100

В Windows 10 Mobile нашли странную уязвимость защиты пин-кодом

Windows 10 и Windows 10 Mobile предоставляют пользователям интересные и эффективные способы защиты устройств с помощью сканера сетчатки глаза или отпечатка пальца. Практика показала, что Windows Hello отлично справляется с подобными задачами. Но на устройствах, где нет инфракрасной камеры или дактилоскопического сенсора, защитить данные можно только обычным ПИН-кодом. В этой системе пользователи нашли странный феномен.

Суть его заключается в том, что другой пользователь может легко отключить защиту и сменить ПИН-код. Для этого ему не надо знать существующий код – достаточно получить доступ к уже разблокированном устройству. Все дело в процессе отключения защиты паролем. Когда вы попытаетесь удалить существующий ПИН-код, система не попросит вас ввести его для подтверждения личности. Вместо этого Windows 10 Mobile сразу удалит пароль без вопросов. После этого злоумышленник может ввести новый код и лишить вас доступа к устройству. Вот такой неприятный пранк может получиться. При этом стоит отметить, что процесс смены пароля без деактивации требует подтверждения.

В Android и iOS этой проблемы нет. Вы не сможете отключить защиту ПИН-кодом без ввода оного. Точно так же и на настольной Windows 10. Попытка удалить код приведет к необходимости подтвердить действие паролем от учетной записи Microsoft.

Эта неприятная ситуация наблюдается на всех устройствах с Windows 10 Mobile – 1511, 1607 и даже RS2. Остается только надеяться, что Microsoft исправит это в будущих обновлениях, поскольку нельзя позиционировать систему, как самую защищенную, и при этом оставлять в ней такую большую дыру в безопасности.

Источник: MSPU

НравитсяНе нравится
+3
Loading ... Loading ...

Лучшие комментарии

06.01.2017 в 12:08
+10
Nokia Lumia 730

Есть вещь потупее: если блокируешь телефон с account.microsoft.com, то на все устройства, в т. ч. на телефон, приходит письмо с пин-кодом, который можно посмотреть из уведомления. Т. е. залочил телефон с сайта -> пришло письмо с пином на телефон -> разлочил телефон по этому пину

Комментарии (100)

    06.01.2017 в 12:05
    +6
    Nokia Lumia 920

    Лол. Я даже не заметил этого. Наверное потому, что пин-код года два не менял...
    Хм, что-то не то. Сейчас зашел в смену пин-кода:

    06.01.2017 в 12:08
    +5
    Android

    Написано же, что не при смене, а при удалении!

    06.01.2017 в 12:09
    +4
    Nokia Lumia 920

    Всё-всё, дошло, не ругайся))

    06.01.2017 в 12:45
    +1
    Nokia Lumia 830

    А чочо за шрифт такой? Кастом?

    06.01.2017 в 13:03
    0
    Nokia Lumia 920

    Да с 4пда взял.

    06.01.2017 в 16:04
    0
    Nokia Lumia 730

    А я с Font style. Приложение просто класс)

    06.01.2017 в 16:26
    0
    Nokia Lumia 925

    Фу фу, андроидом 2-3 запахло

    06.01.2017 в 16:27
    0
    Nokia Lumia 730

    Ну ты че ты че? Просто для разнообразия, и откуда я знал, что такое на ведре есть ☹

    06.01.2017 в 17:05
    +1
    Microsoft Lumia 650

    Удалил пин. Нажал создать пин - просит пароль от учётной записи. Как это обойти? Где-то ошибка получается.

    06.01.2017 в 17:07
    +1
    Nokia Lumia 920

    Бредово, согласен.

    06.01.2017 в 12:05
    +1
    Microsoft Lumia 550

    Так там же попросит вести пароль от учетной записи майкрософт, когда будете обратно ставить пин-код

    06.01.2017 в 12:07
    +2
    Android

    При добавлении пин кода, но не при удалении

    06.01.2017 в 12:08
    0
    Nokia Lumia 920

    А, точно))

    06.01.2017 в 17:12
    0
    Microsoft Lumia 650

    Но в новости то другое! Пишут что злоумышленник может поставить свой. Значит новость не точная.

    06.01.2017 в 17:14
    0
    Android

    И ведь правда. Поставить пин можно только с паролем от мс.

    06.01.2017 в 12:08
    +10
    Nokia Lumia 730

    Есть вещь потупее: если блокируешь телефон с account.microsoft.com, то на все устройства, в т. ч. на телефон, приходит письмо с пин-кодом, который можно посмотреть из уведомления. Т. е. залочил телефон с сайта -> пришло письмо с пином на телефон -> разлочил телефон по этому пину

    06.01.2017 в 12:08
    0
    Microsoft Lumia 950

    Да тот же сканер сетчатки чушь а не защита. Так как достаточно часто сканер не может распознать и просит ввести пин код. Или можно просто ввести пин код и этим обойти защиту сканера сетчатки глаза

    06.01.2017 в 12:19
    +1
    Microsoft Lumia 950

    То же самое можно сделать и со сканером отпечатков пальцев. Ничто не защитит идеально и полностью. ?

    06.01.2017 в 18:17
    0
    Microsoft Lumia 650

    Думаю это скорее всего для удобства сделано, а не для доп. защиты.

    06.01.2017 в 12:09
    0
    Android

    Со мной товарищ как-то раз так пошутил, ага.

    06.01.2017 в 12:14
    +4
    Android

    Заголовок слишком громкий. Если злоумышленик получил доступ к разблокированному телефону, он может сильнее нанести вред, ежели просто сменить пин

    06.01.2017 в 12:54
    0
    Android

    Так могут поступить, наверно друзья/знакомые, с целью подшутить.))

    06.01.2017 в 13:07
    0
    Nokia Lumia 920

    Я вот над другом точно подшучу))

    06.01.2017 в 13:18
    +3
    Android

    Нельзя просто так взять и не подшутить над друзьями. ?

    06.01.2017 в 13:49
    0
    Nokia Lumia 920

    Надо было мем вставить)

    06.01.2017 в 14:53
    0
    Android

    Надо было, но лень)

    06.01.2017 в 14:54
    0
    Nokia Lumia 920

    Я так и понял)

    06.01.2017 в 12:16
    +1
    Microsoft Lumia 550

    Давно заметил это, но мне это даже на руку, лишний раз ничего вводить не надо, ненавижу что-то вводить

    06.01.2017 в 12:34
    0
    Android

    Кстати говоря у 8.1 такой проблемы не было

    06.01.2017 в 12:38
    +1
    Microsoft Lumia 550

    Я бы не назвал это проблемой

    06.01.2017 в 12:45
    0
    Android

    Ну ето для кого как, но ето все ж таки уязвимость, хотя раньше я думал что ето фишка такая☺

    06.01.2017 в 12:46
    +2
    Microsoft Lumia 550

    Для меня это фишка. Если я кому-то даю смарт, то я смотрю, что там делают. Обычно, я вообще не даю. Так что норм. для меня)

    06.01.2017 в 12:52
    0
    Android

    Я тоже так почти никому не даю телефон, но в крайнем случае можно воспользоваться"уголком приложений"

    06.01.2017 в 12:53
    +1
    Microsoft Lumia 550

    Он в 10 есть? Давно не пользовался этим, последний раз на 8.1, да и лазал в настройках последний раз полгода назад

    06.01.2017 в 12:56
    0
    Android

    Настройки>Учетные записи>Уголок приложений(в конце списка)

    06.01.2017 в 13:11
    +1
    Microsoft Lumia 550

    Я, блин, ..., еле вышел из него сейчас ? меня при создании выкинуло на раб стол, а я забыл, как вернуть все на место ?

    06.01.2017 в 13:32
    0
    Android

    Вот ето наверно самое лучшие шифрования ?

