Fråga:
Vilka säkerhetsfunktioner är viktiga när du köper en smartphone?
James Bradbury
2016-03-10 16:02:10 UTC
view on stackexchange narkive permalink

Jag tittar på att byta ut min mycket gamla Android-smartphone. Informationssäkerhet blir alltmer en funktion som jag letar efter. Förutom att jag är långsam tror jag inte att jag kan uppgradera min nuvarande handenhet till de senaste Android-versionerna eller till och med den senaste versionen av den mobila säkerhetsappen jag använder, så nästan vad som helst skulle sannolikt vara en förbättring.

Helst letar jag efter en telefon eller ROM som har säkerhet (helst kryptering av data i kommunikation och i vila) som en prioritet och sannolikt fortfarande kommer att vara säker (med uppdateringar) om flera år. Jag föredrar en Android-lösning, såvida inte säkerheten på andra plattformar är betydligt bättre / lättare att uppnå.

Är valet av handenhet ett viktigt övervägande, eller är säkerheten främst beroende på hur det används - vanligt uppdateringar, noggrann kontroll av appar före installation?

OBSERVERA : Jag letar inte efter en specifik rekommendation utan snarare vägledning i att veta vad du ska leta efter . Poppa gärna rekommendationer i kommentarerna - men INTE svaren.

nuförtiden erbjuder android full diskkryptering, appar som Signal erbjuder stark krypterad kommunikation och appar som Orbot låter dig dirigera (hela) din trafik genom TOR. Den mest intressanta säkerhetsegenskapen idag för android är stödet för patchstart efter lanseringen. "Hur ofta lappas en specifik modell / ROM och hur länge?" (detta är leverantörsspecifikt) är då huvudfrågan.
James, jag lade till ett uttryckligt meddelande till frågan, för att fokusera på funktioner och liknande som i din ursprungliga fråga, istället för att översvämma svar med grundlösa rekommendationer (som skulle ha stängts som utanför ämnet - din fråga är dock bra). Låt mig veta om det här är som du tänkt.
@AviD. Tack, det här är precis vad jag tänkte. Jag är medveten om att rekommendationsfrågor går för gamla för snabbt för att vara användbara.
Om du kan installera en programvara på den telefon du överväger och att den körs på Android, kör du [Android Vulnerability Test Suite] (https://github.com/nowsecure/android-vts). Det kommer inte att berätta något om framtiden, men det kommer att berätta om telefonen för närvarande är säker, och det borde ge dig en ledtråd när ROM uppdateras eller inte.
Läsare som är intresserade av denna fråga kan också vara intresserade av en [Smartphone som levereras utan förinstallerad egen programvara?] (Http://hardwarerecs.stackexchange.com/q/27/30)
Valet av telefon är definitivt viktigt. Det finns ett antal Android-enheter som har haft fjärrutnyttjande - i ett fall kan någon få kontroll över din telefon genom att enkelt skicka en videofil till dig. Å andra sidan finns det enheter som inte har rotats ens av enhetsägare med full fysisk åtkomst. Ett exempel är BlackBerry Priv - den har mycket strikta SELinux-policyer, pathtrust och är den enda Android-telefonen som släpps med bland annat grsec. Upplysning: Jag arbetade på den telefonen.
Här är en recension som skjuter ned påståendet "privat av design" från Blackphone: [del 1] (http://www.version2.dk/blog/blackphone2-review-1-508188), [del 2] (http: / /www.version2.dk/blog/blackphone2-review-2-545078).
Sex svar:
Stephen Schrauger
2016-03-11 03:45:24 UTC
view on stackexchange narkive permalink

TLDR: Det finns flera säkerhetskategorier som du måste tänka på när du letar efter en telefon. Det viktigaste rådet är dock att få en nyare telefon med de senaste säkerhetsfunktionerna och från en tillverkare som har ett gott rykte om att tillhandahålla uppdateringar.

