Impresszum Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

Androidot használsz? Egy Google Play-appal garanciavesztéssel kinyírhatod a mobilod


mobil Android rootolás ITsec Google Play mindig van lejjebbAmikor kezdem azt hinni, hogy én már semmin sem lepődök meg, tényleg nincs lejjebb, ha Android platformról van szó, jön valami olyan elképesztően durva hír, ami kapcsán már nem is az informatikai-biztonsági vonatkozás az, ami elgondolkoztat, hanem sokkal inkább az a mikroökonómiai vonatkozás, hogy tényleg nem lehet eléggé silány minőségű egy termék vagy szolgáltatás az IT-piacon sem, hogy ne legyen rá kereslet, aminek az okait korábban fejtegettem már.

Közismert, hogy az androidos mobilokon számos funkció érhető el, a mobil gyakorlatilag a végtelenségig testre szabható, ha rootolva van, azaz a felhasználó az összes, biztonsági és stabilitási szempont miatt beállított korlátozást kiiktatja. Az Androidot futtató mobil rootolás nélkül is egy ön- és közveszélyes, ahogy azt az összes független kutatás alátámasztja, ezt gyakorlatilag csak a teljesen bigott Android-fanatikusok cáfolják az elmúlt évek androidos botrányai után. [Azokkal a fanatikusokkal meg konkrétan nem tudok mit kezdeni, akik azzal jönnek, hogy az Android mennyivel van előbb, mint az iOS, ami lehet, hogy jól hangzik, csak egy-két keresés után azonnal kiderül, hogy egyszerűen nem igaz. ] Lényeg, hogy a rootolást követően a felhasználó az eszköz teljhatalmú ura lesz, tehát a rootolás csak egészen kivételes esetekben lehet indokolt, például ha egy Android-fejlesztő alaposan vizsgálni szeretné a rendszer valamilyen részét, amihez addig nem fért hozzá. Vagy esetleg egy hardeningelt Android-klón operációs rendszert fejlesztene, egyékbént még a témában legjártasabb felhasználók is azt javasolják,  hogy ha már Androidot használ valaki, ne rootoljon, ha nem tudja pontosan, hogy mit csinál, márpedig a többség nem harceddzett mobiloprendszer-fejlesztő.

Erre mi történtik? A Google Playben, ami a legbiztonságosabbnak mondott alkalmazásbolt az Androidhoz, ahova az alkalmazások elvben többlépéses ellenőrzést követően kerülnek fel, felkerült több olyan alkalmazás is, ami képes a jelenleg futtatott androidos mobilok 90%-át rootolni néhány kattintással!

Azaz nem, az androidos felhasználó még akkor sincs biztonságban, ha kizárólag a Google Playből telepít alkalmazást, rendeltetésszerű használat mellett folyamatosan frissíti az eszközön lévő rendszert és alkalmazásokat, ha egyrészt a részben Google által felügyelt alkalmazásbolt, másrészt maga az operációs rendszer ilyet lehetővé tesz. Androidos sebezhetőséggel kapcsolatos hír, a legtöbb esetben már az ingerküszöböt sem éri el, mondjuk azok után, hogy az alkalmazásboltban feltöltött alkalmazásokat utólag lehetett módosítani tetszőlegesen éveken keresztül vagy éppen, hogy az iOS-en potom 8 éve natív és kikapcsolhatatlan fájlrendszeri szintű titkosítás az Androidon kevesebb, mint 3-4 éve érhető el, opcionálisan. Ráadásul az egész azzal lett önmaga paródiája, hogy miután bejelentették, hogy az összes felhasználói adat titkosítását lehetővé tevő lehetőséget továbbfejlesztették a 4.1-es verzióban, néhány héttel később már nyilvánosságra is került, hogy az elvben teljesen titkosított andoridos mobil teljes adattartalma dekódolható a titkosítási kulcs ismerete nélkül. A titkosítást azért emelem ki, mert évről évre számtalan mobilt hagynak vagy lopnak el szerte a világon, így elvárható lenne, hogy a rajta lévő adatok ne legyenek háztáji módszerrel kinyerhetők, amire ráadásul a felhasználó összes adata rá van drótozva a Google Accountnek "hála", csak csatlakoztatni kell az eszközt egy géphez fejlesztői módban vagy simán kivenni a memóriakártyát.

