• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    SHINIGAMIAndroid - otevřená mobilní platforma
    Androidova homepage

    http://www.svetandroida.cz/
    http://www.androidforum.cz/
    http://www.mobilecentrum.cz/forum/

    http://www.androidcentral.com/
    http://forum.xda-developers.com/forumdisplay.php?f=564
    http://www.androvinky.cz


    Další užitečné informace a seznam dobrých aplikací na nástěnce .
    rozbalit záhlaví
    SPM
    SPM --- ---
    1 odpověď
    CUKI: a čteš si v těch SMS úplně do podrobna co potrvzuješ? Nebo když posíláš někam peníze, pípne ti SMSka, tak opíšeš ten kód a odbouchneš to, protože víš, že ti má přijít SMSka? Já třeba znám někoho, kdo o ty prachy reálně přišel, protože potvrdil napárování mobilní aplikace, která nebyla jeho. Přišel ten request přesně ve chvíli, kdy pároval svůj nový telefon, takže to prostě odbouchl a detaily nezkoumal.

    Pak jinak taky záleží jaká banka... FIO třeba při prvním loginu chce to potvrzení mobilní apiikací, ale taky je tam zaškrtávátko "důvěřovat tomuhle prohlížeči" což způsobí, že ze stejného prohlížeče se jde víckrát tím loginem přihlašovat už bez potvrzení mobilem a stejně tak jde i odesílat nějaké nižší částky pryč. Znovu podotýkám že na počítači, který nemáš pod svojí kontrolou, se nemůžeš spolehnout na to, že se tohle nestane, ikdyž to nezaškrtneš
    CUKI
    CUKI --- ---
    1 odpověď
    SPM: Tomu nerozumím, ale budu moc rád když to tu rozvedeš nebo kdokoli jiný.
    Ano ve chvíli přihlášení by se mohl k té session dostat. Ale nic s tím nezmůže. Dokonce i kdybych mu ten NTB nechal s otevřeným bankovnictvím abych mu to nedělal tak těžké, tak prostě na jakoukoli změnu potřebuje ten ověřovací telefon. U každého potvrzení máš zadané co potvrzuješ. K tomu se prostě nedostane, protože to jde už od počátku úplně jinou cestou. A nevím koho jiného. Bankovnictví je propojedné s jedním konkrétním telefonem. Na žádném jiném telefonu to nikomu jinému neověříš. Tohle je velmi elegantní a velmi bezpečné řešení. Oproti tomu když máš smartbanking v jakémkoliv sebebezpečnějším mobilu. Pořád se vystavuješ riziku jakékoliv chyby. Protože pokud tam něco co se dostane do toho bankovnictví bude, tak odchytnout na tom samém zařízení tu smsku není tak složité. Navíc jen toho mobilu se může zmocnit. Dostat se do zavřeného mobilu není tak složité.
    SPM
    SPM --- ---
    1 odpověď
    CUKI: může odchytit login, může ti pak unést celou tu přihlášenou session, takže ji má v rukou někdo jiný. Nebo už na začátku je ten provoz narušenej a ten ověřovací kód co zadáváš nebo potrvzuješ zadáváš pro přihlášení někoho úplně jinýho. A nemusí to vůbec být o tom, že by ti to chtěl udělat ten člověk, jehož počítač si půjčuješ, úplně stačí, že ho má něčím zablešený a tohle se stane na pozadí samo. Možná že z nějakého toho privacy pohledu je půjčovat si cizí zařízení o trochu lepší, ale já osobně bych se do žádného systému co používám z cizího počítače nepřihlásil.
    CUKI
    CUKI --- ---
    1 odpověď
    SPM: A co s tím reálně může? Fakt mě to zajímá. Vypadá to možná nebezpečně, ale pořád jsi na zřízení nepřipraveného člověka, který nemá jak vypátrat ověřovací zařízení. Kdyby byl připraven, tak jediné co může je odchytit login. Co dál s tím může?
    SPM
    SPM --- ---
    2 odpovědi+2
    CUKI: Logovat se do bankovnictvi z ciziho zarizeni je podle me zrovna ten nejlepsi pristup, jak o ty penize prijit...
    SPM
    SPM --- ---
    1 odpověď
    ERGOSUM: A co ze v tech cookies mas za data? :-)
    SKAUT
    SKAUT --- ---
    QWWERTY: Tohle ja vim. Vsak píšu níže že muj prohlížeč blokuje všechno tak že mi některé weby nefungují ( a zbytek si myslí že mám addblocker i když je vypnutý).
    QWWERTY
    QWWERTY --- ---
    1 odpověď+1
    SKAUT: ono staci udelat test na browser fingerprinting, https://coveryourtracks.eff.org/
    v mem pripade desktop i mobil - "Your browser has a unique fingerprint"
    ...a je uplne jedno, komu jsem kde dobrovolne zadal jaka data. reklamni firma vi, ze ten navstevnik co si prave poslal request pro banner na webu A je ten stejny profil co pred 10 min poslal request z webu B
    a casem se ten shadow profil dokompletuje s jistou mirou pravdepodobnosti sam
    SKAUT
    SKAUT --- ---
    1 odpověď+3
    DRAGON: To jak se kde chovas, jak pouzivas mys, na cem tu mys zastavis, na co kliknes, jak dlouho kde stravis cas, jake zarizeni se nachazeji v okoli "tveho" zarizeni ...
    Proste shadow profil. Zadny konkretni jmeno s kterym se to da spojit ( alespon ze zacatku ) ale proste hromada dat kterou nekdo umi pouzit nebo bude umet. A na ziskani dat staci to ze je na strance "to se mi libi" od Mety, nebo nejaky prvek na sdileni, frame s nejakym obsahem. Viz jak funguje captcha kde zaskrtnu jen policko "jsem clovek".