Säkerhet mot andra människor (kamrater, polis / regering)

Leta efter nyare enheter med fullständig diskkryptering och åtminstone ha en kod eller ett fingeravtryck som krävs för att låsa upp din enhet.

Båda Android och iOS har möjlighet att kryptera telefonen. När du startar telefonen måste du ange lösenordet för att slutföra start och visa filer.

  • Uppåt: Din telefon är skyddad från externa försök att läsa informationen
  • Nackdel: Du måste skriva in ditt lösenord / PIN-kod varje gång du startar, och vanligtvis varje gång du låser upp skärmen.

Eftersom detta är inbyggt i nyare versioner av Android och iOS måste du begränsa din sökning något för att utesluta äldre telefoner som inte har den här funktionen.

Krypteringsnyckel vs upplåsningskod

Som användbarhet / säkerhetsavvägning föredrar jag att ha ett långt lösenord krävs vid start, men har en enklare kod för att låsa upp skärmen. Apple gör detta inbyggt, så att du kan ställa in en PIN-kod eller ett lösenord som krävs vid start, men sedan låta dig låsa upp telefonen med ditt fingeravtryck.

  • Uppåt: Du kan använda en komplicerat lösenord, samtidigt som det är enkelt att låsa upp din telefon snabbt.
  • Uppåt: En axel-surfare kan inte låsa upp din telefon eftersom ditt fingeravtryck låser upp den. De måste fånga dig när du skriver in lösenordet vid start. (När du skriver ditt lösenord, se till att ingen tittar!)
  • Nackdel: Ditt fingeravtryck skyddas inte av lagen (i USA). Polisen kan tvinga dig att låsa upp telefonen med ditt fingeravtryck. Medan ett lösenord eller en kod, något du vet, inte kan tvingas ut ur dig. Även om en domstol förordnar dig och håller dig i förakt för att inte tillhandahålla upplåsningskoden, kan de inte komma åt dina data utan ditt samarbete.

På en rotad Android-enhet kan du installera en mod som låter dig ha ett komplext startlösenord och en enklare PIN-kod för skärmlåsning. Om du anger PIN-koden felaktigt kräver det att det starka lösenordet anges, vilket förhindrar brute-force försök till den mycket enklare PIN-koden. Du tappar dock viss säkerhet eftersom någon som surfar på axeln kan se att du lägger in din PIN-kod och senare stjäl telefonen för att låsa upp den.

  • Uppåt: Du kan använda ett komplext lösenord medan du behåller lätt att låsa upp telefonen snabbt.
  • Uppåt: Endast din kunskap kan låsa upp enheten.
  • Nackdel: Du måste ange en PIN-kod varje gång du låser upp skärmen. Eftersom detta händer ofta är det mycket mer troligt att någon kan ta reda på din enkla upplåsningskombination.

Säkerhet mot appar

Kontrollera appbehörigheter innan du installerar, och se till att du får en nyare telefon som har extra behörighetshantering.

Apple / iOS

Apple-enheter (exklusive jailbroken) kan bara installera appar som har gått igenom Apples kontrollprocess. Även om detta inte är 100% framgångsrikt, skyddar det de flesta användare från att installera en skadlig app. Dessutom kräver vissa uppenbara sekretessfunktioner, som GPS-plats och kontaktinformation, en extra användarprompt för att tillåta att en app får åtkomst till den informationen.

Android 6.0+

Android-behörighetsinställningar före 6.0 Marshmallow var allt-eller-ingenting. Om en app begär behörighet till din GPS har du antingen tillåtit det eller inte installerat appen. Android 6.0 introducerar liknande funktioner till iOS som låter användaren neka vissa behörigheter medan appen fortfarande installeras.

Om man tittar på Android-enheter, begränsas detta de berättigade enheterna, exklusive telefoner som inte har Android 6.0 eller senare. .