A mostani esetről részletek az Arstechnica-n.

kép: Techshift

1 Tovább

Öreg iPhone, nem vén iPhone – tuning


Amíg rá van pörögve a fél világ a legújabb iPhone-ra, van aki elvből, van, aki nettó gyakorlati megfontolásból addig nem cseréli le a meglévő iPhoneját amíg az nem válik használhatatlanná.

Márpedig az könnyen lehet, hogy soká lesz, oprendszeri frissítést pedig a nagyon súlyos sebezhetőségeket orvosló hotfixeken kívül nem adnak ki hozzá, ugyanakkor mára határozott lassulás tapasztalható a régebbi, frissített iPhone-okon, ellentétben azzal, hogy korábban az Apple foggal-körömmel ragaszkodott hozzá, hogy egy Apple-eszköz nem lehet érezhetően lassabb egy frissítés után akkor sem, ha egyébként régi. A nagyon régieket pedig egyszerűen nincs lehetőség frissíteni.

Mivel attól Apple az Apple, az újabb almás mobilom annak ellenére, hogy öt éves, ugyanúgy működik és alighanem működni is fog egy ideig, ha valaki hasonló cipőben jár, akkor érdemes néhány trükköt alkalmaznia, hogy a vén mobil is elfogadható sebességgel működjön. Azaz hogy kell kikapcsolni azokat a felesleges szarokat, amik csak eszik a rendszererőforrásokat. Kizárólag a hagyományos módon elérhető beállítási lehetőségekre térek ki, azaz olyanra nem, amit az oprendszer BSD-szívcsakrájába való beletúrással lehetne elérni - ha már úgysem jön hozzá frissítés, majdnem mindegy, nem? A leírt tweakek nem jailbreakelt eszközön, iOS 7.x-en biztosan működnek, az Apple-fanatikus cikkek többségében pedig pont ezek nincsenek leírva.

Ó, a Spotlight Search: milyen szép is, ha a megfelelő kulcsszó töredékének a beírásával is megjelenik az az alkalmazás, levél és egyáltalán bármi, amit hirtelen nem találunk, ugye? Amit viszont nem árt figyelembe venni, hogy az eszköznek mindent, aminek azonnal kereshetőnek kell lennie, a maga módján fejben kell tartania, ami folyamatosan igencsak számításigényes bravúrokat igényel, lévén, hogy nincs olyan eszköz, ami mindig mindent a memóriában tárolna, de ahhoz, hogy pl. egy gyors kereséshez a memóriába varázsolja azt, amit kell, igencsak sok követ meg kell mozgatnia a rendszernek, azaz eléggé sok bitet kell talicskáznia össze-vissza a háttérben.

Megoldás: csak azokra a kis memóriaigényű adatforrásokra engedélyezzük a spotlight search-öt, aminél tényleg szükség van rá, ezen kívül tartsuk szem előtt az ésszerűséget. Ha például a Mail alkalmazásban úgyis van saját kereső, értelmetlen itt is indexeltetni.

Az iOS 7 megjelenésével még több, felhasználói élményt fokozó effekt került a rendszerbe, ami valóban fokozta a felhasználói élményt olyan iPhoneok esetében, amik rogyásig voltak memóriával és erős GPU-val szerelték őket, akik régebbit használnak, azoknak aligha volt élmény az, hogy minden lassabban érhető el, csak azért, mert a képernyőn az effektek kifinomultabbak. Ami kétségkívül jó tulajdonsága, hogy szépen le lehet kapcsolni és az életbe nem kell vele foglalkozni, persze a korábbi verziókból megszokott effektek ettől még maradnak.

