On 2019-08-03, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> 3) aplikacje na telefonach mają swoje zaufane źródło pobierania
>> (Google Play, App Store), a same systemy uruchamiają aplikacje
>> w swoistych wyizolowanych kontenerach, więc potencjalny włam,
>> czy manipulacja jest jest mimo wszystko trudniejsza z każdą
>> wersją systemu (Android) lub praktycznie niemożliwa (iOS).
>
> Jak to mówią, wiara czyni cuda.
>
> W rzeczywistości jednak, istnieje zasadnicza zaleta z rozdzielenia
> komputera, który jest używany do operacji bankowych, i urządzenia,
> na którym otrzymujemy informacje autoryzujące. To, że być może chwilowo
> złodzieje nie używają furtki w postaci wspólnego urządzenia, nie oznacza
> że jutro nie zaczną. Wystarczy że wyschnie źródełko w postaci
> "zawirusowanych" pecetów z kodami papierowymi.

To czysto teoretycznie: jaki widzisz możliwy wektor ataku w przypadku
iOS? Oczywiście inny niż "przywalenie klientowi w głowę i zabranie
odblokowanego telefonu" :)

--
Wojciech Bańcer
w...@g...com

do góry

Wojciech Bancer <w...@g...com> writes:

> To czysto teoretycznie: jaki widzisz możliwy wektor ataku w przypadku
> iOS? Oczywiście inny niż "przywalenie klientowi w głowę i zabranie
> odblokowanego telefonu" :)

Taki jak zwykle - wysłanie owemu klientowi treści, które nie zostaną
prawidłowo "obsłużone" przez urządzenie.

A tak swoją drogą - nie używam ich sprzętu, to nie wiem - myślisz, że
w ich "sklepie" nie można umieścić trefnego oprogramowania, albo że może
ich system jest na to oprogramowanie odporny?
--
Krzysztof Hałasa

do góry

On Tue, 30 Jul 2019 19:00:52 +0200, Imka <s...@g...pl>
wrote:


>I w tym miejscu jest tak z zasięgiem GSM mniej więcej od 15-20 lat, więc
>nie ma co liczyć na to że "naprawią".
Ale zgłaszałaś operatorowi/om?

WAM
--
www.nawakacje.pl ?
pokoje w górach www.wpolskichgorach.pl
pokoje na Mazurach www.spanienamazurach.pl
pokoje nad morzem www.nadmorze.pl

do góry

On 2019-08-03, Krzysztof Halasa <k...@p...waw.pl> wrote:
> Wojciech Bancer <w...@g...com> writes:
>
>> To czysto teoretycznie: jaki widzisz możliwy wektor ataku w przypadku
>> iOS? Oczywiście inny niż "przywalenie klientowi w głowę i zabranie
>> odblokowanego telefonu" :)
>
> Taki jak zwykle - wysłanie owemu klientowi treści, które nie zostaną
> prawidłowo "obsłużone" przez urządzenie.

Ale jak chciałbyś je wysłać? Mailem? Aplikacja mailowa nie wie co
z taką treścią zrobić. SMS? To samo. A aplikacja bankowa nie przyjmuje
treści drogą mailową, czy SMS.

> A tak swoją drogą - nie używam ich sprzętu, to nie wiem - myślisz, że
> w ich "sklepie" nie można umieścić trefnego oprogramowania, albo że może
> ich system jest na to oprogramowanie odporny?

Jeśli wykluczymy potencjalne błędy systemu, to owszem, nie można.
Aplikacja systemu iOS nie może sobie swobodnie korzystać z wszystkich
fukcji dostępu do systemu operacyjnego, ma bardzo ograniczony
i wydzielony zestaw instrukcji (opisany jako SDK). I takie rzeczy
jak próba skorzystania z niedozwolonych funkcji są wykrywane przez
automaty na etapie wrzucania do AppStore. A bez dostępu do takich
funkcji nie uda Ci się napisać żadnej złośliwej aplikacji.

