eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.banki[mbank] 36 złotych rocznie za nieużywanie appki mobilnejRe: [mbank] 36 złotychrocznie za nieużywanieappki mobilnej
  • Data: 2020-12-20 19:28:13
    Temat: Re: [mbank] 36 złotychrocznie za nieużywanieappki mobilnej
    Od: Wojciech Bancer <w...@g...com> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    On 2020-12-20, Krzysztof Halasa <k...@p...waw.pl> wrote:

    [...]

    >> Ale o jakich konkretnie kluczasz mówisz? I co miałyby dać?
    >
    > O kluczach kryptograficznych, wykorzystywanych przez apkę banku.
    > Takie klucze można wyciągnąć z pamięci RAM telefonu (podczas pracy
    > aplikacji) lub z systemu plików. W obu przypadkach potrzebne są prawa
    > roota (lub usera związanego z aplikacją, ale to wymagałoby przejęcia
    > samej apki, więc jest mało praktyczne, przynajmniej "globalnie").
    > Klucze są oczywiście inne w każdym urządzeniu.

    A, mówisz o tych kluczach, generowanych sprzętowo, do których trzeba
    podać komponent użytkownika (np. pin) aby potwierdzić autentyczność,
    ale do których nawet system nie ma dostępu? No do Secure Enclave (iOS)
    jest póki co znany jeden exploit, na procki starsze niż A12, ale wymaga
    fizycznego dostępu do urządzenia.

    Podobny mechanizm ma oczywiście android i jak masz nowe urządzenie,
    to jest spora szansa że tam takie rzeczy siedzą. Tu również tych
    exploitów specjalnie za dużo nie ma.

    > Co to miałoby dać? Zasadniczo, to daje "wszystko" - możliwość podszycia
    > się pod dany egzemplarz aplikacji.

    Znając aktualne metody przechowywania kluczy, to powątpiewam szczerze.

    >>> Pojedyncze modele urządzeń. Nie pojedyncze egzemplarze.
    >>
    >> Nie same modele, a kombinacja "model + wersja oprogramowania/nakładek
    >> i wbudowanych aplikacji".
    >
    > No pomyśl chwilę. Oczywiście że nie.
    > W przypadku PC + MS Windows - myślisz że malware musi brać pod uwagę
    > dokładną wersję Windows (pomijam już sprzęt) i wersję nakładek itd.?
    > Bez żartów.

    Oczywiście że nie, ale to diametralnie inna sytuacja.
    Po pierwsze malware bazuje na tym, że go uruchamiasz (socjotechnika),
    najczęściej z kontekstu usera administracyjnego (pod windows
    standardowe) i że przyklepiesz podniesienie uprawnień.
    "samo się" to nic się nie zainstaluje.

    Po drugie Windows nie odpala aplikacji w sandboxie,
    a iOS/Android i owszem, a w tym sandboksie użytkownik
    nie ma prawa dać aplikacji uprawnienia root.

    Więc jeśli chcesz wykorzystywać exploity by sobie zrootować
    urządzenie (do tego jeszcze zdalnie), to wersja systemu jak
    najbardziej się liczy, bo te dziury są łatane dość na bieżąco
    i nawet konkretna podwersja robi różnicę.

    >> Nie "wyłączonych" a z ustawionym PIN (ekran blokady).
    >
    > Nawet jeśli tak będzie w konkretnym przypadku (wymaga to spełnienia
    > szeregu warunków), to w żadnym razie nie powoduje, że tak jest zawsze,
    > albo przynajmniej w typowym przypadku.

    Tak, w typowym przypadku masz ustawiony ekran blokady.
    Czy to na znak maziany, czy PIN. I masz szyfrowany system plików
    oraz bardzo często układ sprzętowy SOC, który stanowi zabezpieczenie
    przechowywanych kluczy oraz informacji prywatnych.
    Komórki to naprawdę nie PCty, nie mają tak otwartej architektury.

    > No chyba że masz wiarę w coś takiego, że obecnie wykorzystywane telefony
    > są generalnie odporne na ataki zdalne, oraz jednocześnie na ataki
    > np. przez spreparowaną apkę (jakąkolwiek) + (lokalne już) przejęcie praw
    > roota. To ja już na to nie pomogę.

    Nie łudzę się że są odporne. Ale doskonale wiem, że wiedza o aktualnych
    podatnościach typu zero-day (na które nie ma łatek) jest dostępna tylko
    naprawdę niewielkiej liczbie osób. I że nie ma jej gościu z zarobakmi
    z "dolnych widełek" o których dyskutowaliśmy.

    --
    Wojciech Bańcer
    w...@g...com

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1