Пользователь GitHub ninjadoge24 решил проверить, насколько хорошо приложение защищает приватные данные.
Исследователь начал с того, что создал простой PNG файл размером 1х1 пиксель и добавил в конец файла сигнатуру «NINJADOGE24». Далее он загрузил файл на устройство и зашифровал с помощью NQ Vault с простым паролем. В базе данных приложения (в формате SQLite) было найдено расположение зашифрованного файла. Сравнение зашифрованных данных с исходными показало первый fail.
Исходный файл
0000000: 8950 4e47 0d0a 1a0a 0000 000d 4948 4452 .PNG........IHDR
0000010: 0000 0001 0000 0001 0802 0000 0090 7753 ..............wS
0000020: de00 0000 0970 4859 7300 0003 b100 0003 .....pHYs.......
0000030: b101 f583 ed49 0000 0007 7449 4d45 07df .....I....tIME..
0000040: 0401 0319 3a3d ca0b 0c00 0000 0c69 5458 ....:=.......iTX
0000050: 7443 6f6d 6d65 6e74 0000 0000 00bc aeb2 tComment........
0000060: 9900 0000 0f49 4441 5408 1d01 0400 fbff .....IDAT.......
0000070: 00ff 0000 0301 0100 c706 926f 0000 0000 ...........o....
0000080: 4945 4e44 ae42 6082 4e49 4e4a 4144 4f47 IEND.B`.NINJADOG
0000090: 4532 340a E24.
Зашифрованный файл
0000000: 8d54 4a43 090e 1e0e 0404 0409 4d4c 4056 .TJC........ML@V
0000010: 0404 0405 0404 0405 0c06 0404 0494 7357 ..............sW
0000020: da04 0404 0d74 4c5d 7704 0407 b504 0407 .....tL]w.......
0000030: b505 f187 e94d 0404 0403 704d 4941 03db .....M....pMIA..
0000040: 0005 071d 3e39 ce0f 0804 0404 086d 505c ....>9.......mP0000050: 7047 6b69 6961 6a70 0404 0404 04b8 aab6 pGkiiajp........
0000060: 9d04 0404 0b4d 4045 500c 1905 0004 fffb .....M@EP.......
0000070: 04fb 0404 0705 0504 c302 966b 0404 0404 ...........k....
0000080: 4945 4e44 ae42 6082 4e49 4e4a 4144 4f47 IEND.B`.NINJADOG
0000090: 4532 340a E24.
Что это? Сигнатура в конце файла осталась нетронутой! А шифрование других участков подозрительно напоминает простую замену. Применив операцию XOR между исходным и шифротекстом, исследователь получил ключ: 0x04. Да, именно так, XOR однобайтовым ключом, то есть простая замена. Напоминает детство, «школьные» шифры со сдвигом на несколько букв по алфавиту, не так ли? И это в приложении, имеющем платную версию за $7.99 в год!
Оставалось выяснить, почему сигнатура в конце файла осталась неизменной. После написания на скорую руку скрипта для шифровки/дешифровки и еще одного эксперимента с JPEG файлом, открылась еще одна печальная истина: шифруются только первые 128 байт файла, остальное остается нетронутым. А зачем, если первых 128 байт достаточно? Заголовок испорчен, файл не откроется стандартными приложениями, чего еще неискушенному пользователю нужно. Да и по скорости шифрования видео NQ Vault наверное рвет всех конкурентов на тряпки.
И последний штрих. Как из пароля, введенного пользователем, возможно довольно сложного, получается однобайтовый ключ? Исследователь попытался нащупать алгоритм, перебирая различные пароли, но потом плюнул, сделав разумный вывод: зачем тратить на это время, если можно применить брутфорс и просто перебрать 256 возможных вариантов. Любое, даже самое древнее Android устройство отлично с этим справится.
Полный отчет о тестировании.