Model działania aplikacji mobilnej w iOS, w przeciwieństwie do aplikacji
na komputerze zakłada uruchomienie jej z minimalym zestawem pozwoleń
i pozwalaniu na rozszerzenie tych pozwoleń przez użytkownika, w bardzo
ograniczony sposób (i przez czytelnyne komunikaty).

A mówiąc prościej: na początku aplikacja może operować wyłącznie
w swoim środowisku, potencjalnie może Cię poprosić o zgodę na np.
odbieranie notyfikacji (ale tylko własnych), ale już nie może
Cię poprosić o "daj mi roota" jak na komputerach, bo system
takich mechanizmów nie udostępnia.

--
Wojciech Bańcer
w...@g...com

do góry

Wojciech Bancer <w...@g...com> writes:

> Ale jak chciałbyś je wysłać? Mailem? Aplikacja mailowa nie wie co
> z taką treścią zrobić. SMS? To samo. A aplikacja bankowa nie przyjmuje
> treści drogą mailową, czy SMS.

Tzn. nie ma żadnych aplikacji, które wiedzą, co się robi z treścią?
Iphony w ogóle nie otrzymują treści z zewnątrz?
Wiem, że są problemy z byle przesłaniem im pliku przez BT, ale chyba bez
przesady.

> Jeśli wykluczymy potencjalne błędy systemu, to owszem, nie można.

No ale (nie tyle potencjalne, co raczej rzeczywiste, choć być może
jeszcze nieznane) błędy różnych części systemu to właśnie podstawowy
wektor ataku. W każdym systemie tak jest. Zagrożenie trojanami to sprawa
drugorzędna, ponieważ można go w praktyce uniknąć po prostu nie
instalując trojanów. Na nieznaną dziurę, którą można wykorzystać
np. odpowiednio spreparowanym SMSem, pakietem radiowym, stroną WWW nie
ma prostej rady.

> Aplikacja systemu iOS nie może sobie swobodnie korzystać z wszystkich
> fukcji dostępu do systemu operacyjnego, ma bardzo ograniczony
> i wydzielony zestaw instrukcji (opisany jako SDK). I takie rzeczy
> jak próba skorzystania z niedozwolonych funkcji są wykrywane przez
> automaty na etapie wrzucania do AppStore. A bez dostępu do takich
> funkcji nie uda Ci się napisać żadnej złośliwej aplikacji.

A nie może być tak, że aplikacja zacznie używać owych funkcji dopiero
podczas ataku? Albo że będzie używać funkcji (teoretycznie
"nieszkodliwych"), które są błędnie obsługiwane przez system?
A procesor i w ogóle sprzęt. Czy wykluczasz możliwość, że sam procesor
posiada błędy, które pozwolą np. na podniesienie uprawnień? Albo
np. "młotkowanie" RAM, sprzęt Apple jest odporny na wszystko?

Tak teoretycznie, to wiele współczesnych systemów jest całkowicie
odpornych na wszelkie ataki (pomijając te związane z fizycznym
dostępem do sprzętu). W szczególności dotyczy to masowo używanych
systemów. Oczywiście pod pewnymi warunkach, takimi jak ustawienie
silnych haseł (ale nie mam tu na myśli żadnych aktualizacji, bo takie
teoretycznie nie byłyby potrzebne).
--
Krzysztof Hałasa

do góry

W dniu 2019-08-04 o 11:49, Krzysztof Halasa pisze:
> Iphony w ogóle nie otrzymują treści z zewnątrz?

Otrzymują. Można przez wifi chociażby wrzucić pliki na urządzenie.

>> Aplikacja systemu iOS nie może sobie swobodnie korzystać z wszystkich
>> fukcji dostępu do systemu operacyjnego, ma bardzo ograniczony
>> i wydzielony zestaw instrukcji (opisany jako SDK). I takie rzeczy
>> jak próba skorzystania z niedozwolonych funkcji są wykrywane przez
>> automaty na etapie wrzucania do AppStore. A bez dostępu do takich
>> funkcji nie uda Ci się napisać żadnej złośliwej aplikacji.
>
> A nie może być tak, że aplikacja zacznie używać owych funkcji dopiero
> podczas ataku? Albo że będzie używać funkcji (teoretycznie
> "nieszkodliwych"), które są błędnie obsługiwane przez system?
> A procesor i w ogóle sprzęt. Czy wykluczasz możliwość, że sam procesor
> posiada błędy, które pozwolą np. na podniesienie uprawnień? Albo
> np. "młotkowanie" RAM, sprzęt Apple jest odporny na wszystko?

