20 попыток и телефон заблокируется навсегда — Google в Android 17 устранит многолетнюю дыру в защите

20 попыток и телефон заблокируется навсегда — Google в Android 17 устранит многолетнюю дыру в защите

изображение: grok

Google готовит серьёзное усиление защиты Android — в версии 17 операционной системы механизм проверки PIN-кодов и паролей экрана блокировки будет полностью переработан. Вместо возможности неспешно перебирать сотни и тысячи комбинаций система разрешит всего 20 неверных попыток за весь срок службы устройства. Ограничения должны свести эффективность brute force атак почти к нулю и заметно осложнить доступ к смартфонам даже тем, кто располагает личной информацией о владельце.

Защита экрана блокировки в Android до сих пор выглядела довольно мягко. Временные задержки после серии ошибок присутствовали, но злоумышленникам всё равно оставалась лазейка для медленного подбора. При достаточном терпении за несколько лет удавалось выполнить порядка 1800 попыток ввода PIN-кода или пароля — цифра, о которой большинство владельцев смартфонов даже не догадывались.

Интересно, что прежняя схема формально считалась безопасной, но фактически растягивала подбор кода на годы, а не блокировала его.

Схема, действовавшая раньше, в Android 17 практически исчезнет. Новые правила ужесточают счёт разрешённых ошибок буквально с первых минут работы устройства:

  • за первую минуту разрешено ошибиться примерно шесть раз;
  • в течение нескольких последующих минут число попыток растёт незначительно;
  • за первые сутки суммарно не более двенадцати неверных вводов;
  • после двадцатой ошибки подбор PIN-кода становится невозможен в принципе;
  • дальнейшие попытки система блокирует полностью.

Ставка на общий лимит в 20 попыток — центральное изменение всей концепции. Google фактически закрывает возможность многолетнего перебора комбинаций, существовавшую в предыдущих версиях операционной системы, и переводит защиту на принципиально иную модель.

Расчёт сделан прежде всего против brute force атак, когда злоумышленник последовательно проверяет варианты пароля в надежде наткнуться на правильную комбинацию. Современные смартфоны и раньше применяли механизмы защиты, но прежние ограничения оставляли пространство для настойчивого подбора — новая система это пространство ликвидирует.

Разработчики честно признают, что усугубляют проблему привычки самих владельцев устройств. Простые PIN-коды, связанные с датой рождения, номером квартиры, памятными числами или комбинациями вроде 1234, встречаются массово. Если у злоумышленника есть минимальная информация о владельце смартфона, вероятность угадать код заметно возрастает — старая система эту вероятность не отсекала.

Пользовательские ошибки Google тоже постаралась учесть при разработке новой схемы. Владельцы смартфонов регулярно забывают правильный PIN и вводят одну и ту же неверную комбинацию по два-три раза подряд, будучи уверенными в её правильности. Раньше каждая такая попытка уменьшала оставшийся резерв на общих основаниях.

Стоит обратить внимание, что повторяющиеся одинаковые ошибки система теперь распознаёт и не засчитывает как отдельные попытки — довольно разумное решение для реальной жизни.

В Android 17 повторный ввод одного и того же неверного PIN-кода перестанет расходовать лимит. Система распознает одинаковые ошибочные попытки и покажет специальное уведомление с объяснением причины. Изменится и то, как выводятся сообщения во время временной блокировки устройства:

  • вместо длинного обратного отсчёта в секундах появятся понятные формулировки;
  • пользователь увидит сообщение вроде «Попробуйте снова через 30 минут»;
  • секундный счётчик, который многих раздражал, уходит в прошлое;
  • сообщения станут более информативными и человечными.

Новая кнопка восстановления доступа появится непосредственно на экране блокировки. Она поможет быстрее перейти к процедурам восстановления учётной записи с другого устройства, если владелец действительно потерял возможность войти в смартфон — сценарий, который случается чаще, чем принято думать.

Меняется сама философия защиты мобильных устройств в Google. Раньше безопасность строилась главным образом на постепенном увеличении времени ожидания между попытками, теперь ставка делается на практически полный отказ от длительного перебора. Разница концептуальная — вместо замедления атаки её просто обрывают.

Актуальность подобных изменений диктует растущее число атак на мобильные устройства. Смартфоны давно перестали быть только средством связи — в них хранятся банковские приложения, корпоративные данные, цифровые документы, пароли, фотографии и масса другой конфиденциальной информации. Физический доступ к устройству всё чаще становится лишь первым этапом атаки, а не её финалом.

От необходимости создавать сложные PIN-коды или пользоваться биометрической аутентификацией новая система пользователей не избавляет. Google продолжает рекомендовать выбирать комбинации, которые невозможно угадать по личной информации владельца устройства. Усиленная защита экрана блокировки становится дополнительным барьером, заметно сокращающим вероятность успешного подбора даже при краже смартфона.

Android 17 пока находится в стадии подготовки, но уже понятно, что перемены в механизме защиты экрана блокировки войдут в число самых заметных нововведений будущей версии операционной системы. Для большинства владельцев работа со смартфоном практически не изменится, зато злоумышленникам придётся искать совершенно другие способы получения доступа к устройствам — обходить лимит в 20 попыток попросту нечем.

Ранее сообщалось, что каждый Android-смартфон имеет установленную производителем дату окончания выпуска обновлений безопасности, после которой устройство перестаёт получать новые защитные патчи и постепенно становится более уязвимым для современных угроз. Проверить срок поддержки можно заранее через сервис End of Life. Отмечалось, что владельцы актуальных флагманских моделей Samsung и Google находятся в более выгодном положении, тогда как пользователи смартфонов трёх-четырёхлетней давности значительно раньше остаются без регулярных обновлений безопасности.

По словам экспертов редакции CISOCLUB, решение Google давно назрело и выглядит логичным ответом на реальные угрозы, с которыми сталкиваются владельцы смартфонов. Многолетний потенциал подбора кода в 1800 попыток был системной слабостью, которую индустрия почему-то долго терпела.

Жёсткий лимит в 20 попыток — грамотный компромисс между удобством пользователя и криптографической стойкостью защиты. Отдельно стоит отметить продуманность деталей, вроде распознавания повторяющихся одинаковых ошибок и удобной кнопки восстановления доступа. Редакция ожидает, что за Google подобный подход повторят и другие производители мобильных операционных систем. Пользователям же по-прежнему стоит помнить — даже лучший системный лимит не спасёт от кода 0000 или даты рождения на видном месте в соцсетях.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: