web-dev-qa-db-fra.com

Inconvénients de l'affichage de l'adresse e-mail sur l'écran de verrouillage Android

Mon stock Android 9.0 me donne la possibilité d'afficher un court message texte sur l'écran de verrouillage. Je veux ajouter mon adresse e-mail ici, afin que les gens sachent comment me contacter s'ils trouvent mon téléphone.

Y a-t-il des inconvénients à cela? L'adresse est liée au compte Google utilisé sur ce téléphone.

Je sais qu'il existe d'autres options pour récupérer mon téléphone, comme trouver mon téléphone, mais je veux une méthode qui permette au Finder de me trouver au lieu de l'inverse.

androiddevice-locking
50
freekvd

Votre adresse e-mail est généralement connue du public, donc la divulgation n'est souvent pas un gros risque pour la sécurité.

Mais ça se complique quand c'est votre téléphone. Étant donné que votre adresse e-mail est souvent utilisée comme nom d'utilisateur pour vous connecter aux services et que vous (devez) utiliser votre téléphone comme deuxième facteur lors de la connexion, lier ces deux données peut avoir des conséquences imprévues. Oui, vous (devriez déjà avoir) chiffré votre téléphone et vous (devriez) avoir un mot de passe fort pour vous connecter à votre téléphone, mais il y a des risques selon la façon dont vous avez tout implémenté.

La meilleure option pour faire ce que vous voulez est d'afficher une adresse secondaire que vous n'utilisez nulle part comme nom d'utilisateur. C'est facile à faire et à simplement transférer tous les e-mails de là vers votre adresse principale.

81
schroeder

Si l'objectif est de permettre à un Finder sincère de vous contacter, mais d'empêcher la fuite d'informations:

  1. Verrouillez le téléphone correctement (mot de passe fort, empreinte digitale, etc.)
  2. Chiffrez le contenu.
  3. Masquer les détails de la notification sur l'écran de verrouillage.
  4. Si possible, empêchez de répondre à tous les appels téléphoniques sans authentification. C'est probablement l'étape la plus difficile à réaliser, et toute personne qui vous appelle peut révéler accidentellement votre identité, sans mentionner si un appel téléphonique est choisi pour une méthode 2FA.
  5. Utilisez une adresse e-mail secondaire qui n'a pas pu être liée à vous.

Comme dans l'excellente réponse de Schroeder, l'adresse e-mail n'est pas l'information la plus cruciale qu'un téléphone puisse divulguer. Le # 5 n'est vraiment utile que si vous avez tout réalisé en # 1-4, car l'un des # 1-4 peut rendre trivial la recherche des informations cachées dans le # 5.

12
Esa Jokinen

Il existe une meilleure solution. Affichez à la place le numéro de téléphone de la personne que vous souhaitez contacter en cas d'urgence, en l'intitulant clairement "ICE" (ce qui signifie "en cas d'urgence" pour tous les secouristes). Ensuite, si vous avez un accident et que vous êtes inconscient, votre personne sera contactée beaucoup plus rapidement. Et comme effet secondaire si vous perdez votre téléphone, un ami sera également rapidement informé

3
George M Reinstate Monica

Je considérerais que le principal risque de placer l'adresse e-mail est qu'en cas de perte, ce serait une cible de phishing pour déverrouiller l'appareil.

Ceci est assez fréquent avec les appareils Apple: l'iPhone est perdu/volé, et donc le propriétaire verrouille l'accès au téléphone, il n'est donc plus possible d'utiliser cet appareil (à moins d'accéder à Apple du propriétaire). Cependant, le message affiché pour ceux qui le trouvent inclut souvent l'adresse e-mail associée au compte. Ainsi, ce que les attaquants font (en fait, il y a des gens qui vendent ce "service"), c'est de envoyer un e-mail de phishing prétendant provenir de Apple et indiquant que l'iPhone a été trouvé, cela mène en fait à une page de phishing à partir de laquelle les informations d'identification de ces comptes sont collectées pour libérer l'appareil.

Je trouve que la même approche fonctionnerait également avec un Android. Si l'adresse e-mail indiquée est le compte Google lié à l'appareil (comme il serait habituel), le phishing du compte les informations d'identification permettraient de déverrouiller l'appareil.

L'utilisation d'une adresse e-mail secondaire exclusivement pour cela (qui devrait alors recevoir 0 e-mails, et que vous ne pourrez même pas regarder jusqu'à ce que vous perdiez votre téléphone), et non liée au téléphone, devrait vous aider. il devrait y avoir présomption de tentative de phishing (notez que toute notification concernant le téléphone perdu serait pas envoyée, seul un humain ayant lu le message y dirigerait des courriels liés au téléphone!).

† Bien sûr, stockez le nom et le mot de passe de cet e-mail en toute sécurité, ainsi que du compte principal sur lequel l'appareil sauvegarde tout.

2
Ángel

Y compris votre e-mail, il y a un mouvement assez risqué. Imaginez que vous perdiez le téléphone et qu'un méchant le trouve:

  • il voit l'e-mail et va sur example.com et essaie de se connecter
  • comme il ne connaît pas le mot de passe, il choisit de récupérer le compte en envoyant un token sur votre (maintenant son) téléphone
  • la notification de texte sur le téléphone affiche le jeton car il n'est pas très long (et vous l'avez configuré pour afficher cet aperçu)
  • maintenant, il peut changer le mot de passe de example.com et ce compte a disparu

Il peut répéter cela pour d'autres services et causer beaucoup de dégâts, alors n'incluez pas votre e-mail. Regardez les autres réponses qui fournissent de bons conseils (dans cette réponse, je voulais simplement souligner à quel point les choses pouvaient mal tourner).

0
Felipe Pereira