    06.01.2017 в 13:34
    +1
    Microsoft Lumia 550

    Если бы не мои знания детского уголка с 8.1, так и не вышел бы оттуда ?

    06.01.2017 в 13:38
    +1
    Android

    У меня в первый раз такое тоже было, я решил перезагрузить телефон, оно и зразу показывает как выйти из уголка приложений?

    06.01.2017 в 13:39
    +1
    Microsoft Lumia 550

    Ага, только бросающиеся в глаза английские слова пугают (телефон на англ)

    06.01.2017 в 13:41
    0
    Android

    А, то ты и кортану юзаешь?

    06.01.2017 в 13:42
    +1
    Microsoft Lumia 550

    Конечно, уж хрен знает сколько) уже обо всем, что только словарный запас позволяет спросил у нее.

    06.01.2017 в 13:48
    0
    Android

    Я тоже ее пару раз включал но меня она не очень впечатлила, прикольно конечно и английский подтягивается но мне родной язык приятней ?)Так-же приложение есть чтобы кортану лучше освоить называется Command of your Cortana там более 400 команд на английском ☺

    06.01.2017 в 13:51
    0
    Microsoft Lumia 550

    О таком не знал) круто)
    (украинский или русский язык?)

    06.01.2017 в 13:59
    +1
    Android

    В Command of your Cortana поделены все команды на категории и каждый пользователей может добавлять команды)украинский язык;)

    06.01.2017 в 14:02
    +1
    Microsoft Lumia 550

    Попробую как-нибудь, спасибо)

    06.01.2017 в 14:22
    0
    Android

    Пожалуйста ☺

    06.01.2017 в 13:22
    0
    Nokia Lumia 1020

    Я бы не назвал это уязвимостью в полном смысле этого слова. Это скорее такая особенность. Ну и, согласитесь, что если телефон уже в руках злоумышленника, то ему уже скорее всего пин менять не понадобится. Или он планирует в снова брать телефон периодически? Тогда скорее всего он снова будет разблокирован. А если он что-то сделает с пином, то это сразу станет очевидным для владельца при первом же входе. То есть практически этим недочётом пользоваться можно скорее ради шутки.

    06.01.2017 в 13:34
    0
    Android

    Наверно да, но если злоумышленник чтото понимает он сделает сброс, причем ето универсальный способ

    06.01.2017 в 12:22
    +4
    Microsoft Lumia 550

    На компьютере берём за правило нажимать Win+L перед тем, как встать и куда-то уйти. На смартфоне можно настроить блокировку сразу после отключения экрана. Уязвимости после этого как бы нет, хотя, всё равно нужно, чтобы это исправили.

    06.01.2017 в 12:28
    0
    Nokia Lumia 730

    На 8.1 такого не было, или при Стиве Балмере такого не было!!! ?

    06.01.2017 в 13:23
    +1
    Nokia Lumia 1020

    При Сталине такого точно не было!

    06.01.2017 в 13:24
    0
    Nokia Lumia 730

    При сталине меня не было бы!!! ?

    06.01.2017 в 12:34
    0
    Microsoft Lumia 640

    Давно знал об этом, но не придавал значение

    06.01.2017 в 12:38
    0
    Microsoft Lumia 640

    Ребята читаю разные мнения,а что вообще изменится с приходом креатор апдеитс?

    06.01.2017 в 12:53
    -1
    Microsoft Lumia 640

    Изменится дизайн системы,будет быстрее,много новых фишек.

    06.01.2017 в 13:04
    0
    Nokia Lumia 830

    Куда быстрее? Смотрю скоро в космос таким макаром взлетит, быстрее быстрее..

    06.01.2017 в 15:07
    0
    Microsoft Lumia 640

    Уже скоро отполируют и система летать будет. По желанию в космос можешь улететь)))

    06.01.2017 в 15:04
    0
    Nokia Lumia 930

    Neon будет на RS3, так что почти ничего не добавили.

