On 2020-12-28, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Ale też można kontrować, że jak nie jest używany do www, to i nie są na
>> nim instalowane dziwne aplikacje. A wtedy możliwość wgrania złośliwego
>> kodu jest też ograniczona.
>
> Ale wektorów jest więcej niż tylko "instalowanie dziwnych aplikacji".

Ale tylko teoretycznie.
Praktycznie ogranicza je bariera wejścia.

> Pamiętaj, że w przypadku dwóch urządzeń złodziej musi pokonać oba.
> No to co, instalowanie dziwnej aplikacji na pececie i na telefonie?

Dlatego większość ataków polega podstawieniu fałszywej strony + socjotechnice,
a nie na przełamywaniu zabezpieczeń.

> Poza tym, nie widzę implikacji, by nieużywanie do WWW => brak "dziwnych"
> aplikacji.

A ja widzę. Chociażby dlatego że wspieranie antycznych wersji to też
jakiś koszt i w końcu na tym telefonie z Androidem 4.x nie będziesz mógł
odpalić tych aplikacji.

> Tzn. to oczywiście nie ma znaczenia w tym przypadku, ale wiele osób
> w ogóle nie używa telefonów do WWW (praktycznie - czasem
> używają, np. w terenie do rezerwacji hotelu itp).

No ale www jest używany wewnątrz aplikacji (komponent webview).

> Po co to robić, jeśli jest pecet, na którym robi się to znacznie bardziej
> komfortowo?

Mnie nie pytaj, pytaj internet.
https://www.perficient.com/insights/research-hub/mob
ile-vs-desktop-usage-study

--
Wojciech Bańcer
w...@g...com

do góry

On 2020-12-28, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Na iPhone nie zainstalujesz aplikacji spoza
>> oficjalnych źródeł (czy to App Store, czy korporacyjny App Store w
>> przypadku Enterprise).
>
> Piszesz o tym jak o zalecie (dla *właścicieli* telefonów).

Tak. Zwłaszcza tych traktujących telefon jako produkt konsumencki, a nie
zabawkę DIY.

> Przecież to jest zwykłe ubezwłasnowolnienie. Kto może się cieszyć
> z bycia ubezwłasnowolnionym?

Bez przesady.

> W Androidzie także domyślnie nie można instalować aplikacji spoza
> sklepu. Ale ostateczną decyzję podejmuje właściciel telefonu.

Ale łatwiej użytkownika wkręcić, niestety.
Oczywiście jeszcze łatwiej jest na desktopie.

--
Wojciech Bańcer
w...@g...com

do góry

On 2020-12-28, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Twój numer telefonu
>> i spora część danych osobowych będzie na stronie banku dostępna.
>
> To to chyba niekoniecznie? A jeśli już, to na skutek błędu banku.

A który nie poda Ci imion + nazwiska, adresu zamieszkania i salda?
PESEL (lub NIP) masz np. w numerze rachunku do skarbówki, wystarzy że
np, opłacasz co miesiąc przelew za podatek PPE (ryczałtowy).

Poza tym wektor ataku może być inny, tzn. po przejęciu przeglądarki
można poczekać na to by użytkownik sam zechciał zrobić jakąś operację
wymagającą potwierdzenia, podmienić wywołanie na definiujące przelew
zaufany i potem już z górki. 2FA nie ma chronić przed przejęciem dostępu
do konta ze znanego urządzenia, tylko przed przejęciem dostępu z poziomu
nieznanego, niezaufanego urządzenia.

--
Wojciech Bańcer
w...@g...com

do góry

Wojciech Bancer <w...@g...com> writes:

>> Przecież to jest zwykłe ubezwłasnowolnienie. Kto może się cieszyć
>> z bycia ubezwłasnowolnionym?
>
> Bez przesady.

Nie ma tu żadnej przesady.
To, że np. właściciel urządzenia nie ma klucza, który jest potrzebny do
uruchomienia alternatywnego systemu, to także zaleta?

> Ale łatwiej użytkownika wkręcić, niestety.
> Oczywiście jeszcze łatwiej jest na desktopie.

Najlepiej jakby w ogóle nic nie miał, wtedy nie da się go "wkręcić".
--
Krzysztof Hałasa

do góry

Bzdura.
Wg tej filozofii policjanci są kryptoprzestępcami, bo ciągle ich szukają w
komputerach i nawet sobie zdjęcia w pracy rozwieszają.
Podobnie ginekolodzy marzą o przyszyciu sobie cipek.
BTW "jebać pedałów" to chyba słowa o miłości?


-----
> www.sport.pl/pilka/7,65039,25131184,dzieki-smartfono
m-kibicow-wiemy-o-nich-wszystko-nawet-to-ilu.html

do góry

Wojciech Bancer <w...@g...com> writes:

> A który nie poda Ci imion + nazwiska, adresu zamieszkania i salda?

Saldo poda - ale nic mi z niego.
Adres zamieszkania, skąd miałby wiedzieć? :-) Też niepotrzebny.

> PESEL (lub NIP) masz np. w numerze rachunku do skarbówki, wystarzy że
> np, opłacasz co miesiąc przelew za podatek PPE (ryczałtowy).

Co miesiąc - to chyba trzeba "spełnić" jakieś ciekawe wymagania.
Tak czy owak, to nie są tajne dane, więc jeśli bank na ich podstawie
udziela dostępu do konta...

> Poza tym wektor ataku może być inny, tzn. po przejęciu przeglądarki
> można poczekać na to by użytkownik sam zechciał zrobić jakąś operację
> wymagającą potwierdzenia, podmienić wywołanie na definiujące przelew
> zaufany i potem już z górki.