Заключение
Таких приложений, наверное, тысячи, как в Google Play, так и в AppStore. Просто его сумели удачно раскрутить, а другие нет. Но вот что примечательно в этой истории. Во-первых, насколько легко пользователи доверяют обещаниям безопасности. В сознании пользователя нет большой разницы между приложением для быстрого выкладывания фоток куда-нибудь и приложением, шифрующим файлы или хранящим данные кредитных карт. Нет понимания, что к приложениям связанным с безопасностью, нужно применять особые критерии выбора. Просто обещаний, хорошего внешнего вида, удобного интерфейса и даже тысяч положительных отзывов тут недостаточно.
Во-вторых, насколько можно доверять обзорам в специализированных изданиях? Понятно, что большинство из них оплачены, и это само по себе неплохо, приложения нужно продвигать. Главное, чтобы они были более-менее объективными. И солидные издания действительно стараются писать объективные обзоры. Но если дело касается безопасности, простого обзора опять-таки недостаточно. Нужно привлекать экспертов, способных протестировать эту часть.
Комментарии (107)
TimsTims
04.04.2015 14:14+26Впервые слышу про эту прогу…
Mixim333
04.04.2015 16:48-8Аналогично, первый раз услышал.
<зануда mode>Любое шифрование — это набор некоторых математических операций. Взглянем «теоретические» флопсы современных процессоров даже для ПК: Core i7-4930K — 130—140GFlops или (130-140)*10^9 операций в секунду (спасибо WiKi за цифры). Возьмем детский Шифр Цезаря и поставим ему задачу зашифровать текст из 10трлн символов=>~77сек (10000000000000?(130?10^9) и это если вообразить, что процессор будет заниматься только нашим шифрованием, никаких накладных расходов не будет, другие процессы умерли. В реальности же шифрование займет минимум минут 5-10 и это с учетом того, что пользуемся детским методом, а тут NQ Vault «шифровал» с бешеной скоростью «надежным» алгоритмом и ни у одного пользователя не возникло вопроса: «А как?»</зануда mode>
ComodoHacker Автор
04.04.2015 17:10+4Если пользователь до этого никогда не сталкивался с шифрованием, откуда ему знать, «как»?
Mixim333
04.04.2015 18:54+1Наверняка же пользователями этого «чудо-средства» были не только обычные юЗвери, но и IT'шники, они вполне могли такое заподозрить. Хотя, может быть ninjadoge24 и стал таким IT'шником
iliar
07.04.2015 16:40Возможно если бы пользователи шифровали бы этим приложением терабайты данных, то они бы заметили, что процесс как то подозрительно быстро идет. Но при шифровании контактов, истории звонков, смс в человеческом масштабе времени заменить не возможно.
MrMmka
04.04.2015 21:10+1Впервые слышу про эту прогу…
Просто его сумели удачно раскрутить, а другие нет.
Ну так теперь и вы знаете — а значит — приложение раскручивают самыми необычными способами :)
PavelSandovin
04.04.2015 14:24+1Хоть бы квадратом Виженера зашифровали…
Vindicar
04.04.2015 14:41+20Хоть бы весь файл шифровали, для начала! Тут не неумение, а откровенное надувательство.
bigfatbrowncat
04.04.2015 17:08+9Очевидно, задача ставилсаь так: «чтобы файл нельзя было прочесть ни одной предназначенной для этого программой, но любой, самый домарощенный криптоаналитик мог взломать шифр на раз».
Очевидно, они ждали вала сообщений в духе «ааа!!! я зашифровал фотки своей голой тёлки, но забыл пароль!!! спаситепамагите!» и готовы были «взломать» свой собственный шифр, за отдельную плату, разумеется.
amarao
04.04.2015 15:00+60Мораль: каждый раз, когда вам рассказывают про проприетарное приложение по шифрованию, рассчитывайте на 100 байт xor'а в начале файла. И дополнительные 28 байт окажутся для вас приятным сюрпризом.
vilgeforce
04.04.2015 20:48-8Слово «проприетарное» — лишнее.
