» »

Slabi časi za zasebnost v Androidu

strani: 1 2 »

Motion ::

njyngs je izjavil:

Mavrik je izjavil:

njyngs je izjavil:

Kaki ekstra security/privacy tips za droid userje? Razen tega, da ne nameščamo raznih fejsbukov in podobnih zadev, če pa že, pa se jim naj skine pravice za dostope do občutljivih vsebin?


1.) Imej Android 6.0 ter preglej kaj pustiš aplikacijam da berejo. Pred tem je totalen clusterfuck in ti aplikacije kradejo podatke o obnašanju, kontaktih in vsem kar levo in desno.
2.) Imej zaklenjen bootloader in vklopljen full-disk encryption.
3.) Imej dovolj dolgo geslo oz. PIN. Pri tem močno pomaga fingerprint reader ker ti ne teži za vsak odklep.
4.) Močno pomaga če imaš Nexus napravo ki se posodablja mesečno.

Še kaj? Tole se mi zdijo čiste osnove, ki bi jih v 2016 moral poznati in izpolnjevati vsak :)

Fingerprint scanner je daleč od varnega. Je blo že velikokrat dokazano.

Mavrik ::

njyngs je izjavil:


Še kaj? Tole se mi zdijo čiste osnove, ki bi jih v 2016 moral poznati in izpolnjevati vsak :)


Mislim to je to. Če maš enega posodobljenega Nexusa 5X s privzeto inštalacijo, solidnim geslom in vklopljenim senzorjem, ga je prekleto težko napasti in z njega dobiti podatke. Če uporabljaš Signal/Telegram/WhatsApp ipd. pa je tudi komunikacijo izjemno težko prestreči kakorkoli.

Motion je izjavil:


Fingerprint scanner je daleč od varnega. Je blo že velikokrat dokazano.


Daleč od popolnoma varnega ja. Je pa telefon z dobrim geslom in fingerprint scannerjem bistveno bolj varen kot pa telefon s slabim geslom ali brez gesla (ker se ne da uporabniku vtipkavati dolgega gesla pri vsakem odklepu). Fingerprint scanner je lastnoročno poskrbel da je po novem večino telefonov s njimi zelo težko napadati ker imajo skoraj vsi uporabniki nastavljeno geslo za zaklep in enkripcijo vklopljeno.
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

matijadmin ::

Matthai je izjavil:

njyngs je izjavil:

Problem je, ker ponujajo enkratna gesla, da potem ni treba vedno znova logina delat.

Laž.

V ozadju so (vsaj pred nekaj časa, ko sem bil na predstavitvi varnostne analize) uporabljali isti master key. Isti za vse mobilne aplikacije pri vseh strankah. In to ni veljalo samo za eno banko, pač pa za več bank. V Sloveniji in na Balkanu.

Se pravi ko si uspel izvleči master key, si se lahko na banko prijavil kot poljuben uporabnik. OTP gesla so bila pa samo za odklep tega master keya in so bila v bistvu navadno zavajanje.

Tolk o opevani varnosti bank.

Tega za glavni ključ nisem vedel. Hec je, da sodna praksa ščiti komitenta in praktično kar koli stori 3. oseba, plača banka. :)

Matthai je izjavil:

Glede bančnih web aplikacij sem tudi že videl marsikaj... 8-) Recimo totalno neustrezne auth mehanizme.

Je pa res, da se web applikacije spreminjajo v povprečju na 14 dni...

Moja mobilna tudi. :)
Vrnite nam techno!

Zgodovina sprememb…

MrStein ::

Moja pa je ista že od namestitve. :P
(no, ni moja ampak Sparkassina)

njyngs je izjavil:

Mavrik je izjavil:

njyngs je izjavil:

Kaki ekstra security/privacy tips za droid userje? Razen tega, da ne nameščamo raznih fejsbukov in podobnih zadev, če pa že, pa se jim naj skine pravice za dostope do občutljivih vsebin?


1.) Imej Android 6.0 ter preglej kaj pustiš aplikacijam da berejo. Pred tem je totalen clusterfuck in ti aplikacije kradejo podatke o obnašanju, kontaktih in vsem kar levo in desno.

Še kaj? Tole se mi zdijo čiste osnove, ki bi jih v 2016 moral poznati in izpolnjevati vsak :)

Povej to proizvajalcem.
Android 6.0 ima nameščenih ravno tam 10% uporabnikov.
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

matijadmin ::

Mavrik je izjavil:

njyngs je izjavil:

Kaki ekstra security/privacy tips za droid userje? Razen tega, da ne nameščamo raznih fejsbukov in podobnih zadev, če pa že, pa se jim naj skine pravice za dostope do občutljivih vsebin?


