Кібіргігієна і Hacking

[Riznychenko]

magodzec, ось тут опис механізму роботи DroidLock.
Основна задача локера - змусити користувача встановити додаток та надати дозволи, маскуючись під щось нейтральне.

 

[Antares]

magodzec, як би це не смішно звучало, але була реклама серії S25. Ну не зовсім реклама, але світилось, як реклама у Фейсбук. Там було оголошення типу стали відомі основні характеристики, переходь за посиланням, щоб дізнатися.

по логіці, посилання повинно вікриватись в браузері за-замовчуванням, а сам браузер - це ізалльований простір. Але у додатку є свій внутрішній браузер, в якому воно скорійш за все відкрилося. Може у вредоноса зявилось більше можливості по взаємодії з користувачем, коли сповіщення від вредоноса було як сповіщеня від легітимного додатку. Песочниця може бути пробита, якщо в браузері була не закрита 0-day.

 

[magodzec]

встановити додаток та надати дозволи

Так і я ж про то саме. Ключове - "встановити додаток", а Bester мамой клянусь стверджує що нічого не встановлював, не кажучи вже про надання дозволів.

 

[Bester]

magodzec, я не зобов'язаний щось комусь доводити.

 

[magodzec]

Bester, та у тому випадку скоріше вам у підтримці Самсунгу не довели що ви (ймовірно сам того не зауваживши, і у всякому випадку не бажаючи того) встановили шкідливе ПЗ, хоча й справедливо зауважили про то
Ну їх зрозуміти можна, вони дійсно не зобов'язані були вам це доводити.

 

[Bester]

ну не вірю я

Коли написав, що я не зобов'язаний щось комусь доводити відповідав на це.

 

[Кочевник]

ну не вірю я що без встановлення шкідливої apk отак мертво залочився

А просто переглядом pdf або відео?
Вразливість контейнера.

 

[Bester]

Прочитав багато інформації. Є різні припущення, але взагалом зрозумів, що зловмисники якимось чином реєструють особисті пристрої у своєму «корпоративному» обліковому записі, а потім використовують його для дистанційного блокування екрана. По факту, коли погоджуєшся на перехід за зовнішнім посиланням фактично погоджуєшся прийняти запрошення організації.

 

[magodzec]

переглядом pdf або відео?
Вразливість контейнера

Як на мене, фантастика.

особисті пристрої у своєму «корпоративному» обліковому записі,

Щось я не уявляю як можна зареєструвати мій особистий пристрій у якомусь іншому обліковому записі без моєї згоди на то.

 

[Bester]

Щось я не уявляю як можна зареєструвати мій особистий пристрій у якомусь іншому обліковому записі без моєї згоди на то.

По факту, коли погоджуєшся на перехід за зовнішнім посиланням фактично погоджуєшся прийняти запрошення організації.

Читав інформацію на зарубіжних форумах. Люди там теж не зовсім розуміють механізму, але якось воно працює.

 

[Riznychenko]

Щось я не уявляю як можна зареєструвати мій особистий пристрій у якомусь іншому обліковому записі без моєї згоди на то.

На мою думку, це має бути адресована атака, коли зловмисник точно знає жертву, марку телефону (довбатись в IOS експлойтом для Android, ще й компільованим під One UI немає сенсу) і т.п. Але, такі замовні злами коштують дуже дорого.

 

[Кочевник]

Як на мене, фантастика.

Фантастика - це лише те, що ти не розумієш. Почитай про програмування. Про вказівники, їх передачу і вихід за межі блоку даних через переповнення буфера. А потім почитай, як реалізована обробка будь-якого контейнера, що архіву, що документу, що відео.

На мою думку, це має бути адресована атака

Те, що описав Bester якраз "мєтод широкого брєдня", атака була спрямована на всіх, хто тицне посилання. Сайт завдяки повному стеженню від гугля має повну картинку щодо версії операційки, патчів безпеки і тому подібне. Тож показати рекламу юзеру лише з конкретною операційкою не потрібно дуже сильно напрягатися. А потім і спробувати пару копійок з такого невдахи витрясти.

 

[Riznychenko]

Сайт завдяки повному стеженню від гугля має повну картинку щодо версії операційки, патчів безпеки і тому подібне.

Та годі параноїти. Такі заглушки "нажми мене" розміщують на доменах-одноденках 4-5 рівня. Там не те, що модуля аналітики, там нормальної адмінки не буде. Ніякий нормальний шахрай не стане палити свій ID гугл-аналітики, чи іншого інструменту - вичислять в 5 хв.

 

[magodzec]

Та годі параноїти.

Кочевник, погоджуюся з процитованим.

 

[debugger]

Та годі параноїти.

 

[webivan]

Якщо комусь реально треба буде, то 9й Андроід тотальне решето. Впринципі глобально усе решето що не отримує щомісячні оновлення безпеки. Навіть на телефони з останніми оновленнями безпеки існують експлойти, просто їх відносно швидко патчать і вони дорогі.
Реальні історії:
- знайомий подався на вакансію в українському силовому відомстві, протягом тижня його S21 FE раптом почав грітись коли не використовується і у мессендерах де ніколи не було дозволу на доступ до контактів він з'явився. Останніх оновлень безпеки не стояло. Після інциденту, телефон скинувся на заводські і останні оновлення були встановлені і більше не було ознак зламу, але тут не ясно то оновлення чи просто все що треба прочитали.
- іншому знайомому в Лондоні запропонували роботу на трастовий фонд підарського мінфіну, бо не так багато в лондоні юристів із знанням російської і потрібною спеціалізацією. Знайомий звісно відмовився, але якось підозріло одразу після дзвінка його 14й айфон підозріло блимнув екраном і пішов у перезавантаження. Інших ознак не було і можливо просто збіг, але привід задуматись.

Мораль - щоб мати хоча б надію на безпеку треба мати піксель або айфон з останніми оновленнями безпеки і встановлювати їх щойно приходять. На худий кінець - Самсунг, але там затримка оновлень безпеки десь на місяць порівняно з пікселем. У інших брендів ще гірше. Андроіди які не оновлюються роками - то просто прохідний двір.