Fałszywe aplikacje w appstore się pojawiają. Tutaj przykład takowej:
https://niebezpiecznik.pl/post/zlosliwa-aplikacja-ap
ple-appstore/

Oczywiście jakaś tam ingerencja użytkownika też musi być. O ile jednak
użytkownicy Windowsa są zazwyczaj czujni, o tyle przekonanie (już od
dość dawna nieaktualne), iż na Maca nie ma wirusów, bezpieczny sprzęt,
nie zawiesza się itp. itd. bywa bardzo złudne.

> Tak teoretycznie, to wiele współczesnych systemów jest całkowicie
> odpornych na wszelkie ataki (pomijając te związane z fizycznym
> dostępem do sprzętu).

Wydaje mi się, że jednak "błąd ludzki" to podstawa ataków.

W szczególności dotyczy to masowo używanych
> systemów. Oczywiście pod pewnymi warunkach, takimi jak ustawienie
> silnych haseł (ale nie mam tu na myśli żadnych aktualizacji, bo takie
> teoretycznie nie byłyby potrzebne).

Sposobem na atak mogłyby być aktualizacje. Taka "fałszywa aktualizacja"
mogłaby dokonać niezbędnych hakerowi zmian w systemie. Jednocześnie
liczba aktualizacji jest na tyle duża, iż użytkownicy często
automatycznie je akceptują lub instalują w tle.

do góry

On 2019-08-04, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Ale jak chciałbyś je wysłać? Mailem? Aplikacja mailowa nie wie co
>> z taką treścią zrobić. SMS? To samo. A aplikacja bankowa nie przyjmuje
>> treści drogą mailową, czy SMS.
>
> Tzn. nie ma żadnych aplikacji, które wiedzą, co się robi z treścią?
> Iphony w ogóle nie otrzymują treści z zewnątrz?
> Wiem, że są problemy z byle przesłaniem im pliku przez BT, ale chyba bez
> przesady.

Otrzymują. Aplikacja od SMSów dostanie SMSa, aplikacja od poczty
dostanie maila. I co dalej? Bo ani aplikacja od SMSów, ani aplikacja
od poczty nie mają dostępu do danych aplikacji bankowej.

>> Jeśli wykluczymy potencjalne błędy systemu, to owszem, nie można.
>
> No ale (nie tyle potencjalne, co raczej rzeczywiste, choć być może
> jeszcze nieznane) błędy różnych części systemu to właśnie podstawowy
> wektor ataku.

Absolutnie nie. Podstawowym wektorem ataku jest człowiek i próba jego
zmianipulowania. Wykorzystywanie błędów systemu to jest promil promila
przypadków. I teraz rzecz w tym, że komputery pozwalają zmanipulowanemu
człowiekowi działać o wiele dalej i głębiej niż smartfony.

>> Aplikacja systemu iOS nie może sobie swobodnie korzystać z wszystkich
>> fukcji dostępu do systemu operacyjnego, ma bardzo ograniczony
>> i wydzielony zestaw instrukcji (opisany jako SDK). I takie rzeczy
>> jak próba skorzystania z niedozwolonych funkcji są wykrywane przez
>> automaty na etapie wrzucania do AppStore. A bez dostępu do takich
>> funkcji nie uda Ci się napisać żadnej złośliwej aplikacji.
>
> A nie może być tak, że aplikacja zacznie używać owych funkcji dopiero
> podczas ataku?

Nie może. Kod aplikacji jest przeglądany a etapie jego wrzucenia, więc
jeśli ślad takiego wywołania się pojawi w kodzie, to zostanie ona
odrzucona.

> Albo że będzie używać funkcji (teoretycznie "nieszkodliwych"), które
> są błędnie obsługiwane przez system?

