标记为“智能手机”的条目

第1页,共3页

战时智能手机和平民

有趣的文章关于平民使用智能手机在战时协助军队,以及这如何模糊战斗人员和非战斗人员之间的重要法律区别:

杰出原则这两个角色之间是国际人道主义法的关键基石 - 武装冲突法,由数十年的习俗和法律(例如日内瓦公约)编纂。必威体育登陆网址那些被认为是平民和平民目标的人不应受到军事力量的攻击。由于他们不是战斗人员,因此应该幸免。同时,他们也不应该充当战斗人员 - 如果这样做,他们可能会失去这种地位。

因此,难题是如何对平民进行分类的方式,该平民使用智能手机有可能成为军事传感器系统的积极参与者。(要明确,仅安装应用程序不足以失去受保护的状态。重要的是实际用法。)日内瓦公约的其他协议指出,平民享有保护“军事行动造成的危险,除非他们直接参与敌对行动。”从法律上讲,如果平民从事军事活动,例如使用武器参与敌对行动,他们就会丧失其受保护的身份,“在“直接参与敌对行动”中,“影响军事行动”,至红十字国际委员会必威体育登陆网址,国际人道主义法的传统公正监护人。必威体育登陆网址即使有问题的人是这种情况不是正式成员武装部队。通过失去平民的地位,人们可能会成为合法的军事目标,承担直接受到军事力量攻击的风险。

发表于2022年6月9日上午6:22查看评论

在智能手机相机自拍照中使用瞳孔反射

研究人员正在使用智能手机的反射,以作为自拍照的面孔的学生推断信息关于手机的使用方式:

目前,该研究重点是用户可以固定智能手机等设备的六种不同方式:用双手,左或右手处于肖像模式下,以及在水平模式下具有相同的选项。

这不是很多信息,但这是一个开始。(我们可以再现需要一段时间这些结果银翼杀手

研究

发表于2022年5月3日上午11:17查看评论

三星加密缺陷

研究人员发现主要的加密缺陷在三星银河手机中。

来自摘要:

在这项工作中,我们在三星的Galaxy S8,S9,S10,S20和S21旗舰设备中揭示了Android硬件支持的密钥库的加密设计和实现。我们进行了逆转工程,并提供了密码设计和代码结构的详细描述,并揭示了严重的设计缺陷。我们提出了对AES-GCM的IV重复使用攻击,该攻击允许攻击者提取受硬件保护的关键材料以及降级攻击,即使是最新的三星设备也容易受到IV重复使用攻击。我们演示了对最新设备的关键提取攻击。我们还展示了我们对Trustzone和远程服务器之间两个高级加密协议的攻击的含义:我们演示了工作的FIDO2 WebAuthn登录旁路,并妥协Google的安全密钥导入。

这是细节:

正如我们在第3节中所讨论的那样,使用Keymaster TA计算的盐值来加密用于加密键Blobs(HDK)的包装键。在V15和V20-S9斑点中,盐是一个确定性函数,仅取决于应用ID和应用程序数据(以及常规世界客户端的恒定字符串)。这意味着对于给定的应用程序,所有密钥斑点都将使用相同的密钥进行加密。由于斑点是在AES-GCM操作模式中加密的,因此所得加密方案的安全性取决于其IV值永远不会被重复使用。

gadzooks。这是一个非常尴尬的错误。GSM需要每个加密的新NONCE。三星采用了安全的密码模式,并实施了不安全的实施。

消息文章

发表于2022年3月4日上午6:19查看评论

Paragon:另一个Cyber​​weapons武器制造商

福布斯故事

Paragon的产品也可能会获得间谍软件批评家和监视专家。另一位间谍软件行业主管表示,即使重新启动设备,也有望获得更长的速度访问权限。

[…]

两个行业消息人士称,他们认为Paragon试图通过承诺访问设备上的即时消息应用程序,而不是完全控制手机上的所有内容,从而试图进一步与众不同。其中一位消息人士说,他们了解Paragon的间谍软件利用了端到端加密应用程序的协议,这意味着它将通过软件运行的核心方式通过漏洞侵入消息。

再次阅读最后一句话:Paragon在软件中使用未拨打的零日漏洞来黑客消息传递应用程序。

发表于2021年8月3日上午6:44查看评论

Cellebrite中的安全漏洞

Moxie Marlinspike有一个有趣的博客文章关于Cellebrite,警察和其他人用来闯入智能手机的工具。Moxie将手放在其中一种设备上,这似乎是一对Windows软件包和许多连接电缆。

根据Moxie的说法,该软件充满了漏洞。(他给出的一个例子是它使用了2012年以来使用FFMPEG DLL,从那时起就没有用100多个安全性更新进行修补。)

