On 2020-12-25, Kamil Jońca <k...@p...onet.pl> wrote:

[...]

>>> No bo chyba nie myślisz, że mało ludzi takich używa?
>>
>> Myślę. Sprzęty konsumenckie wymienia się zazwyczaj co rok/dwa,
>> bo tak przypada odnowienie umowy na telefon.
>
> Obawiam się, że tak różówo nie jest.
> 1. patrząc o swoich znajomych, zwłaszcza starszych, to nie mają pędu do
> wymiany telefonu jak najczęściej. Wolą mieć to co już znają.
> 2. Telefon po wymianie całkiem często trafia na "rynek wtórny" (dzieci,
> rodzina) i dalej działa.

No ale to nie jest kwestia różowości, tylko obserwacji statystyk.

Te dane są dostępne, np:
https://gs.statcounter.com/android-version-market-sh
are/mobile-tablet/poland
Nie jest idealnie, ale mimo wspierane przez twórce wersję to ponad 78%
polskiego rynku.

--
Wojciech Bańcer
w...@g...com

do góry

Witam

W dniu 23.12.2020 o 15:13, Krzysztof Halasa pisze:

> Absolutnie nie. Dopiero załatanie dziur dawałoby taki efekt. Niektórzy
> producenci nie łatają naprawdę kosmicznych dziur w telefonach, które są
> w dalszym ciągu używane. Trudno sobie chyba także wyobrazić, by takie
> osoby miały używać nieoficjalnych wersji systemu (z łatami).

Oczywiście masz rację w senesie technicznym. Ktoś kto zna lukę w naszym
telefonach może się na nie włamać (zwłaszcza jeśli nie zna jej producent
telefonu). To oczywiste. Ale czy ktoś kto zna taką lukę będzie masowo
atakował telefony? Teoretycznie oczywiście może. Ale to spowoduje, że
luka szybko wyjdzie na jaw i koniec "zabawy". Znacznie bardziej zyskowne
jest trzymanie takiej luki tylko do wiadomości wybranej grupy osób i
przeprowadzanie punktowych ataków. I to niekoniecznie na dane bankowe.
Po prostu po kradzieży ofiara się szybko orientuje i sprawa wychodzi na
jaw. A gdyby tak zamiast tego poznać rozmowy ważnych osób? Np.
podsłuchiwanie Bezossa przez księcia z Arabii Saudyjskiej?
https://niebezpiecznik.pl/post/szef-amazonu-twierdzi
-ze-arabia-saudyjska-zhackowala-mu-iphona/


> Podają źródło tej informacji? Nie żebym kwestionował, i nigdy z żadnym
> Pegasusem nie miałem do czynienia - przynajmniej od tej strony :-)
> Ale "normalnie" (nie w rozmowach z bandytami) stawki wydają się być
> znacznie niższe.

No i akurat teraz nie mogę tego znaleźć na niebezpieczniku ale np.
Forbes z 2019 twierdzi, że można dostać nawet 2,5M$ za Androida i tylko
2M$ za iPhone.
https://www.forbes.com/sites/jeanbaptiste/2019/09/04
/why-zerodium-will-pay-2-5-million-for-anyone-who-ca
n-hack-android-but-only-2-million-for-an-iphone/?sh=
4bd29a2a716b

>
>> Gorzej jak ktoś ma telefon bez aktualizacji bo nie dość, że mu dziury
>> producent nie załata to jeszcze dziura znana wąskiemu gronu osób po
>> jakimś czasie może być szerzej znana i wtedy może będą nawet skrypty
>> do włamań.
>
> Właśnie.

I tutaj bym szukał zagrożeń dla przeciętnego człowieka. Zresztą spora
część ludzie nie aktualizuje używanego softu nawet jeżeli te
aktualizacje są dostępne i problem sprowadza się do jednego kliknięcia.
Np. aktualizacja usuwająca dziurę wykorzystaną przez Wannacry była dawno
udostępniona przez Microsoft:
https://niebezpiecznik.pl/post/zamkniete-szpitale-i-
zaklady-pracy-uderzenie-robaka-wannacry-i-olbrzymie-
straty-na-calym-swiecie/


Pozdrawiam,
Zdzichu

do góry

Witam

W dniu 23.12.2020 o 12:25, _Master_ pisze:
> W dniu 2020-12-22 o 23:00, Zdzichu500 pisze:
>>
>> To jak sobie radzi z PC? Tam przecież każdy program uruchomiony na
>> koncie użytkownika ma dostęp co najmniej do wszystkich danych tego
>> użytkownika i może robić co chce z połączeniem sieciowym, kamerą,
>> mikrofonem itp.
>
> No właśnie "statystycznego" ochroni przed strata kasy BARDZIEJ drugi
> KANAŁ/URZADZENIE.

Tyle, że jak złodziej ma dostęp do PC to kopiuje dane logowania (plus
całe ciasteczka i co tam ewentualnie bank potrzebuje żeby stwierdzić, że
przeglądarka złodzieje jest ta sama co ofiary) i przegląda sobie
wszystkie dane w serwisie banku. Jak uzna, że warto się trudzić to
wyrabia duplikat SIMa w salonie operatora i przejmuje wszystko. Ataki z
wydanym SIMem oszustowi wydarzyły się w Polsce ale ataków z aplikacją
bankową nie było (ewentualnie nie jest znany).
Po prostu jak się okazuje to w praktyce zbyt łatwo uzyskać duplikat SIMa
u operatorów w Polsce.
Jedynie to gdyby ktoś zrobił exploita kradnącego dane z aplikacji
bankowej to może użyć go masowo a wyrabianie kart SIM to już atak
celowany w konkretną osobę.

