Pozor, ochrana heslem u Palmů se dá snadno obejít

Pokud používáte ochranu dat ve svém Palmu pomocí přístupového hesla, zbystřete, takto zablokovaný Palm se dá velmi jednoduše odemknout.
Pokud používáte ochranu dat ve svém Palmu pomocí přístupového hesla, zbystřete, takto zablokovaný Palm se dá velmi jednoduše odemknout.

Zveřejněné bezpečnostní upozornění firmy @Stake mluví jasně. Ochrana heslem u Palmu neodolá nikomu, kdo má fyzický přístup k zablokovanému Palmu a chvíli času. Těžištěm problému totiž je, že Palm OS podporuje ve standardním provedení podporu ladění aplikací pomocí debbugeru přes sériový port. Tento debugger se dá spustit i u zamknutého Palmu a přes sériový port lze pak instalovat aplikace, stahovat nebo instalovat databáze, měnit položky a podobně. V jedné takové databázi je uloženo i heslo. Stačí tedy stáhnout příslušnou databázi, prohnat konkrétní sekci volně dostupným dešifrátorem a heslo máte k dispozici. Pak jen odemknete Palm a máte přístup ke všem datům. Pokud máte v Palmu citlivá data v normálních databázích, ochranu heslem není ani třeba obcházet, stačí si přes debugger databáze stáhnout přímo a třeba vložit do jiného Palmu. Přímo ve zmiňovaném bezpečnostním upozornění je stručný postup získání hesla popsaný do detailu.

Postiženy jsou všechny Palmy bez rozdílu, dle firmy Palm opravuje tuto chybu až verze PalmOS 4, je však otázkou, zda tam nebude jiná podobná díra. V současnosti neexistuje softwarové řešení tohoto problému. @Stake prostě nedoporučuje používání standardní systémové ochrany heslem u Palmů. Jiné možnosti ochrany jsou sice možné, ale vzhledem k tomu, že se dají vždy debuggerem analyzovat a případně změnit data v jednotlivých databázích, není jejich spolehlivost stoprocentní. @Stake jako jedinou spolehlivou metodu ochrany doporučuje fyzické zablokování sériového portu, buďto záslepkou nebo odpojením v přístroji. Pro synchronizaci je pak třeba používat infra port.

Pokud tedy používáte svůj Palm pro ukládání důležitých osobních dat, jako jsou piny ke kreditním kartám číselné kódy k bezpečnostnímu systému, případně autorizační kódy pro odpálení jaderných střel :), zbystřete svou pozornost, tato data nemusí být v takovém bezpečí, jak se možná domníváte.

Témata článku: Software pro mobily, Software pro PC, Ochrana, Pozor

Určitě si přečtěte

Android v říjnu 2017: přikutálela se sušenka

Android v říjnu 2017: přikutálela se sušenka

9.  10.  2017 | Láska Jan | 2

Jak vybrat mobil, když se bojíte rozbitého displeje

Jak vybrat mobil, když se bojíte rozbitého displeje

** Takový výběr je jednoduchý, ale takový mobil pravděpodobně nechcete. ** Takže se zaměříme na výběr ochrany. Jaké pouzdro vybrat? ** Připravte se, že bez kompromisu to nepůjde.

8.  10.  2017 | Kůžel Filip, Láska Jan | 20

Seznam telefonů, které dostanou Android 8.0 Oreo

Seznam telefonů, které dostanou Android 8.0 Oreo

** Od představení Androidu 8.0 Oreo uběhl více než měsíc ** Jak zareagovali výrobci a které telefony se něj mohou těšit? ** Začněmě hezky podle abecedy.

28.  9.  2017 | Miksa Martin | 8

CCleaner: Ještě větší průšvih, než jsme si mysleli

CCleaner: Ještě větší průšvih, než jsme si mysleli

** Nejprve to vypadalo jako vážný, ale jen izolovaný problém ** Pak se to nafouklo do obřích rozměrů ** CCLeaner má problém a Avast ostudu

24.  9.  2017 | Polesný David, Čížek Jakub | 27