1.) Imej Android 6.0 ter preglej kaj pustiš aplikacijam da berejo. Pred tem je totalen clusterfuck in ti aplikacije kradejo podatke o obnašanju, kontaktih in vsem kar levo in desno.
2.) Imej zaklenjen bootloader in vklopljen full-disk encryption.
3.) Imej dovolj dolgo geslo oz. PIN. Pri tem močno pomaga fingerprint reader ker ti ne teži za vsak odklep.
4.) Močno pomaga če imaš Nexus napravo ki se posodablja mesečno.

Dovolj dolgo in kompleksno geslo je praktično nemogoče uporabljati na Androidu brez roota, ker samo tako lahko ločiš preverjanji pristnosti zaklepa zaklona ib pred zagonomo. Valda ne boš vsakokrat tipkal n dolge klobase.

Zdaj ti vse tisto omojevanje dostopa ne pomaga kaj dosti, če ti isti podatki ekskluzivno in brez možnosti omejevanja odtekajo v Googlov račun.

Dejansko bi bil veliko bolj varen, da bi z nekim fake ID-jem pobiral aplikacije iz trgovibe in jih nato ročno nameščal na telefon, kjer se nikoli ne bi prijavil z računom. IMO je to za Android trenutno najboljša možnost. Malo bi si (ali pa kolegom) poenostavil, če bi si postavil lastno infrastrukturo (svoj F-Droid), pa ažurno tja dajal sveže žemljice iz Googlove pekarne. Vendar F-Droid (ta javni repozitorij) odsvetujem. Ker so vse stvari centralno podpisovane!

Matthai je izjavil:

Ja, imaš prav. Ampak po moje bi morala tukaj Article 29 WP nekaj narediti. Ker po tem, ko je data retention padel praktično po vsej Evropi, je takole početje Googla nevzdržno.

Prijavi našim in evropskim pristojnim inštitucijam. :)
Vrnite nam techno!

Zgodovina sprememb…

Mavrik ::

Zato pa je fingerprint senzor praktično obvezen. Z njim moraš "klobaso" napisati samo enkrat pri zagonu in potem morda samo če imaš mokre prste. Nikako ni to "praktično nemogoče".

Ni naključje da so postali iPhoni bistveno varnejši ko so vsi dobili TouchID.
The truth is rarely pure and never simple.

matijadmin ::

Mavrik je izjavil:

Zato pa je fingerprint senzor praktično obvezen. Z njim moraš "klobaso" napisati samo enkrat pri zagonu in potem morda samo če imaš mokre prste. Nikako ni to "praktično nemogoče".

Ni naključje da so postali iPhoni bistveno varnejši ko so vsi dobili TouchID.

Ja, praktično nemogoče je. Ko rabiš hitro telefon, med vožnjo in še v kakšni povsem življenjski situaciji.

Čitalec prstnih odtisov je pri zagotavljanju najvišje stopnje varnosti povsem neprimerna rešitev. Z laserskim tiskalniko, papirjem, fotoaparatom in kozarcem, ki si ga uporabil se da zadevo dejansko (brez neke znanosti) odkleniti. Apple ni zaradi tega nič bolj varen, enako ali celo manj kot, če na novejših napravah uporabljaš samo kratek pin. ZakJ, je razloženo v povezavah Matthaia. Ker je ključ za odklep derivat nekega dobro izoliranega ključa, zapisanega nekje v napravi in pina ali še konkretnega gesla ali funkcionalnega rezultata preverjanja odtisa ter, ker je na strojni zasnovi, kjer se nahaja ta "strojni" ključ onemogočeno večkratno poskušanje (torej je preprečen napad z grobo silo na ta šibki člen).
Vrnite nam techno!

no comment ::

matijadmin je izjavil:


Čitalec prstnih odtisov je pri zagotavljanju najvišje stopnje varnosti povsem neprimerna rešitev.

Povprečni uporabniki ne iščejo najvišje stopnje varnosti.

Sicer bi ne imeli telefonov, se ne bi vozili z avtomobili, ne bi foookali in bi na sploh živeli precej mizerno življenje.