…我们发现,只需在设备上的任何应用程序中包括一个特殊的格式化但其他无害的文件即可在cellebrite机器上执行任意代码,然后将其插入Cellebrite并进行扫描。几乎没有可以执行的代码限制。

这意味着Cellebrite有一个(或多个)将代码执行错误,并且目标电话上的专门设计的文件可以感染Cellebrite。

例如,通过在设备上的应用程序中包括一个特殊格式但其他无害的文件,然后由Cellebrite扫描,可以执行不仅修改该扫描中创建的Cellebrite报告的代码,还可以修改代码所有以前和未来生成的Cellebrite所有以前扫描设备和所有未来扫描设备的报告都以任何任意方式(插入或删除文本,电子邮件,照片,联系人,文件或任何其他数据),而没有可检测到的时间戳更改或校验和校验失败。甚至可以随机完成,并会认真对待Cellebrite报告的数据完整性。

该恶意文件可以例如插入捏造的证据或巧妙地更改其从手机复制的证据。它甚至可以写下该手机的制造/更改证据,以便从那时起,即使是未腐败的Cellebrite版本也会在该手机上找到改变的证据。

最后,Moxie建议信号的未来版本有时包括这样的文件:

文件仅用于已经有效安装已经有一段时间的帐户返回,并且只有根据电话号码碎片而以低百分比的概率为单位。

当然,这个想法是,在法庭上面临Cellebrite证据的被告可以声称证据已被污染。

我不知道这会在法庭上有多么有效。或者,这是否违反了美国的计算机欺诈和滥用行为。(可以笨拙地捕捉您的电话吗?)来自英国的一位同事说,根据《计算机滥用法》,这是不合法的,尽管如果他甚至不知道这是在发生这种情况的情况,那很难怪罪。

发表于2021年4月27日上午6:57查看评论

从声音确定钥匙形状

它尚不十分准确或实用,但是在理想条件下是可能的通过聆听所使用的房屋钥匙来弄清楚房屋钥匙的形状。

聆听您的钥匙:迈向基于声学的物理钥匙推理

抽象的:物理锁是确保门(例如门)的最普遍的机制之一。尽管这些锁中的许多容易受到锁定的攻击,但它们仍然被广泛用作锁定的锁定,需要使用量身定制的仪器进行特定的培训,并很容易引起怀疑。在本文中,我们建议Spikey, a novel attack that significantly lowers the bar for an attacker as opposed to the lock-picking attack, by requiring only the use of a smartphone microphone to infer the shape of victim’s key, namely bittings(or cut depths) which form the secret of a key. When a victim inserts his/her key into the lock, the emitted sound is captured by the attacker’s microphone.Spikey利用可听见的点击之间的时间差,最终推断出折叠信息,即物理钥匙的形状。作为概念验证,我们基于现实世界的记录提供了一个模拟,并证明了搜索空间的大幅度降低了3.3万键的池,以至于最常见的情况下,三个候选键。

科学美国人播客

该策略距离现实世界中的可行性还有很长的路要走。一方面,该方法依赖于以恒定速度插入的密钥。音频元素还带来了诸如背景噪声之类的挑战。

布林邮政

编辑以添加(4/14):我似乎已经写了这个博客之前

发表于2021年3月24日上午6:10查看评论

有关警察解密功能的新报告

有一个新报告关于警察解密功能:特别是移动设备法医工具(MDFTS)。简短摘要:不仅仅是联邦调查局可以做到的。

本报告记录了美国执法部门对MDFT的广泛采用。根据全国各州州和地方执法机构的110个公共记录请求,我们的研究文件在所有50个州和哥伦比亚特区都购买了这些工具的2,000多家机构。我们发现,自2015年以来,州和地方执法机构通常没有手机提取了数十万人。据我们所知,这是此类记录第一次被广泛披露。

报告中有很多细节。在这个新闻文章

根据记录,在50个最大的美国警察部门中,至少有49个拥有工具,包括亚利桑那州七叶树在内的全国小镇和县的警察和警长也是如此。俄亥俄州的振动席高地;华盛顿州的瓦拉·沃拉(Walla Walla)和没有这种工具的当地执法机构通常可以将锁定的电话发送到所做的州或联邦犯罪实验室。

[…]

这些工具主要来自由苹果工程师共同创立的亚特兰大公司Grayshift和日本太阳公司的以色列单位Cellebrite。根据Upturn获得的发票,他们的旗舰工具的价格约为9,000至18,000美元,再加上3,500至15,000美元的年度许可费。

发表于2020年10月23日上午8:47查看评论

必威官方开户

Baidu