Pozdrawiam,
Zdzich

do góry

Witam

W dniu 23.12.2020 o 12:22, _Master_ pisze:
> W dniu 2020-12-22 o 23:00, Zdzichu500 pisze:
>> I jak możesz jeszcze spać spokojnie?
>
> Ja śpię. Bo robię przelew na blaszaku z windowsem czy nawet z linuksem a
> potwierdzam go SMSem.

Ale te systemu też mają swoje zero daye. Bug (albo może backdoor) w
OpenSSL był dwa lata w kodzie żródłowym. Skąd pewność, że nikt go nie
wykorzystał?
https://niebezpiecznik.pl/post/krytyczna-dziura-w-op
enssl-ponad-65-serwerow-w-internecie-podatnych-na-po
dsluch-i-to-od-2-lat/

> Kto wie czy nie wrócę do symbiana czy Windowsa.

To, że systemy stare to nie znaczy, że nie mają dziur. Może już nie są
popularne to i nikomu się nie chce szukać teraz ale czy w Symbianie nie
ma niezałatanych dziur?

Pozdrawiam,
Zdzichu

do góry

Zdzichu500 <n...@n...org> writes:

> No i akurat teraz nie mogę tego znaleźć na niebezpieczniku ale np.
> Forbes z 2019 twierdzi, że można dostać nawet 2,5M$ za Androida i
> tylko 2M$ za iPhone.
> https://www.forbes.com/sites/jeanbaptiste/2019/09/04
/why-zerodium-will-pay-2-5-million-for-anyone-who-ca
n-hack-android-but-only-2-million-for-an-iphone/?sh=
4bd29a2a716b

Zwróciłbym uwagę na słowa kluczowe - "up to". "ZERODIUM payouts for
eligible zero-day exploits range from $2,500 to $2,500,000 per
submission."

Oraz "all payouts are subject to change or cancellation without notice".

Nie żeby mnie to dziwiło - to się musi opłacać. Wyobrażam sobie, że oni
rzeczywiście mogą zapłacić $2.5M za jakiś exploit - tylko wtedy muszą na
nim zarobić znacznie więcej. W jaki sposób - możliwości jest raczej
mniej niż więcej.
--
Krzysztof Hałasa

do góry

Zdzichu500 <n...@n...org> writes:

> Tyle, że jak złodziej ma dostęp do PC to kopiuje dane logowania (plus
> całe ciasteczka i co tam ewentualnie bank potrzebuje żeby stwierdzić,
> że przeglądarka złodzieje jest ta sama co ofiary) i przegląda sobie
> wszystkie dane w serwisie banku.

Ja za każdym razem wklepuję kod.
Aczkolwiek oczywiście to niekoniecznie powstrzymałoby złodzieja
(przecież ma dostęp do PC).

> Jak uzna, że warto się trudzić to
> wyrabia duplikat SIMa w salonie operatora i przejmuje wszystko.

Teoretycznie nie powinien tam mieć numeru telefonu, właśnie z takiego
powodu. Ale oczywiście numer telefonu nie jest tajny.
Z drugiej strony, spodziewałbym się, że operatorzy tak łatwo nie będą
wydawać duplikatów. Może (teraz) tak już jest?

> Ataki
> z wydanym SIMem oszustowi wydarzyły się w Polsce ale ataków z
> aplikacją
> bankową nie było (ewentualnie nie jest znany).

Aplikacje są jednak stosunkowo niedawno.

> Jedynie to gdyby ktoś zrobił exploita kradnącego dane z aplikacji
> bankowej to może użyć go masowo a wyrabianie kart SIM to już atak
> celowany w konkretną osobę.

I dużo bardziej ryzykowny, jeśli potrzebna jest fizyczna obecność
u operatora. Nawet nie tylko to, że złodziej zostawia tam ślady, ale po
prostu może być tam złapany. Wystarczy że pracownik operatora się
zorientuje.
--
Krzysztof Hałasa

do góry

Dzięki za uściślenie ale mówimy o dużo bardziej bezpiecznym systemie iOS
(a jednak ma DZIURY) niż Android a to właśnie cała zabawa na Androidzie
będzie się rozkręcać ;-)

do góry

Wojciech Bancer <w...@g...com> writes:

> Piszę, że nie można stworzyć rozwiązania generycznego, które będzie
> odporne na wersję systemu.

No pewnie że nie, skrajności prawie nigdy nie działają. Tak samo nie da
się stworzyć generycznego malware na peceta, a jednak komuś przyszło do
głowy, by do autoryzowania operacji używać drugiego kanału komunikacji.

Zresztą - podejrzewam, że obecne rozwiązania, z których każde jest
wadliwe (i nie chce mi się już ciągnąć tematu "które bardziej") zostaną
w przyszłości zastąpione rozwiązaniem uniwersalnym, ustandaryzowanym.
Też będzie wadliwe, jeśli klient będzie korzystał tylko z jednego
urządzenia, na to nie ma rady.

> Myślę. Sprzęty konsumenckie wymienia się zazwyczaj co rok/dwa,
> bo tak przypada odnowienie umowy na telefon.

Tak, jasne. Dają je w prezencie.
--
Krzysztof Hałasa

do góry

Dlatego w autach najlepszą obroną przed kradzieżą są _stare proste_
chwyty typu odcięcie zasilania pompy paliwa w ukrytym miejscu.

do góry

W dniu 2020-12-25 o 23:44, Zdzichu500 pisze:
> Tyle, że jak złodziej ma dostęp do PC

Moje doświadczenie mówi mi że PC jest bezpieczniejszy i jest używany
przez osoby bardziej odpowiedzialne niż masa pochłaniaczy fejsbuków na
Androidzie.
Wiem że nie jestem miarodajny ale tak to widzę po ćwierć wieku używania
komputerów ;-)

do góry