Android 4.x-5.x med XPrivacy

Om Android-enheten har root och kan installera Xposed -ramverket kan du installera XPrivacy. Den appen översyner behörighetsmodellen på Android så att nästan alla möjliga sekretessrelaterade tillstånd kan tillåtas eller nekas i realtid. Om appen försöker använda GPS uppmanar den dig att tillåta eller neka (eller tillhandahålla falsk / null information). Det här är tillgängligt för de flesta rotabla Android-enheter som kör vilken version av Android 4.0 till 5.0 som helst.

Leta efter en telefon som kan rotas om du vill justera extrem sekretessbehörighet.

Säkerhet mot buggar / exploits

Leta efter telefoner tillverkade av tillverkare med en historia av regelbundna uppdateringar.

De flesta iOS- och Android-uppdateringar inkluderar buggfixar tillsammans med nya funktioner. Så länge iOS-enheten stöds kan de alla få uppdateringen samtidigt när den släpps.

På Android är Nexus-enheter i allmänhet de första som får uppdateringar. För andra tillverkare, se till att de har en historia av att tillhandahålla uppdateringar till äldre telefoner och inom en rimlig tidsram.

Alternativt kan du hitta en Android-telefon med en olåst startladdare och en aktiv utvecklingsgemenskap. Även om det är mer tekniskt kan det vara det snabbaste sättet att få de senaste uppdateringarna, även efter att en tillverkare slutat stödja telefonen.

Säkerhet mot enhetstillverkaren

Köp enheter från en pålitlig tillverkare och se till att den använder kryptering med full disk där tillverkaren inte har nyckeln. För Android, överväg också en enhet med en upplåsbar startladdare för att kunna ladda anpassade ROM-skivor med nyare säkerhetsuppdateringar och bättre inbyggda sekretessfunktioner.

Apple-enheter kan inte låsas upp även av Apple från iOS 8. Även om det i teorin kan vara möjligt för Apple att tillhandahålla en uppdatering som undergräver detta, är det för närvarande omöjligt för Apple att låsa upp din telefon eller få tillgång till den krypterade partitionen på din telefon . Om du har aktiverat iCloud Backup kan dessa data dock nås av Apple.

På samma sätt kan inte Android-enheter med Full Disk Encryption aktiverat låsa upp av tillverkaren eller till och med Google .

Olåst bootloader

Med Android-enheter låter en upplåst bootloader dig installera anpassade ROM-skivor eller till och med göra din egen byggd från grunden med Android OS-källkoden. Om din telefon inte längre stöds av tillverkaren kan du fortfarande uppdatera till den senaste versionen av Android, förutsatt att någon har sammanställt en Rom för din enhet.

Vissa Android-ROM-skivor har ytterligare säkerhets- och sekretessreglage inbyggda in.

Varning: Detta kan skada säkerheten. Se till att använda en Rom som är allmänt känd och pålitlig.

Säkerhet i molnet

Använd en molnlagringsleverantör som krypterar dina data och inte har tillgång till låsa upp nyckel.

Nästan all molnlagring (Dropbox, iCloud, etc) lagrar filer på ett icke-krypterat sätt, eller på ett sätt som molnleverantören kan dekryptera filerna utan användarens tillstånd. .

Det primära sättet att skydda mot detta är att inte använda molnlagring. Om du behöver säkerhetskopiera dina filer, använd din egen krypterade server eller kopiera filer manuellt till en krypterad stationär dator.

Några lagringsleverantörer, som MEGA och SpiderOak, krypterar dina filer. Krypteringsnyckeln är inte tillgänglig för dem och en statlig enhet måste tvinga dem att skriva en uppdatering till sin programvara för att skaffa upplåsningsnyckeln från en användare.

Android och Apple har båda appar för MEGA som fungerar på samma sätt som Dropbox, inklusive att automatiskt spara foton som tagits av telefonen.

Säkerhet mot nätverk

Se till att din telefon kan använda VPN-programvara och eventuellt använda TOR för öka integriteten. Och var noga med att surfa på webben med https när det är möjligt.

Internetleverantören kan se all din okrypterade nätverkstrafik. Använd ett VPN för att undvika detta. Obs! VPN kan också se dina okrypterade data. Använd en betrodd VPN-leverantör.