    CUKI: Viz vyse. Ty to nemusis pouzivat. Staci na to nejaky nesmysl na webu tak vlezes. Pouzitelny udaj je i to jak se chovas na dane webove strance. Na jake stranky lezes. To co delas pomuze data roztristit (nemas jednoznacny fingerprint od prohlizece ) ale taky verim ze nejaky chytry algoritmus s dostatkem vykonu nakonec najde neco co to spoji. Ne treba dneska, v budoucnu urcite.


    ERGOSUM: Tak o tom zadna, moje puvodni myslenka nebyla o utocich ale o informacich ktere si tobe shromazduji firmy (/firma ) ktere to pouziji byt zatim na reklamu. Casem treba na socialni profil ( ci socialni kredit jak to uz nekdo ma ted ).


    Jo ja vim, moc si ctu Sci-Fi a jsem paranoidni :D .
    QWWERTY
    QWWERTY --- ---
    +3
    CUKI: je roztomile si myslet, ze je to neco, co ti dneska pomuze proti utokum jako napr. tenhle:
    Can Your Typing Style Be a Privacy Risk?
    https://www.howtogeek.com/901707/can-your-typing-style-be-a-privacy-risk/
    CUKI
    CUKI --- ---
    2 odpovědi
    SKAUT: meta, apple nebo Palantir o mě nic nemá. Pokud používám něco takového, tak zásadně nesděluji žádné použitelné údaje a nebo naopak zavádějící. Navíc pokaždé s novou session.
    ERGOSUM
    ERGOSUM --- ---
    1 odpověď+2
    SKAUT: Většinou se neubráníš tomu, aby někdo prásknul alespoň křestní.
    S informacema se útok dělá líp.
    BTW v dobách, kdy většina zpráv chodila dopisem jsem někdy úmyslně deformoval svou adresu. Napadlo mě to poté co kamarád adresu zkomolil. Pošťák to doručil správně, protože město znal.
    Mé drobné odchylky si pošta možná ani nevšimla. Ale když přišla nabídka se stejnou adresou, byl výběr kdo za ní stojí (pustil adresu) jen krátký. hodně se pak divila a koktala.

    S datama se vede čilej obchod. Jasně že velký balíky. útoky jsou také ve velkým. Ale jeden z mnoha se chytne.
    DRAGON
    DRAGON --- ---
    1 odpověď
    a čo vy si tak představujete pod tým profilom, vojín Kefalín?
    SKAUT
    SKAUT --- ---
    2 odpovědi
    CUKI: Ja miril na sběr metadat kdy si o tobě dotyčná firma ( google, meta, apple?, nebo Palantir?) udělá tvuj profil . Samozřejmě neví třeba jmeno a mají tě pod číslem ale mají mraky dat.

    O nějaký útok mi vubec nejde, vetsina je stejně jen pres social engineering ( asi vetsina ) nebo podvrženou stránku.
    CUKI
    CUKI --- ---
    2 odpovědi-3
    SKAUT: Doma jsem samo za natem. Na cestách mám data jinde než telefon.
    Když mám jen mobil a potřebuju něco platit, tak to dělám tak, že nemám problém si vzít cizí zařízení na kterém se loguju a potvrzení mi přijde na mé zařízení. Prostě nikdy to není přes jedno zařízení. Ve veřejné síti by jsi asi dokázal párovat mac přes nějakou díru. Ale i kdyby jsi uměl odchytnout správnou na BTS (zpravidla máš 3+ operátory a i tak máš málokde tutovej bod od jediné BTS) tak synchronizace packetu je dost nepravděpodobná (někdy ti nedorazí ani v časovim intervalu. Natož, že by jsi s tím něco dokázal dělat.
    Jo cílenej útok maybe, ale to by muselo bejt hodně štěstí velká hromada plateb a velmi profesionální akce v kombinaci s nějakou tou dírou. Pokud přijdeš o jedno zařízení, tak si prostě moc nepomůže. To už je dost velká paranoia.