amarao
04.04.2015 22:57+5Да ладно! И много вы знаете таких «128-байтных методов шифрования» среди общепринятного opensource? Чтобы не было спекуляций, среди репозиториев наиболее распространённых дистрибутивов (RHEL/Fedora, Debian/Ubuntu/Mint, Arch, SUSE, Gentoo, извините если кого забыл). Что-то я таких идиотизмов в opensource не видел. Особенно среди тех, которые хвалились. Это не отменяет всеобщей привычки ошибаться в стиле heartbleed'а, но тут явно же не ошибка, а «ну и пофигу».
vilgeforce
04.04.2015 23:00-11И что же вас заставляет думать что его там такого нет? Миллионы мух не могут ошибаться?
maximw
05.04.2015 01:47+4Ответ на первый вопрос: opensource.
Ответ на второй вопрос: достаточно одной мухи, умеющей читать код.
amarao
05.04.2015 03:04+4Вы знаете, с позиций мух, они всё делают правильно. Какое им дело до мнения ходячего бурдюка с мясом, под кожу которого можно отложить личинок?
Если же про opensource, то вместо аргументации теоретической, сошлюсь на практику. XOR и всякую такую ерунду ловят у проприетарщиков чуть ли не каждый год, а то и по нескольку штук, а про общеизвестный опенсорс, обещающий шифрование, а юзающий XOR, я бы с интересом почитал. Да нечего.
powerman
05.04.2015 05:05-4Ну вот нафига такие идеи подавать? То бешеному принтеру на хабре подсказывают чего и как они там забыли запретить, теперь вот компаниям подали идею как дёшево и сердито дискредитировать опенсорс…
AllexIn
05.04.2015 11:58+3Как?
powerman
05.04.2015 18:01Очень просто: если такого опенсорса пока нет и их будут тыкать в этот факт носом — они могут помочь его создать, не афишируя, разумеется, своё участие в этом процессе.
AllexIn
05.04.2015 18:05Мало создать. Нужно еще чтобы проект пользовался популярностью…
А сможет ли завоевать такой проект популярность? Нет. Когда хотя бы намек на популярность появится — способы шифрования привлекут внимания и выяснится что они фиговые. Получится не дискредитация OpenSource, а скорее наоборот: «появилась поделка, но мы сразу увидели что она „не очень“. Viva Open Source!»
Так что дискредитации не получится.
senia
05.04.2015 12:33+1Если «бешеный принтер» устроит аудит опенсорсных средств шифрования, то на них за это молиться надо будет!
Протолкнуть же в опенсорс дыру целенаправленно — это совсем не дешево.
MaxF
07.04.2015 13:03+1Если быть совсем точным, то вы путаете понятия. Проприетарное — не антоним опенсорсу. Другими словами программа с открытым исходником вполне себе может быть проприетарной.
amarao
07.04.2015 13:14+1Есть такое, да. Но я просто не знаю общепринятого ярлыка для «проприетарное и закрытое». И тут я делаю упор даже не на libre, а именно на open source.
С практической точки зрения мне важнее видеть как оно работает, чем иметь полный GPL. У этого «смотреть в сырцы» есть очень важные практические применения, так что я могу спокойно работать с платным софтом, в который я могу посмотреть, чем с ним же, но в виде блоба.andrewsh
23.04.2015 12:43Вы малек путаете. Open source отличается от free software только в параноидальном мозгу Ричарда Столлмана (ибо он на это смотрит с точки зрения идеологии, которая у free software глубоко глубокая, а у open source по его мнению — никакая). По факту open source и free software тождественны.
Проприетарный, кроме того, значит «собственнический». Самого по себе плохого в этом ничего нет, но как правило таковой софт с кодом закрытым и несвободным. Обратный пример — GitLab, который является проприетарным free software.amarao
23.04.2015 16:36Я в индустрии достаточно давно работаю, и разницу между free, opensource, libre и open governance знаю на своей собственной шкуре.