Internetleverantören kan till och med bestämma viss information från krypterad nätverkstrafik om du inte använder en VPN. Om du öppnar en webbsida som använder https kan Internetleverantören se vilken domän du ska. De kan dock inte se den specifika sidan du begär eller informationen på själva sidan.

Om extrem integritet är ett behov kan Tor vara svaret. Den har många nackdelar, den primära är långsam hastighet (jämfört med normal surfning). Men när du använder Tor kan din ISP inte se din nätverksinformation, förutom det faktum att du använder Tor. Och noder på Tor kan inte känna till både källan (du) och destinationen (webbplatsen) på grund av hur protokollet är utformat.

Det är värt att notera att det kan vara lätt att knäcka en stift om du har oljiga fingrar eller en smutsig skärm ...
Trevligt och grundligt svar. Det behöver uppröstningar!
XPrivacy visade sig vara möjligt att kringgå. Jag skulle inte rekommendera att förlita mig på XPrivacy när något allvarligt står på spel.
På tal om säkerhet i molnet tycker jag att det är en bra idé att nämna [EncFS] (https://security.stackexchange.com/questions/83292/is-encfs-secure-for-encrypting-dropbox)
Leta inte efter en molnleverantör som krypterar dina data. Det är viktigt att du krypterar data själv innan du laddar upp den. Det är också farligt att ladda upp valfri dekrypteringsnyckel, även om den är säker med ett lösenord.
@SargeBorsch Kan du tillhandahålla en källa?
@Noir Åh ja. https://github.com/cernekee/WinXP
@SargeBorsch Fungerar det fortfarande? Eftersom den inte har uppdaterats på två år, och du skulle * hoppas * att XPrivacy-devs skulle ha fixat det nu?
+1 för delen "säkerhet mot tillverkaren av enheten". Om det finns * en * sak att leta efter är det möjligheten att ersätta firmware på enheten med något som du kan lita på (dvs. inga bakdörrar från tillverkare / leverantörer) och som uppfyller dina andra säkerhetskrav. Om du kan byta ut den inbyggda programvaran kan du lägga till nästan alla säkerhetsfunktioner som krävs (i den utsträckning som tillåts av maskinvaran på enheten - t.ex. kan du inte lägga till fingeravtrycksupplåsning om hårdvaran inte innehåller en fingeravtrycksläsare).
@Noir Jag skulle inte rekommendera att använda helt krypterade molntjänster. Snarare beror det på användarens behov. Om de inte litar på regeringen eller andra företag, bör de i alla fall manuellt kryptera sina data (jag gör detta för mina online-säkerhetskopior). Men många behöver också ha säkerhet / skydd mot sig själva (dvs. användarfel), så en automatisk säkerhetskopiering till en krypteringstjänst kan vara en bra avvägning mellan säkerhet och användbarhet.
@Carpetsmoker Jag har sett utvecklaren [säger att de inte vill hantera dessa problem] (http://forum.xda-developers.com/showpost.php?p=54111452&postcount=10580) eftersom de är för tidskrävande .
@MichealJohnson: Om DU kan ersätta den inbyggda programvaran på din telefon kan alla hackare också byta ut den.
Du bör behöva fysisk åtkomst till telefonen för att ersätta den, och jag tror att de flesta om inte alla Android-implementeringar kommer att rensa användarens data när du byter ut firmware exakt för att undvika kringgående av de säkerhetsåtgärder som genomförs i vilken firmware som enheten kör när angriparen får tag i det.
Jag tror att något du glömt är säkerhet mot fysisk stöld / enhetsförlust. T.ex. funktioner för att säkra rensa data på distans, eller för att hitta din telefon.
Åh, förutom de goda råd om kontroll av appbehörigheter ovan (och var inte rädd att fråga runt innan du laddar ner en app för att klargöra behörigheter du höjer ögonbrynet på), var noga med att bara ladda ner appar från officiella källor, och kontrollera användarrecensioner och nedladdningar också - inte en perfekt indikator men det kan ibland vara upplysande att se om andra användare har påpekat problem. Och kom ihåg att de största riskerna är från saker som att du inte har en pinkod på din telefon och du lämnar den på bussen med ditt amazon.com-lösenord sparat i din webbläsare etc.
Bra att veta om Android 6.0. Jag måste kolla in det! Tack.
På en iPhone 5S eller senare kan du bara använda en kort PIN-kod och ändå hålla dina data mycket säkra - SecureEnclave-coprocessorn begränsar brute-tvingar PIN: Krypteringsnycklarna lagras i SecureEnclave och krypteras med din PIN-kod; varje försök att dekryptera nycklarna måste ske inom SecureEnclave och tar ~ 5 sekunder (hårdvarubegränsad), så du behöver upp till 15 år för att tvinga en åtta-siffrig PIN-kod. Att extrahera nyckeln och tvinga den någon annanstans är MYCKET svår / dyr och kan också förhindras genom att välja ett starkare lösenord; det är samma princip som med smartkort.
@K.Biermann [korrigering] (https://www.apple.com/business/docs/iOS_Security_Guide.pdf): SE lagrar ett unikt ID. PIN-koden, tillsammans med detta UID, används i _derivation_ av dekrypteringsnycklar. Endast SE har tillgång till UID och SE är manipuleringsbeständigt, så endast SE kan hantera operationer. SE-hastigheten begränsar sig vid en PIN var ** 80 ms **, så en 6-alfanumerisk PIN tål högst 5 år. Om jag inte tar fel kan det också sägas att jag spränger UID efter 10 misslyckade försök, vid vilket tillfälle allt som är lagrat på enheten är värdelöst (eftersom nyckeln till data inte längre kan härledas).
De senaste Android-enheterna med fingeravtrycksskannrar (t.ex. min Nexus 5X) kommer att be om en PIN-kod / lösenord vid start (om krypterad lagring), vid första inloggningen efter start, sedan var 48: e timme, samtidigt som upplåsning av fingeravtryck görs vid andra tillfällen.
Rory McCune
2016-03-10 18:33:27 UTC
view on stackexchange narkive permalink