    No a pak proč by to někdo dělal, když má každej druhej v telefonu smartbanking a většina těch problémů tedy odpadá?
    SKAUT
    SKAUT --- ---
    1 odpověď
    CUKI: Tak to je mi jasné.

    BTW ten mobil kde mas bankovnictví ( app předpokládám) pripojujes doma na síť? Nebo jede jen pres mobilní data. A s VPN nebo bez?

    Ptam se jen že jsem kdysi natrefil na článek že tyhle firmy používají i databazi WiFi zařízení ( budouvanou od zařízení s jejich systemem ktere maji default zaple skenování siti i při vypnuté wifi , o mobilni nemluvě) k tomu aby si mohli lepe párovat zařízení dokupy ( že by teoreticky tyhle zařízení mohli být ve stejné domácnosti jako tento počítač) a lip se delala reklama ( a buhvico ještě).
    Pak je to sice zkreslené ( ty data ) ale dokážu si představit že si umí napasovat data na sebe.

    Mobil bych nejradši zrušil úplně ale bohužel to není úplně možné pokud člověk zároveň nehodlá opustit civilizaci a chce používat nějaké služby/ mít nějaké koníčky. Minimálně by to bylo velmi komplikované a časově náročné ( s bankama ale mam pochyby...)
    Snažím se mít minimální stopu, socky nevlastním, prohlížeč mi blokuje všechno tak že pulka webu ani nefunguje a zbytek si mysli ze mam addblocker ( i když ho vypnu). Na routeru mam PI hole a mobil jede pořád pres VPN co mi běží doma.
    ERGOSUM
    ERGOSUM --- ---
    1 odpověď+3
    Jediný co ti zajistí soukromí, je mechanickej odpojovač baterky (pár mobilů má) (nutno uvažovat i o všem z okolí)
    Pokud nevěříš firmám, agenturám, operátorům a vládám, že oni by opravdu nikdy... tak počítej s tím, že tě šmírovat a vyhodnocovat můžou. A stačí se podívat při schvalování některých cookies, kolik firem má "oprávněný zájem" o tvoje data.
    Můžeš na sebe aktivně nebonzovat.
    Z principu fungování, zákonů po celém světě a sjednocených norem, aby to fungovalo, je každý mobil bonzovadlo bez ohledu na značku.
    A ano. Můžu mít oprávněně nerad Google, Microsoft, Apple, američany, rusy a číňany, jenže ani bez nich nebudu úplně v bezpečí.
    CUKI
    CUKI --- ---
    1 odpověď
    SKAUT: To je právě to u toho HW, který není nějak otevřený a je trvale připojen do sítě nemáš prostě jistotu nikdy. Ta technika je dneska prostě daleko složitější než v době kdy to obsahovalo deset tranzistorů, pár odporů a kondíků. Dneska už je prakticky nemožné to analyzovat. A mobil je zrovna takové dost citlivé zřízení. které zná často tvé otisky prstů, ksicht a nebo i sítnici. A zároveň to o tobě ví všechno.

    A to že se ty data sbírají je jasné každému průměrnému novináři. Proto když jedeš někam dělat reportáž tak sebou máš čistej mobil, čistou sim, NTB...

    Je docela dobře dokázáno, že Čína a nebo třeba Izrael tyhle data využívá. USA se o to mohou snažit taky, Ale oni naštěstí nic moc nevyrábí.

    Co se týče on-line dat. Snažím se fungovat tak abych tyhle stopy pokud možno nezanechával a nebo tak aby nebyli slučitelné s dalšími daty a záměrně je třeba upravuju.

    Například třeba nikdy nebudu mít internetové bankovnictví v mobilu. Tedy v jednom zařízení. Jo je to pohodlné no. Stojí mi to za to? Ne!
    DRAGON
    DRAGON --- ---
    +3
    obecně samozřejmě platí poučka, že co máš na mobilu, u toho se případně rozluč s tím, že bys byl jedinej, kdo ty data vlastní, nicméně u tý Číny tomu tak nějak nevěřím mnohem víc než třeba u korejskýho výrobce.
    DRAGON
    DRAGON --- ---
    COMODOR_FALKON: otázka padla jiná. Jinak Xiaomi a Huawei jsou jasný, OnePlus / Realme / Oppo / Vivo jsou další adepti, který byli nachytaný s kalhotama u kolen. Honor a Lenovo nemaj konkrétní analýzy, který by prokázaly sběr citlivejhch dat bez souhlasu jako ostatní číny, nicméně patří do stejnejch technologickejch skupin značek, který úplně v pohodě nebudou
    DRAGON
    DRAGON --- ---
    +1
    SKAUT: svatej nebude asi nikdo a všechno prochází Čínou, jasně, nicméně já bych si domu nepořídil vyloženě od čínské firmy nic, co může (a proto to stopro dělá) odesílat výrobci data. I ten blbej DJI dron mám komplet offline a neposílam nic a raději ve chvílích, kdy se nelítá, odděluju od dronu baterii :)
    Kliknutím sem můžete změnit nastavení reklam