Столманн, кстати, не додумал идею, и можно иметь всю из себя libre программу с отвратительным governance, которая хуже иной проприетарной.
andrewsh
23.04.2015 12:44Ситуация, когда в исходники можно глянуть, но ничего сделать с ними нельзя, ну а потом ещё желательно забыть всё, что оттуда узнал — это что угодно, но не open source. Не знаю, published source, что ли?
amarao
23.04.2015 16:37-1В английском слов не хватает, а в русском очень просто:
СПО — свободное программное обеспечение
Открытые исходные тексты — их можно скачать и прочитать. Никаких разрешений по форкам и т.д. не предоставляется.
Столманн радеет об СПО, на практике мне важно либо open governance, либо open source. Специально 'libre' никакой пользы в работе не приносит.andrewsh
23.04.2015 17:18Прочитайте же наконец-таки этот факин мануал!
opensource.org/osd-annotatedamarao
23.04.2015 20:23Я это всё знаю. Но, де-факто, конструкция в индустрии другая.
Уровни свободы (по нисходящей):
open governance + public contract + libre
open gonvernance + libre
libre (copyleft)
MIT/BSD
открытые исходники при проприетарной модели лицензирования
free as beer
проприетарное с закрытыми исходниками
SaaS
prishelec
04.04.2015 15:31+5Ну за находчивость авторов +1. Сам бы такой метод не придумал.
mammuthus
04.04.2015 15:51+14В принципе, да, не пришло бы никогда в голову так шифровать файлы. Молодцы.
bigfatbrowncat
04.04.2015 17:11+3Скорее всего, просто совесть у вас сильнее развита, чем жажда наживы. Находчивость тут ни при чем.
Вот если бы они изобрели потоговое шифрование, которое с ключом расшифровывается с хорошей скоростью, а без ключа невзламываемо, — вот это была бы находчивость…
DamnLoky
04.04.2015 15:56-7Судя по исходникам «брутфорсера», файл с произвольными бинарными данными оно не вскроет. Точнее, не поймет, какое число является ключом: вы только посмотрите, как сделана проверка на что, что файл «дешифрован» )))
ComodoHacker Автор
04.04.2015 16:15Это легко исправить. Достаточно вставить сигнатуру не в конец файла, а в начало.
Disasm
04.04.2015 16:17Дело даже не в этом. Если файл бинарный, то он останется бинарным для любого ключа. Таким образом ключ «не будет найден».
aleks1k
04.04.2015 16:45+3у многих распространенных бинарных форматов сигнатуры известны, и можно по расширению ее определить, тот же png в примере содержит в начале свою сигнатуру. То есть достаточно чтобы там была картинка и все ключ найти можно даже вручную.
monah_tuk
05.04.2015 05:171. насколько я понял, само приложение не рассчитано на использование с совсем уж произвольными бинарными данными.
2. даже если п.1. не верен, само приложение должно как-то понимать, что ключ правильный. Если этого не делается, то это ещё один косяк
DamnLoky
04.04.2015 16:59+1Если бы это было возможно, то достаточно было бы писать ровно один байт 0x00 в самое начало. После шифрования оно же было бы искомым ключом, и ничего перебирать не пришлось бы, «взлом» ускорился бы в 127 раз в среднем ))
Но что делать с уже зашифрованными файлами, если неизвестна сигнатура?
Master_Dante
04.04.2015 17:10+2Какие нибудь сигнатуры всегда известны, даже если этот файл txt тогда происходит анализ текста, на наличие слов, знаков препенания и поиск в нем слов по словарю.
maximw
05.04.2015 01:55+3Но что делать с уже зашифрованными файлами, если неизвестна сигнатура?
Получить 256 дешифровок. Выбрать нужную.
valplo
05.04.2015 07:35Если среди 256 вариантов дешифровки есть несколько возможных — то ничего. Т. е, для шифровки одного байта, например текстового файла из одной буквы, скажем Y/N, данный алгоритм вполне стоек. А если байта два и не все сочетания имеют смысл, тогда дешифровка проста. Допустим, у нас есть шифротекст 334C и мы знаем, что искомый текст — кириллическая буква в UTF-8. Случай — простейший, первый байт искомого текста — 0xD0 и, следовательно, ключ — 0xD0 xor 0x33=0xE3. Но пойдем сложным путем:
Пусть K — ключ, A и B — первый и второй байты сообщения соответственно.