En av de viktigaste aspekterna att tänka på för detta är support- / lapppolicyn för din mobila enhetsleverantör. Om du planerar att hålla telefonen i säg 2-3 år vill du inte att den ska gå ur support efter 18 månader.

Tyvärr kan det vara ganska knepig information att komma över för många leverantörer. tillhandahåller inte publicerade supportlivscykler.

Bilden komplicerar också att vissa enhetskombinationer har långa "supportkedjor" där flera företag måste samarbeta för att producera patchar. Så till exempel kan en O2 Samsung Android-telefon behöva tre företag (Google, Samsung och O2) för att samarbeta för att tillhandahålla en patch. Denna typ av process leder oundvikligen till långsammare lappning.

Det bästa sättet med detta är troligen att välja en enhet som har minsta möjliga kedja, så antingen en Android-enhet från Google, en iOS-enhet från Apple eller en Windows Phone-enhet från Microsoft, och i alla fall kommer en olåst enhet sannolikt att få snabbare korrigeringar än en från en operatör.

Vid denna tidpunkt tror jag att det här kan vara det viktigaste att tänka på för en ny telefon när det gäller säkerhet. Jag hade ingen aning om hur DÅLIG situationen var förrän Stagefright. Min telefon är fortfarande inte lappad, även om jag ringde tillverkaren och de släppte plåstret till min operatör ungefär en månad efter att det var tillgängligt för dem. Så ja: åtminstone för Android, skulle jag säga gå med en riktigt stor-telefon från ett riktigt stort företag med en historia av frekventa korrigeringar, eller gå med en Nexus. Resten motsvarar att använda IE för din webbläsare redan i början av 2000-talet.
Apple-telefoner får mjukvaruuppdateringar samtidigt och du är inte nådig för din operatör. Det finns heller inga anpassade modifieringar gjorda av en tredje part, så jag gillar din poäng om "minsta möjliga kedja".
Det enda andra alternativet är att rota och ta ansvar för att själv uppdatera din telefon. Cyanogenmod lappade till exempel Stagefright ganska snabbt efter att sårbarheten avslöjades.
Tack, det här är en väldigt viktig punkt och väl förklarad. Det enda skälet till att jag inte accepterar det är att vissa andra täcker fler vinklar.
Mark Buffalo
2016-03-11 04:44:12 UTC
view on stackexchange narkive permalink

