Názory k článku
Kritická chyba v iOS7 a iOS8
-
Dnešní "zavirování" už nepracuje jinak, než že se spoléhají na blbce. Bezpečnostní techniky jsou na takové úrovni, že brání havěti instalovat se přímo bez interakce člověka. Tudíž se musí spoléhat na nejslabší článek a sice člověka.
Vývojáři si musí již delší dobu na toto pamatovat. Nespoléhat se na uživatele, že se bude chovat tak, jak vývojář chce. Tedy za každou cenu ověřovat uživatelský vstup.Tudíž tato zranitelnost je skutečně zranitelnost, i když je mezi nimi bezpečnostní bariéra. Jenže pokud bariera umožňuje vstup uživatele, tak holt se to musí brát tak, jako by tam žádná bariéra nebyla.
-
Karel (neregistrovaný)
Hlavně čím lepší bariéra, tím horší uživatelé. Jakmile si lidé zvykli na nastavování práv aplikací, tak polevili v ostražitosti. Spustí instalaci kde čeho s tím, že tomu nedají žádná práva. Koukněte se na rootu, jak často se tu diskutuje stylem "proč by aplikace pro XY měla chtít práva k ABC?" A to je právě ten moment, kdy vítězí malware, který dokáže nastavení práv obejít.
-
dalaj (neregistrovaný)
Jestli jsem správně četl, stačí "kliknout", tedy asi dotknout se odkazu. To vůbec nemusí udělat uživatel, na dotykových displejích se neustále něco aktivuje bez vůle uživatele. Ale jestli máte nadpřirozené schopnosti, musí vám ti ostatní připadat jako debilové ...
Ale není debil spíš ten, kdo takový model navrhl?
-
Pozoruhodne. Takze Apple Store je akorat bezpecnostni divadlo, ktere Jabbku nese prachy, ale jinak na nic. Hlavne, ze mame elektronicke podpisy atd. A vlastne takto lze nainstalovat jakoukoliv aplikaci, kterou Apple ve store nechce. Nainstaliji libovolnou aplikaci zadarmo, kterou nechci a nasledne provedu "update".
-
Karel (neregistrovaný)
Přesně tak je to popsáno. Aplikace z internetu se dokáže nainstalovat jako update aplikace z AppStore a zdědit její bezpečnostní profil. Nakolik uživatel může zjistit, že se děje něco divného, jsem nikde nenašel. Jen že musí instalaci potvrdit, ale nikoliv jak to potvrzení vypadá. Pokud by to psalo něco ve smyslo "Přejete si nainstalovat firefox?" tak by mě to při instalaci lampičky docela překvapilo. Pokud ale píše "instalovat Lampička po 150.?" a pak ani nechce žádná dodatečná práva, tak by měl nenapadlo, že mi to právě updatlo firefox nebo jakoukoliv jinou oblíbenou aplikaci, u které je pravděpodobné, že už jistá práva má.
-
Olaf (neregistrovaný)
Viz odstavec "Mitigations" v blogu společnosti FireEye: "iOS users can protect themselves from Masque Attacks by following three steps: …". Je to i s obrázky :)
ČLÁNKY DO MAILU