-
Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!2.eu.feeder.erj
e.net!feeder.erje.net!news.uzoreto.com!aioe.org!peer01.ams4!peer.am4.highwinds-
media.com!news.highwinds-media.com!newsfeed.neostrada.pl!unt-exc-02.news.neostr
ada.pl!unt-spo-b-01.news.neostrada.pl!news.neostrada.pl.POSTED!not-for-mail
From: Krzysztof Halasa <k...@p...waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: [mbank] 36 złotychrocznie za nieużywanieappki mobilnej
References: <8...@p...mekk.waw.pl>
<5fd28f64$0$541$65785112@news.neostrada.pl>
<s...@p...org>
<rqvlbp$1akb$1@gioia.aioe.org>
<s...@p...org> <m...@p...waw.pl>
<5fd70fb2$0$543$65785112@news.neostrada.pl>
<5fd73804$0$524$65785112@news.neostrada.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org>
Date: Wed, 23 Dec 2020 15:41:01 +0100
Message-ID: <m...@p...waw.pl>
Cancel-Lock: sha1:EYJEDXwKl1avqGP1520mD7a9GF4=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Lines: 65
Organization: Telekomunikacja Polska
NNTP-Posting-Host: 195.187.100.13
X-Trace: 1608734467 unt-rea-a-01.news.neostrada.pl 516 195.187.100.13:10637
X-Complaints-To: a...@n...neostrada.pl
X-Received-Bytes: 4719
Xref: news-archive.icm.edu.pl pl.biznes.banki:654820
[ ukryj nagłówki ]Wojciech Bancer <w...@g...com> writes:
> A, mówisz o tych kluczach, generowanych sprzętowo, do których trzeba
> podać komponent użytkownika (np. pin) aby potwierdzić autentyczność,
> ale do których nawet system nie ma dostępu? No do Secure Enclave (iOS)
> jest póki co znany jeden exploit, na procki starsze niż A12, ale wymaga
> fizycznego dostępu do urządzenia.
>
> Podobny mechanizm ma oczywiście android i jak masz nowe urządzenie,
> to jest spora szansa że tam takie rzeczy siedzą. Tu również tych
> exploitów specjalnie za dużo nie ma.
Pytanie tylko, czy bankowe apki mogą z tego korzystać, i czy korzystają?
BTW nie mam zaufania do kluczy "generowanych sprzętowo" (bez dokładnego
wyjaśnienia i możliwości weryfikacji co to oznacza). Zdecydowanie
korzystniejsze wydają mi się klucze, które można wygenerować dowolnym
sposobem, a następnie umieszcza się je w takiej czarnej skrzynce,
i tylko nie można ich (łatwo) stamtąd wyciągnąć. Jakoś przeżyje ten
moment, w którym klucze są w zwykłej pamięci RAM, i to, że można mieć
ich backup.
Podobnie nie wierzę w bezpieczeństwo szyfrowania w wielu aplikacjach -
np. ostatnio, konferencyjnych, w sytuacji, gdy nie mam żadnej kontroli
nad używanymi kluczami (są ściągane z serwera usługodawcy) itd.
> Oczywiście że nie, ale to diametralnie inna sytuacja.
> Po pierwsze malware bazuje na tym, że go uruchamiasz (socjotechnika),
> najczęściej z kontekstu usera administracyjnego (pod windows
> standardowe) i że przyklepiesz podniesienie uprawnień.
> "samo się" to nic się nie zainstaluje.
Z tym, że wiele razy właśnie "samo" się instalowało. Wykorzystując błędy
w przeglądarce czy w innym flashu. Np. demonstrowano wyciąganie danych
innych procesów (lub kernela) z RAMu przy użyciu JS w przeglądarce.
Problemy sprzętowe są trudne do załatania, zwłaszcza w telefonach, gdzie
każdy procent np. mocy obliczeniowej CPU jest istotny.
> Po drugie Windows nie odpala aplikacji w sandboxie,
> a iOS/Android i owszem, a w tym sandboksie użytkownik
> nie ma prawa dać aplikacji uprawnienia root.
Tak piszesz, jakby nie można było uzyskać roota w żadnym takim
przypadku.
Stare powiedzenie mówi, że jeśli ktoś (człowiek) uzyska dostęp lokalny
do czegokolwiek, to uzyska też prawa roota. Owszem, może się zdarzyć, że
to w danym przypadku będzie niemożliwe. Ale chodzi o to, by w każdym
przypadku było to niemożliwe, albo przynajmniej niepraktyczne.
> Więc jeśli chcesz wykorzystywać exploity by sobie zrootować
> urządzenie (do tego jeszcze zdalnie), to wersja systemu jak
> najbardziej się liczy, bo te dziury są łatane dość na bieżąco
> i nawet konkretna podwersja robi różnicę.
Ale wersja systemu jest ostatnia. Ostatnia wspierana. Wszędzie
w praktyce jednakowa.
Np. 4.1.2. I co wtedy?
No bo chyba nie myślisz, że mało ludzi takich używa?
Ja wiem, że można wyprodukować token, który będzie wystarczająco
bezpieczny. Zupełnie nie o to chodzi.
--
Krzysztof Hałasa
Następne wpisy z tego wątku
- 25.12.20 09:27 Wojciech Bancer
- 25.12.20 09:53 Wojciech Bancer
- 25.12.20 10:05 Kamil Jońca
- 25.12.20 10:57 Wojciech Bancer
- 25.12.20 23:32 Zdzichu500
- 25.12.20 23:44 Zdzichu500
- 25.12.20 23:49 Zdzichu500
- 26.12.20 02:06 Krzysztof Halasa
- 26.12.20 02:15 Krzysztof Halasa
- 26.12.20 16:04 _Master_
- 26.12.20 16:06 Krzysztof Halasa
- 26.12.20 16:07 _Master_
- 26.12.20 16:10 _Master_
- 26.12.20 16:12 Krzysztof Halasa
- 26.12.20 20:04 Alf/red/
Najnowsze wątki z tej grupy
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
- Dostałem nową kartę
- Velobank -- KK Mastercard
- cyrk Kometa
- uczcie się Anglicy
- no w końcu zadzwonił wnuczek
- zbyt silny złoty byłby problemem
Najnowsze wątki
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP
- 2024-04-23 Dostałem nową kartę
- 2024-04-22 Velobank -- KK Mastercard
- 2024-04-21 cyrk Kometa
- 2024-04-19 uczcie się Anglicy
- 2024-04-16 no w końcu zadzwonił wnuczek
- 2024-04-11 zbyt silny złoty byłby problemem