Jó ötletnek tűnik ugyan, hogy egy alkalmazás a saját adatait akkor is frissíthesse, amikor egyébként a háttérben fut, mi pedig esetleg közben használunk teljesen más alkalmazást, az egész tipikusan fölöslegesen zabálja az erőforrásokat, ami az újabb iPhone-oknál nem érződik, viszont mindez használja a hálózatot és túráztatja az akkumlátort is.
Az Apple a végfelhasználók számára a mobileszközei esetén végképp nem tette egyértelművé és egyszerűen ellenőrizhetővé, hogy mit jelent pontosan, ha egy alkalmazás a háttérben fut, tétlen, folyamatosan fut valamilyen módon a háttérben vagy egyáltalán nem fut. Az világos, hogy a rendszer igen kifinomultan figyeli, hogy melyik alkalmazást milyen gyakorisággal használjuk, ennek megfelelően a gyakran használt appok fürgébben is ugranak elő. Ezért van, hogy elképzelhetetlen az az Android-környezetből ismert jelenség, hogy kevés memória esetén lelassul az egész és alkalmazásokat kézileg kell bezárni. Iphone esetén míg például a Hangouts akkor is figyel és fogad hívásokat, ha épp bekapcsoltuk a telefont és el sem indítottuk az alkalmazást, ezzel szemben mondjuk a Skypeon csak akkor vagyunk hívhatók, ha az utolsó megnyitás után nem volt konkrétan tétlen, hiába van ott a futó alkalmazások közt. Hasonlóan zavaros, hogy mit jelent az, hogy egy alkalmazás a háttérben ügyködhet-e. Nos, mivel a jólnevelt alkalmazás egyébként is úgy van megírva, hogy amit a felhasználó nem mentett el, amikor érzékeli, hogy épp a felhasználó bezárja, elmenti az adatot, így például az Evernote vagy a Notes egy feljegyzést ment akkor is, ha csak bezárjuk, ehhez nem kell a háttérben futnia. A példánál maradva, ha azt szeretnénk, hogy a következő indításkor már a máshonnan megejtett szerkesztések is azonnal láthatók legyenek, akkor ezt ez a megoldás biztosítja, az esetek többségében viszont semmi szükség rá, így kikapcsolható. Ha a háttérben nincs frissítve, csak akkor frissíti pl. az Evernote a jegyzeteket, amikor legközelebb indítjuk, ennek megfelelően lassabban indul, de közben a rendszer annyival lesz gyorsabb, amikor a konkrét alkalmazás nem fut, de másvalamit használunk. Azaz igaz, egy-egy indítás több időt fog igénybe venni, például a Facebook vagy a LinkedIN nem azonnal mutatja a fal legfrissebb állapotát, hanem az indításnál frissíti azt, erre egyébként is csak akkor van szükség, ha az appot használjuk.

Vegyük észre, hogy az előző a helymeghatározási funkcióval is összefügg. Azaz egy háttérben futó alkalmazás rendszeresen lekérheti a geoinfókat, sokszor fölöslegesen, ami tovább zabálja az erőforrásokat. Több szállodafoglaló app van, ami még abban az esetben is, ha meg se nyitottuk és otthon ülünk, a háttérben rendszeresen megnézi, hogy hol vagyunk, hogy annak megfelelően, közelben lévő szállodát tudjon ajánlani, a leggyorsabban, ha megnyitnánk. Nos, ha mondjuk valami elborult vidékre utazunk, hasznos lehet, hogy helyi információkat figyelembe véve és a leggyorsabban jelenjen meg a kínálat, nyilván ez a ritkább eset.

Az Assistive Touch bekapcsolásával viszont kapunk plusz egy Home gombot, ami amellett, hogy a valódi Home gombot kíméli azon keresztül, hogy azt ritkábban kell nyomkodni, mivel amellett vagy helyett is használható, gyorsan előcibálhatóvá tesz olyan lehetőségeket, amik gyors telefon esetén egyébként is gyorsak, lassúnál viszont határozottan lassabbak, ilyen például a multitasking, ráadásul egyéni gyorsindítók is beállíthatók ún. gesztúrák rögzítésével.

Az, hogy különböző alkalmazásokban személyre szabott reklámokat jelenít meg, inkább privacy szempontból érdekes, viszont annak is megvan a maga számításigénye, hogy gyűjtse a felhasználói szokásainkat és ennek megfelelően jelenítse meg a testre szabott reklámokat, amikor kell. A dolog kísértetiesen hasonlít a Google hirdetés-perszonalizációjához: egy totálisan eldugott helyen, de kikapcsolható.

