On 2020-12-20, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Ale o jakich konkretnie kluczasz mówisz? I co miałyby dać?
>
> O kluczach kryptograficznych, wykorzystywanych przez apkę banku.
> Takie klucze można wyciągnąć z pamięci RAM telefonu (podczas pracy
> aplikacji) lub z systemu plików. W obu przypadkach potrzebne są prawa
> roota (lub usera związanego z aplikacją, ale to wymagałoby przejęcia
> samej apki, więc jest mało praktyczne, przynajmniej "globalnie").
> Klucze są oczywiście inne w każdym urządzeniu.

A, mówisz o tych kluczach, generowanych sprzętowo, do których trzeba
podać komponent użytkownika (np. pin) aby potwierdzić autentyczność,
ale do których nawet system nie ma dostępu? No do Secure Enclave (iOS)
jest póki co znany jeden exploit, na procki starsze niż A12, ale wymaga
fizycznego dostępu do urządzenia.

Podobny mechanizm ma oczywiście android i jak masz nowe urządzenie,
to jest spora szansa że tam takie rzeczy siedzą. Tu również tych
exploitów specjalnie za dużo nie ma.

> Co to miałoby dać? Zasadniczo, to daje "wszystko" - możliwość podszycia
> się pod dany egzemplarz aplikacji.

Znając aktualne metody przechowywania kluczy, to powątpiewam szczerze.

>>> Pojedyncze modele urządzeń. Nie pojedyncze egzemplarze.
>>
>> Nie same modele, a kombinacja "model + wersja oprogramowania/nakładek
>> i wbudowanych aplikacji".
>
> No pomyśl chwilę. Oczywiście że nie.
> W przypadku PC + MS Windows - myślisz że malware musi brać pod uwagę
> dokładną wersję Windows (pomijam już sprzęt) i wersję nakładek itd.?
> Bez żartów.

Oczywiście że nie, ale to diametralnie inna sytuacja.
Po pierwsze malware bazuje na tym, że go uruchamiasz (socjotechnika),
najczęściej z kontekstu usera administracyjnego (pod windows
standardowe) i że przyklepiesz podniesienie uprawnień.
"samo się" to nic się nie zainstaluje.

Po drugie Windows nie odpala aplikacji w sandboxie,
a iOS/Android i owszem, a w tym sandboksie użytkownik
nie ma prawa dać aplikacji uprawnienia root.

Więc jeśli chcesz wykorzystywać exploity by sobie zrootować
urządzenie (do tego jeszcze zdalnie), to wersja systemu jak
najbardziej się liczy, bo te dziury są łatane dość na bieżąco
i nawet konkretna podwersja robi różnicę.

>> Nie "wyłączonych" a z ustawionym PIN (ekran blokady).
>
> Nawet jeśli tak będzie w konkretnym przypadku (wymaga to spełnienia
> szeregu warunków), to w żadnym razie nie powoduje, że tak jest zawsze,
> albo przynajmniej w typowym przypadku.

Tak, w typowym przypadku masz ustawiony ekran blokady.
Czy to na znak maziany, czy PIN. I masz szyfrowany system plików
oraz bardzo często układ sprzętowy SOC, który stanowi zabezpieczenie
przechowywanych kluczy oraz informacji prywatnych.
Komórki to naprawdę nie PCty, nie mają tak otwartej architektury.

> No chyba że masz wiarę w coś takiego, że obecnie wykorzystywane telefony
> są generalnie odporne na ataki zdalne, oraz jednocześnie na ataki
> np. przez spreparowaną apkę (jakąkolwiek) + (lokalne już) przejęcie praw
> roota. To ja już na to nie pomogę.

Nie łudzę się że są odporne. Ale doskonale wiem, że wiedza o aktualnych
podatnościach typu zero-day (na które nie ma łatek) jest dostępna tylko
naprawdę niewielkiej liczbie osób. I że nie ma jej gościu z zarobakmi
z "dolnych widełek" o których dyskutowaliśmy.

--
Wojciech Bańcer
w...@g...com