On 2020-12-27, Zdzichu500 <n...@n...org> wrote:

[...]

>>> tym do aplikacji bankowych). Do tego można instalować aplikacje spoza
>>> oficjalnego sklepu. I jakoś cisza.
>>
>> https://niebezpiecznik.pl/post/uwaga-na-falszywe-sms
-y-o-skierowaniu-na-kwarantanne-domowa/
>> https://niebezpiecznik.pl/post/zlosliwe-aplikacje-na
-androida-korzystaly-z-sensorow-ruchu-by-sie-ukryc/
>> https://niebezpiecznik.pl/post/jak-przestepcy-ukradl
i-10-000-pln-milosnikowi-kryptowalut-ciekawy-atak-na
-klientow-posiadajacych-mobilne-aplikacje-polskich-b
ankow/
>
> W żadnym z tych artykułów nie piszą by doszło do przełamania
> zabezpieczeń w systemie i wycieku danych z aplikacji bankowych. Za to
> podstawiają przestępcy fałszywą stronę do logowania co widnieje pod 3
> linkiem:
> "Wariant opisany przez ESET po wykryciu aplikacji banku X wyświetlał
> fałszywe powiadomienia, rzekomo od banku X i podstawiał własną, fałszywą
> stronę logowania do tego banku"
> Co ciekawe pod 2 linkiem opisują trojana który robił zrzuty ekranu a do
> tego jest osobne uprawnienie dla aplikacji. A nie jest to codzienne
> uprawnienie bo nie przypominam sobie by kiedykolwiek któraś z aplikacji
> u mnie prosiła o takie zezwolenie.

Pamiętaj że starsze androidy nie prosiły o pozwolenie popupep, tylko
miałeś info przy instalacji. Sam pamiętam aplikację latarka, która
chciała wszystkie możliwe uprawnienia :-)

Przy czym nja oczywiście uważam, że zarówno iOS jak i Android są o wiele
bezpieczniejsze niż taki Windows, ale porównując to Android jest trochę
zbyt otwarty, przez co łatwiej wcisnąć użytkownikowi socjotechniką coś
szkodliwego.

>> iOS ma trochę inną architekturę, a App Store inaczej zarządzany, przez
>> to jest bardziej bezpieczny. Na iPhone nie zainstalujesz aplikacji spoza
>> oficjalnych źródeł (czy to App Store, czy korporacyjny App Store w
>> przypadku Enterprise). W Google i owszem, co go naraża na więcej ataków
>> o których pisałeś.
>
> W sklepie dla iOS jest oczywiście mniej śmieci. Można (przynajmniej
> teoretycznie) także instalować aplikacje spoza sklepu. Chociaż nie jest
> to tak łatwe. Tak jest dystrybuowany emulator starych konsol bo nie
> spełnia regulaminu sklepu więc w sklepie znaleźć się nie może:
> https://applemobile.pl/uruchomic-emulator-psp-ios-be
z-jailbreak/
> Chociaż nie jest to oczywiście procedura dla zwykłego użytkownika iOS.
> Ani nie wyobrażam sobie jak można socjotechniką kogoś nakłonić do takich
> działań ale teoretycznie jest to możliwe.

To powyżej, to model działania z aplikacjami podpisanymi certami enterprise,
o którym napomnkąłem. Sam piszę też apki enterprise, wiec wiem jak wygląda taki
proces publikacji. :)

> Przeciętny użytkownik bezpieczniejszy będzie gdy korzysta z iPhonea ale
> z Androidem też da się żyć.

I tu się zgadzamy.
Zwłaszcza że typowy użytkownik smartfona po fazie zachłystnięcia się,
nie instaluje dziesiątek aplikacji tygodniowo.

--
Wojciech Bańcer
w...@g...com