On 2019-08-04, Szymon <...@w...pl> wrote:

[...]

>> Cytat z artykułu:
>> "Aplikacja, którą zaraz opiszemy, nie była "złośliwa" w sensie bycia
>> "trojanem"; nie wykradała treści SMS-ów, kontaktów czy zdjęć użytkowników,
>> co notorycznie robią aplikacje ze sklepy Google Play, nawet te ze znaczkiem
>> "Verified by Play Protect", które właśnie odkrył Lukas Stefanko.
>
> Nie twierdzę, że system X jest bezpieczniejszy od Y. Wydaje mi się
> jedynie, iż systemów nie do ruszenia - nie ma.

Nie musi być.
Osiągnięcie odpowiedniego poziomu trudności złamania jest bardzo
często czynnikiem wystarczającym.

>> Nie mówimy o macu, tylko o iOS.
>
> Porównałem komputery, ale nie ma to większego znaczenia.

No właśnie ma.

Chyba nie do końca prześledziłeś o czym jest dyskusja. Wyszła ona od tego
"dlaczego" banki przechodzą na aplikacje. A przechodzą, bo są one tańsze
i bezpieczniejsze.

Jeśli Twoja autoryzacja z bankiem odbywa się przez aplikację, to w przypadku
iOS i obecnego modelu działania nie dość, że nikt się pod tą apkę nie podszyje
(co jest łatwe w przypadku SMS), to jeszcze będziesz od razu widział jak na
dłoni próbę wyłudzenia wysyłane tradycyjnym SMSem.

> Chodzi o pewien mechanizm działania. Możesz przyjrzeć się macowi, możesz
> iPhone'owi czy iPadowi... Zawsze najsłabszym ogniwem jest człowiek.
> Także w przypadku Windowsa/Androida.

Mechanizmy działania tych systemów są kompletnie inne.


>> Nie da się takiej aktualizacji przeprowadzić w iOS.
>
> Być może. Zdarzało się jednak, iż po aktualizacji "legalnej" system
> gorzej działał niż przed. Jednocześnie nie do końca wiadomo co one dają.
> Bardzo niewielu użytkowników jest w stanie wskazać "co się zmieniło?" po
> aktualizacji. Atak w tym kierunku byłby zatem skuteczny.
> "Nie da się" - odważna teza.

App Store obecnie ma ok. 2 mln aplikacji i tego rodzaju sytuacja
się nie zdarzyła. Przyjęty model dystrybucji uniemożliwia tego rodzaju
atak. Chyba że twierdzisz iż w celu shackowania posiadaczy mBanku ktoś
znajdzie środki i wiedzę by przełamać zabezpieczenia firmy Apple
a przy tym pozostanie niewykryty.

>>> Jednocześnie liczba aktualizacji jest na tyle duża, iż użytkownicy często
>>> automatycznie je akceptują lub instalują w tle.
>>
>> Aktualizacje praktycznie tylko idą w tle, ale jedynie z platformy
>> App Store. Nie ma możliwości aktualizowania aplikacji "skąd bądź".
>> A ta z App Store przechodzi ten sam proces review, co wcześniejsze
>> wersje.
>
> Jednak jak widać po wpisaniu "fałszywe aplikacje w Appstore" coraz
> więcej tego.

Ale Ty piszesz o zupełnie innych aplikacjach i tylko wrzucasz je do tego
samego worka. ŻADNA aplikacja nie będzie się w stanie podszyć pod inną
przez "aktualizację".

> Z kolejnego artykułu: Każda aplikacja dla systemu iOS przed pojawieniem
> się w App Store jest wcześniej poddawana procesowi weryfikacji, który ma
> odsiać programy naruszające regulamin sklepu. Niestety, mimo to
> deweloperom czasami udaje się przemycić tam szkodliwe oprogramowanie.

I nadal nie ma tu mechanizmu o którym tu rozmawiamy.

[...]

> Zgadzam się z Twoją tezą z poprzedniego postu, iż ataki są w tej chwili
> skierowane przede wszystkim na użytkownika. To najtańszy i
> najskuteczniejszy sposób. Wydaje mi się, iż w tym momencie nie ma
> znaczenia z jakiego sprzętu czy systemu się korzysta. Zatem twierdzenie,
> że ten bardziej, a tamten mniej bezpieczny nie jest uprawnione.

Oczywiście że *jest* bardziej bezpieczny i sam to udowadniasz szukając
statystyk. Na 2 mln aplikacji znalazłeś ich zaledwie kilka (i teraz to
już poszukałeś aplikacji sprzed 2 lat, która się utrzymała kilka dni).
A i nadal nie były to aplikacje które mogłyby podszyć się pod aplikację
mBaku i zamiast niej wysłać żądanie autoryzacyjne (ponownie wrócę do tematu
otwierającego wątek, czyli bezpieczeństwo autoryzacji SMS vs
już istniejąca, oficjalna aplikacja).

--
Wojciech Bańcer
w...@g...com