-
221. Data: 2020-12-27 19:15:00
Temat: Re: [mbank] 36 złotych rocznie za nieużywanie appki mobilnej
Od: Wojciech Bancer <w...@g...com>
On 2020-12-27, Zdzichu500 <n...@n...org> wrote:
[...]
>> Dzięki za uściślenie ale mówimy o dużo bardziej bezpiecznym systemie iOS
>> (a jednak ma DZIURY) niż Android a to właśnie cała zabawa na Androidzie
>> będzie się rozkręcać ;-)
>
> Wydaje się, ze górowanie bezpieczeństwem iOS nad Androidem to trochę
> takie urban legend.
No nie do końca.
> W świecie jest pierdyliard urządzeń z Androidem,
> wiele z nich od dawna nie miało aktualizacji i jest nadal użytkowana (w
> tym do aplikacji bankowych). Do tego można instalować aplikacje spoza
> oficjalnego sklepu. I jakoś cisza.
https://niebezpiecznik.pl/post/uwaga-na-falszywe-sms
-y-o-skierowaniu-na-kwarantanne-domowa/
https://niebezpiecznik.pl/post/zlosliwe-aplikacje-na
-androida-korzystaly-z-sensorow-ruchu-by-sie-ukryc/
https://niebezpiecznik.pl/post/jak-przestepcy-ukradl
i-10-000-pln-milosnikowi-kryptowalut-ciekawy-atak-na
-klientow-posiadajacych-mobilne-aplikacje-polskich-b
ankow/
> Najwięcej złego i tak robi socjotechnika, w tym wstawienie do sklepu z aplikacjami
softu
> przypominającego ten banku gdzie użytkownik podaje swoje dane "dobrowolnie".
Ale w App Store (od Apple) tego nie zrobi, bo aplikacje przechodzą
proces review.
[...]
> przestępców w celu znalezienia możliwości ataku. W przypadku iOS dostęp
> do kodu jest tajemnicą Applea i ma go garstka osób. Więc już samo
> zdobycie kody źródłowego iOS daje włamywaczom przewagę. A trudno sobie
> wyobrazić by w jakiejś formie kod iOS nie wypłynął.
iOS ma trochę inną architekturę, a App Store inaczej zarządzany, przez
to jest bardziej bezpieczny. Na iPhone nie zainstalujesz aplikacji spoza
oficjalnych źródeł (czy to App Store, czy korporacyjny App Store w
przypadku Enterprise). W Google i owszem, co go naraża na więcej ataków
o których pisałeś.
--
Wojciech Bańcer
w...@g...com
-
222. Data: 2020-12-27 19:28:20
Temat: Re: [mbank] 36 złotych rocznie za nieużywanie appki mobilnej
Od: Wojciech Bancer <w...@g...com>
On 2020-12-27, _Master_ <M...@...pl> wrote:
> Słowa klucz: dwa kanały/urzadzenia
I co to zmieni?
Wjadą Ci na konto przez komputer, zobaczą co tam u Ciebie, sklonują
sobie kartę SIM i Ci wyczyszczą konto.
--
Wojciech Bańcer
w...@g...com
-
223. Data: 2020-12-27 23:06:31
Temat: Re: [mbank] 36 złotych rocznie za nieużywanie appki mobilnej
Od: Zdzichu500 <n...@n...org>
Witam
W dniu 27.12.2020 o 19:15, Wojciech Bancer pisze:
>> W świecie jest pierdyliard urządzeń z Androidem,
>> wiele z nich od dawna nie miało aktualizacji i jest nadal użytkowana (w
>> tym do aplikacji bankowych). Do tego można instalować aplikacje spoza
>> oficjalnego sklepu. I jakoś cisza.
>
> https://niebezpiecznik.pl/post/uwaga-na-falszywe-sms
-y-o-skierowaniu-na-kwarantanne-domowa/
> https://niebezpiecznik.pl/post/zlosliwe-aplikacje-na
-androida-korzystaly-z-sensorow-ruchu-by-sie-ukryc/
> https://niebezpiecznik.pl/post/jak-przestepcy-ukradl
i-10-000-pln-milosnikowi-kryptowalut-ciekawy-atak-na
-klientow-posiadajacych-mobilne-aplikacje-polskich-b
ankow/
W żadnym z tych artykułów nie piszą by doszło do przełamania
zabezpieczeń w systemie i wycieku danych z aplikacji bankowych. Za to
podstawiają przestępcy fałszywą stronę do logowania co widnieje pod 3
linkiem:
"Wariant opisany przez ESET po wykryciu aplikacji banku X wyświetlał
fałszywe powiadomienia, rzekomo od banku X i podstawiał własną, fałszywą
stronę logowania do tego banku"
Co ciekawe pod 2 linkiem opisują trojana który robił zrzuty ekranu a do
tego jest osobne uprawnienie dla aplikacji. A nie jest to codzienne
uprawnienie bo nie przypominam sobie by kiedykolwiek któraś z aplikacji
u mnie prosiła o takie zezwolenie.
> Ale w App Store (od Apple) tego nie zrobi, bo aplikacje przechodzą
> proces review.
