Vlákno názorů k článku
Americký institut standardů a technologie chce zakázat dvoufaktorové přihlašování s pomocí SMS
od Vladki - No ono taky s pribyvajicim vyuzitim bankovnich aplikaci...
-
Jenda (neregistrovaný)
Pokud jsou to obyčejné SMS přes GSM, což dělá většina bank, tak se tam většinou používá šifra A5/1 (některé podporované telefony umí A5/3, ale pořád je to zranitelné na MITM útok), která jde snadno zlomit…
-
Zero (neregistrovaný)
A hlavně to podstatné, k čemu je zloději mobilní telefon, ke kterému nezná heslo?
A hlavne to podstatne: Kolko ludi ma zamknuty telefon chraneny heslom? Ja vecsinou u kolegov vidim iba "tap to unlock", "move to unlock", popripade nakreslenie vzoru/zadanie PINu, ktory sa da odpozorovat... -
xxx (neregistrovaný)
To je zase úroveň debaty, nadávat ostatním do debilů.
Jeden čas jsem měl nakonfigurovanou VPN do práce a v mém Samsungu to automaticky vynutilo zadání PINu při každém odemknutí obrazovky. Pominu-li, že je to otravné a někdy i nebezpečné (třeba při řízení auta jsem s tím bojoval), tak vyťukávat heslo na telefonu třeba 30x za den je jasná poukázka na to, aby ho někdo okoukal.
Dobře to má vyřešené třeba mobilní appka AWS Console, která má v sobě uložené kredence, ale než je zpřístupní, musí uživatel zadat heslo.To ale zadávám, jen když potřebuju tu appku a ne pokaždé, když se koukám jaké bude počasí nebo kdy mi jede tramvaj.
-
. . (neregistrovaný)
je možné, že si to vynutila sama VPN, občas nějaká pravidla je možné propašovat a android s tím koketovat, na jiných platformách je třeba možné vynutit whitelist/blacklist aplikací, šifrování atd.
Ono je ale už i nebezpečné na ten mobil za jízdy šahat, bez ohledu na to, jestli má pin nebo ne ;)
Dobře uživatelsky to má vyřešený iphone, kdy integrovat sken otisku prstů do hlavního tlačítka. Kolega vezme do ruky telefon, stiskne přirozeně jediné tlačítko a má telefon odemčený, já vezmu jeho telefon, stisknu tlačítko a chce to po mě pin, který jsem ho nikdy neviděl zadávat a jsem nahraný...
PIN na androidech se dá snadno obejít a dostat se k datům, samozřejmě s dostupným počítačem a kabelem, bohužel.
-
Jeden čas jsem měl nakonfigurovanou VPN do práce a v mém Samsungu to automaticky vynutilo zadání PINu při každém odemknutí obrazovky. Pominu-li, že je to otravné a někdy i nebezpečné (třeba při řízení auta jsem s tím bojoval), ...
Tak hlavne, az se pri rizeni budete pripojovat na VPN do prace, tak dejte pozor, abyste zabil jenom sebe.
-
ebik (neregistrovaný)
Pokud se na ten jizdni rad tramvaje divate pomoci internetoveho spojeni routovaneho skrz tu VPN...
Treba to tak hloupe nakonfigurovane nemate - potom byste ale musel mit chytreho VPN klienta, ktery rozlisi kdy se chystate VPN pouzit a vybafnout na vas PIN az ve chvili prvniho pouziti po "odemceni" telefonu.
-
. . (neregistrovaný)
třeba protože odemčený telefon je napadnutelný občas i navštívením patříčné internetové stránky a poté může dojít k odposlouchání, MitM atd.
Heslování bankovní aplikace je zase kvůli dětem či jiným "záškodníkům", kteří mají tvůj telefon z nějakého důvodu v ruce a nechceš, aby mohli úplně všechno jen tak kliknutím...
-
Tvuj prispevek nedava zadnej smysl. Evidentne nevis co je MitM a to ze je telefon napadnutelnej navstivenim stranky je samozrejme uplne blbost. Ve vsech modernich mobilech bezi aplikace v sandboxu a nema prava pristupovat k jinym aplikacim.
Heslovani bankovni aplikace je presne z toho duvodu, ze je to bezpecnejsi nez jen zaheslovani mobilu.
-
. . (neregistrovaný)
o MitM jsem si přečetl na novinkach.cz, takže mám o něm dobré povědomí.