Jak na razie praktyka pokazuje, że to jest nie do zrobienia na masową
skalę, przez co jest to problem jedynie teoretyczny lub też problem
bardzo bogatych osób w które celuje ktoś personalnie.

> A procesor i w ogóle sprzęt. Czy wykluczasz możliwość, że sam procesor
> posiada błędy, które pozwolą np. na podniesienie uprawnień? Albo
> np. "młotkowanie" RAM, sprzęt Apple jest odporny na wszystko?

Teoretyznie nie. Ale praktycznie tak. Ataki z wykorzystaniem tego
rodzaju błędów są nieopłacalne.

> Tak teoretycznie, to wiele współczesnych systemów jest całkowicie
> odpornych na wszelkie ataki (pomijając te związane z fizycznym
> dostępem do sprzętu).

Znaczna większość ataków to manipulacja człowiekiem, a nie błędami
sprzętu.

--
Wojciech Bańcer
w...@g...com

do góry

On 2019-08-04, Szymon <...@w...pl> wrote:

[...]

>> A nie może być tak, że aplikacja zacznie używać owych funkcji dopiero
>> podczas ataku? Albo że będzie używać funkcji (teoretycznie
>> "nieszkodliwych"), które są błędnie obsługiwane przez system?
>> A procesor i w ogóle sprzęt. Czy wykluczasz możliwość, że sam procesor
>> posiada błędy, które pozwolą np. na podniesienie uprawnień? Albo
>> np. "młotkowanie" RAM, sprzęt Apple jest odporny na wszystko?
>
> Fałszywe aplikacje w appstore się pojawiają. Tutaj przykład takowej:
> https://niebezpiecznik.pl/post/zlosliwa-aplikacja-ap
ple-appstore/

Cytat z artykułu:
"Aplikacja, którą zaraz opiszemy, nie była "złośliwa" w sensie bycia
"trojanem"; nie wykradała treści SMS-ów, kontaktów czy zdjęć użytkowników,
co notorycznie robią aplikacje ze sklepy Google Play, nawet te ze znaczkiem
"Verified by Play Protect", które właśnie odkrył Lukas Stefanko.

"Nasza" aplikacja była po prostu "cwana" i stosując tzw. "black pattern"
starała się naciągnąć posiadaczy iPhonów na spore koszty. Co więcej,
w przeciwieństwie do aplikacji ze sklepu Google Play, które potrafią
okradać użytkowników Androida długimi (tygo)dniami, żywot tej aplikacji
iPhonowej był niezwykle krótki."

> Oczywiście jakaś tam ingerencja użytkownika też musi być. O ile jednak
> użytkownicy Windowsa są zazwyczaj czujni, o tyle przekonanie (już od
> dość dawna nieaktualne), iż na Maca nie ma wirusów, bezpieczny sprzęt,
> nie zawiesza się itp. itd. bywa bardzo złudne.

Nie mówimy o macu, tylko o iOS.

> W szczególności dotyczy to masowo używanych
>> systemów. Oczywiście pod pewnymi warunkach, takimi jak ustawienie
>> silnych haseł (ale nie mam tu na myśli żadnych aktualizacji, bo takie
>> teoretycznie nie byłyby potrzebne).
>
> Sposobem na atak mogłyby być aktualizacje. Taka "fałszywa aktualizacja"
> mogłaby dokonać niezbędnych hakerowi zmian w systemie.

Nie da się takiej aktualizacji przeprowadzić w iOS.

> Jednocześnie liczba aktualizacji jest na tyle duża, iż użytkownicy często
> automatycznie je akceptują lub instalują w tle.

Aktualizacje praktycznie tylko idą w tle, ale jedynie z platformy
App Store. Nie ma możliwości aktualizowania aplikacji "skąd bądź".
A ta z App Store przechodzi ten sam proces review, co wcześniejsze
wersje.

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 2019-08-04 o 16:18, Wojciech Bancer pisze:
>> Fałszywe aplikacje w appstore się pojawiają. Tutaj przykład takowej:
>> https://niebezpiecznik.pl/post/zlosliwa-aplikacja-ap
ple-appstore/
>
> Cytat z artykułu:
> "Aplikacja, którą zaraz opiszemy, nie była "złośliwa" w sensie bycia
> "trojanem"; nie wykradała treści SMS-ów, kontaktów czy zdjęć użytkowników,
> co notorycznie robią aplikacje ze sklepy Google Play, nawet te ze znaczkiem
> "Verified by Play Protect", które właśnie odkrył Lukas Stefanko.

