Vlákno názorů k článku Man-in-the-browser aneb jak jsem si nechal infikovat prohlížeč od Filip Jirsák - Nerozumím tomu, co se autorovi nelíbí na „bezpečnostní...
-
Filip JirsákStříbrný podporovatelNerozumím tomu, co se autorovi nelíbí na „bezpečnostní politice šíření nových verzí“. Myslíte si, že obchod nekontroluje nové verze úplně stejně, jako ty předchozí? Nebo v čem je podle vás problém?
-
Petr M (neregistrovaný)
No je to jednoduchý.
1. Udělám verzi 1.0.0, která je čistá. Hodím ji do storu a počkám, až to lidi instalujou.
2. Udělám verzi 1.0.1, která obsahuje keylogger. Nejdu s ní do storu, ale vrze 1.0. se automaticky updatuje z mýho webu.
3. Měsíc skenuju čísla karet a CVV
4. Udělám verzi 1.0.2, vnutím ji zase z webu. Tahle verze zamete stopy.
5. Až jsou zametený stopy, hodím do storu i na svůj web čistou verzi 1.1.0, pro jistotu. Stejná jako 1.0.0, jenom trochu přeházený tlačítka v UI apod.
6. Pár týdnů počkám
7. Začnu nakupovat za virtuální kreditky, co si "vymyslel" můj plugin.Nejslabší místo je doručovací adresa pro zakoupený zboží...
-
Filip JirsákStříbrný podporovatel
Je pravda, že na aktualizaci aplikace odjinud by mělo být speciální oprávnění.
-
Filip JirsákStříbrný podporovatel
Myslím, že se tu bavíme o Chrome, a tam takové aplikace mohou být, a nikde jsem nenašel, že by vyžadovaly speciální oprávnění. Dost mne to překvapilo (a řekl bych, že je to k předmětu článku ta nejdůležitější informace, která bohužel není uvedená v článku, ale v diskusi pod ním).
-
Filip JirsákStříbrný podporovatel
Mně to také připadá jako dost zjevná díra, ale po přečtení dokumentace autoupdate se přikláním spíš k tomu, že to opravdu jde.
ČLÁNKY DO MAILU