら問題だ、という話をしているんじゃないか。
        わざわざそうした事実があればと断った書き方をしたのに、事実を無理やり合わせてミスリードしようとしている、って何でそんなに疑心暗鬼?

    • by Anonymous Coward

      いかがなものかっても、
      利用者が困った時のロック解除法すら封じたら、
      それはそれで困るでしょう?
      それをセキュリティの問題にするのは筋違いです。
      契約上はgoogle自身でも読めないあなた宛のメールを、警察は開示要求するんですから。

      • by Anonymous Coward

        別ACだけどその気になればGoogleは全てのロックを一瞬で解除できるってのはやっぱり気持ち悪い。
        開示要求されたら開示できるってのも気持ち悪い。とはいえ
        > それはそれで困るでしょう?
        それはそれで困るんだよな。

    • by Anonymous Coward

      さすがに被害妄想が強すぎますね。

  • パターンロックなんて指の脂の跡をたどれは簡単に解除できるでしょ。
    うちの端末の画面みてみるとしっかりとロック解除した跡がついてますよ。

    科学的捜査に長けたFBIのゆうことでは無いと思うんですが。
    ロック解除→メールの確認→ポケットにしまうくらいの操作なら確実に
    ロックパターンロックを分析されるのでは?

    • by Anonymous Coward

      おててを普段から清潔にしていないことがバレバレですね。

    • by Anonymous Coward

      解除した跡を、上書き消去すればいいんですよ。
      HDDの廃棄処理と同じ。

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...