Też od czasu do czasu lądują dziwne apliakcje w sklepie:
https://www.dobreprogramy.pl/falszywa-aplikacja-ios-
iphone,News,99294.html
Chociaż pełna zgoda, że jest ich dużo mniej i chyba mnieisjzego kalibru.
> iOS ma trochę inną architekturę, a App Store inaczej zarządzany, przez
> to jest bardziej bezpieczny. Na iPhone nie zainstalujesz aplikacji spoza
> oficjalnych źródeł (czy to App Store, czy korporacyjny App Store w
> przypadku Enterprise). W Google i owszem, co go naraża na więcej ataków
> o których pisałeś.
W sklepie dla iOS jest oczywiście mniej śmieci. Można (przynajmniej
teoretycznie) także instalować aplikacje spoza sklepu. Chociaż nie jest
to tak łatwe. Tak jest dystrybuowany emulator starych konsol bo nie
spełnia regulaminu sklepu więc w sklepie znaleźć się nie może:
https://applemobile.pl/uruchomic-emulator-psp-ios-be
z-jailbreak/
Chociaż nie jest to oczywiście procedura dla zwykłego użytkownika iOS.
Ani nie wyobrażam sobie jak można socjotechniką kogoś nakłonić do takich
działań ale teoretycznie jest to możliwe.
Przeciętny użytkownik bezpieczniejszy będzie gdy korzysta z iPhonea ale
z Androidem też da się żyć.
Pozdrawiam,
Zdzichu
-
224. Data: 2020-12-28 07:23:01
Temat: Re: [mbank] 36 złotych rocznie za nieużywanie appki mobilnej
Od: Dominik Ałaszewski <D...@g...pl.invalid>
Dnia 27.12.2020 Zdzichu500 <n...@n...org> napisał/a:
> Wydaje się, ze górowanie bezpieczeństwem iOS nad Androidem to trochę
> takie urban legend. W świecie jest pierdyliard urządzeń z Androidem,
W pewnym sensie tak. W zasadzie 100% "ataków" na Androida,
to "wirus albański"- zainstaluj sobie szemraną aplikację
z niewiadomego źródła, a potem daj jej wszystkie możliwe
uprawnienia. Na iOS się tak nie da, więc dla mocno niekumatych
iOS to lepsza opcja- tam tak się po prostu nie da :-)
--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.
-
225. Data: 2020-12-28 09:58:41
Temat: Re: [mbank] 36 złotych rocznie za nieużywanie appki mobilnej
Od: _Master_ <M...@...pl>
Jak dziecku. Włamią się na komputer i z automatu sklonują SIMa?
To wymaga zachodu i na taki celowany atak _NIE MA SIŁY_.
Mówimy o wykorzystaniu dziury systemowej albo zainstalowanej
"nieopatrznie" apce na tysiącach Androidów.
-
226. Data: 2020-12-28 11:08:09
Temat: Re: [mbank] 36 złotych rocznie za nieużywanie appki mobilnej
Od: Wojciech Bancer <w...@g...com>
On 2020-12-28, _Master_ <M...@...pl> wrote:
> Jak dziecku. Włamią się na komputer i z automatu sklonują SIMa?
> To wymaga zachodu i na taki celowany atak _NIE MA SIŁY_.
Wzdech. "Włamią się na komputer", automat będzie skanował, czy
użytkownik loguje się do banku i jakiego. I ew. pobierał dane typu
autoryzacja przeglądarki i login/hasło. Przy stwierdzeniu istotnego
(i wartego zachodu) salda, resztę sobie skombinują. Twój numer telefonu
i spora część danych osobowych będzie na stronie banku dostępna.
A resztę też pewnie bez problemu skombinują.
Albo podstawią Ci stronę banku i nawet nie będziesz wiedział kiedy
zautoryzujesz "przelew zaufany", bo nie czytałeś SMS.
A potem już z górki.
Możliwości na komputerze są o wiele większe niż w przypadku aplikacji,
na której masz ustawione spore limity (z punktu widzenia złodzieja), a i
użytkownikowi (nawet świadomemu) o wiele łatwiej coś podstawić niż w
aplikacji.
--
Wojciech Bańcer
w...@g...com
-
227. Data: 2020-12-28 11:15:41
Temat: Re: [mbank] 36 złotych rocznie za nieużywanie appki mobilnej
Od: Wojciech Bancer <w...@g...com>
On 2020-12-27, Zdzichu500 <n...@n...org> wrote:
[...]
>>> tym do aplikacji bankowych). Do tego można instalować aplikacje spoza
>>> oficjalnego sklepu. I jakoś cisza.
