Vlákno názorů k článku
Aplikace QRecorder z Google Play je nakažená malwarem, cílí i na české uživatele od sulthan - To si piste, ze za to droid muze. Spousta...

To si piste, ze za to droid muze.
Spousta opravneni je dost spatne nastavena. Jsou tam, mimojine, nasledujici problemy:

1. Nektere dost odlisna opravneni jsou dohromady, takze abyste mel pristup ke standardnim vecem, potrebujete mit pristup i k dost nebezpecnym vecem.
2. Opravneni maji nic nerikajici nazvy, bezny uzivatel tomu nerozumi.
3. Neexistuji urovne opravneni. Je rozdil mezi opravnenim, ktere umozni pristup k GPS a opravnenim, ktere umozni cist data ostatnich aplikaci.
4. Nektera opravneni by z hlediska bezpecnosti vubec nemela existovat.
5. Nelze aplikaci nainstalovat bez povoleni pristupu k danemu opravneni (coz treba na iOS jde).

V souhrnu kazda, i uplne jednoducha aplikace, potrebuje 5 a vice opravneni. To znamena, ze uzivatele to zpravidla jen odklikavaji (stejne tomu nerozumi). Coz tyto opravneni dela naprosto kontraproduktivnim, protoze na to nikdo nekouka.

Njn, ale kdyz je nekdo deb*l a povoli opravneni aplikaci pro nahravani hovoru cist SMS, nebo pristupovat k desktopu, tak je to holt tezky. Samotny adroid za tohle fakt nemuze.

Kdo má dva faktory na jednom zařízení, dělá z dvoufaktorové autentizace jednofaktorovou a je jedno, že k tomu používá nějakou aplikaci.

A aplikace, které by toto právo nerespektovaly (baterka která se odmítne zapnout bez přístupu k internetu) by prostě z appstoru letěly.

Androidu by velice pomohlo právo neudělit oprávnění.
Včetně práva neudělit oprávnění pro přístup k internetu.

Jenze jak jiz zaznelo, SMS v pripade ze pouzivate mobil zaroven pro pristup k bankovnicvi je uplne knicemu, a je uplne jedno zda si ji nekdo precte ze site. SMS ma smysl, pokud se do toho bankovnicvi prihlasujete z jineho zarizeni. A predevsim to zerizeni s pristrojem na ktery prijde sms nesmi byt naprosto nijak propojeno. Jiz jsem i videl uzasne aplikace, ktere vam kod vyplni i na pocitaci, kdyz telefon pripojite = prave jste efektivne zlikvidoval zabezpeceni nezavislym kanalem.

Moc bych se tím neohanel. Pokud dobre chápu, tak jste apple ovečka. Copak jste zapomněl na jejich bezpečnostní problémy, např poslední s root přístupem? Hm?

Ti odborníci by vám především řekli, že v okamžiku, kdy z mobilu lezete do internetového bankovnictví se už nejedná o dvoufaktorovou autentizaci.

O jake verzi Androidu mluvite? Na me 8.0.1 aplikace zazada o pravo az ve chvili, kdy je potrebuje, a pokud je odmitnu, tak bud funguje dal, nebo ne - to uz zalezi na autorovi aplikace. Samotny Android aplikaci nic nad ramec meho rozhodnuti nedovoluje.

Bod 5 není pravda, Od Androidu cca verze 6 se aplikaci nainstalují a o oprávnění požádají, až když ho potřebují.

Jake Google reklamy myslite? Vy porad povazujete za "cely Android" jenom nejaky levny cinsky smejd, ktery jste nahodou videl z rychliku?

Funguje skvěle, dokud mi někdo například neukradne mobil.

SMS autentikace neni jen nedoporucena. Ona je nebezpecna. Uz byly v USA utoky, kdy se utocnik napojil do mobilni site a cetl poslane SMS. Neni to ani technicky nejak extra slozite.

Si to zkuste vygooglit.
Obcházení čteček "univerzálními otisky", nebo třeba článek jak po odhalení jednoho způsobu jak obejít zadávání hesla je tento způsob výrobcem opraven, ale zároveň je přidán nový způsob, jak zadávání hesla obejít....

