Az Android megdöbbentően egyszerűvé teszi a tolvajok számára, hogy ellopják Google-fiókját.
Az Apple és a Google egyszerűvé tette, hogy egész életünket a telefonunkra töltsük, miközben az összes információt védjük fejlett hitelesítési módszerekkel. De van egy kulcsfontosságú gyenge láncszem, amely, ha elég szerencsétlen vagy ahhoz, hogy figyeljenek, és ez az a hitelesítési módszer, amelyet a telefon feloldásához használ.
Nem akarunk szükségtelen lépésekre ingerelni, de mivel az elmúlt néhány évben megszaporodtak az erősen összehangolt iPhone-lopások, úgy gondoljuk, jó ötlet, ha a numerikus jelkódról legalább alfanumerikus jelszóra vált.
A Wall Street Journal munkatársa, Joanna Stern ezen a héten számolt be a telefonlopások számának növekedéséről, amely bizonyos szintű szociális manipulációt is magában foglalhat, amely lehetővé teszi számukra, hogy elolvassák és emlékezzenek az Ön jelszavára.
Az ilyen gyors lépések azonban nem csak az eszköz szabad piacon történő viszonteladása érdekében valók: mind az Apple ID, mind a Google fiókok kínálnak fiókjelszó-visszaállítási módszert, amelyhez csak a felhasználóknak kell megadniuk a hitelesítést az eszközükön.
Ha hozzáférnek ezekhez a fiókokhoz, a tolvajok más személyes adatokhoz is hozzáférhetnek, és felhasználhatják azokat felhőalapú tárhelyek megtámadására, bankszámlákról és hitelkeretekről való átszipolyozásra, sőt csalhatnak az ellopott személyazonossággal, miközben megakadályozzák, hogy az áldozat visszaszerezze az ellenőrzést, mert az összes fiókinformáció megváltozott.
Bármi is legyen az Android-eszközlopások statisztikája, tudnia kell, hogy ugyanaz megtalálható az Android telefonokon is: amint arra Mishaal Rahman rámutat, a tolvajok a jelszó-visszaállítási folyamaton keresztül átvehetik az irányítást az áldozatok Google-fiókja felett hitelesítést eszközük jelszavával.
This story is terrifying, but you know what's worse? IT ALSO WORKS ON ANDROID.
— Mishaal Rahman (@MishaalRahman) February 25, 2023
I was able to change my Google account's password using nothing but my phone's screen lock PIN!
SWITCH TO A PASSWORD! https://t.co/v8E0ZH3ZUD pic.twitter.com/hTiOrc8Mfi
Rahman utasításai túlmenően, rosszindulatú szereplők képesek lehetnek átmenni az azonosítás második faktorán, ha szükség van rá, és a "Tap Yes on your phone or tablet" módszert választják, mert a kérés a kézben lévő eszközre kerülne, és a Google folyamata képes lenne érzékelni az említett kérést, így áthaladna a ellenőrzésen.
Nem számít, hogy az arcfelismerést vagy az ujjlenyomat-leolvasást választja, mert ezek a módszerek visszatérhetnek a jelszóra, a jelszóra vagy a mintazárra. Jelenleg tehát az a legjobb tanácsunk, hogy frissítse eszköze jelszavát vagy mintázatát alfanumerikus jelszóra.
I'm not kidding. If a thief knows the passcode for your Android phone, THEY CAN CHANGE YOUR GOOGLE ACCOUNT'S PASSWORD. I just had to go to Settings > Google > Manage your Google Account > Security > Password > Forgot password > Use your screen lock > Tap YES on phone or tablet.
— Mishaal Rahman (@MishaalRahman) February 25, 2023
Tudjuk, hogy ez nem szép gondolat, különösen azért, mert amellett, hogy ez az egyik olyan dolog, amit nem tudsz kezelni egy jelszókezelővel vagy hitelesítő alkalmazással, ez egy másik elsődleges jelszó lesz, amelyet emlékezned kell a felmerülő buktatókkal együtt. összetettséggel és memóriával.
Az is ironikus és tragikus lenne, ha a tolvajok legyőznék a fejedben tartható legjobb jelszót, amely nem 5aP9had^Q vagy valami hasonló. Az Apple és a Google legalábbis nem fogadhatja el az alapvető egyeszközös hitelesítési módszereket a fiókjelszavak visszaállításának ellenőrzéseként.
Ja, és egy utolsó tanács: vegyél egy Yubikey-t.