>>
>> https://niebezpiecznik.pl/post/uwaga-na-falszywe-sms
-y-o-skierowaniu-na-kwarantanne-domowa/
>> https://niebezpiecznik.pl/post/zlosliwe-aplikacje-na
-androida-korzystaly-z-sensorow-ruchu-by-sie-ukryc/
>> https://niebezpiecznik.pl/post/jak-przestepcy-ukradl
i-10-000-pln-milosnikowi-kryptowalut-ciekawy-atak-na
-klientow-posiadajacych-mobilne-aplikacje-polskich-b
ankow/
>
> W żadnym z tych artykułów nie piszą by doszło do przełamania
> zabezpieczeń w systemie i wycieku danych z aplikacji bankowych. Za to
> podstawiają przestępcy fałszywą stronę do logowania co widnieje pod 3
> linkiem:
> "Wariant opisany przez ESET po wykryciu aplikacji banku X wyświetlał
> fałszywe powiadomienia, rzekomo od banku X i podstawiał własną, fałszywą
> stronę logowania do tego banku"
> Co ciekawe pod 2 linkiem opisują trojana który robił zrzuty ekranu a do
> tego jest osobne uprawnienie dla aplikacji. A nie jest to codzienne
> uprawnienie bo nie przypominam sobie by kiedykolwiek któraś z aplikacji
> u mnie prosiła o takie zezwolenie.
Pamiętaj że starsze androidy nie prosiły o pozwolenie popupep, tylko
miałeś info przy instalacji. Sam pamiętam aplikację latarka, która
chciała wszystkie możliwe uprawnienia :-)
Przy czym nja oczywiście uważam, że zarówno iOS jak i Android są o wiele
bezpieczniejsze niż taki Windows, ale porównując to Android jest trochę
zbyt otwarty, przez co łatwiej wcisnąć użytkownikowi socjotechniką coś
szkodliwego.
>> iOS ma trochę inną architekturę, a App Store inaczej zarządzany, przez
>> to jest bardziej bezpieczny. Na iPhone nie zainstalujesz aplikacji spoza
>> oficjalnych źródeł (czy to App Store, czy korporacyjny App Store w
>> przypadku Enterprise). W Google i owszem, co go naraża na więcej ataków
>> o których pisałeś.
>
> W sklepie dla iOS jest oczywiście mniej śmieci. Można (przynajmniej
> teoretycznie) także instalować aplikacje spoza sklepu. Chociaż nie jest
> to tak łatwe. Tak jest dystrybuowany emulator starych konsol bo nie
> spełnia regulaminu sklepu więc w sklepie znaleźć się nie może:
> https://applemobile.pl/uruchomic-emulator-psp-ios-be
z-jailbreak/
> Chociaż nie jest to oczywiście procedura dla zwykłego użytkownika iOS.
> Ani nie wyobrażam sobie jak można socjotechniką kogoś nakłonić do takich
> działań ale teoretycznie jest to możliwe.
To powyżej, to model działania z aplikacjami podpisanymi certami enterprise,
o którym napomnkąłem. Sam piszę też apki enterprise, wiec wiem jak wygląda taki
proces publikacji. :)
> Przeciętny użytkownik bezpieczniejszy będzie gdy korzysta z iPhonea ale
> z Androidem też da się żyć.
I tu się zgadzamy.
Zwłaszcza że typowy użytkownik smartfona po fazie zachłystnięcia się,
nie instaluje dziesiątek aplikacji tygodniowo.
--
Wojciech Bańcer
w...@g...com
-
228. Data: 2020-12-28 12:20:56
Temat: Re: [mbank] 36 złotych rocznie za nieużywanie appki mobilnej
Od: _Master_ <M...@...pl>
W dniu 2020-12-28 o 11:08, Wojciech Bancer pisze:
> bo nie czytałeś SMS.
> A potem już z górki.
Tendencyjnie zakładasz że będzie z górki. "Bo nie czytałeś SMS" ???
Dalej brniesz w specjalne zainteresowanie konkretnym kontem i człowiekiem.
A ja mam na myśli tysiące użytkowników którym z konta cieknie w małych
ilościach przez pieprzoną apkę która sama robi to co jej zaprogramowano.
Ale brnij dalej. Wolno Ci ;-)
I czytaj dokładniej to na co odpisujesz.
-
229. Data: 2020-12-28 13:16:10
Temat: Re: [mbank] 36 złotych rocznie za nieużywanie appki mobilnej
Od: Wojciech Bancer <w...@g...com>
On 2020-12-28, _Master_ <M...@...pl> wrote:
> W dniu 2020-12-28 o 11:08, Wojciech Bancer pisze:
>> bo nie czytałeś SMS.
>> A potem już z górki.
>
> Tendencyjnie zakładasz że będzie z górki. "Bo nie czytałeś SMS" ???
A Ty tendencyjnie zakładasz, że każdy instaluje co popadnie, bo Ty tak
robisz, albo Twój znajomy tak robi. Skoro Tobie wolno, to mi też.
--
Wojciech Bańcer
w...@g...com
-
230. Data: 2020-12-28 13:56:27
Temat: Re: [mbank] 36 złotych rocznie za nieużywanie appki mobilnej
Od: Alf/red/ <a...@u...waw.pl>
W dniu 28.12.2020 o 12:20, _Master_ pisze:
> tysiące użytkowników którym z konta cieknie w małych ilościach przez
> pieprzoną apkę która sama robi to co jej zaprogramowano
Brzmi poważnie. Ale masz jakieś wsparcie?
--
Alf/red/