Имеем систему уравнений:
0x33 xor K=A
0x4C xor K=B
откуда
A xor B=0x33 xor 0x4C xor K xor K=0x7F.
A xor B=0x7F.
Дальше остается найти все возможные комбинации A и B, такие чтоб последнее уравнение выполнялось. В данном случае проще сделать прямым перебором, если ограничения на исходный текст сложнее, а сам текст больше — можно составить еще одну систему уравнений, выражающих ограничения. Чем короче ключ и длиннее текст — тем проще.
iliar
07.04.2015 17:08С одной стороны действительно, если у нас имеются бинарные данные неизвестного формата, то расшифровать их будет действительно непросто. С другой стороны даже в расшифрованном виде файл в неизвестном формате нам бесполезен. Мы все равно не знаем, что тот или иной бит обозначает. Поэтому нам интересны только файлы известного нам формата, которые мы сможем чем то открыть. А для таких файлов нам известны и сигнатуры.
Vindicar
05.04.2015 10:58+1Термин «proof of concept» вам что-нибудь говорит? ninjadoge24 и не утверждает, что это законченный продукт.
Тем более что пользователи этой утилиты с достаточной степенью вероятности будут шифровать не произвольные бинарные файлы, а что-то более опознаваемое, так что его подход работает очень даже неплохо.
3ap
04.04.2015 15:59+4<паранойя>А может быть это приложение специально раскрутили, чтобы можно было определить людей, которым есть что скрывать, а потом без особых сложностей доставать их данные с их телефонов? Или вообще все эти данные потом сливаются товарищам-создателям приложения?</паранойя>
zapimir
04.04.2015 16:11+3Ой да ладно, там скрывание рассчитано на бытовой уровень, типа чтобы детишки не увидели фоточки, как папа с мамой шалят по ночам. Не всем нужно государственные секреты на телефоне от АНБ скрывать.
evtomax
04.04.2015 17:12+3Очень плохая защита против детишек. Если у детишек разыграется любопытство, то всё будет очень быстро взломано с использованием рецептов из интернета :-)
zapimir
04.04.2015 17:29Вы похоже пересмотрели всяких фильмов про шпионов и хакеров. Так и вижу, как детишки детсадовского возраста, которые по телефону тыцяют в то, что красивше выглядит и увидев какую-то неоткрывающуюся картинку полезут разбираться чего ж она не открывается.
Так в таком случае и обычное шифрование не спасет, так как домохозяйки не особо заморачиваются криптостойкими паролями.
Собственно то, что десятки миллионов юзеров используют эту софтину и ставят ей высокие оценки — говорит о том, что для большинства домохозяек такой защиты с головой хватает.Vindicar
04.04.2015 17:33+1Проблема в том, что такой же подход к выбору средств «бизапасносте» потом применяется и для более серьезных вещей, чем домашнее видео/фото.
zapimir
04.04.2015 17:48+3Не хочу вас расстраивать, но посмотрите списки самых популярных паролей. Абсолютное большинство людей не параноики, и вообще не задумываются о таких вещах, и их намного больше беспокоит, что они забудут пароль, чем то что их взломают.
evtomax
04.04.2015 19:23+2Высокий рейтинг софтины может ввести в заблуждение, и домохозяйка может доверить этой программе слишком серьёзные данные. При этом пароль может оказаться адекватным, а приложение подведёт.