Ha van valami, ami nem változott az iPhone-ok evolúciójában, az az, hogy az egyik legnagyobb akkumlátorgyilkos a levelezőalkalmazás. Ahogy több helyen is olvasható, ha több olyan postafiók is be van állítva, aminek a tartalmát rendszeresen nézegetnie kell a rendszernek és jeleznie, ha levelet hozott a posta, drámaian gyorsabban merül az akku. Ami viszont fontos, hogy fiókonként külön-külön állítható be, hogy a tartalmukat a rendszer milyen időközönként ellenőrizze, esetleg soha, csak amikor kézileg nyitjuk meg vagy éppenséggel a funkciót támogató szolgáltató push-üzenetként értesítsen-e egy-egy új emailről. Gondolkozzunk kicsit gyakorlatiasan: ha valakinek überelhetetlenül sürgős valami, az úgyis fel fog hívni, nem pedig emailt ír vagy SMS-t. Ha nem olyan témáról van szó, ami eszelősen sürgős lenne, akkor úgyis ráér addig, amíg legközelebb kézbe veszem a mobilom, amelyiken látom, hogy olvasatlan email van a postafiókban, a boríték ikonja melletti számból, aztán elolvasom a levelet. Ez esetben viszont teljesen mindegy, hogy a levelek rendszeresen negyedóránként, félóránként, óránként töltődnek le vagy gyakorlatilag azonnal, mert IMHO normális ember úgysem fog gyorsabban válaszolni, mert gyorsabban értesült egy új emailről. Ha belegondolok, hogy mennyi levél érkezik hozzám naponta, egy fél fejezetet nem tudnék elolvasni egy könyvből vagy éppen teljesen esélytelen lenne koncentrálni normálisan bármire is, ha azonnal megnézném az emailjeimet, amikor azok érkeznek. Nem csak akkugyilkos, de értelmes tevékenységet végző ember számra értelmetlen is a levelek túl gyakori auto-fetchelése, óránkénti beállítás bőven elég. Hasonlóan vagyok a Facebook-üzenetekkel, a Messengert elvből nem telepítettem, aki írt, attól kéretik szépen megvárni, amíg gép előtt leszek vagy felhív. Az alapértelmezett push-t mindenhol érdemes kikapcsolni a levelezőalkalmazás beállításainál.

Apple-eszközt használni iCloud nélkül elvben lehet, gyakorlatilag nagyon nem érdemes. Ehhez viszont kapcsolódik egy rakás értelmetlen trágya is, amit vagy használunk vagy nem, esetleg használat közben megszokunk. Nincs általános recept, nekem jó, ha a képek azonnal megnézhetők a gépen is, mivel azok ugye automatikusan töltődnek a felhőbe, ha használjuk [ezért halálosan ostoba a nagyokos Apple-fanoknak az az érvelése, hogy miért nem nagyobb az újabb iPhone  háttértára - mert arra ott az iCloud, csókolom! Ha ott fenn van akár a fotó, akár a videó, már törölhető a mobilról.]. Ugyanakkor most komolyan, nevezze már meg valaki 5 ismerősét, amelyik az Apple levelezőszolgáltatását használja! Na ugye, alighanem mi sem használjuk, valószínűleg fölösleges is, kilőhető, az meg most nem ide tartozik, hogy egyébként sem túl bölcs rajta levelezni, mert amiről az Apple úgy gondolja, hogy spam, az a levél az életbe nem lesz meg.

A billentyűzárnak látszólag nincs sok köze a teljesítményhez, figyelembe kell venni, hogy nem azonos a képernyőzárral, - azaz amikor a mobil egyszerűen lekapcsolja a képernyőt - és a passcode által védett billentyűzár, ami csak megadott jelszó vagy számkód helyes megadása esetén engedi a mobilt használni. A kettő nem feltétlenül azonos, az előbbi lehet rövid idő, az utóbbi pedig értelemszerűen több perc, azaz például csak akkor kérjen billentyűzárat, ha a tétlenség elérte az 5 percet, addig viszont a mobil szabadon feloldható, nem is eszi az akkut a kijelző, ugyanakkor a szükségesnél gyakrabban sem kell bekalapálni a billentyűzárat.

Nem a teljesítményhez, hanem kőkeményen a usabilityhez tartozó kérdés a térkép angol feliratozása, ami addig nem feltűnő, amíg nem utazunk nagyon messzire. Nos, tételezzük fel, hogy valaki meg elutazik, de nemhogy az ottani nyelvet nem beszéli, hanem még a helyi ábécét sem ismeri. Még én sem merném bevállalni azt, hogy az alkalmazás Moszkvába utazva a térképet kizárólag cirill betűkkel feiratozza, ahogy arab országba utazva sem azt, hogy kizárólag arabul, még akkor sem, ha már bőven a 20. században egyszerűsített arabot használják, amit ismerek valamennyire. Például egy háromszáz évvel ezelőtt élt író, akiről elneveztek valamilyen közterületet, nem fogják a nevét csak azért az új, a 20. századi, egyszerűsített arab nyelven kiírni, hogy a térképalkalmazások használhatóbbak legyenek. Az más kérdés, hogy aki távoli országba utazik, egy ottani térképalkalmazással szinte biztos, hogy jobban jár, Oroszország esetén mondjuk ilyen a Yandex Maps. Az alapértelmezett beállítás viszont az, hogy az iOS beépített térképe a helyi nyelven feliratozza a térképet, angolul ne. Akárhogy is, erősen érdemes bekapcsolni az angol feliratozást. Ha kénytelen lennél tárgyalni mondjuk egy reptéri urándetektor vezérlőszoftverének frissítéséről Dubaiban vagy Moszkvában, alighanem a helyi illetékesekkel szivesebben beszélnél angol nyelven, hiába gagyogsz oroszul vagy arabul.

