bloco de notas criptografado no android é seguro?

[Adamastor Abrolio Silve]

BLOCO DE NOTAS CRIPTOGRAFADO NO ANDROID É SEGURO?

 

Tem um aplicativo na play store que é um bloco de notas porém com criptografia. Teria como saber se realmente é seguro essa criptografia? Como saber se o app e o desenvolvedor tem boa reputação como Veracript para Windows?

 

A versões mais recentes para Android cripotgrafam todo o sistema como o Veracript? OU seja, após o Android estar desligado, o sistema fica com os dados criptografados e mesmo que ligado a um computador ou outro dispositivo os dados não ficam legiveis?

 

Como armazenar senhas ou anotações de maneira extremamente seguras no sistema android e garantir que a senha não vaze em caso de perda, furto ou roubo do celular?

[Linio Alan]

Fala @Adamastor Abrolio Silve

 

Cara assim ver reputação só pesquisando mesmo, mas lembre que nem sempre reputação quer dizer alguma coisa, mesmo as instituições mais seguras do mundo foram invadidas e bem recentemente inclusive.

 

E a criptografia de dados em repouso, pra testar se está está encriptado é abrir o celular via cabo USB no PC com Linux ou Windows e ir na pasta do app e tentar ver o conteúdo do arquivo, se der pra ver em texto plano aí é ruim.

 

Aí se criptografar certinho então tem erro não, salvo se você perder o celular desbloqueado aí dançou.

[Swalls]

2 horas atrás, Adamastor Abrolio Silve disse:

Como armazenar senhas ou anotações de maneira extremamente seguras no sistema android e garantir que a senha não vaze em caso de perda, furto ou roubo do celular?

você não deve armazenar senha em sistemas que tenham acesso a internet, isso é básico e imutável. (isso para usuário)

[Linio Alan]

@Swalls

1password por exemplo é ótimo pra armazenar senhas em sistemas com acesso à internet  mas concordo que armazenar em bloco de notas é paia embora se ao menos for feito de forma encriptada seja sim uma forma melhor do que sem.

[Adamastor Abrolio Silve]

@Linio Alan Muito obrigado por responder!

 

Citação

Cara assim ver reputação só pesquisando mesmo, mas lembre que nem sempre reputação quer dizer alguma coisa, mesmo as instituições mais seguras do mundo foram invadidas e bem recentemente inclusive.

Entendi. porque exsite programa que são auditados, não é isso? Tipo programa gratuitos etc de segurança de criptografia. Daí achei que esse app do Android, talvez tivesse uma boa reputação ou realmente fosse conhecido na comunidade de segurança por muito robusto na sua proposta. O programa é o safe notes (Safe Notes - Official app – Apps no Google Play)https://play.google.com/store/apps/details?id=com.protectedtext.android&hl=pt_BR

 

o site deles: https://www.protectedtext.com/

 

Li sobre a luta deles de como é difícil manter receita e a privacidade e segurança dos usuários:

https://www.protectedtext.com/site/helpusfight

 

 

 

O que você acha das permissões que são solicitadas? Eu não dei nenhuma permissão ao app e ele funciona perfeitamente. Uso apenas localmente sem fazer nenhum armazenamento online.  A dúvida que fica é se ele realmente criptografa o arquivo. Daí vou fazer o teste básico como você falou de acessar as pastas do app e ver se acho o arquivo la em texto puro, não é isso? Há algum programa que eu possa testar a força da criptografia por força bruta?

 

Existe outro app confiável de criptografia offline no android? Como eu disse, não preciso de armazenar nada na internet.Seria apenas no celular mesmo.

 

 

Citação

Aí se criptografar certinho então tem erro não, salvo se você perder o celular desbloqueado aí dançou.

Ele funciona assim:

 

para abrir o app ele pede um pin (só numeros).

Lá dentro você pode criar varias anotações e pode criptografar cada anotação separada, como um caderninho mesmo, onde tipo com 10 paginas escritas, porém apenas uma você quer criptografar e daí você pode colocar a senha que quiser (longa complexa etc).

 

Aí surge a dúvida: seria seguro mesmo? TEm a senha de acesso ao celular, tem a senha para abrir o aplicativo e depois ainda tem a senha para acessar as anotações em separado!

 

O receio é porque vagabundos/criminosos estavam zerando contas bancarias após o roubo/furto de celulares mesmo com eles bloqueados e em diversas reportagens que vi na TV algumas vítimas diziam que não tinha nenhuma senha anotada no celular.