У потребителей нет времени, чтобы всё взвешивать и принимать грамотные решения. Чаще всего выбор делается эмоционально, а адекватность выбора оставляет желать лучшего.zapimir
04.04.2015 19:51А давайте на всякий случай всем домохозяйкам заодно заменим двери в их квартирах, на такие, как в банковском хранилище, а чё вдруг ей счастье неожиданно привалит…
Если человеку важно шифрование, то он и будет выбирать программы в которых акцент делается на шифровании (обычно подобные программы большими буквами пишут, что у них шифрование, как у пентагона). Причем обычно пишут еще подробности шифрования, какие конкретно алгоритмы (с возможностью выбрать), какой паддинг используется, какой алгоритм сцепления блоков, какая функция используется для хэширования пароля (PBKDF2, Scrypt, и т.п.).Vindicar
05.04.2015 11:02>обычно подобные программы большими буквами пишут, что у них шифрование, как у пентагона
Я бы ожидал подобной рекламы как раз от NQ Vault сотоварищи — это их единственный шанс хоть что-то заработать.
>Причем обычно пишут еще подробности шифрования…
… которые неискушенному человеку ровным счетом ничего не скажут. Так что мы возвращаемся к пункту 1: у кого реклама ярче.
Meklon
05.04.2015 10:12У меня 2.5-летний ребёнок залогинился в Linux без пароля. Прихожу — играет с терминалом и YouTube с Фиксиками смотрит. Оказалось, я забыл учётную запись гостя отключить. Дети они сообразительные.
mickvav
05.04.2015 21:58До сих пор помню, как один одаренный школьник декешеровал, брутфорсом, кажется, award-овский пароль от биоса, чтобы дорваться до контроля над загрузчиком и получить админские права в школьном домене. В начале нулевых, если что.
bigfatbrowncat
06.04.2015 13:55+1Когда мне было 7 лет, интернета и в помине не было. А отец залочил от меня комп с помощью пароля в autoexec.bat. Так я не только догадался сбросить его с помощью Ctrl+C, но и умудрился разобраться, как Norton Commander запустить из консоли (хотя консоль тогда почти совсем не знал). Еще пару месяцев ничего не подозревающий папа аккуратно прятал ладонью вводимый на клавиатуре пароль, когда пускал меня за компьютер на «разрешенные» два часа в день.
Моя дочь уже в 2 года, когда заканчивался мультик на YouTube, могла взять мышь и ткнуть в другой мультик из списка, который ей по нраву.
Вы серьезно недооцениваете детишек ;)
grumbler66rus
07.04.2015 21:58-1Жена прокомментировала:
«Я в шестилетнем возрасте взламывала пароль для телевизора»
Она гуманитарий, если что.
Disasm
04.04.2015 16:04+1А нет ли, случайно, в природе нормального софта под андроид, который шифрует пароли с помощью format-preserving encryption? Мне очень понравилась эта фича на старом-старом Sony Ericsson.
Uint32
04.04.2015 17:05+2>>Во-вторых, насколько можно доверять обзорам в специализированных изданиях? Понятно, что большинство из них оплачены, и это само по себе неплохо, приложения нужно продвигать.
ИМХО, не просто плохо, а отвратительно.
SovGVD
04.04.2015 17:22+16Если были настоящие алгоритмы шифрования, то юзеры бы писали гору гневных комментариев, вроде «очень медленного работает, приложение yakrutokodiruyu_mega_delux_edition_gold_premium_platinum_3000 в 100000 раз быстрее работает, а вы лохи и ничего не умеете».
k0ldbl00d
04.04.2015 19:07+13Дожили… Вирусы-шифровальщики шифруют надёжнее, чем платное приложение. Хотя, это вполне понятно — автор вируса-шифровальщика получает вознаграждение после того, как его приложение отработает, а не до.
ivanych
04.04.2015 19:09+2Хе-хе, в пост призывается CyberSafeRus с рассказом о том, что уж их то проприетарная программа не такая, что уж они бы ни за что, что им верить можно:)
ComodoHacker Автор
04.04.2015 19:40+13Наверное они очень заняты. Срочно переписывают модуль шифрования…
gekt0r
04.04.2015 19:27+3Исследователь, который смог раскопать и вытащить на свет божий истину, конечно молодец. Наверное он даже что-то новое узнал, пока работал. Опять же, людям помог…
Но вот вывод в конце этой статьи не слишком объективен. Обычный пользователь понятия не имеет чем отличается однобайтовый XOR от AES 256. Потому что для нужд обычного пользователя (не дать посмотреть мои фоточки тому, кто будет копаться у меня в телефоне) этого достаточно. Я например не думаю каждый раз, когда открываю кран с горячей водой о том, как она там нагревается. Да будь это хоть 100 маленьких гномиков со спичками — по мне, так лишь бы тепленькая была. Так и здесь.