JJ. Napřed si mě vyhlídne a zaviruje mi počítač a pak si mě najde fyzicky a odposlechne smsku.
To zní jako hodně práce a jeho zisk tomu musí odpovídat.

Oprávnenia app sú niekedy nelogické, ale napriek tomu potrebné. BFU určite nebude študovať detaily ich použitia. Toto je naozaj problém Androidu, resp. Google Play.

U Fio Banky do částky 500 Kč (celkově max 2000 Kč za den).

tak to je samozřejmě jen a pouze problém uživatele. Pokud při aktivaci androidu odsouhlasí podmínky používání a pak si stěžuje, že nastavení oprávnění jsou složítá a jen je odklikává a pak mu někdo vyluxuje účet...
a ne vůbec to z uživatele nesnímá zodpovědnost na základě toho, že řekne, že to je složité a nerozumí tomu - tak to nemá používat, nebo si pak nemá stěžovat.

Zdroj?

Být velká firma, bojím se.
Ale kvůli nějakým pár stovkám tisíc se s tím nikdo fakt drbat nebude.

To neni tak jednoduche. SMS se pouzivaji na autorizaci na hodne mistech, napriklad na facebooku. Na nekterych mistech lze pres SMS dokonce resetovat heslo. Staci ziskat email & heslo, ktere se objevi pres leak na nejake sluzbe a jsou u vas na emailu i kdyz mate "2-faktorovou autorizaci". A jakmile jsou u vas na emailu, a jste treba programator, mohou se pak dostat treba na vas ucet na githubu. A jakmile jsou na githubu, mohou to nejakeho kodu nenapadne podstrcit virus (nebo reklamu nebo mining etc) a behem chvile to bude mit v pocitacich desetitisice lidi.

Nejhorsi na tom je, ze takove utoky uz se staly.

Jenze presne takovy pristup banky nejen ze umoznuji, ale dokonce podporuji a propaguji. Spousta bankovnich aplikaci pro telefony uz ani tu SMS nepouziva. Tudiz bych se vubec nebal prohlasit, ze za zcela libovounou ztratu financi mohou prave a pouze banky.

Totez totiz muze zpusobit zcela libovolna aplikace, i takova, ktere prislusna opravneni date proto, ze je preci naprosto logicky potrebuje.

Otisk prstu je zcela knicemu, vy svuj telefon pouzivate v rukavicich? V opacnem pripade je tech otisku na nem ktere se daji primitivne snadno vyuzit nejmene desitka. Krome toho aplikace ktera bezi na tom telefonu zadny otisk prstu nepotrebuje. Vy se totiz prihlasite sam a dobrovolne.

Zrejme jste nepochopil:

1. z nejakeho serveru uniknou hesla, ty se prodaji nebo se dostanou na dark net
2. hackeri je automaticky zacnou vyuzivat. Vezmou emaily a zjistuji, jestli dany email treba existuje na githubu nebo na paypalu.
3. ziskani telefonniho cisla neni zpravidla moc tezke
4. socialni inzenyrstvi (sim swap, prenos mobilniho cisla)

Pokud lze ziskat pristup treba k paypalu, tyka se to i jednotlivcu, nikoliv firem. A skody jsou znacne.

Problém není v Androidu, problém je v používání bezpečnostními odborníky nedoporučované SMS autentikace. Ti lidé, co mají potvrzování přes mobilní aplikaci jsou v pohodě, i na Androidu, viz doporučení ČS.

Tak to ale nebylo, tady reklamní společnost hrající si na dodavatele software zapomněla zkontrolovat, zda po aktualizaci aplikace nedělá co nemá. Chápu ale že je jim to jedno, dokud se zobrazují Google reklamy - jediný důvod existence této parodie na operační systém.

Co ale nechápu je přístup bank, že tohle stále tolerují.

Zase ten neopravitelný Sra*koid. Hlavně že se banky stále hrnou do podpory něčeho tak příšerného a ještě tvrdí, že ta zařízení snad mohou být bezpečná.