 

Então o primeiro ponto aqui é: como os vagabundo conseguem acessar o celular da vítima tão facilmente: quebram a senha de acesso ao celular por força bruta mesmo ou alguma vulnerabilidade? Se for por força bruta, um senha forte de acesso ao celular realmente faria diferença (letras, numeros e simobolos e uma senha bem longa).

 

Segundo ponto: proteção com digital é vulneravel ou é seguro mesmo? Vale a pena ter essa comodidada? Não uso reconhecimento facial. Qual seria mais seguro?

 

Voltando a minha pergunta:

 

Citação

A versões mais recentes para Android cripotgrafam todo o sistema como o Veracript? OU seja, após o Android estar desligado, o sistema fica com os dados criptografados e mesmo que ligado a um computador ou outro dispositivo os dados não ficam legiveis?

Se existir algo parecido como temos para o Windows, que criptografa todo o sistema e  omesmo só da boot com senha no Veracript, só seria possível no Android com root? Ou melhor para celular é criptografar arrquivos separados mesmo, como esse bloco de notas?

 

 

 

Citação

você não deve armazenar senha em sistemas que tenham acesso a internet, isso é básico e imutável. (isso para usuário)

 

@Swalls  obrigado por responder! Até entendo que é uma boa prática de segurança sim!  Mas vivemos no mundo real. E a cripotrafia não está aí para isso? Não é ela que pertmite as moedas virtuais existirem? Já li dizendo que existe várias criptografias que realmente são bem seguras e o problema não é na criptografia em si, mas na implementação dela.

 

Uma hora eu preciso digitar a senha para acessar um serviço online. Se tive um malware que captura o que é digitado? Aqui vou partir do presuposto que não pode entrar nem resfriado. porque se entrar, vai pegar tudo que eu digito. Então não fará tanta diferença se ela está escricta guardada no dispositivo. O problema seria para perda ou roubo do dispositivo.

 

 

 

 

[Ominicron]

@Adamastor Abrolio Silve Da pra você mesmo fazer o seu com muita tranquilidade, se o objetivo é rodar o app localmente e não precisar de um backup extra por exemplo em poucas horas se souber o básico de programação você monta um com Kotlin e o Android Studio, basta consumir uma biblioteca que faz criptografia e salvar os dados com um banco de dados local como o RoomDB, se a questão é confiabilidade essa seria meio que máxima, pois você mesmo teria feito e não teria conexões externas, e de verdade é bem tranquilo de fazer. Aproveitei para deixar um vídeo caso se interesse em você mesmo fazer o app, nesse vídeo ele não fala sobre como criptografar e descriptografar, mas já o básico e um bom caminho pra você entender como fazer a tela, o que pode ser feito até com o clica e arrasta, depois disso seria interligar com o RoomDB que falei e consumir a biblioteca para criptografias e descriptografias.

47 minutos atrás, Adamastor Abrolio Silve disse:

@Linio Alan Muito obrigado por responder!

 

Entendi. porque exsite programa que são auditados, não é isso? Tipo programa gratuitos etc de segurança de criptografia. Daí achei que esse app do Android, talvez tivesse uma boa reputação ou realmente fosse conhecido na comunidade de segurança por muito robusto na sua proposta. O programa é o safe notes (Safe Notes - Official app – Apps no Google Play)https://play.google.com/store/apps/details?id=com.protectedtext.android&hl=pt_BR

 

o site deles: https://www.protectedtext.com/

 

Li sobre a luta deles de como é difícil manter receita e a privacidade e segurança dos usuários:

https://www.protectedtext.com/site/helpusfight

 

 

 

O que você acha das permissões que são solicitadas? Eu não dei nenhuma permissão ao app e ele funciona perfeitamente. Uso apenas localmente sem fazer nenhum armazenamento online.  A dúvida que fica é se ele realmente criptografa o arquivo. Daí vou fazer o teste básico como você falou de acessar as pastas do app e ver se acho o arquivo la em texto puro, não é isso? Há algum programa que eu possa testar a força da criptografia por força bruta?

 

Existe outro app confiável de criptografia offline no android? Como eu disse, não preciso de armazenar nada na internet.Seria apenas no celular mesmo.

 

 

Ele funciona assim:

 

para abrir o app ele pede um pin (só numeros).