Nie twierdzę, że system X jest bezpieczniejszy od Y. Wydaje mi się
jedynie, iż systemów nie do ruszenia - nie ma.

> Nie mówimy o macu, tylko o iOS.

Porównałem komputery, ale nie ma to większego znaczenia. Chodzi o pewien
mechanizm działania. Możesz przyjrzeć się macowi, możesz iPhone'owi czy
iPadowi... Zawsze najsłabszym ogniwem jest człowiek. Także w przypadku
Windowsa/Androida.

>> Sposobem na atak mogłyby być aktualizacje. Taka "fałszywa aktualizacja"
>> mogłaby dokonać niezbędnych hakerowi zmian w systemie.
>
> Nie da się takiej aktualizacji przeprowadzić w iOS.

Być może. Zdarzało się jednak, iż po aktualizacji "legalnej" system
gorzej działał niż przed. Jednocześnie nie do końca wiadomo co one dają.
Bardzo niewielu użytkowników jest w stanie wskazać "co się zmieniło?" po
aktualizacji. Atak w tym kierunku byłby zatem skuteczny.
"Nie da się" - odważna teza.

>> Jednocześnie liczba aktualizacji jest na tyle duża, iż użytkownicy często
>> automatycznie je akceptują lub instalują w tle.
>
> Aktualizacje praktycznie tylko idą w tle, ale jedynie z platformy
> App Store. Nie ma możliwości aktualizowania aplikacji "skąd bądź".
> A ta z App Store przechodzi ten sam proces review, co wcześniejsze
> wersje.

Jednak jak widać po wpisaniu "fałszywe aplikacje w Appstore" coraz
więcej tego.

Z kolejnego artykułu: Każda aplikacja dla systemu iOS przed pojawieniem
się w App Store jest wcześniej poddawana procesowi weryfikacji, który ma
odsiać programy naruszające regulamin sklepu. Niestety, mimo to
deweloperom czasami udaje się przemycić tam szkodliwe oprogramowanie.

Jak na razie nie wiadomo, jak duże szkody wyrządziła fałszywa aplikacja
MyEtherWallet. Jej opis sugerował, że wszystkie dane podawane przez
użytkowników zapisywane były wyłącznie w pamięci ich urządzeń, jednak
nie wiadomo, czy była to prawda. Teoretycznie twórcy aplikacji mogli za
jej pomocą zyskać dostęp do prywatnych kluczy użytkowników, a tym samym
do środków zgromadzonych w ich wirtualnych portfelach.
--------------------

Zgadzam się z Twoją tezą z poprzedniego postu, iż ataki są w tej chwili
skierowane przede wszystkim na użytkownika. To najtańszy i
najskuteczniejszy sposób. Wydaje mi się, iż w tym momencie nie ma
znaczenia z jakiego sprzętu czy systemu się korzysta. Zatem twierdzenie,
że ten bardziej, a tamten mniej bezpieczny nie jest uprawnione.

do góry

On 2019-08-04, Szymon <...@w...pl> wrote:

[...]

>> Cytat z artykułu:
>> "Aplikacja, którą zaraz opiszemy, nie była "złośliwa" w sensie bycia
>> "trojanem"; nie wykradała treści SMS-ów, kontaktów czy zdjęć użytkowników,
>> co notorycznie robią aplikacje ze sklepy Google Play, nawet te ze znaczkiem
>> "Verified by Play Protect", które właśnie odkrył Lukas Stefanko.
>
> Nie twierdzę, że system X jest bezpieczniejszy od Y. Wydaje mi się
> jedynie, iż systemów nie do ruszenia - nie ma.

Nie musi być.
Osiągnięcie odpowiedniego poziomu trudności złamania jest bardzo
często czynnikiem wystarczającym.