Külön posztsorozatot érne meg, hogy miért érdemes a DNT-t  lekapcsolni és a böngésző helyben tárolt adatait néha törölni. Akármilyen környezetről is legyen szó, ha az adattárolást kell megoldani, nem csak a nagy mennyiségű adat, hanem a sok, elaprózott adat kezelése is számításigényes, márpedig a böngészők gyorsítótára tipikusan ilyen.

Hosszú lenne fejtegetni, másrészt messze nem a területem, de éppen az előző indoklás miatt azt a gyorsítótárat is érdemes üríteni néha, ami ugyanitt "Website Data" néven jelenik meg.

Egyébként az a kérdésfeltevés, hogy "Milyen telefont érdemes venni?" vagy épp "Melyik a legjobb?" a többség tudatában hitkérdés és nem, attól, mert valaki ki tud rootolni egy androidos mobilt vagy jailbreakelni egy iPhone-t, attól még nem ért hozzá. De tényleg, mennyi olyan ember van, akivel érdemben lehet vitázni arról, hogy mindennapos használathoz, üzleti környezetben való használathoz vagy  melyik a legalkalmasabb és miért?

Az ön- és közveszélyes Android ugyan tipikusan sokak tudatlanságára játszva éppen fordítva szokta mondani, de nem 2-3, hanem 5-7 éves lemaradásban van az iOS-hez képest, nincs általános recept arra, hogy milyen mobilt érdemes választani, ezért példaként írok néhány forgatókönyvet.

Ha megkérdezik tőlem, hogy egy céges flottához milyen céges mobilt ajánlanék, ahol számításba kell venni, hogy az alkalmazott esetleg elhagyja vagy célzottan ellopják tőle az eszközt azért, hogy arról adatokat nyerjenek ki, ugyanakkor a mobil mégsem lehet veszett drága, mert kapásból vennének belőle 300 darabot, mégis az Androidot ajánlanám. Igaz, hogy normálisan megvalósítva az operációs rendszer beépített funkciójaként a háttértár titkosítása csak a 4.3-4.4-től* létezik, ami laza 4 év lemaradás az Applehöz képest, ahol az iPhone 3GS-től kezdődően mindben alapértelmezés szerint titkosított** a teljes adattartalom, ráadásul nem opcionálisan, hanem kapcsolhatatlanul. A választás azért esne mégis az Androidra, mert relatív olcsó és számtalan olcsó távmenedzsment szoftver vásárolható hozzá, amit a saját megoldásaival kombinálva egy cég még jobban testre szabhatna később.  

Ha megkérdezne egy rokonom, hogy milyen mobilt vegyen, azt mondanám, hogy iPhone-t, mivel stabil, gyors, sosem hal le, para pedig akkor sincs, ha ellopják tőle, mivel a rajta lévő adattartalomhoz hozzáférni szinte lehetetlen a billentyűzár ismerete nélkül.

Ha olyan cég kérdezne, amelyiknél a céges csapatmunka minden részét valamilyen Microsoftos megoldással végzik jóideje és azzal is folytatnák, akkor nem túl drága Windows Phone-os mobilokat javasolnék. Igaz ugyan, hogy idővel elérhetőek lettek vagy lesznek más platformokon is azok az eszközök, amik tipikusan a MS üzleti megoldásai, mint mondjuk a céges chatnek nevezhető Lync, a csapatmunka svájcibicskájaként működő SharePoint vagy a levelezőrendszerek luxusverdája, az Exchange, ezek nem meglepő módon Microsoft-termékként Windows Phone-on működnek a legjobban. Hasonlóan ahhoz, hogy iPhone-on is lehet a Safarin kívül más böngészőt használni, csak éppen lassabb lesz. így például a MS Exchange postafiók beállítható Androidon is, lassú lesz, mint a vesztés.