Egidij88 ::

Pa ob fingerprintu, enkripciji itd. je pametno, da nimaš shranjenih kakšnih pomembnih gesel. Če že rabiš banko na telefonu pač vpišeš geslo.
I5-4460, 12GB DDR3, 256GB Crucial BX100, GTX960, Win10.
OnePlus 6

Mavrik ::

matijadmin je izjavil:


Ja, praktično nemogoče je. Ko rabiš hitro telefon, med vožnjo in še v kakšni povsem življenjski situaciji.

Čitalec prstnih odtisov je pri zagotavljanju najvišje stopnje varnosti povsem neprimerna rešitev. Z laserskim tiskalniko, papirjem, fotoaparatom in kozarcem, ki si ga uporabil se da zadevo dejansko (brez neke znanosti) odkleniti. Apple ni zaradi tega nič bolj varen, enako ali celo manj kot, če na novejših napravah uporabljaš samo kratek pin. ZakJ, je razloženo v povezavah Matthaia. Ker je ključ za odklep derivat nekega dobro izoliranega ključa, zapisanega nekje v napravi in pina ali še konkretnega gesla ali funkcionalnega rezultata preverjanja odtisa ter, ker je na strojni zasnovi, kjer se nahaja ta "strojni" ključ onemogočeno večkratno poskušanje (torej je preprečen napad z grobo silo na ta šibki člen).


Joj, daj enkrat probaj telefon s takim bralnikom in se pozanimaj kako delujejo in potem govori take neumnosti no :/ Trenutne implementacije telefonov s takimi bralniki so _BISTVENO_ varnejše. Že zaradi tega ker ti OMOGOČAJO daljša gesla in obenem hiter dostop do telefona tudi v "življenjski" situaciji.

Nexus 5X se prižge in odklene praktično ob dotiku obročka, kar pomeni da je bistveno hitrejši kot katerikoli PIN, obenem pa bistveno varnejši ker ima v TrustZone shranjene kriptoključe. Obenem pa ne pusti prijave s senzorjem pri prvem zagonu tako da se ga ne da zlorabit za recimo dump podatkov s telefona, ker vse varnostno občutljive stvari zahtevajo vpis gesla.
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

matijadmin ::

Kolega, v primeru sheme FDE, ki jo uporablja iOS, je PIN z omejitvijo poskusov odklepa bolj varen kot branje prstnih odtisov. Najšibkejšega člena se ne moreš lotiti z grobo silo, pri čemer lahko za prstni odtis vadiš na enaki napravi. Zaradi strojno programske zasnove, malo si poglej, kakšna je. O prstnih od Appla pa toliko: http://www.cnet.com/news/apples-touch-i...
https://www.schneier.com/blog/archives/... (malo nižje v zapisu na blogu)

Hja, a tole v ta isti hroščast in ranljiv TrustZone shranjuje Nexus? Fino.
Vrnite nam techno!

Mavrik ::

Kateri del stavka "telefon ne pusti avtentikacije z prstnim odtisom pri varnostno občutljivih operacijah in zagonu" ti ni jasen?

Kateri del TrustZona je "hroščat" konkretno? A mi lahko opišeš postopek ali trabunjaš na pamet?

Ker to kar ti pišeš zgleda kot da si prebral naslove parih člankov, v resnici pa ne razumeš problematike in člankov ki si jih prebral.
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

Motion ::

Mavrik je izjavil:

matijadmin je izjavil:


Ja, praktično nemogoče je. Ko rabiš hitro telefon, med vožnjo in še v kakšni povsem življenjski situaciji.

Čitalec prstnih odtisov je pri zagotavljanju najvišje stopnje varnosti povsem neprimerna rešitev. Z laserskim tiskalniko, papirjem, fotoaparatom in kozarcem, ki si ga uporabil se da zadevo dejansko (brez neke znanosti) odkleniti. Apple ni zaradi tega nič bolj varen, enako ali celo manj kot, če na novejših napravah uporabljaš samo kratek pin. ZakJ, je razloženo v povezavah Matthaia. Ker je ključ za odklep derivat nekega dobro izoliranega ključa, zapisanega nekje v napravi in pina ali še konkretnega gesla ali funkcionalnega rezultata preverjanja odtisa ter, ker je na strojni zasnovi, kjer se nahaja ta "strojni" ključ onemogočeno večkratno poskušanje (torej je preprečen napad z grobo silo na ta šibki člen).


Joj, daj enkrat probaj telefon s takim bralnikom in se pozanimaj kako delujejo in potem govori take neumnosti no :/ Trenutne implementacije telefonov s takimi bralniki so _BISTVENO_ varnejše. Že zaradi tega ker ti OMOGOČAJO daljša gesla in obenem hiter dostop do telefona tudi v "življenjski" situaciji.