Кроме того, даже если «домохозяйка» решила выбрать приложение понадежнее, то как её это сделать? Прочитать какое-то издание и узнать там? Спросить «гуру»? Как мы увидели из статьи, пиар решает всё.
Так что объективно узнать, предоставляет ли тебе приложение необходимый уровень шифрования, можно либо протестировав его самому (как это сделал герой статьи), либо ссылаясь на официальные документы, подтверждающие криптостойкость алгоритмов, используемых в приложении.
P. S. И даже в этом случае не будем забывать про всякие разные уязвимости в самом приложении, которые точно также могут помочь расшифровать любой файл не имея представления об алгоритме.
cryptoman
04.04.2015 20:58+1Как вы думаете, было бы актуально подобное приложение, в котором ключ бы хранился в bluetooth-токене?
AllexIn
04.04.2015 22:34+1Я бы купил.
И чтобы логины/пароли к гмейлу, скайпу и т.пе тоже не были доступны если ключа нет поблизости. А если есть — то автоматически подключались и использовались. Но вроде бы такое не реализуется на дефолтном андроиде.cryptoman
04.04.2015 23:15Токен и библиотеки для андроида/ios как бэ реализованы. Запилить приложение типа NQ Vault — вопрос ресурсов и желания.
SpiritOfVox
05.04.2015 08:45У rutoken и etoken есть такие хранилища и sdk вроде доступны, но даже если запилить прогу, то она не будет суперпопулярна из-за особенностей продажи токенов — они не так что бы широко доступны. Конечно их можно купить, но не в юлмарте, ситилинке и т.п.
ComodoHacker Автор
05.04.2015 10:48Насчет Bluetooth есть сомнения. Насколько защищенные там протоколы?
Disasm
05.04.2015 11:00Я бы на вашем месте больше сомневался насчёт защищённости рутокена, а не bluetooth.
cryptoman
05.04.2015 12:32+1В рутокене bluetooth между устройством и софтом используется secure messaging с вазимной аутентификацией токена и софта на телефона и шифрованием канала
Venom13
04.04.2015 23:23-3В свое время тоже сильно удивился, когда эта програмулина «зашифровала» видео файл размером в 700 Mb за 2 секунды.
Но! Свою основную цель она выполняет отлично…
Для бытового использования — вполне пригодна.
P.S. Когда она уже полноценно Android 5 поддерживать будет? (управление СМС)
grossws
05.04.2015 01:25Какая доля нормальных плееров пропустит кусок и начанет проигрывать видео? Не всегда повреждение заголовков контейнера препятствует проигрыванию видеопотока.
demiurgie
05.04.2015 03:52+1Мне чой-то вспомнился wavelet архиватор из 90ых… Но его хоть за деньги не продавали :)
Alexnn
05.04.2015 08:51+1линк на одно из ревью — play.google.com/store/apps/details?id=com.netqin.ps&reviewId=Z3A6QU9xcFRPRWxPN3VMUGI1Q2FhSWs4VGZCeE5pbGwzWm00ZjZTUGFyMmhmYk8tNlpDZTZzSjdoN1ZIb3cxSURDbFczV0lwbE5HQmNrcXZfM1k2RmVSeVlV&hl=en
«SCAM: Does not actually encrypt anything. Anyone can download a program from the web that will let them see everything you've „encrypted“ with this app without knowing your password. It only changes 128 bytes at the beginning of the file, so even people who don't know how to use the program can just open the file and see nearly all of it. ninjadoge24.github.io/#002-how-i-cracked-nq-vaults-encryption»
в целом -многие пользователи поняли, что «шифрование» тут крайне слабое, но это не останавливает другихDisasm
05.04.2015 11:03+1> многие пользователи поняли
> комментарий со ссылкой на ninjadoge24.github.io/#002-how-i-cracked-nq-vaults-encryption
Это не добавляет новой информации о понимании пользователей, увы.