Azaz elvben minden komoly szolgáltatás vagy alkalmazás létezik általában több platformra is, csak a teljesítményben vannak elképesztő eltérések, ezen kívül hosszú távon gondolkozva a költséghatékonyság és időtállóság eléggé erős szempont.

Ha már mobilok adatitkosítása, két lábjegyzettel zárnék.

*az Android esetén az első, de nem túl komolyan vehető titkosítás, mint natív operációs rendszeri funkció, a 3.0-tól létezik, ami pedig a komolyabb kriptomegoldást jelenti, a 4.3-ban jelent meg, de anno nem tartott sokáig az öröm, mert a legújabb verzión is lazán fel lehetett pattintani a titkosítást, a módszert amúgy elsőként magyar kutatók hozták nyilvánosságra 
**az iOS rendszerek esetén a ma elterjedten használt verziók terén nem tudok róla, hogy találtak volna kihasználható hibát a  titkosított adatok kinyerésére. Ez a gyakorlatban nem jelenti azt, hogy hozzáférhetetlenebb: idevágó kérdés, hogy minden főverziónál találnak valami arcpirító baromságot, amin keresztül a billentyűzár ismerete nélkül, valamelyik kényelmi funkción át is feloldható a mobil, ezeket a hibákat rendszerint azonnal javította az Apple.

Egy idén nyáron megjelent sokkoló kutatás ugyan az andoridos mobilok esetén igazolta,  gyakorlatilag belátható, hogy platformfüggetlen tulajdonság, hogy ha a felhasználók számsorként túl egyszerű billentyűzárat vagy feloldási mintát állítanak be, mindegy, hogy a mobil oprendszerének gyártója milyen módon valósította meg az adatok titkosítását, pusztán számokból álló billentyűzár esetén 8 számjegyűnél rövidebb kód egyszerűen nem biztonságos, Androidban minta alapján történő feloldásnál csak ésszerűtlenül hosszú lenne az. Az ujjlenyomatolvasós megoldások biztos nagyon fancy-k a felhasználóknak, nekem pedig megmosolyogtatóak, hiszen alapvetően eléggé baromság olyan azonosítót használni bármiféle autentikációhoz, amit az ember ezer helyen otthagy, lenyúlni viszonylag egyszerű, a 3D nyomtatás korában pedig bárki varázsolhat lopott minta alapján ujjlenyomat-másolatot. Arról nem is beszélve, hogy több olyan módszer található a neten, ami azt írja le, hogy tényleg barkács módszerrel téveszthető meg egyik-másik ujjlenyomatolvasó. Hogy az ésszerű áron beszerezhető biometrikus azonosításon alapuló módszerek használata miért hülyeség, hosszú mese lenne, de elég csak belegondolni, hogy retinán alapuló azonosításnál, a retina ugyan eléggé lekoppinthatatlan ugyan, de az olyan retinaszkenner, amit nem lehet megtéveszteni, már eszelősen drága, márpedig a közelgő legnagyobb őrület, ha igaz, a mobilokba épített retinaszkenner/írisz-szkenner. Ezekkel nem csak az a baj, hogy szimplán jópofa ostobaságok, mondjuk az adatokat a zsebtolvajtól megvédi, de célzott adatlopástól annyira védenek, mint Árpi bácsi bunkere az atomtámadás ellen. A nagy probléma az, hogy hamis biztonságérzetet keltenek a felhasználóban. Ugyanis a felhasználók annyira nem vágják, hogy valami hogyan működik, hogy nagyon sokaknak egy elfogadható, szemléletes képe sincs olyanról, amit jó tudni a mobil kapcsán. Blackberry felhasználóként beszéltem olyan Blackberry-tulajjal, aki meg volt róla győződve, hogy ha mi telefonálunk egymással, akkor az titkosított, de inkább nem futottam neki magyarázni, hogy ha a hívást nem a Blackberry Messengerében indítjuk, ami áttolja a hívást egy BIS/BES szerveren, ugyanolyan mezei telefonhívás, mint bármely másik.