>> Nie mówimy o macu, tylko o iOS.
>
> Porównałem komputery, ale nie ma to większego znaczenia.

No właśnie ma.

Chyba nie do końca prześledziłeś o czym jest dyskusja. Wyszła ona od tego
"dlaczego" banki przechodzą na aplikacje. A przechodzą, bo są one tańsze
i bezpieczniejsze.

Jeśli Twoja autoryzacja z bankiem odbywa się przez aplikację, to w przypadku
iOS i obecnego modelu działania nie dość, że nikt się pod tą apkę nie podszyje
(co jest łatwe w przypadku SMS), to jeszcze będziesz od razu widział jak na
dłoni próbę wyłudzenia wysyłane tradycyjnym SMSem.

> Chodzi o pewien mechanizm działania. Możesz przyjrzeć się macowi, możesz
> iPhone'owi czy iPadowi... Zawsze najsłabszym ogniwem jest człowiek.
> Także w przypadku Windowsa/Androida.

Mechanizmy działania tych systemów są kompletnie inne.


>> Nie da się takiej aktualizacji przeprowadzić w iOS.
>
> Być może. Zdarzało się jednak, iż po aktualizacji "legalnej" system
> gorzej działał niż przed. Jednocześnie nie do końca wiadomo co one dają.
> Bardzo niewielu użytkowników jest w stanie wskazać "co się zmieniło?" po
> aktualizacji. Atak w tym kierunku byłby zatem skuteczny.
> "Nie da się" - odważna teza.

App Store obecnie ma ok. 2 mln aplikacji i tego rodzaju sytuacja
się nie zdarzyła. Przyjęty model dystrybucji uniemożliwia tego rodzaju
atak. Chyba że twierdzisz iż w celu shackowania posiadaczy mBanku ktoś
znajdzie środki i wiedzę by przełamać zabezpieczenia firmy Apple
a przy tym pozostanie niewykryty.

>>> Jednocześnie liczba aktualizacji jest na tyle duża, iż użytkownicy często
>>> automatycznie je akceptują lub instalują w tle.
>>
>> Aktualizacje praktycznie tylko idą w tle, ale jedynie z platformy
>> App Store. Nie ma możliwości aktualizowania aplikacji "skąd bądź".
>> A ta z App Store przechodzi ten sam proces review, co wcześniejsze
>> wersje.
>
> Jednak jak widać po wpisaniu "fałszywe aplikacje w Appstore" coraz
> więcej tego.

Ale Ty piszesz o zupełnie innych aplikacjach i tylko wrzucasz je do tego
samego worka. ŻADNA aplikacja nie będzie się w stanie podszyć pod inną
przez "aktualizację".

> Z kolejnego artykułu: Każda aplikacja dla systemu iOS przed pojawieniem
> się w App Store jest wcześniej poddawana procesowi weryfikacji, który ma
> odsiać programy naruszające regulamin sklepu. Niestety, mimo to
> deweloperom czasami udaje się przemycić tam szkodliwe oprogramowanie.

I nadal nie ma tu mechanizmu o którym tu rozmawiamy.

[...]

> Zgadzam się z Twoją tezą z poprzedniego postu, iż ataki są w tej chwili
> skierowane przede wszystkim na użytkownika. To najtańszy i
> najskuteczniejszy sposób. Wydaje mi się, iż w tym momencie nie ma
> znaczenia z jakiego sprzętu czy systemu się korzysta. Zatem twierdzenie,
> że ten bardziej, a tamten mniej bezpieczny nie jest uprawnione.

Oczywiście że *jest* bardziej bezpieczny i sam to udowadniasz szukając
statystyk. Na 2 mln aplikacji znalazłeś ich zaledwie kilka (i teraz to
już poszukałeś aplikacji sprzed 2 lat, która się utrzymała kilka dni).
A i nadal nie były to aplikacje które mogłyby podszyć się pod aplikację
mBaku i zamiast niej wysłać żądanie autoryzacyjne (ponownie wrócę do tematu
otwierającego wątek, czyli bezpieczeństwo autoryzacji SMS vs
już istniejąca, oficjalna aplikacja).

--
Wojciech Bańcer
w...@g...com

do góry