A ile to już było złodziejskich apek w sklepie play...

Jak się ktoś uweźmie to się włamie WSZĘDZIE.

Ale my tu mówimy o dziurawym Androidzie + sztuczki psychologiczne i
jedna apka robi za tysiące włamów.

do góry

On 2020-12-18, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

> Jasne, wiem że 15 kzł w przypadku takiego pracownika to nie jest nic
> wyjątkowego, tylko po prostu nie ma takich ogłoszeń, dwa ogłoszenia
> w ogóle to raczej niekoniecznie jest "bez trudu", i 15 to nie jest
> 40 - 70.

Ale to też nie jest ten poziom wiedzy który pozwoli na hackowanie
urządzeń. Nie tylko zdalnie, ale i lokalnie.

>> Poza Polską, a w szczególności przy wiedzy aż na takim poziomie,
>> to cena wędruje do poziomów które Ci podałem.
>
> Nawet jeśli, to maksymalne stawki nie definiują sytuacji. Robią to
> minimalne stawki. Nie myślisz chyba, że przestępcy muszą szukać
> w najdroższych krajach.

Nie. Ale myślę, że specjaliści z taką wiedzą nie muszą szukać
ogłoszeń z najniższymi widełkami.

[...]

>> czym te stanowisko to jest jednak jeszcze "oczko"
>> niżej od tego którego szukasz, dlatego zasugerowałem
>> że widełki są jednak bliżej tych 70 tys. zł.
>
> Albo 700 tys. itd. To nie jest informacja.

To jest informacja wystarczająca do stwierdzenia, że nie wystarczy
włamać się do dowolnego konta. Ergo że nie można losowo wybierać
sobie klienta do ataku. Ergo znowu podnoszą się koszty/ryzyko.

>> a nie na stały kontrakt, to już mówimy pewnie
>> o 100k+.
>
> Z tym akurat mógłbym się zgodzić. To właśnie pokazuje, że sprawa jest
> opłacalna - można to sfinansować *jednym* udanym włamem.

Ale trzeba odpowiednio wybrać ofiarę.
I oznacza że większość użytkowników (którzy nie dysponują takimi
kwotami) jest względnie bezpieczna.

--
Wojciech Bańcer
w...@g...com

do góry

On 2020-12-19, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Automatycznie sterować aplikacją, która nie udostępnia jawnych
>> interfejsów do takiego sterowania?
>
> Ale kto chciałby sterować aplikacją? Należy z niej tylko wyciągnąć
> (z pamięci) klucze kryptograficzne.
> Inna sprawa, że ten "argument" ze sterowaniem to chyba jest słabo
> przemyślany.

Ale o jakich konkretnie kluczasz mówisz? I co miałyby dać?

>> To zależy czy jesteś w stanie zrobić "ogólny" exploit czy musisz
>> targetować pojedyncze urządzenia. Jak na razie w przypadku przejmowania
>> telefonów mowa co najwyżej o atakach targetowanych indywidualnie.
>
> Pojedyncze modele urządzeń. Nie pojedyncze egzemplarze.

Nie same modele, a kombinacja "model + wersja oprogramowania/nakładek
i wbudowanych aplikacji".

> Aczkolwiek exploity są bardzo podobne, to nie jest tak, jak
> u jednego z wiceministrów finansów, że wpływy z podatków rosną liniowo
> wraz z ich stawką.

Tylko że one też się deaktualizują, to nie jest tak że exploit
jest "na zawsze".

>> Ale nie mamy jednego uniwersalnego pyczka do "przejmowania" dowolnego
>> telefonu, a zdajesz się to sugerować. Ale oczywiście mogę się mylić
>> i FBI wcale nie miewa problemów z dostępem do komórek,
>
> Wyłączonych z zaszyfrowanym systemem plików zdaje się?

Nie "wyłączonych" a z ustawionym PIN (ekran blokady).
Zaszyfrowane systemy plików (w komórkach) są defaultem już
od lat (w Android chyba od 5.0, a iOS od wersji 8).

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 20.12.2020 o 11:57, Wojciech Bancer pisze:
> I oznacza że większość użytkowników (którzy nie dysponują takimi
> kwotami) jest względnie bezpieczna.

Względnie.
Nie ukradną im setek tysięcy, ale 199 zł metodą "na kup mi kupon
prezentowy/growy bo mam coś nie tak w banku, wieczorem ci przeleję".

--
Alf/red/

do góry

Wojciech Bancer <w...@g...com> writes:

> Ale o jakich konkretnie kluczasz mówisz? I co miałyby dać?

O kluczach kryptograficznych, wykorzystywanych przez apkę banku.
Takie klucze można wyciągnąć z pamięci RAM telefonu (podczas pracy
aplikacji) lub z systemu plików. W obu przypadkach potrzebne są prawa
roota (lub usera związanego z aplikacją, ale to wymagałoby przejęcia
samej apki, więc jest mało praktyczne, przynajmniej "globalnie").
Klucze są oczywiście inne w każdym urządzeniu.

Co to miałoby dać? Zasadniczo, to daje "wszystko" - możliwość podszycia
się pod dany egzemplarz aplikacji.

