Podano kilka przykladow podstawowych bledow znalezionych w aplikacjach
na smartfony oferowane przez polskie banki:

https://niebezpiecznik.pl/post/bledy-w-aplikacjach-m
obilnych-polskich-bankow/

Niby juz polatane te dziury ale zastanawa mnie, ze ktos znajduje tak
podstawowe bledy w aplikacjach pracujacych z tak wrazliwymi danymi jak
nasze finanse. IMHO oznacza to, ze banki nie traktuja tego powaznie
(realnych uzytkownikow nie ma tak duzo jak to banki raportuja?) i nie
przprowadzaja podstawowych testow bezpieczenstwa. Ciekawe jakie jeszcze
bledy sie tam znajduja....


Pozdrawiam,
Marcin

do góry

"Marcin" 582b885c$0$5144$6...@n...neostrada.pl

> Niby juz polatane te dziury ale zastanawa mnie, ze ktos znajduje
> tak podstawowe bledy w aplikacjach pracujacych z tak wrazliwymi
> danymi jak nasze finanse. IMHO oznacza to, ze banki nie traktuja
> tego powaznie (realnych uzytkownikow nie ma tak duzo jak to banki
> raportuja?) i nie przprowadzaja podstawowych testow bezpieczenstwa.
> Ciekawe jakie jeszcze bledy sie tam znajduja....

I ja uważam, że mało nam płacą za agresywne testowanie aplikacji. :)

--
_._ _,-'""`-._ .`'.-. ._. http://eneuel.w.duna.pl .-.
(,-.`._,'( |\`-/| .'O`-' ., ; o.' http://danutac.net.pl '.O_'
`-.-' \ )-`( , o o) `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`.,
-bf- `- \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/......

do góry

W dniu 2016-11-16 o 04:09, Eneuel Leszek Ciszewski pisze:
>
> "Marcin" 582b885c$0$5144$6...@n...neostrada.pl
>
>> Niby juz polatane te dziury ale zastanawa mnie, ze ktos znajduje
>> tak podstawowe bledy w aplikacjach pracujacych z tak wrazliwymi
>> danymi jak nasze finanse. IMHO oznacza to, ze banki nie traktuja
>> tego powaznie (realnych uzytkownikow nie ma tak duzo jak to banki
>> raportuja?) i nie przprowadzaja podstawowych testow bezpieczenstwa.
>> Ciekawe jakie jeszcze bledy sie tam znajduja....
>
> I ja uważam, że mało nam płacą za agresywne testowanie aplikacji. :)
>

Słusznie prawisz - ot, rzucą siakąś lokatę mobilną
z dodanym "ochłapem" procenta & marną kwotę ~10k - i tyla ;)

Ps. Miałem ostatnio przetestować "przelew na telefon"
i jakoś brakło mi chęci... ale może jakieś wisienki przyjmę tą drogą ? LOL

Pozdro

do góry

On 2016-11-15, Marcin <n...@n...com> wrote:

> Niby juz polatane te dziury ale zastanawa mnie, ze ktos znajduje tak
> podstawowe

"Tak podstawowe błędy" zostały opisane tak:

"Na koniec, jeśli korzystacie z którejś z testowanych przez Tomasza aplikacji
mobilnej, uspokajamy. Błędy występują, ataki są możliwe, ale poza incydentalnymi
przypadkami, nie stanowią one dużego zagrożenia, które rozumiemy jako natychmiastowa,

masowa kradzież środków z kont klientów lub ich danych."

więc nie przesadzałbym.

--
Wojciech Bańcer
w...@g...com

do góry

Użytkownik "Marcin" napisał w wiadomości grup
dyskusyjnych:582b885c$0$5144$6...@n...neostrada
.pl...
>Podano kilka przykladow podstawowych bledow znalezionych w
>aplikacjach na smartfony oferowane przez polskie banki:
>https://niebezpiecznik.pl/post/bledy-w-aplikacjach-
mobilnych-polskich-bankow/

>Niby juz polatane te dziury ale zastanawa mnie, ze ktos znajduje tak
>podstawowe bledy w aplikacjach pracujacych z tak wrazliwymi danymi
>jak nasze finanse. IMHO oznacza to, ze banki nie traktuja tego
>powaznie (realnych uzytkownikow nie ma tak duzo jak to banki
>raportuja?) i nie przprowadzaja podstawowych testow bezpieczenstwa.
>Ciekawe jakie jeszcze bledy sie tam znajduja....

Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy system
informatyczny zawiera nieskonczona ilosc bledow, tylko nie wszystkie
zostaly jeszcze wykryte.

Po drugie - bank rzadko pisze jakies aplikacje, raczej je po prostu
zamawia.
U taniego dostawcy, ktory zatrudnia studentow. No to jak one moga byc
dobre ?
W dodatku termin goni, na testowanie nie ma czasu :-)

Po trzecie - wykorzystanie takiej wykrytej dziury wymaga zlych ludzi i
nakladu pracy z ich strony, a czesto jeszcze dodatkowych dziur, wiec
nasze pieniadze sa dosc bezpieczne.