Lá dentro você pode criar varias anotações e pode criptografar cada anotação separada, como um caderninho mesmo, onde tipo com 10 paginas escritas, porém apenas uma você quer criptografar e daí você pode colocar a senha que quiser (longa complexa etc).

 

Aí surge a dúvida: seria seguro mesmo? TEm a senha de acesso ao celular, tem a senha para abrir o aplicativo e depois ainda tem a senha para acessar as anotações em separado!

 

O receio é porque vagabundos/criminosos estavam zerando contas bancarias após o roubo/furto de celulares mesmo com eles bloqueados e em diversas reportagens que vi na TV algumas vítimas diziam que não tinha nenhuma senha anotada no celular.

 

Então o primeiro ponto aqui é: como os vagabundo conseguem acessar o celular da vítima tão facilmente: quebram a senha de acesso ao celular por força bruta mesmo ou alguma vulnerabilidade? Se for por força bruta, um senha forte de acesso ao celular realmente faria diferença (letras, numeros e simobolos e uma senha bem longa).

 

Segundo ponto: proteção com digital é vulneravel ou é seguro mesmo? Vale a pena ter essa comodidada? Não uso reconhecimento facial. Qual seria mais seguro?

 

Voltando a minha pergunta:

 

Se existir algo parecido como temos para o Windows, que criptografa todo o sistema e  omesmo só da boot com senha no Veracript, só seria possível no Android com root? Ou melhor para celular é criptografar arrquivos separados mesmo, como esse bloco de notas?

 

 

 

 

@Swalls  obrigado por responder! Até entendo que é uma boa prática de segurança sim!  Mas vivemos no mundo real. E a cripotrafia não está aí para isso? Não é ela que pertmite as moedas virtuais existirem? Já li dizendo que existe várias criptografias que realmente são bem seguras e o problema não é na criptografia em si, mas na implementação dela.

 

Uma hora eu preciso digitar a senha para acessar um serviço online. Se tive um malware que captura o que é digitado? Aqui vou partir do presuposto que não pode entrar nem resfriado. porque se entrar, vai pegar tudo que eu digito. Então não fará tanta diferença se ela está escricta guardada no dispositivo. O problema seria para perda ou roubo do dispositivo.

 

 

 

 

No trecho em que fala sobre um malware que captura o que é digitado, ou que monitora suas requisições por exemplo. Uma solução bastante eficaz é a autenticação em dois fatores, com a ajuda dela você não evitaria o malware capturasse seus dados, pois você já estaria infectado, mas em muitos casos pode evitar que os mesmos sejam utilizados para entrar em contas e realizar outras atividades. O fato é que qualquer parte de um software é vulnerável, a questão é o quanto, um front-end costuma ser bem mais vulnerável do que um servidor back-end por exemplo, assim como as blockchains que falou também são bem mais seguras. A questão é entender até onde vale a pena investir em segurança e o porque, pois você nunca vai conseguir um sistema 100% seguro.

[Swalls]

1 hora atrás, Adamastor Abrolio Silve disse:

 

@Swalls  Aqui vou partir do presuposto que não pode entrar nem resfriado. porque se entrar, vai pegar tudo que eu digito. 

Boa tarde, estudando segurança vai ver que por ai mesmo, n pode pegar nem resfriado kkk.

 

1 hora atrás, Adamastor Abrolio Silve disse:

 Não é ela que pertmite as moedas virtuais existirem?

na vdd isso só permite dar uma segurança a mais na hora de fazer operações, o que permite as moedas virtuais existirem é prova de trabalho, checksum, descentralização, hash, etc..
 

O fato é que senha é literalmente algo feito para não ficar salvo em canto algum de fácil acesso, caso contrário qual seria o objetivo de receber um token/secret de autenticação de API depois de inserir a senha? bastaria manter o token salvo e não expirar ele, afinal valeria como a mesma coisa.

[Linio Alan]

 

 

Em 17/10/2024 às 18:54, Adamastor Abrolio Silve disse:

@Linio Alan Muito obrigado por responder!