>> Pojedyncze modele urządzeń. Nie pojedyncze egzemplarze.
>
> Nie same modele, a kombinacja "model + wersja oprogramowania/nakładek
> i wbudowanych aplikacji".

No pomyśl chwilę. Oczywiście że nie.
W przypadku PC + MS Windows - myślisz że malware musi brać pod uwagę
dokładną wersję Windows (pomijam już sprzęt) i wersję nakładek itd.?
Bez żartów.

> Nie "wyłączonych" a z ustawionym PIN (ekran blokady).

Nawet jeśli tak będzie w konkretnym przypadku (wymaga to spełnienia
szeregu warunków), to w żadnym razie nie powoduje, że tak jest zawsze,
albo przynajmniej w typowym przypadku.

No chyba że masz wiarę w coś takiego, że obecnie wykorzystywane telefony
są generalnie odporne na ataki zdalne, oraz jednocześnie na ataki
np. przez spreparowaną apkę (jakąkolwiek) + (lokalne już) przejęcie praw
roota. To ja już na to nie pomogę.
--
Krzysztof Hałasa

do góry

On 2020-12-20, Alf/red/ <a...@u...waw.pl> wrote:
> W dniu 20.12.2020 o 11:57, Wojciech Bancer pisze:
>> I oznacza że większość użytkowników (którzy nie dysponują takimi
>> kwotami) jest względnie bezpieczna.
>
> Względnie.
> Nie ukradną im setek tysięcy, ale 199 zł metodą "na kup mi kupon
> prezentowy/growy bo mam coś nie tak w banku, wieczorem ci przeleję".

No tak, pełna zgoda.
Ale w tym wątku niektórzy wmawiają, że to te apki takie niebezpieczne,
nie że użytkownik nie jest odporny na socjotechnikę.

--
Wojciech Bańcer
w...@g...com

do góry

On 2020-12-20, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Ale o jakich konkretnie kluczasz mówisz? I co miałyby dać?
>
> O kluczach kryptograficznych, wykorzystywanych przez apkę banku.
> Takie klucze można wyciągnąć z pamięci RAM telefonu (podczas pracy
> aplikacji) lub z systemu plików. W obu przypadkach potrzebne są prawa
> roota (lub usera związanego z aplikacją, ale to wymagałoby przejęcia
> samej apki, więc jest mało praktyczne, przynajmniej "globalnie").
> Klucze są oczywiście inne w każdym urządzeniu.

A, mówisz o tych kluczach, generowanych sprzętowo, do których trzeba
podać komponent użytkownika (np. pin) aby potwierdzić autentyczność,
ale do których nawet system nie ma dostępu? No do Secure Enclave (iOS)
jest póki co znany jeden exploit, na procki starsze niż A12, ale wymaga
fizycznego dostępu do urządzenia.

Podobny mechanizm ma oczywiście android i jak masz nowe urządzenie,
to jest spora szansa że tam takie rzeczy siedzą. Tu również tych
exploitów specjalnie za dużo nie ma.

> Co to miałoby dać? Zasadniczo, to daje "wszystko" - możliwość podszycia
> się pod dany egzemplarz aplikacji.

Znając aktualne metody przechowywania kluczy, to powątpiewam szczerze.

>>> Pojedyncze modele urządzeń. Nie pojedyncze egzemplarze.
>>
>> Nie same modele, a kombinacja "model + wersja oprogramowania/nakładek
>> i wbudowanych aplikacji".
>
> No pomyśl chwilę. Oczywiście że nie.
> W przypadku PC + MS Windows - myślisz że malware musi brać pod uwagę
> dokładną wersję Windows (pomijam już sprzęt) i wersję nakładek itd.?
> Bez żartów.

Oczywiście że nie, ale to diametralnie inna sytuacja.
Po pierwsze malware bazuje na tym, że go uruchamiasz (socjotechnika),
najczęściej z kontekstu usera administracyjnego (pod windows
standardowe) i że przyklepiesz podniesienie uprawnień.
"samo się" to nic się nie zainstaluje.

Po drugie Windows nie odpala aplikacji w sandboxie,
a iOS/Android i owszem, a w tym sandboksie użytkownik
nie ma prawa dać aplikacji uprawnienia root.

Więc jeśli chcesz wykorzystywać exploity by sobie zrootować
urządzenie (do tego jeszcze zdalnie), to wersja systemu jak
najbardziej się liczy, bo te dziury są łatane dość na bieżąco
i nawet konkretna podwersja robi różnicę.

>> Nie "wyłączonych" a z ustawionym PIN (ekran blokady).
>
> Nawet jeśli tak będzie w konkretnym przypadku (wymaga to spełnienia
> szeregu warunków), to w żadnym razie nie powoduje, że tak jest zawsze,
> albo przynajmniej w typowym przypadku.

Tak, w typowym przypadku masz ustawiony ekran blokady.
Czy to na znak maziany, czy PIN. I masz szyfrowany system plików
oraz bardzo często układ sprzętowy SOC, który stanowi zabezpieczenie
przechowywanych kluczy oraz informacji prywatnych.
Komórki to naprawdę nie PCty, nie mają tak otwartej architektury.

