On 2020-12-16, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> 1. Aplikacja wymaga odrębnego kodu.
> To bez znaczenia w obliczu przejęcia kontroli nad systemem.

Oczywiście że ma to znaczenie.
To że przejmiesz dostęp do systemu, to jeszcze nie oznacza że
jesteś w stanie wywołać wszystko magicznie.

>> 2. Wiedza potrzebna do takiego przejęcia wyklucza większość (jakieś 99%)
>> z naszego społeczeństwa jako "target" takiego ataku.
>
> Nie widzę na jakiej zasadzie. Bo że wyklucza jako wykonawców, to
> oczywiście tak.

Na takiej, że to się nie opłaca.

>> No więc wektor ataku "przejmujemy telefon" się nie zdarza, a
>> przynajmniej nie istnieje w statystykach. To naprawdę nie jest takie
>> proste.
>
> Gdyby było proste, nikt nie używałby (takiego) telefonu. W ogóle, nie do
> żadnych celów bankowych. Ale to jest możliwe, i w odróżnieniu od
> obecnego schematu (WWW na PC + SMS) ofiara jest wtedy praktycznie
> bezbronna.
>
> Widziałem sporo ataków, których przeprowadzenie było dość trudne
> i wymagało wiedzy. A jednak one miały miejsce.

No ale idea polega na tym, żeby uczynić to mało opłacalnym
lub nieopłacalnym. Socjotechnikę i podmianki www opłaca się stosować
bo "a może ktoś się złapie". Włam na telefon już niespecjalnie, trzeba
starannie profilować ofiarę i dużo więcej o niej wiedzieć.

--
Wojciech Bańcer
w...@g...com