De andra svaren angående kryptering är fantastiska. Jag kommer att närma mig den här frågan från tinfoil / dissidentvinkel , eftersom jag tror att den är giltig i nästan alla scenarier ... men jag vill ändå förklara mina resonemang och hur jag kom till dessa slutsatser .

Alla problem som jag kommer att diskutera utnyttjas rutinmässigt av brottslingar och undertryckande regeringar. I vissa länder är att vara medlem i en viss religiös ordning, eller fel ras, tillräckligt med en anledning för myndigheterna att planera din icke-godkända organdonation:

Det finns rapporter om systematisk tortyr, olaglig fängelse, tvångsarbete, orgelskörd och kränkande psykiatriska åtgärder, med det uppenbara syftet att tvinga utövare att återta sin tro på Falun Gong.

Ett löstagbart batteri är ett must

Detta är högst upp på min lista: du vill ha en smart telefon som har ett avtagbart batteri .

Varför? Eftersom det finns en miljon sätt att hacka dig och lyssna på dina konversationer. Föreställ dig att älska din betydande andra och någon sjuk jävel från en förtryckande regering eller till och med en brottsling, beslutar att lyssna och få sina sparkar:

“Under sitt dagliga arbete snubblar de över något som inte är helt relaterat till deras arbete, till exempel ett intimt nakenfoto av någon i en sexuellt kompromissande situation men de är extremt attraktiva, sade han. ”Så vad gör de? De vänder sig om i sin stol och de visar en medarbetare. Och deras medarbetare säger: ”Åh, hej, det är fantastiskt. Skicka det till Bill på vägen. ”

Mr. Snowden sa att den här typen av delning inträffade en gång varannan månad och ses "som de yttersta fördelarna med övervakningspositioner."

Det finns också många sätt att låtsas. att din telefon är avstängd när den verkligen inte är avstängd:

Din telefon blir i princip ett fel som berättar för NSA allt som händer runt dig. Varje konversation du har eller någon pinsam sak du gör kommer NSA att spela in den.

Det värsta är att även om du stängde av telefonen för att vara säker skulle den inte vara avstängd. Appen gör att din telefon låtsas vara av - den stänger av skärmen, ignorerar inkommande samtal och svarar inte på knapptryckningar - men spioneringen kommer fortfarande att pågå.

Som vi se från ovanstående exempel, din integritet respekteras inte ens av NSA. Brottslingar och undertryckande regeringar kan också hacka din telefon och lyssna på dina konversationer. Så varför skulle du inte vilja ha en telefon med ett avtagbart batteri om du känner att du riktas mot dig?

Hitta en enhet som är lätt att ändra

Gratisappar på Android kan enkelt ge en form av bakdörråtkomst till din telefon i sin helhet. Du känner till alla de läskiga behörigheterna som du fortsätter att acceptera för att du gillar "gratis grejer"? Ja, de. "Den här applikationen vill ha tillgång till dina: kontakter, mikrofon, kamera etc." Nej tack.

Det är ännu värre när regeringar och reklamföretag använder ultraljudstrick som länkar dina enheter tillsammans. Ett avtagbart batteri, tillsammans med Cyanogens Privacy Guard, kommer att gå långt för att bekämpa detta.

Hur kan du förvänta dig att hålla informationen säker om din telefon ständigt skickar information om dina användningsmönster till marknadsföringsföretag, och regeringar? Glöm inte CISPA. Regeringen vill begära att data lagligt , även om de redan har det.