> No chyba że masz wiarę w coś takiego, że obecnie wykorzystywane telefony
> są generalnie odporne na ataki zdalne, oraz jednocześnie na ataki
> np. przez spreparowaną apkę (jakąkolwiek) + (lokalne już) przejęcie praw
> roota. To ja już na to nie pomogę.

Nie łudzę się że są odporne. Ale doskonale wiem, że wiedza o aktualnych
podatnościach typu zero-day (na które nie ma łatek) jest dostępna tylko
naprawdę niewielkiej liczbie osób. I że nie ma jej gościu z zarobakmi
z "dolnych widełek" o których dyskutowaliśmy.

--
Wojciech Bańcer
w...@g...com

do góry

Witam

W dniu 09.12.2020 o 22:03, Marcin Kasperski pisze:

> Hasło wpisuję tylko na komputerze, SMS-y autoryzacyjne dostaję
> tylko na telefon. Jeśli ktoś mi shackuje telefon, nadal nie ma hasła,
> jeśli ktoś mi shackuje komputer, nie ma SMS-ów.

Jak ktoś zhackuje komputer to ma login i hasło a także może przenieść
profil z przeglądarki na inny komputer. Ostatnio przenosiłem sobie
profil z Firefoxa na nowy komputer i np. mBank nie zaczaił, że to jest
inny komputer i wpuścił bez SMSa. Więc to samo mógłby zrobić złodziej.
Więc może buszować po naszym koncie nie wzbudzając podejrzeń. Jeżeli ma
dostęp do konta nawet tylko w trybie "tylko do odczytu" to może
zdecydować czy jest sens inwestować w wyrobienie duplikatu SIMa.
Tutaj by pomogło nie dodawanie przeglądarki do zaufanych i każdorazowe
wpisywanie SMSa ale to chyba za bardzo uciążliwe.

>
> Appka mobilna oznacza że shackowanie telefonu daje kompletną kontrolę
> nad kontem.

W teorii telefon powinien być na tyle bezpieczny, że nawet jak
zainstalujesz nie wiadomo jaką apkę to nie da się uzyskać danych z
aplikacji bankowych. Oczywiście tyle teoria, bo w systemach są dziury. I
tutaj dochodzimy chyba do najważniejszej rzeczy czy telefon dostaje
aktualizacje bezpieczeństwa systemu. Sam mam Androida i wiem, że z tym
jest tragedia. Nawet jeżeli Google wyda szybko poprawkę to zanim
producent smartfona wyda odpowiedni ROM to może minąć dłuższy czas. A
często producent wcale nie wyda takiej poprawki bo telefon już ma np. 2
czy 3 lata i nie ma żadnego interesu w wydawaniu poprawek. Lepiej to
wygląda oczywiście w przypadku iPhonów. Do tego telefonu często mają
biometrię i jak zgubi się taki telefon to nie tak prosto dostać się do
aplikacji bo potrzeba twarz rozpoznać.
Z drugiej strony nie są mi znane przypadki wykradania danych wprost z
aplikacji bankowych (może ktoś na i może się podzielić). Tylko jakiś
soft udający aplikację bankową do którego użytkownik wpisuje dane.


Pozdrawiam,
Zdzichu

do góry

Witam

W dniu 14.12.2020 o 22:22, Krzysztof Halasa pisze:

>> /sprawdzić czy nie pegasus
>
> Pegasus tu dokładnie nic nie zmienia - przecież to, co może zrobić
> Pegasus, może zrobić wiele osób w różnych celach. Pegasus to tylko
> automatyzuje.

Pegasus to przede wszystkim ładnie opakowane możliwości skorzystania z
dziur zero day. I to wyklucza masowe korzystanie bo to działa dopóki
dziura jest tajemnicą. Wyjdą aktualizacje softu i trzeb będzie nowych
dziur szukać. Z tego co podaje niebezpiecznik.pl AFAIR to za jedną taką
dziurę zapewniając do niej support itp. można całkowicie legalnie dostać
ok. 1M$ od twórców Pegasusa czy innych podobnych firm. Więc nie wiem czy
ktoś kto taką dziurę znajdzie będzie się bawił w próbę włamywania na
telefony przypadkowym ludziom.
Gorzej jak ktoś ma telefon bez aktualizacji bo nie dość, że mu dziury
producent nie załata to jeszcze dziura znana wąskiemu gronu osób po
jakimś czasie może być szerzej znana i wtedy może będą nawet skrypty do
włamań.

Pozdrawiam,
Zdzich

do góry

Wczoraj widziałem telefon z androidem na którym co chwila wyświetlały
się gołe baby. NIE Nie w przeglądarce. Tak po prostu.

Tak wiem użytkownik się do tego przyczynił ale w tym momencie dla mnie
całe urządzenie jest SPALONE dla bankowości

A będzie tego go więcej i nie koniecznie użytkownik musi widzieć gołe
baby. Nie będzie świadom tego co się dzieje.

Tak kraczę. Ćwierć wieku używam komputerów ;-)

do góry