J.

do góry

W dniu środa, 16 listopada 2016 13:55:49 UTC+1 użytkownik J.F. napisał:
> Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy system
> informatyczny zawiera nieskonczona ilosc bledow, tylko nie wszystkie
> zostaly jeszcze wykryte.
>
> Po drugie - bank rzadko pisze jakies aplikacje, raczej je po prostu
> zamawia.
> U taniego dostawcy, ktory zatrudnia studentow. No to jak one moga byc
> dobre ?
> W dodatku termin goni, na testowanie nie ma czasu :-)
>
> Po trzecie - wykorzystanie takiej wykrytej dziury wymaga zlych ludzi i
> nakladu pracy z ich strony, a czesto jeszcze dodatkowych dziur, wiec
> nasze pieniadze sa dosc bezpieczne.
>
> J.

Nie ma oprogramowania idealnego - o czym swiadcza dziury w systemach operacyjnych -
niektore dziury nie sa zalatane przez wiele lat (bo nikt o nich nie wie, albo nie
znalazl sie nikt, kto wiedzialby jak je wykryc/wykorzystac). Natomiast pytanie czy
wszystkie bledy sa dziurami, ktore mozna wykorzystac w celu wlamania -oczywiscie, ze
tak nie jest. Co do zabezpieczen - duze audyty robi sie przy wiekszych aktualizacjach
- to zajmuje czas i pieniadze. Dlatego robi sie to cyklicznie - ale to powoduje, ze
przy mniejszych poprawkach pojawiaja sie jakies bledy.

Na tym rynku jest tylko kilka firm i kazda chce jakos zaistniec. Te bledy, ktore
zostaly wykryte - nie sa jakies krytyczne - czesto wynikaja z jakiegos niechlujstwa
progamistow. A pamietajcie, ze pisze sie na 2-3 duze platformy, a do tego jest to
znacznie wieksza sztuka niz w przypadku stron WWW. Deweloperow jest malo, a tych
doswiadczonych jeszcze mniej. Z mojej perspektywy media przedstawily to tak, zeby sie
naklikalo, zedne jakos nie pokusilo sie o ocene tych bledow i sformulowania
prawdopodoienstwa skutecznego ataku.

do góry

W dniu 16.11.2016 o 13:32, Wojciech Bancer pisze:
> "Tak podstawowe błędy" zostały opisane tak: [...]

> więc nie przesadzałbym.

Są o tyle podstawowe, że - z pamięci - zostały znalezione z marszu,
przez kilka godzin każdy, w dodatku nie dotykając komunikacji z bankiem.
I są w większości takiego kalibru, że *nie powinny* się wydarzyć - hasła
testowe, nieużywana biblioteka, pominięcie sprawdzenia czegoś, używanie
niezaufanych danych.
Świadczy to o ogólnym niechlujstwie / pośpiechu, a w takim razie mogły
zostać niewykryte znacznie bardziej bolesne niedopatrzenia. A czego byś
chciał żeby 'przesadzić', możliwości wyprowadzenia feftyliona $$
dostępnej dla każdego bardziej dociekliwego studenta 1-go roku?

--
Alf/red/

do góry

W dniu środa, 16 listopada 2016 20:08:40 UTC+1 użytkownik Alf/red/ napisał:
> - hasła testowe,
Jakie to zagrożenie dla zwykłego Kowalskiego?

do góry

Kris wrote:

> W dniu środa, 16 listopada 2016 20:08:40 UTC+1 użytkownik Alf/red/
> napisał:
>> - hasła testowe,
> Jakie to zagrożenie dla zwykłego Kowalskiego?

To pokazało schemat haseł, jaki siedzi w głowach ludzi od IT tego banku.

Jest wysoce prawdopodobne, że są to też domyślne hasła np. na nowych userów
(nowych pracowników oddziałów, etc.).

Poza tym to były prawdopodobnie konta testowe na produkcji - z prawdziwymi
pieniędzmi, które można było prawdopodobnie ukraść.

--
Wysłane z pola.

do góry

On 2016-11-16, Alf/red/ <a...@u...waw.pl> wrote:

[...]

> Są o tyle podstawowe, że - z pamięci - zostały znalezione z marszu,
> przez kilka godzin każdy, w dodatku nie dotykając komunikacji z bankiem.
> I są w większości takiego kalibru, że *nie powinny* się wydarzyć - hasła
> testowe,

Kompletnie nieistotne z punktu widzenia klienta.
I z tą produkcją, to nikt tego nie potwierdził.

> nieużywana biblioteka,

Pokaż mi przypadek shakowania NIEUŻYWANEJ (w tym nieuruchamianej)
biblioteki, proszę Cię. Jak masz nieużywany plik/bibliotekę na dysku,
to krzywda Ci się od niego stanie?

> pominięcie sprawdzenia czegoś,

No brzmi serio-serio :)

> używanie niezaufanych danych.

Z tego co przeczytałem, to do wyświetlenia:
- menu aplikacji
- regulaminów
- pdfów
więc hm.

> Świadczy to o ogólnym niechlujstwie / pośpiechu, a w takim razie mogły
> zostać niewykryte znacznie bardziej bolesne niedopatrzenia.

Nie zgodzę się. Świadczy to IMHO jedynie o medialnym rozdmuchaniu mało
istotnych pierdół w imię szukania sensacji.

> chciał żeby 'przesadzić', możliwości wyprowadzenia feftyliona $$
> dostępnej dla każdego bardziej dociekliwego studenta 1-go roku?

Chciałbym, żeby nikt nie robił z pierdół sensacji medialnej, ale
na co ja w sumie liczę...

--
Wojciech Bańcer
w...@g...com

do góry