Nexus 5X se prižge in odklene praktično ob dotiku obročka, kar pomeni da je bistveno hitrejši kot katerikoli PIN, obenem pa bistveno varnejši ker ima v TrustZone shranjene kriptoključe. Obenem pa ne pusti prijave s senzorjem pri prvem zagonu tako da se ga ne da zlorabit za recimo dump podatkov s telefona, ker vse varnostno občutljive stvari zahtevajo vpis gesla.

Od teh sistemov autentifikacije brez pin kode, se mi zdi da edino realsense camera, ki jo uporablja windows hello naprimer, ni bila zlomljen oziroma kako drugače pretentana

Zgodovina sprememb…

  • spremenilo: Motion ()

AC_DC ::

Nexus ima fingerprint senzor ?

Motion ::

ja

MrStein ::

Nekateri Nexusi, prve generacije kolikor vem niso imele.
5X recimo ima.
Teštiram če delaž - umlaut dela: ä ?

Matthai ::

MrStein je izjavil:

Moja pa je ista že od namestitve. :P
(no, ni moja ampak Sparkassina)

Ahem.
All those moments will be lost in time, like tears in rain...
Time to die.

MrStein ::

?
Jaz sem govoril o mobilni aplikaciji, ki obstaja šele nekje od leta 2015. (tvoj dokument je iz 2010)
Teštiram če delaž - umlaut dela: ä ?

Matthai ::

Hmm, to je sicer res, ampak recimo, da to področje poznam nekoliko bolj podrobno in sem hotel s tem linkom nekaj povedat... ;)
All those moments will be lost in time, like tears in rain...
Time to die.

matijadmin ::

Mavrik je izjavil:

Kateri del stavka "telefon ne pusti avtentikacije z prstnim odtisom pri varnostno občutljivih operacijah in zagonu" ti ni jasen?

No, če gre potem za dva ločena mehanizma preverjanja pristnosti, fino. Za iOS vem, da je tako za Android pa sem mislil, da me prepričuješ v povsem nekaj drugega.

Mavrik je izjavil:


Kateri del TrustZona je "hroščat" konkretno? A mi lahko opišeš postopek ali trabunjaš na pamet?

Ker to kar ti pišeš zgleda kot da si prebral naslove parih člankov, v resnici pa ne razumeš problematike in člankov ki si jih prebral.


Pri napravah, ki jih prizadene zgoraj (v novici) polinkana ranljivost. In mnoge tudi niso ali celo ne bodo prejele popravkov, tako da jih je polovica ranljivih.
Vrnite nam techno!

shadeX ::

Evo še en dokaz,

Lahko imaš najvarnejši OS vseh časov, pa še vedno te ne more varovati pred lastno neumnostjo.

VELENJE - V torek dopoldne so policiste obvestili o goljufiji.

Neznanec je prek računalniške aplikacije spravil v zmoto oškodovanca v Velenju, ki mu je prek banke nakazal kupnino 2250 evrov za motorno kolo, nato pa je izbrisal podatke internetnega uporabnika, so sporočili celjski policisti.


Klik

nebivedu ::

Če je nakazoval v sloveniji na slovenski transakcjski račun ali v SEPA območju na transakcijski račun države v EU se točno ve komu je nakazal denar, ker ima aplikacija zgodovino in banka loge, kam je šel denar, potem se pa zaradi goljufije lahko preko policije dobi tudi imetnika računa, kamor je denar bil nakazan.

Če je pa nakazal v tujino, ki ni v SEPA, je pa druga stvar, ampak za tja se pa zavaruješ kako drugače.

matijadmin ::

Vrnite nam techno!
strani: 1 2 »


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Slabi časi za zasebnost v Androidu (strani: 1 2 )

Oddelek: Novice / Varnost
7211740 (7340) matijadmin
»

ARM dobil 64 bitov (strani: 1 2 )

Oddelek: Novice / Procesorji
5111165 (5119) trnvpeti
»

AMD predstavil svoji prvi strežniški procesor na ARM

Oddelek: Novice / Procesorji
487717 (4488) Šolar
»

Akustični napad na RSA šifrirne ključe

Oddelek: Novice / Varnost
4210426 (6187) Matthai
»

Raziskovalci uspeli rekonstruirati 1024-bitni RSA ključ v 104 urah

Oddelek: Novice / Varnost
53534 (2690) Matevžk

Več podobnih tem