    06.01.2017 в 15:08
    0
    Microsoft Lumia 640

    Сейчас еще рано добавлять neon

    06.01.2017 в 15:09
    0
    Nokia Lumia 930

    Конечно, это лишь ранний прототип

    06.01.2017 в 12:56
    0
    Microsoft Lumia 550

    Вот только для того, чтобы создать новый код, нужно ввести пароль от учетной записи. Шах и мат.

    06.01.2017 в 13:28
    -1
    Microsoft Lumia 640 XL

    Проверил... Не нужно вводить...

    07.01.2017 в 6:59
    +1
    Microsoft Lumia 950

    Проверил. Нужно вводить

    06.01.2017 в 13:08
    0
    Microsoft Lumia 950 XL

    Долго же ее искали.

    06.01.2017 в 13:14
    0
    Microsoft Lumia 640 XL

    Непонятно... Удалить пин-код можно, но сменить его можно только введя действующий пин, включение защиты пин-кодом, осуществляется введением пароля учетной записи! В чем уязвимость то? Стоп! Нашел!!! Если пин-код удален и тут же включить защиту пином, то пароля учетной записи не потребуется!!!!! Вот шайтанама...

    06.01.2017 в 13:31
    0
    Nokia Lumia 930

    А я думал, система идентична настольному))

    06.01.2017 в 13:40
    0
    Android

    Ну новый пин создать не получиться, при создании запрашивает пароль от учетки

    06.01.2017 в 13:48
    0
    Microsoft Lumia 640 XL

    Удалил пин-код, и тут же нажал "добавить" - открывается окно "Настройка ПИН-кода" и вуаля...

    06.01.2017 в 13:49
    0
    Android

    Он просит ввести пароль от учетки перед созданием нового пина

    06.01.2017 в 13:52
    0
    Microsoft Lumia 640 XL

    Сейчас несколько раз удалил и сменил... Ничего не потребовалось вводить...

    06.01.2017 в 13:58
    0
    Android

    Странно, у меня вылезает окно ввода пароля от учетки... Может это из-за Enterprise версии...

    06.01.2017 в 14:11
    0
    Microsoft Lumia 640 XL

    А х.з...)) если так, то можно радоваться!)))

    06.01.2017 в 16:11
    0
    Nokia Lumia 1020

    Тоже самое, удалить-удалился, а при создании, потребовал пароль учётки, покрайне мере на этом аппарате.

    06.01.2017 в 16:13
    0
    Nokia Lumia 1020

    Даже при создани нового пина не спрашивал пароль учётки?
    У меня запрашивает на данном аппарате.

    06.01.2017 в 17:47
    0
    Microsoft Lumia 640 XL

    Нет, не спрашивает... заходишь в "параметры входа", удаляешь пин, жмёшь "добавить" и вводишь новый пин без всяких паролей и т.д.

    07.01.2017 в 7:00
    0
    Microsoft Lumia 950

    Зашел. Удалил и сразу нажал добавить=>запросил данные учетки

    07.01.2017 в 10:54
    0
    Microsoft Lumia 640 XL

    А попробуй в "Требуется вход" выбрать "Никогда", перед удалением пина. Снова поэксперементировал - если в "Требуется вход" стоит "каждый раз" то система работает правильно.

    06.01.2017 в 14:49
    +5
    Aik
    Nokia Lumia 1020

    В 10-ке есть еще одно слабое место в защите: заблокированное ПИНом устройство можно элементарно отключить от сетей через шторку (включить режим самолета). И тогда вы не сможете получить удаленный доступ к телефону, с целью защитить ваши данные или отследить девайс, в случае потери или кражи. В 8-ке нельзя было производить манипуляции со шторкой до разблокировки.

    06.01.2017 в 16:18
    0
    Nokia Lumia 1020

    Так это давненько, почти с самого начала так, а что кто то не знает ещё ?

    06.01.2017 в 16:19
    0
    Nokia Lumia 930

    На 930 люмии Windows Hello будет доступна когда-нибудь?

    06.01.2017 в 16:26
    0
    Nokia Lumia 1020

    Когда эта люмку устареет, тогда и доступно будет.
    Там хоть есть инфракрасная камера?

