Aplikace QRecorder z Google Play je nakažená malwarem, cílí i na české uživatele

To si piste, ze za to droid muze.
Spousta opravneni je dost spatne nastavena. Jsou tam, mimojine, nasledujici problemy:

1. Nektere dost odlisna opravneni jsou dohromady, takze abyste mel pristup ke standardnim vecem, potrebujete mit pristup i k dost nebezpecnym vecem.
2. Opravneni maji nic nerikajici nazvy, bezny uzivatel tomu nerozumi.
3. Neexistuji urovne opravneni. Je rozdil mezi opravnenim, ktere umozni pristup k GPS a opravnenim, ktere umozni cist data ostatnich aplikaci.
4. Nektera opravneni by z hlediska bezpecnosti vubec nemela existovat.
5. Nelze aplikaci nainstalovat bez povoleni pristupu k danemu opravneni (coz treba na iOS jde).

V souhrnu kazda, i uplne jednoducha aplikace, potrebuje 5 a vice opravneni. To znamena, ze uzivatele to zpravidla jen odklikavaji (stejne tomu nerozumi). Coz tyto opravneni dela naprosto kontraproduktivnim, protoze na to nikdo nekouka.

Njn, ale kdyz je nekdo deb*l a povoli opravneni aplikaci pro nahravani hovoru cist SMS, nebo pristupovat k desktopu, tak je to holt tezky. Samotny adroid za tohle fakt nemuze.

Kdo má dva faktory na jednom zařízení, dělá z dvoufaktorové autentizace jednofaktorovou a je jedno, že k tomu používá nějakou aplikaci.

Pruser je ze tahle appka mela nekolik dnu reklamy v ruznych hrach atp. Takze proto ji ma nainstalovanou takove mnozstvi lidi...

A proč že v androidu nahrávání hovorů není by default?

A aplikace, které by toto právo nerespektovaly (baterka která se odmítne zapnout bez přístupu k internetu) by prostě z appstoru letěly.

Androidu by velice pomohlo právo neudělit oprávnění.
Včetně práva neudělit oprávnění pro přístup k internetu.

Jenze jak jiz zaznelo, SMS v pripade ze pouzivate mobil zaroven pro pristup k bankovnicvi je uplne knicemu, a je uplne jedno zda si ji nekdo precte ze site. SMS ma smysl, pokud se do toho bankovnicvi prihlasujete z jineho zarizeni. A predevsim to zerizeni s pristrojem na ktery prijde sms nesmi byt naprosto nijak propojeno. Jiz jsem i videl uzasne aplikace, ktere vam kod vyplni i na pocitaci, kdyz telefon pripojite = prave jste efektivne zlikvidoval zabezpeceni nezavislym kanalem.

Na Google Play je smazaná aplikace com.apps.callvo­icerecorder (v cache Google se lze podívat na dřívější detail). Podobnost jména, id i grafiky s com.abc.callvo­icerecorder je hodně podezřelá.

Moc bych se tím neohanel. Pokud dobre chápu, tak jste apple ovečka. Copak jste zapomněl na jejich bezpečnostní problémy, např poslední s root přístupem? Hm?

Ti odborníci by vám především řekli, že v okamžiku, kdy z mobilu lezete do internetového bankovnictví se už nejedná o dvoufaktorovou autentizaci.

Nechápem, prečo v podobných článkoch nie je zmienka o možnosti potvrdzovania transakcií cez samotnú aplikáciu mobilného bankovníctva. Áno SMS môžu byť zneužité, ale neverím, že by útočníci dokázali napadnúť aplikáciu mobilného bankovníctva a zasiahnuť do šifrovanej komunikácie medzi aplikáciou a bankou.

O jake verzi Androidu mluvite? Na me 8.0.1 aplikace zazada o pravo az ve chvili, kdy je potrebuje, a pokud je odmitnu, tak bud funguje dal, nebo ne - to uz zalezi na autorovi aplikace. Samotny Android aplikaci nic nad ramec meho rozhodnuti nedovoluje.

Bod 5 není pravda, Od Androidu cca verze 6 se aplikaci nainstalují a o oprávnění požádají, až když ho potřebují.

Jake Google reklamy myslite? Vy porad povazujete za "cely Android" jenom nejaky levny cinsky smejd, ktery jste nahodou videl z rychliku?

Funguje skvěle, dokud mi někdo například neukradne mobil.

Nejdřív ovšem musíte bance dokázat, že jste ty peníze nepřevedl vy. Což bude docela problém, pokud proběhlo korektní přihlášení do IB, korektní zadání platby a autentifikace přes SMS proběhla také správně. Za jak dlouho asi bude hotov znalecký posudek, že byl mobil skutečně napaden trojanem?

SMS autentikace neni jen nedoporucena. Ona je nebezpecna. Uz byly v USA utoky, kdy se utocnik napojil do mobilni site a cetl poslane SMS. Neni to ani technicky nejak extra slozite.

Naopak, v bankovnictvi se to resi tak, ze banka penize vratit okamzite a pak se teprve resi, jestli to bylo opravnene. V techto pripadech jde pravdepodobne stejne o chybu nizkeho zabezpeceni na strane banky.

Si to zkuste vygooglit.
Obcházení čteček "univerzálními otisky", nebo třeba článek jak po odhalení jednoho způsobu jak obejít zadávání hesla je tento způsob výrobcem opraven, ale zároveň je přidán nový způsob, jak zadávání hesla obejít....