Teď vážně, každý rok se objeví několik zranitelností v prohlížečích, které umožňují únik ze sandboxu, ať už přes render písma, pdf, obrázky či jinou komponentu, k tomu pár zranitelností na androidu a člověk má najednou roota. Nemluvě o starých již ne dobře aktualizovaných zařízeních. Tvrdit, že to je úplná blbost je mimo realitu, spíše bych se bavil jak taková situace je pravděpodobná a jak je její zneužití obtížné.
Příspěvek jsem hodně zkrátit, chtěl jsem jen naznačit, že odemčený telefon je velice zranitelný. MitM se dá spáchat připojením telefonu na wifi (Android ani iOS nevyžaduje heslo při přidávání nové wifi sítě, btw) a tím přesměrovat komunikaci přes svoje zařízení. Výhoda je, že takovou síť bude telefon v budoucnu preferovat a oběť se to ani nemusí dozvědět. Pokud oběť zůstane v mém dosahu, mohu již podvrhávat obsah. Šifrované weby jsou samozřejmě další překážka, ale opět ne nepřekonatelná.
-
Android i iPhone vyzadujou heslo wifi site, co nezna, pokud neni otevrena bez hesla. Jak myslis, ze by ho ten telefon asi uhad?
Sandbox na Androidu je danej operacnim systemem, kazda aplikace bezi pod samostatnym linuxovym uzivatelem. Unik ze sandboxu tedy aplikace samotna nedokaze at je napadena jak chce. Muselo by dojit vylozenene k naboreni Linuxovyho kernelu, coz je dost nepravdepodobne.
MitM neni s sifrovanym spojenim (dnes snad neexistuje verejna sluzba bez SSL) mozny bez toho aniz by browseru byly podvrhnuty SSL certifikaty a to taky neni zadna sranda. S pripojenim na Wifi to nema nic spolecnyho. -
. . (neregistrovaný)
asi si nerozumíme. V kapse mám svojí záškodnickou wifi (třeba provařený pineapple nebo jiné svoje zařízení) a přesně na tuhle wifi ho připojím a veškerá data půjdou najednou přes mě a kdykoliv budu v okolí, mobil se na mě připojí, easy.
Kritických chyb, které umožňují jednoduše utéct ze sandboxu a získat vyšší práva se objevuje pořád hodně každý měsíc (viz za červen https://source.android.com/security/bulletin/2016-07-01.html).
Linuxový kernel nezajišťuje na androidu jeho sandbox, v linuxovém kernelu se objevuje opravdu málo chyb, nám stačí ty tuny chyb v user space, on stačí jeden děravý proces s vysokým oprávněním a jsem doma (viz loňský průser s neošetřeným IPC volání na Admin interface na Androidu). Bezpečnost androidu nestojí pouze na sandboxu, ale na bezpečné komunikaci mezi aplikacemi, jejich podepisování a kontrola uživatelem schválených práv atd.
Nabourání SSL komunikace není neřešitelný problém, je to pouze další bariéra, nikoliv neproniknutelná zeď, viz chyby za poslední dobu. Stejně tak jsou hodně zranitelní korporátní uživatelé, kteří mají v mobilech firemní CA autoritu a její privátní klíč není dostatečně chráněn. Chce také brát v potaz, že řada lidí bezpečnostní upozornění na neplatný certifikát prostě odklidne a jde dál, protože přesně takhle přistupují na řadu webů, které na to kašlou.
-
To se fakt asi nechapeme. Pro ten mobil je uplne jedno pres kterou WIFI bezi. To pro nej neni zadny nebezpeci, protoze na to aby si moh browseru cokoli podvrhnout bys mu nejdriv musel vnutit svoje certifikaty a to bud na urovni modifikace aplikace nebo na urovni OS (coz bez roota nejde).
Linuxovy kernel zajistuje na Androidu spravu uzivatelu, a protoze jedna aplikace = jeden uzivatel, tak prakticky Linuxovy kernel zajistuje sandbox aplikace.
IPC resp to cemu by se IPC dalo u Androidu rikat, se nepouziva pro nic s "vysokym opravnenim", resp. zalezi co si pod timhle terminem predstavujes...
Podepisovani aplikaci a kontrola prav nema nepomuze proti fyzickymu utoku, ale to nijak nebrani cloveku nahrat infikovanou aplikaci.
