Re: [mbank] 36 złotychrocznie za nieużywanieappki mobilnej

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › [mbank] 36 złotych rocznie za nieużywanie appki mobilnej › Re: [mbank] 36 złotychrocznie za nieużywanieappki mobilnej

Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!news.samoylyk.n
et!aioe.org!peer01.ams4!peer.am4.highwinds-media.com!news.highwinds-media.com!n
ewsfeed.neostrada.pl!unt-exc-01.news.neostrada.pl!unt-spo-a-01.news.neostrada.p
l!news.neostrada.pl.POSTED!not-for-mail
From: Krzysztof Halasa <k...@p...waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: [mbank] 36 złotychrocznie za nieużywanieappki mobilnej
References: <8...@p...mekk.waw.pl>
<5fd23919$0$526$65785112@news.neostrada.pl> <8...@a...kjonca>
<5fd26353$0$558$65785112@news.neostrada.pl> <8...@a...kjonca>
<5fd28f64$0$541$65785112@news.neostrada.pl>
<s...@p...org>
<rqvlbp$1akb$1@gioia.aioe.org>
<s...@p...org> <m...@p...waw.pl>
<5fd70fb2$0$543$65785112@news.neostrada.pl>
<5fd73804$0$524$65785112@news.neostrada.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org>
Date: Sat, 19 Dec 2020 01:23:18 +0100
Message-ID: <m...@p...waw.pl>
Cancel-Lock: sha1:P1jmwnnA2M+dk1GPn9Nmvn1p5Tc=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Lines: 63
Organization: Telekomunikacja Polska
NNTP-Posting-Host: 195.187.100.13
X-Trace: 1608337404 unt-rea-a-02.news.neostrada.pl 537 195.187.100.13:11873
X-Complaints-To: a...@n...neostrada.pl
X-Received-Bytes: 4241
Xref: news-archive.icm.edu.pl pl.biznes.banki:654732
[ ukryj nagłówki ]
Wojciech Bancer <w...@g...com> writes:

> Automatycznie sterować aplikacją, która nie udostępnia jawnych
> interfejsów do takiego sterowania?

Ale kto chciałby sterować aplikacją? Należy z niej tylko wyciągnąć
(z pamięci) klucze kryptograficzne.
Inna sprawa, że ten "argument" ze sterowaniem to chyba jest słabo
przemyślany.

> To zależy czy jesteś w stanie zrobić "ogólny" exploit czy musisz
> targetować pojedyncze urządzenia. Jak na razie w przypadku przejmowania
> telefonów mowa co najwyżej o atakach targetowanych indywidualnie.

Pojedyncze modele urządzeń. Nie pojedyncze egzemplarze.
Aczkolwiek exploity są bardzo podobne, to nie jest tak, jak
u jednego z wiceministrów finansów, że wpływy z podatków rosną liniowo
wraz z ich stawką.

> Więc chyba rozumiesz że jest to zupełnie inne niż "zrobimy fake stronę
> + mailing i kto się nabierze i zrobi przelew, tego strata"?

Oczywiście - obecnie taka sytuacja może wystąpić tylko wtedy, gdy ktoś
nie przeczyta treści SMSa i na ślepo go zaakceptuje.

>> A akcje z duplikatem karty SIM?
>
> Do tego wystarczy wyciek / kupno bazy danych osobowych (np, ta która
> wyciekła z morele.net).

Ja nie pytam co jest do tego potrzebne, tylko to nie jest "podmianka
strony" (+ mailing).
Zauważ też, że akcje z SIM są możliwe tylko dlatego, że procedury
bankowe są (były?) wadliwe. Zagrożenie było znane od dawna (i to nie
tylko teoretycznie).

>> Samo znacząco większe ryzyko już wystarczy (przynajmniej niektórzy
>> uzyskiwali karty SIM osobiście w "salonie" operatora - to chyba
>> desperacja).
>
> A to robi słup.

A skąd wiesz? Słup może nawet łatwiej wpaść, ryzyko, że razem z kartą
SIM odbiorca znajdzie "funkcjonariuszy" wzrasta. No, może przeceniam
tych ostatnich. W przypadku zdalnego ataku, jeśli przestępca nie popełni
karygodnego błędu, nie ma możliwości namierzenia go (poza sytuacją
"globalnej kontroli", która chwilowo nie występuje, i którą też da się
obejść).

> Ale nie mamy jednego uniwersalnego pyczka do "przejmowania" dowolnego
> telefonu, a zdajesz się to sugerować. Ale oczywiście mogę się mylić
> i FBI wcale nie miewa problemów z dostępem do komórek,

Wyłączonych z zaszyfrowanym systemem plików zdaje się?

> a firma
> tworząca Pegasusa nie każe sobie płacić milionów za przyjemność
> posiadania narzędzia (które trzeba i tak aktualizować).

Kasa za Pegasusa jest dlatego, by nie trzeba było umieć. Sam napisałeś,
można umieć lub zapłacić komuś, kto umie.
--
Krzysztof Hałasa