On 2020-12-23, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Podobny mechanizm ma oczywiście android i jak masz nowe urządzenie,
>> to jest spora szansa że tam takie rzeczy siedzą. Tu również tych
>> exploitów specjalnie za dużo nie ma.
>
> Pytanie tylko, czy bankowe apki mogą z tego korzystać, i czy korzystają?

Mogą i korzystają.

> Podobnie nie wierzę w bezpieczeństwo szyfrowania w wielu aplikacjach -
> np. ostatnio, konferencyjnych, w sytuacji, gdy nie mam żadnej kontroli
> nad używanymi kluczami (są ściągane z serwera usługodawcy) itd.

Ale ta wiara ma niewielkie znaczenie w kontekście seryjnego włamywania
się na aplikacje bankowe, prawda? Włamu nie dokonują agencje rządowe
zdolne wymusić coś na podmiotach gospodarczych.

>> najczęściej z kontekstu usera administracyjnego (pod windows
>> standardowe) i że przyklepiesz podniesienie uprawnień.
>> "samo się" to nic się nie zainstaluje.
>
> Z tym, że wiele razy właśnie "samo" się instalowało. Wykorzystując błędy
> w przeglądarce czy w innym flashu. Np. demonstrowano wyciąganie danych
> innych procesów (lub kernela) z RAMu przy użyciu JS w przeglądarce.
> Problemy sprzętowe są trudne do załatania, zwłaszcza w telefonach, gdzie
> każdy procent np. mocy obliczeniowej CPU jest istotny.

Ale wtedy istotna była wersja przeglądarki, czy wersja flasha.
No nie ma "to tamto" jak chcesz się bawić w zdalne włamy, to niestety
nie ma złotego grala.

>> Po drugie Windows nie odpala aplikacji w sandboxie,
>> a iOS/Android i owszem, a w tym sandboksie użytkownik
>> nie ma prawa dać aplikacji uprawnienia root.
>
> Tak piszesz, jakby nie można było uzyskać roota w żadnym takim
> przypadku.

Piszę, że nie można stworzyć rozwiązania generycznego, które będzie
odporne na wersję systemu.

> Stare powiedzenie mówi, że jeśli ktoś (człowiek) uzyska dostęp lokalny
> do czegokolwiek, to uzyska też prawa roota. Owszem, może się zdarzyć, że
> to w danym przypadku będzie niemożliwe. Ale chodzi o to, by w każdym
> przypadku było to niemożliwe, albo przynajmniej niepraktyczne.

No więc jest niepraktyczne, przynajmniej na iOS..

>> Więc jeśli chcesz wykorzystywać exploity by sobie zrootować
>> urządzenie (do tego jeszcze zdalnie), to wersja systemu jak
>> najbardziej się liczy, bo te dziury są łatane dość na bieżąco
>> i nawet konkretna podwersja robi różnicę.
>
> Ale wersja systemu jest ostatnia. Ostatnia wspierana. Wszędzie
> w praktyce jednakowa.
>>
> Np. 4.1.2. I co wtedy?
> No bo chyba nie myślisz, że mało ludzi takich używa?

Myślę. Sprzęty konsumenckie wymienia się zazwyczaj co rok/dwa,
bo tak przypada odnowienie umowy na telefon.

Jelly Bean (4.1.x jest używany przez 0.6% urządzeń, w znakomitej
większości są to urządzenia dedykowane (np. ebooki, czy urządzenia
używane w przemyśle).

--
Wojciech Bańcer
w...@g...com