JJ. Napřed si mě vyhlídne a zaviruje mi počítač a pak si mě najde fyzicky a odposlechne smsku.
To zní jako hodně práce a jeho zisk tomu musí odpovídat.

Oprávnenia app sú niekedy nelogické, ale napriek tomu potrebné. BFU určite nebude študovať detaily ich použitia. Toto je naozaj problém Androidu, resp. Google Play.

U Fio Banky do částky 500 Kč (celkově max 2000 Kč za den).

Tak on Google vždy dbal na security and privacy, že ano :-)))))

Chrome 69 will keep Google Cookies when you tell it to delete all cookies

tak to je samozřejmě jen a pouze problém uživatele. Pokud při aktivaci androidu odsouhlasí podmínky používání a pak si stěžuje, že nastavení oprávnění jsou složítá a jen je odklikává a pak mu někdo vyluxuje účet...
a ne vůbec to z uživatele nesnímá zodpovědnost na základě toho, že řekne, že to je složité a nerozumí tomu - tak to nemá používat, nebo si pak nemá stěžovat.

Zdroj?

Protoze je nahravani hovoru bez upozorneni v rade zemi nelegalni(i u nas je to prinejmensim seda zona) a pro vyrobce je tak jednodussi to mit v zakladu zablokovane pro vsechny. Nekde se to da aktivovat s rootem, jinde to funguje bez problemu a u spousty telefonu je to zadratovane uz nekde v hardwaru a jedinym resenim je nahravat pres mikrofon. iphone nemam, ale co jsem zbezne googlil, tak to vypada, ze tam je situace podobna.

Být velká firma, bojím se.
Ale kvůli nějakým pár stovkám tisíc se s tím nikdo fakt drbat nebude.

To neni tak jednoduche. SMS se pouzivaji na autorizaci na hodne mistech, napriklad na facebooku. Na nekterych mistech lze pres SMS dokonce resetovat heslo. Staci ziskat email & heslo, ktere se objevi pres leak na nejake sluzbe a jsou u vas na emailu i kdyz mate "2-faktorovou autorizaci". A jakmile jsou u vas na emailu, a jste treba programator, mohou se pak dostat treba na vas ucet na githubu. A jakmile jsou na githubu, mohou to nejakeho kodu nenapadne podstrcit virus (nebo reklamu nebo mining etc) a behem chvile to bude mit v pocitacich desetitisice lidi.

Nejhorsi na tom je, ze takove utoky uz se staly.

Jenze presne takovy pristup banky nejen ze umoznuji, ale dokonce podporuji a propaguji. Spousta bankovnich aplikaci pro telefony uz ani tu SMS nepouziva. Tudiz bych se vubec nebal prohlasit, ze za zcela libovounou ztratu financi mohou prave a pouze banky.

Totez totiz muze zpusobit zcela libovolna aplikace, i takova, ktere prislusna opravneni date proto, ze je preci naprosto logicky potrebuje.

Otisk prstu je zcela knicemu, vy svuj telefon pouzivate v rukavicich? V opacnem pripade je tech otisku na nem ktere se daji primitivne snadno vyuzit nejmene desitka. Krome toho aplikace ktera bezi na tom telefonu zadny otisk prstu nepotrebuje. Vy se totiz prihlasite sam a dobrovolne.

Zrejme jste nepochopil:

1. z nejakeho serveru uniknou hesla, ty se prodaji nebo se dostanou na dark net
2. hackeri je automaticky zacnou vyuzivat. Vezmou emaily a zjistuji, jestli dany email treba existuje na githubu nebo na paypalu.
3. ziskani telefonniho cisla neni zpravidla moc tezke
4. socialni inzenyrstvi (sim swap, prenos mobilniho cisla)

Pokud lze ziskat pristup treba k paypalu, tyka se to i jednotlivcu, nikoliv firem. A skody jsou znacne.

Zbytečný humbuk pro nic. Peníze odejdou z bodu "A" do bodu "B" tudíž je znám jak odesílatel tak příjemce. Banka má právo v takovém případě na storno a banka příjemce musí transakci vrátit zpět. Jedině, že by banky nebo policie neplnili svoji funkci. Nebo, reklama na placené antivirové programy možná. Já bych za placený antivirus už od dob HackingTeamu nedal ani kačku jelikož tyto antivirové programy povolovaly instalace záškodníků této společnosti a nebo v tom jeli taky protože pak kasírovali podíl.

Problém není v Androidu, problém je v používání bezpečnostními odborníky nedoporučované SMS autentikace. Ti lidé, co mají potvrzování přes mobilní aplikaci jsou v pohodě, i na Androidu, viz doporučení ČS.

To není úmyslne. Aplikace pouze otevřela nechtěně zadní vrátka, která byla ihned zneužita útočníky.

Tak to ale nebylo, tady reklamní společnost hrající si na dodavatele software zapomněla zkontrolovat, zda po aktualizaci aplikace nedělá co nemá. Chápu ale že je jim to jedno, dokud se zobrazují Google reklamy - jediný důvod existence této parodie na operační systém.

Co ale nechápu je přístup bank, že tohle stále tolerují.

Zase ten neopravitelný Sra*koid. Hlavně že se banky stále hrnou do podpory něčeho tak příšerného a ještě tvrdí, že ta zařízení snad mohou být bezpečná.