    06.01.2017 в 16:29
    0
    Nokia Lumia 930

    ☺ он у меня долго еще не устареет , если доллар не снизится
    Инфракрасной нет..

    06.01.2017 в 16:34
    0
    Nokia Lumia 1020

    Если камера (инфра) есть, то не исключено, а так кто его знает, как маки поведут себя с мобильной 10-кой в будущем. Возьмут и завезут крутую ништяшку и пропишут какие модели соответствуют, а остальным знак стоп(и не дай бох x3x-е выскочат, вот жесть.(пример).

    06.01.2017 в 17:10
    0
    Nokia Lumia 830

    Выскочат все кроме 950, и возможно 650)

    06.01.2017 в 17:09
    0
    Nokia Lumia 830

    Никогда не появится, можешь об этом не думать

    06.01.2017 в 17:05
    -1
    Microsoft Lumia 640

    Специально для тех кто не доволен!!!!

    06.01.2017 в 18:05
    +1
    Nokia Lumia 830

    При создании нового пин-кода просит ввести пароль от учётной записи, так что злоумышленник только удалить может, если вдруг разблокирует

    06.01.2017 в 18:45
    0
    Nokia Lumia 930

    Можно, кстати, сделать прямо на заблокированном телефоне сброс к заводским алгоритмом нажатия кнопок, и все - телефон чист и уже твой ))

    06.01.2017 в 18:59
    0
    Microsoft Lumia 650

    Для всех кто хвалит андроид скоро будет новая операционая система от google они обьединят андроид и crome os в итоге копируют маиков !!! Для фанатов андройд кто говорит что мало приложений на wm10 все выкинти свои андройд телефоны и купите все wm10 смартфоны и через два три месяца будет больше приложений на wm 10 потому что у него будет больше пользователей!!!! Просто накипело!!!!

    07.01.2017 в 14:07
    +1
    Microsoft Lumia 650

    Об этом только ты один знаешь. Даже майки еще не догадываются )))....подождем.

    06.01.2017 в 19:51
    0
    Nokia Lumia 930

    А когда решат другую проблему защиты, ведь можно обнулить и заблокированный аппарат, достаточно подключить к WDRT

    06.01.2017 в 23:04
    0
    Microsoft Lumia 950

    Для подключения надо ввести пароль вроде

    06.01.2017 в 22:46
    0
    Microsoft Lumia 950 XL

    Есть решение проще и элегантнее, на разблокированном телефоне в меню ставишь в параметрах "требовать авторизации" - "никогда" и далее живешь спокойно без пин-кода.

    07.01.2017 в 1:40
    0
    Microsoft Lumia 430

    И эту систему позиционируют для корпоративного сегмкнта?

    07.01.2017 в 10:50
    0
    Android

    Можно просто поставить запрос пароля при каждом пробуждении и не давать разблокированный телефон в чужие руки.
    Эта уязвимость действует, когда вы уже кому-то дали разблокированный телефон. Ну раз дали, то всё, уже нет безопасности)

    07.01.2017 в 11:13
    0
    Nokia Lumia 930

    Давно забил на пин код, если смарт сопрут, то пин код- мертвому припарка.

    07.01.2017 в 11:58
    0
    Microsoft Lumia 950

    А как обстоит дела на ios? ведь там если потеряешь или украдут телефон, считай только на запчасти.

    07.01.2017 в 13:00
    0
    Microsoft Lumia 640

    Тоже мне баг удалить пин без проблем, а вот ввести новый или поменять пароль учетки мс не зная пароль учетки не выйдет.

    07.01.2017 в 16:10
    0
    Nokia Lumia 1520

    Совсем недавно тоже заметил, так кк нужно было удалить пин-код и система даже не попросила для этого ни текущий пин, ни пароль от учетки, на миг стало как то даже не приятно. А ведь я постоянно всем говорю что это защищенная система

Вы должны быть для написания комментариев.