The myndigheter kan inte ens hålla den egen information säker, så varför ska de få behålla din information? Företag kan inte heller hålla sina data säkra. Varför ska du lita på någon av dem?

Jag föreslår en telefon som kan modifieras. Du kan till exempel installera CyanogenMod och använda funktionen Privacy Guard för att inaktivera appåtkomst till din viktiga information.

Du har också mycket mer kontroll över din telefon än med skit.

Transportörlåsta telefoner är värdelösa i USA, och Kina

Du vill inte ha en telefon som är låst till en operatör. Det finns ofta allvarliga förseningar med säkerhetsuppdateringar, vissa tar år . En av mina telefoner var spärrad och jag kunde inte uppdatera den förrän fyra år senare. Under tiden var det sårbart för nästan allt, men det visade sig vara en utmärkt smekmånad för omvänd teknik. Jag misstänker att du kanske inte vill ha något sådant.

Det här är fortfarande ett problem med många operatörslåsta telefoner. Du kommer att märka att du helt missat uppdateringar som alla andra får. Inte bra.

Tyvärr betyder det vanligtvis att beskjuta fullt pris för en upplåst telefon. Det är definitivt värt det, eftersom du kan uppdatera telefonen mycket lättare - speciellt om du använder CyanogenMod. När telefonen är helt i din kontroll kan du göra mer med den. Du kan tillämpa säkerhetsuppdateringar snabbare och du behöver inte vänta på att operatören ska uppdatera den.

För länge, läste inte

Min topp tre rekommendationer:

  1. Avtagbart batteri (appar / hack kan förfalska att din telefon är avstängd när den verkligen är på)
  2. Moderbar med Privacy Guard (till exempel Cyanogen Mod) li>
  3. Olåsta telefoner, inga operatörslås.
Kommentarer är inte för längre diskussion; den här konversationen har [flyttats till chatt] (http://chat.stackexchange.com/rooms/37013/discussion-on-answer-by-mark-buffalo-what-security-features-are-important-when-b) .
TheHidden
2016-03-10 16:19:28 UTC
view on stackexchange narkive permalink

Försöker undvika rekommendationer, för att skydda din telefon säkert kommer jag att dela upp den i tre nivåer:

Applikationer

När du letar efter applikationer att placera på din telefon behöver du för att titta på behörigheterna de ber om och fråga dig själv, behöver detta schackspel verkligen tillgång till mina kontakter, bluetooth och internet? NEJ det gör det inte, en app för mig är misstänksam om den ber om något som är väldigt lite meningsfullt (även om du kommer att hitta att de flesta appar kommer att be om att se dina foton / filer, men jag litar fortfarande inte på det)

Programvara för din telefon

Du måste leta efter en generisk programvaruversion som är kompatibel med din telefon, det bästa alternativet att välja är att söka efter Android-plattformar med öppen källkod (Android är öppen källkod men att försöka få programmerare att granska ROM-skivor från företag är svårt). Alla telefoner använder specifikt operativsystem från din tjänsteleverantör till exempel: O2 (engelska telekom) hanterar sina egna uppgraderingar och paketerar sina egna saker med det. Du behöver en ren kompatibel version med vilken telefon du än köper.

Hårdvara

Nu är det här det svåraste att svara, hårdvara är hårdvara men du kan kryptera din enhet så att den är säker på din hårdvara. Det här är allt jag kan erbjuda dig när det gäller information.

Andra tips

Du kan få applikationer som säkerställer din trafik, du behöver bara komma ihåg personen på andra sidan måste kunna dekryptera din information. Du kan också ha dolda volymer på din telefon för att bara hålla vissa informationsbitar säkra.

Du kan försöka använda webbsamtal och ha externa tjänster för att hantera din trafik, till exempel anonyma VPN. Det finns också många alternativ för applikationer och tjänster för TOR-nätverket. Kom bara ihåg att du enkelt kan hålla din information säker på din enhet. (glöm inte att använda ett säkert lösenord) men att hålla kommunikationen säker men ändå tillgänglig för den önskade mottagaren kräver att de också har möjlighet att dekryptera den.