BupycNet
05.04.2015 14:31К слову кому нужно нормальное шифрование, есть TrueCrypt совместимое приложение — EDS. Создает защищенный контейнер в котором уже можно хранить безопасно файлы.
Temmokan
05.04.2015 18:16+1«TRUSTe — Received “TRUSTe Privacy Seal”»
Что-то у меня внезапно исчезло доверие к TRUSTe Privacy Seal.grossws
05.04.2015 19:24Это скорее про обращение с приватными данными клиентеов внутри компании и на сайте. Будет ли клиенту сильно легче от того, что его email хранится в базе, не торчащей открытым портов в интернет, если приложение не выполняет (или плохо выполняет) основную функциональную задачу?
С этими плашками ситуация, как с аналогичными site seal от comodo/thawte/symantec/whatever. Они не говорят о защищенности сайта, но только о том, что куплен сертификат определенного CA и, как максимум, что сайт сканировался на малварь.Temmokan
06.04.2015 03:01Так в том и беда. Что Google Play по большому счёту до лампочки, есть ли «у ней внутре» что-то, отдалённо напоминающее безопасность, или нет — что компаниям вида TRUSTe. Уплочено — и хорошо.
Но ведь плашки-то, по замыслу их создателей, должны цениться выше бараньего чиха, и добавляют несколько уровней к репутации тем, кому выданы. Но мне (пользователю) ведь не шашечки нужны, а ехать.
По статистике использования приложения ясно, насколько мало средний пользователь понимает в безопасности и вообще как-то заботится о ней. Но крест на производителе сего забавного опуса я уже поставил, спасибо.
simpollru
07.04.2015 16:08+1Извиняюсь за офтоп, но мне кажется что в заголовке не хватает слова «ещё»:
… и это ещё не самое плохое
а то сейчас читается так, будто XOR это не самый плохой способ шифрованияComodoHacker Автор
07.04.2015 20:01+1Пожалуй да. Исправил.
Но и так тоже верно. XOR не самый плохой способ шифрования. :)
k1b0rg
Интересно, а реально привлечь авторов программы за мошенничество?
zapimir
Так они вроде криптостойкости уровня AES 256 и не обещают? Там вроде всё говорит о том, что это защита от обычных домохозяек, а не защита от АНБ и ФБР.
k1b0rg
В маркете авторы утверждают: «Все файлы будут спрятаны в защищенном месте и могут быть просмотрены ТОЛЬКО в Vault при вводе верного пароля...» — при этом нигде нет оговорки, что шифр может быть взломан или что он слаб.
zapimir
Обратите внимание вообще ни слова, что эти файлы будут зашифрованы, алгоритмами уровня AES, точнее вообще не написано, что они будут зашифрованы.
Вас же не смущает, что обычные дверные замки открываются профи за 20-30 секунд, по вашему получается их использовать бессмысленно. Примерно так и тут.
evtomax
Замок на двери нужен для защиты не от профессиональных воров, а от всяких неадекватных людей. Кроме того квартира охраняется органами власти.
zapimir
Ну как бы и эта программка тоже для защиты от случайного любопытства аматоров, а не от профи.
Okloks
«Кроме того квартира охраняется органами власти.»
:)
evtomax
Если вдруг исчезнет полиция, то всем придётся поставить замки намного серьёзнее. Что не так?
Okloks
Охраняется — это если бы они ее охраняли. А так, эти товарищи приедут только по факту, когда ваша квартира уже ограблена.
«Вот когда убьют, вот тогда и звоните»
evtomax
Если бы полиции не существовало вообще и никто бы не следил за соблюдением закона, то вас бы грабили намного чаще и пришлось бы ставить более продвинутые замки на двери. Следовательно, ваша квартира охраняется полицией.