0 Tovább

Ugyan semmi, csak a heti Android-malware


Hivatalos alkalmazásboltból lett letöltve, több százezer felhasználó által, akik 4+ pontosra osztályozták, legitim alkalmazásnak tűnik és a mobilplatform bármely mobilját érinti, nem csak a megbuheráltakat, mi az? Igen, androidos kémprogram, mi más.

Már ha egyáltalán hírértékű az Android-mezőnyben, hogy a Google Play Storeban azonosítottak néhány olyan alkalmazást, amit letöltöttek és kitűnőre értékeltek több százezren, és teljesen mindegy, hogy az adott mobil rootolva van vagy sincs, így is, úgy is viszi az egész házat, pofátlanul gyakorlatilag minden adatot, amit csak lát. Ne legyenek illúzióink, a válogatás nélkül, minden áldozattól kilopott és összegyűjtött információ minden bizonnyal megvehető a feketepiacon, akár konkrét adatmasszaként, akár csak belépéshez szükséges felhasználói név-jelszó párosként, alighanem a díler csak annyit kérdez, hogy dekára vagy tonnaszámra venné a vásárló. Ilyesmit tesz lehetővé az a heti házikedvenc is, amit az ESET azonosított nemrég.

Az Android manapság olyan, mint a Windows 98 és Windows Millenium volt sokáig: mindenki tudta, hogy ön- és közveszélyes, de azért továbbra is mindenki használta, olyan sebezhetőségek illetve malware-ek megjelenése pedig, amik eget rengető, na meg részvénycibáló hatással lennének más platformokra, az Androidnál épphogy hírértékűek.

Mi több, előfordul, hogy még csak nem is kell alkalmazást telepíteni az androidos mobilra, mivel a felhasználó eleve úgy veszi meg hivatalosan a szolgáltató üzletében, hogy az eszközre  előtelepített alkalmazások lopják a felhasználói adatokat, ahogy az történt egy magyar szolgáltató által értékesített telefonszériával is. A hírt most nem keresem meg, de írom  egyszerűsítve, hogy mi történik a mobillal, mielőtt kikerül a polcokra. Úgy kell elképzelni a dolgot, hogy amikor az adott szolgáltató megrendel raklap számra adott márkájú, adott típusú mobilt, ahogyan azt is be kell állítani, hogy a mobil csak egy adott hálózattal álljon szóba – amíg nem függetlenítik – legyen rajta egy előtelepített Android, előtelepített alkalmazásokkal, ezt pedig ott csinálják, ahol a legolcsóbb, mondjuk Kínában, hol máshol. Miután elvégezték az előtelepítést, megy mondjuk Magyarországra, aztán persze kutya sem ellenőrzi, hogy a mobil nem küld-e a kelleténél több felhasználói adatot bárkiknek, a felhasználó tudta nélkül. Olyan ez a téma, mint a globális klímaváltozás vagy az éhínség, nem lehetne dokumentumfilmet csinálni abból, hogy az Android mindössze azzal, hogy olcsó, a mobilszegmens egy részét valahol a pattintott őskorban tartja, ehhez képest ha találnak egy bugot az iOS, Windows Phone vagy Blackberry egy ezer éve nem frissített verziójában, bégethet a nyáj, ha kihasználható a bug, ha nem. Ami meg aztán már végképp érthetetlen, hogy ha a felhasználók otthon, na meg a cégnél használnak személyi tűzfalat, vírusirtót, miért vesznek olyan mobilokat, amiről konkrétan tudják, alighanem lopható róla az égvilágon minden?  

Nos, normális ember nem engedné, hogy egy teljesen ismereten személy kattintgasson a LinkedINjén, Facebookján, Google-fiókján, Tinderjén, turkáljon az SMS-ei közt, ráadásul mindent lementsen és bárkinek el is adja, aki fizet érte. Androidot bezzeg használ a fél világ. Hát így.

Ha eltűnnék több napra, túlságosan belemerültem az irracionális fogyasztói döntések kutatásába, eltűntem az óceánon, esetleg csak a Balatonba fulladtam bele.

A Linux Torvaldsnak tulajdonított idézet szerint „Talk is cheap. Show me the code.”, szóval mostantól majdnem minden poszthoz írok példakódot könyvajánlót is annak, akit behatóbban érdekelnek a témák.  

Android-alapú szoftverfejlesztés - Az Android rendszer programozásának bemutatása (Ekler Péter - Fehér Marcell - Forstner Bertalan - Kelényi Imre)


Kép: phandroid.com

0 Tovább