Kazdopadne tohle vsechno nema nic spolecnyho s bankovnima aplikacema. Utocnik by musel predem vedet jakou banku obet ma, jestli vubec bankovni aplikaci pouziva, mit velmi dobrou znalost dekompilace bytekodu v Androidu a mit prilezitost fyzicky manipulovat nekolik minut s mobilem obeti. Pak ano, je moznost to udelat, ale vyplati se to? Prvne podezlely transfer pravdepodobne zachyti banka pripadne sama obet pokud ma nastaveny notifikace o pohybech na uctu a za druhe riziko odhaleni je enormni.
Takze ano, paranoik nebo miliardar, kterej pouziva bankovni aplikaci na spravu uctu svych firem, by pravdepodobne mel heslovat telefon, aby mel klid, ale normalni clovek se niceho bat nemusi... -
. . (neregistrovaný)
Defacto to jedno není, pokud je mobil připojený přes neautorizovanou a kompromitovanou síť, je několik vektoru útoku a https není všemocné, co když podvrhnu DNS odpověď a donutím aplikaci komunikovat přse svůj server a a až můj server naváže https spojení s bankovním api, ale v té době už budu mít pod kontrolou data, která tečou oběma směry? Můžeme si o tom tématu někdy pohovořit, pokud máš zájem.
Linuxový kernel a obecně bezpečnost na Androidu vidíme jinak a s tvým laickým pohledem nesouhlasím, rád svůj postoj osvětlím, ale nechci tady zanášet zbytečně moc "spamu". Mluvím třeba o rok a půl staré chybě, ale je jejich více http://seclists.org/fulldisclosure/2015/Aug/57
Podobné věci je výhodnější cílit masově než na konkrétní miliardáře, dav lidí s účtem po pár tisícovkách bývá zizkovější než se snažit vsadit na jednu kartu.
-
Filip JirsákStříbrný podporovatelco když podvrhnu DNS odpověď a donutím aplikaci komunikovat přse svůj server
To právě řeší HTTPS. Protože váš server nedokáže prokázat, že vlastní privátní klíč od certifikátu banky. Aplikace ho odmítne rovnou, uživateli prohlížeč zobrazí chybu, že certifikát nesouhlasí. -
Prave proti podvrhnuti DNS je HTTPS odolne. Aplikace proste odmitne komunikovat, pokud je server neprokaze spravnym certifikatem.
Zminovana chyba pouze umoznuje cist souboru ke kterym nema normalne pristup diky symlinkum. Neznamena to ale ze by diky tomu nekdo ziskal prava k tem soubory nebo je dokonce dokazal prepsat. Krom toho je to aplikace, kterou ma nainstalovanou jen malokdo.
Prave masove nejde takovyhle utoky vubec cilit, protoze proste je nutnej fyzickej pristup k mobilu a znalost obeti.
-
. . (neregistrovaný)
já vám rozumím, ale nechci se opíjet rohlíkem. V androidu je řada dost pochybných CA, nedají se bez root telefonu vůbec odstranit. Https je poslední dobou dost pod palbou a chyby přibývají velice často, aktualizace klientské a servové části hodně pokulhává, rozšířenost starých již neaktualizovaných telefonů je vysoká atd. Pokud jsem na nedůvěryhodné síti, https je jen malá berlička.
Těch kritických chyb je každý měsíc pořád velká spousta, tuhle jsem dal jen jako příklad, protože si pamatuji, že jsem jí řešil.
Ano, máš pravdu, pro masové použití to není moc vhodné, spíše pro hromadné nebo lokální. Není nad to podvrhnout wifi na koncertě...
-
Proc by v Androidu mely byt pochybny CA?
Uz byla naka z tech chyb SSL i zneuzita?
Dost pochybuju, ze banky sou mezi tema, co zapominaj aktualizovat servery.
Wifi na koncerte je docela vtipna predstava. Prvne kdo by se na koncerte pripojoval na wifi a pak jakej blazen by daval na koncert wifi. To by neprezilo ani par sekund kdyby se tam lidi zacli prihlasovat. I GSM site maj u hromadnych akci problem. -
qwertz (neregistrovaný)
tak ono ke spokojenosti postaci, ze vetsina prodavanych telefonu je zcela bez aktualizaci (bezpecnostnich zaplat) a ty nejpredrazenejsi kusy maji podporu v radu mesicu az 2 let.
Na pausalne deravem a zranitelnem zarizeni, na ktere vyrobce totalne sere, muze Smartbanking pouzivat jen dement.