 

Entendi. porque exsite programa que são auditados, não é isso? Tipo programa gratuitos etc de segurança de criptografia. Daí achei que esse app do Android, talvez tivesse uma boa reputação ou realmente fosse conhecido na comunidade de segurança por muito robusto na sua proposta. O programa é o safe notes (Safe Notes - Official app – Apps no Google Play)https://play.google.com/store/apps/details?id=com.protectedtext.android&hl=pt_BR

 

o site deles: https://www.protectedtext.com/

 

Li sobre a luta deles de como é difícil manter receita e a privacidade e segurança dos usuários:

https://www.protectedtext.com/site/helpusfight

 

 

 

O que você acha das permissões que são solicitadas? Eu não dei nenhuma permissão ao app e ele funciona perfeitamente. Uso apenas localmente sem fazer nenhum armazenamento online.  A dúvida que fica é se ele realmente criptografa o arquivo. Daí vou fazer o teste básico como você falou de acessar as pastas do app e ver se acho o arquivo la em texto puro, não é isso? Há algum programa que eu possa testar a força da criptografia por força bruta?

 

Existe outro app confiável de criptografia offline no android? Como eu disse, não preciso de armazenar nada na internet.Seria apenas no celular mesmo.

 

Detesto sempre que um único app solicita + do que 2 permissões para funcionar, sempre faço um "revogaço" de permissões nos apps regularmente, embora o próprio sistema Android em si já é sozinho um espião em potencial, enfim vai da "paranóia" de cada um mesmo. Sim esse app é um "queridinho" de mercado, se ele faz ou não coleta excusa de dados é um capítulo à parte, mas se até agora não houve nenhum escândalo sobre ele, então sim ele deve fazer a criptografia de dados sim. Tem várias opções, pagas e gratuitas. mas particularmente só recomendo o que já utilizei e não são muitas, até porque não seria inteligente usar/testar muitos apps para guarda de informações sensíveis/críticas, a que mencionei foi o 1password.

 

Sobre o app para testar a criptografia, sem dúvidas o  Jhon-The-Ripper é o mais famoso, vai ter bastante documentação pra se divertir com responsabilidade em em ambiente de teste apenas, não me responsabilizo por utilização para fins ilícitos.

 

Em 17/10/2024 às 18:54, Adamastor Abrolio Silve disse:

Ele funciona assim:

 

para abrir o app ele pede um pin (só numeros).

Lá dentro você pode criar varias anotações e pode criptografar cada anotação separada, como um caderninho mesmo, onde tipo com 10 paginas escritas, porém apenas uma você quer criptografar e daí você pode colocar a senha que quiser (longa complexa etc).

 

Aí surge a dúvida: seria seguro mesmo? TEm a senha de acesso ao celular, tem a senha para abrir o aplicativo e depois ainda tem a senha para acessar as anotações em separado!

 

Me parece muito bom sim, lembrando que soluções out-of-the-box como essa são muito utilizadas até mesmo por profissionais, seja criando apps próprios ou com improvisações desde que seguindo premissas básicas de segurança como o caso.

 

Em 17/10/2024 às 18:54, Adamastor Abrolio Silve disse:

Então o primeiro ponto aqui é: como os vagabundo conseguem acessar o celular da vítima tão facilmente: quebram a senha de acesso ao celular por força bruta mesmo ou alguma vulnerabilidade? Se for por força bruta, um senha forte de acesso ao celular realmente faria diferença (letras, numeros e simobolos e uma senha bem longa).

 

Segundo ponto: proteção com digital é vulneravel ou é seguro mesmo? Vale a pena ter essa comodidada? Não uso reconhecimento facial. Qual seria mais seguro?

 

Tem ferramenta pra tudo nesse mundo, inclusive para quebra de hash de senhas, principalmente com o aparelho em mãos. Eles podem usar tools que ou podem ser vendidas legalmente na surface para corporações sabidamente éticas, quanto na darkweb. Felizmente ou infelizmente o dinheiro ainda compra muita coisa.

 

Mas geralmente eles preferem obter o aparelho já desbloqueado mesmo, daí a razão para muitos assaltantes pedirem para a vítima desbloquear antes de se evadirem, ou já pegarem o aparelho desbloqueado. O resto eles fazem usando ferramentas ou fazendo engenharia social.

 

A biometria para abrir apps no celular é sim bem seguro, mais até do que senhas alfanuméricas muito mais por se basear em características pessoais e instransferíveis, diferente das senhas comuns.

 

 

Em 17/10/2024 às 18:54, Adamastor Abrolio Silve disse:

Se existir algo parecido como temos para o Windows, que criptografa todo o sistema e  omesmo só da boot com senha no Veracript, só seria possível no Android com root? Ou melhor para celular é criptografar arrquivos separados mesmo, como esse bloco de notas?

 

Todas as oções acima

 

Para boot seguro no Android pesquise por "Configure for Startup Lock Android".