No ale z SMSami to może nie przejść, jest (powinien być) numer konta.
Wystarczy rzut oka i od razu widać, że coś jest nie tak. Jeśli ktoś nie
sprawdza danych z SMSa, to ma problem - ale *może* sprawdzić.
W przypadku pojedynczego urządzenia i jego przejęcia - nie ma żadnej
obrony.

> 2FA nie ma chronić przed przejęciem dostępu
> do konta ze znanego urządzenia, tylko przed przejęciem dostępu z poziomu
> nieznanego, niezaufanego urządzenia.

Gdyby chodziło tylko o to, wystarczyłyby zdrapki. Nawet nie SMSy.
Natomiast obecnie chodzi o to, by całe bezpieczeństwo nie opierało się
na pojedynczym mechanizmie, który można złamać.
--
Krzysztof Hałasa

do góry

On 2020-12-29, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>>> Przecież to jest zwykłe ubezwłasnowolnienie. Kto może się cieszyć
>>> z bycia ubezwłasnowolnionym?
>>
>> Bez przesady.
>
> Nie ma tu żadnej przesady.
> To, że np. właściciel urządzenia nie ma klucza, który jest potrzebny do
> uruchomienia alternatywnego systemu, to także zaleta?

Jeśli nie kupujesz urządzenia typu "zrób to sam" to jak najbardziej jest
to zaleta. Jakoś nie widziałem masowej krytyki telewizorów, lodówek,
samochodów, routerów, drukarek, czy innych sprzętów elektronicznych za
to że nie można sobie z buta instalować czego się chce. To czemu
smartfon miałby być innym urządzeniem konsumekckim niż te powyższe?

>> Ale łatwiej użytkownika wkręcić, niestety.
>> Oczywiście jeszcze łatwiej jest na desktopie.
>
> Najlepiej jakby w ogóle nic nie miał, wtedy nie da się go "wkręcić".

Ewidentnie lubisz skrajności, ale tak z punktu widzenia bezpieczeństwa i
skrajnie patrząc, to najlepiej nic nie mieć i niczego nie używać. I
wtedy nie masz też i żadnych problemów. Tylko nie o to chodzi.

--
Wojciech Bańcer
w...@g...com

do góry

Dnia 30.12.2020 Wojciech Bancer <w...@g...com> napisał/a:

> to że nie można sobie z buta instalować czego się chce. To czemu
> smartfon miałby być innym urządzeniem konsumekckim niż te powyższe?

Jeśli ktoś uważa, że kieszonkowemu komputerowi bliżej do pralki,
niż do peceta- to oczywiście implikacja jest słuszna.

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.

do góry

On 2020-12-29, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> A który nie poda Ci imion + nazwiska, adresu zamieszkania i salda?
>
> Saldo poda - ale nic mi z niego.

Tobie nic. Złodziejom pozwala typować ofiary.

> Adres zamieszkania, skąd miałby wiedzieć? :-) Też niepotrzebny.

A które potwierdzenie przelewu, czy wyciąg go nie zawieara?

>> PESEL (lub NIP) masz np. w numerze rachunku do skarbówki, wystarzy że
>> np, opłacasz co miesiąc przelew za podatek PPE (ryczałtowy).
>
> Co miesiąc - to chyba trzeba "spełnić" jakieś ciekawe wymagania.
> Tak czy owak, to nie są tajne dane, więc jeśli bank na ich podstawie
> udziela dostępu do konta...

Przecież co miesiąc się wpłąca zaliczki na podatek ryczałtowy.
W drodze _wyjątku_ można co trzy, jeśli spełniasz warunki i złożysz
papiery w odpowiednim terminie.

Oczywiście ze te dane nie są tajne, a które dane osobowe niby są tajne?

>> Poza tym wektor ataku może być inny, tzn. po przejęciu przeglądarki
>> można poczekać na to by użytkownik sam zechciał zrobić jakąś operację
>> wymagającą potwierdzenia, podmienić wywołanie na definiujące przelew
>> zaufany i potem już z górki.
>
> No ale z SMSami to może nie przejść, jest (powinien być) numer konta.
> Wystarczy rzut oka i od razu widać, że coś jest nie tak. Jeśli ktoś nie
> sprawdza danych z SMSa, to ma problem - ale *może* sprawdzić.
> W przypadku pojedynczego urządzenia i jego przejęcia - nie ma żadnej
> obrony.

To pogadamy o tym jak ta Twoja prosta teoretyczna możliwość będzie
realizowalna praktycznie, a nie tylko teoretycznie. Jak na razie
przejmowanie telefonu nie jest takie proste, aplikacje bankowe mają
ograniczoną funlcjpnalność, ktorej z ich poziomu nie zmienisz,
a operacje wymagają nadal potwierdzania, czy to pinem użytkownika,
czy to biometryką.

--
Wojciech Bańcer
w...@g...com

do góry

On 2020-12-30, Dominik Ałaszewski <D...@g...pl.invalid> wrote:

[...]

>> to że nie można sobie z buta instalować czego się chce. To czemu
>> smartfon miałby być innym urządzeniem konsumekckim niż te powyższe?
>
> Jeśli ktoś uważa, że kieszonkowemu komputerowi bliżej do pralki,
> niż do peceta- to oczywiście implikacja jest słuszna.

Do pralki może nie, ale do nowoczesnego telewizora z konsolą, to i
owszem. Oczywiście znajdziesz dziesiątki modderów przeróżnych urządzeń,
czy nawet samochodów, ale jednak nie jest to typowe zastosowanie
konsumekckie. Zastosowaniem konsumekckim jest *używać* urządzenie w
zakresie przewidzianym przez producenta, a nie wieczna zabawa w
konfigurację, podrasowywanie, przerabianie i modyfikacje.

--
Wojciech Bańcer
w...@g...com

do góry