Att använda TOR eller krypterade tjänster i anslutning till webbkommunikation på din telefon innebär att du kan få din enhet decentraliserad från dig. Trafikkällan är svår att fastställa. Men eftersom det är din telefon är det fortfarande inte omöjligt att hitta källan.

Behöver du något specifikt? Kommentera så uppdaterar jag mitt svar.

WhatsApp är bara krypterat (OTR / Axolotl) för direkt person-till-person-kommunikation på Android-enheter. Gruppchattar är inte krypterade. Kommunikation med andra enheter än Android är inte krypterad.
uppdaterar mitt svar @SEJPM
@SEJPM finns det faktiskt en app som heter CoverMe som använder stark kryptering för individuella meddelanden och gruppmeddelanden, samt VoIP-samtal, och fungerar också med sin motsvarighet i iOS app store.
@Matt Jag hänvisade specifikt till WhatsApp. Det finns andra appar som verkligen tillåter krypterade gruppchattar, krypterad plattformschatt och krypterad VOIP med Signal som förmodligen är den mest kända.
Noir
2016-03-12 19:35:08 UTC
view on stackexchange narkive permalink

Först och främst: Det finns en bra guide från TOR-projektet om härdning av Android. Du kan härleda alla kriterier du måste leta efter från det.

För det andra: Jag kan inte tro att ingen här ens nämner den största bakdörren som kringgår de flesta säkerhetsåtgärder så länge telefonen är på: basbandet processor.

Det upptäcktes redan några sårbarheter och eftersom firmware för alla tillgängliga basbandsprocessorer är sluten källa och inte även en gränssnittsspecifikation är tillgänglig är det väldigt svårt att hitta bakdörrar och buggar.

gnasher729
2016-03-13 15:12:09 UTC
view on stackexchange narkive permalink

Du måste känna till dina krav, som beror på din situation.

Vill du skydda mot vardagliga hackare som ska attackera slumpmässiga människor, där du inte är ett specifikt mål utan bara ett slumpmässigt offer?

Är du ett potentiellt mål, som en viktig person i ett företag, någon mindre eller stor kändis? Kommer människor att försöka attackera dig personligen?

Är du antingen en brottsling, som kommer att ha brottsbekämpning med sökoptioner efter dem, eller någon som är obekväm för deras regering, som också kommer att ha brottsbekämpning med sökoptioner efter dem?

Nummer 1: Skaffa en iPhone med fingeravtryckssensor, använd ett sexsiffrigt lösenord, använd tvåfaktorautentisering, slå på "hitta min telefon" så att du kan låsa den om den försvinner, använd ett lösenord för ditt AppleID som inte lätt kan gissas och inte är samma lösenord som du använder någon annanstans.

Nummer 2: Samma som 1, använd ett åttasiffrigt lösenord, använd ett lösenord för ditt AppleID som inte använder någon information som en bestämd hackare kan ta reda på om dig, och det är omöjligt att gissa ( till exempel fem slumpmässiga ord).

Nummer 3: Du frågar fel person.

Det fanns andra råd här, men du måste fråga dig själv om du har talangen och tiden att göra din telefon säkrare än en vanlig telefon från en stor tillverkare som använder säkerhet som försäljningsargument . Och du måste fråga dig själv hur mycket besvär du är villig att acceptera för ökad säkerhet. Som ett exempel betyder det att man idag kräver att man inte kan använda en telefon av någon av de stora tillverkarna att insistera på ett avtagbart batteri, vilket innebär att det redan finns en potential att få en mindre säker telefon.

Och det finns kompromisser: Till exempel minskar fingeravtryckssensorn faktiskt säkerheten om allt annat är lika (eftersom alla olika sätt att komma in i din telefon är en potentiell risk), men det uppmuntrar människor att använda längre lösenord som skulle vara mycket obekvämt om du använde dem hela tiden.



Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 3.0-licensen som det distribueras under.
Loading...