Comentarii la: Securitatea aplicatiilor mobile (I): Speed Taxi http://ro.m-sec.net/2012/05/securitatea-aplicatiilor-mobile-i-speed-taxi/ Omul este cel mai extraordinar computer Sat, 27 Jun 2015 03:02:37 +0000 hourly 1 https://wordpress.org/?v=4.2.38 De către: Bogdan http://ro.m-sec.net/2012/05/securitatea-aplicatiilor-mobile-i-speed-taxi/#comment-1447 Mon, 25 Feb 2013 14:51:18 +0000 http://ro.m-sec.net/?p=413#comment-1447 Aceasta aplicatie are si drepturi de citire asupra agendei telefonice. Am in agenda peste 500 de numere de telefon. Unele sunt cat se poate de secrete.
De ce ar vrea aceasta aplicatie sa le acceseze?

]]> De către: Bogdan Alecu http://ro.m-sec.net/2012/05/securitatea-aplicatiilor-mobile-i-speed-taxi/#comment-450 Sat, 29 Sep 2012 18:17:07 +0000 http://ro.m-sec.net/?p=413#comment-450 Si totusi cei de la Apple au interzis folosirea UDID – acolo vad ca s-a putut.
In plus chiar daca dezinstalezi aplicatia, ea tot ramine in lista ta de aplicatii pe care le-ai avut, ceea ce ma face sa cred ca se poate controla cumva totusi ca acelasi ID sa fie si in cazul unei reinstalari.

]]> De către: Cristian Calu http://ro.m-sec.net/2012/05/securitatea-aplicatiilor-mobile-i-speed-taxi/#comment-449 Sat, 29 Sep 2012 18:12:49 +0000 http://ro.m-sec.net/?p=413#comment-449 Pai daca utilizatorul nu ar fi de buna credinta si ar chema taxi-uri aiurea el ar trebui blocat.

Numai ca prin folosirea unui random, prin reinstalarea aplicatiei acest identificator ar fi altul, nu? Nu prea ai cum controlezi asta, decat daca ai un sir de caractere unic pe device, indiferent de o aplicatie anume.

]]> De către: Bogdan Alecu http://ro.m-sec.net/2012/05/securitatea-aplicatiilor-mobile-i-speed-taxi/#comment-444 Thu, 27 Sep 2012 18:06:43 +0000 http://ro.m-sec.net/?p=413#comment-444 Cristian, de acord cu tine ca e necesar un ID unic pentru a identifica in parte fiecare dispozitiv, insa de ce folosesti ID-ul dispozitivului si nu ceva random? Asta nu o inteleg eu.

]]> De către: Cristian Calu http://ro.m-sec.net/2012/05/securitatea-aplicatiilor-mobile-i-speed-taxi/#comment-443 Thu, 27 Sep 2012 18:03:26 +0000 http://ro.m-sec.net/?p=413#comment-443 Foarte bun articolul si bine documentat.

Dar vreau sa comentez un aspect: clar aplicatia nu are de ce si la ce sa foloseasca codul IMEI.
In schimb nu inteleg de ce ai remarcat negativ folosirea deviceId-ului. Dupa mine, este absolut necesar. Si in plus, nu cred ca poate fi folosit la ceva distructiv, precum IMEI-ul.

Oricum, unul din ele era necesar, pentru identificarea unica a unui utilizator. Din cate stiu, in versiunile Android mai vechi de 2.2, acest DeviceID se putea rescrie sau regenera. „Poate” la asta a folosit utilizarea suplimentara a IMEI-ului. Dar sa le foloseasca pe amandoua, oare de ce?

Un ID unic de device este necesar pentru comunicarea intre telefon si server-ul lor. Blocarea unui telefon cred ca vine pe locul 2. El este cu siguranta in principal folosit pentru comanda. De la trimis request-ul pana la primirea raspunsului. Nu cred ca se asteapta un raspuns imediat, ci probabil verifica la un interval scurt de timp daca pe server a aparut un taxi pentru comanda DeviceID-ului X.

]]> De către: Bogdan Alecu http://ro.m-sec.net/2012/05/securitatea-aplicatiilor-mobile-i-speed-taxi/#comment-437 Wed, 26 Sep 2012 13:57:10 +0000 http://ro.m-sec.net/?p=413#comment-437 clar :)

]]> De către: xxx http://ro.m-sec.net/2012/05/securitatea-aplicatiilor-mobile-i-speed-taxi/#comment-436 Wed, 26 Sep 2012 13:42:27 +0000 http://ro.m-sec.net/?p=413#comment-436 vezi ca te certi cu dir de la speed si treb musai sa vb de bine

]]> De către: Bogdan Alecu http://ro.m-sec.net/2012/05/securitatea-aplicatiilor-mobile-i-speed-taxi/#comment-354 Sat, 11 Aug 2012 13:03:09 +0000 http://ro.m-sec.net/?p=413#comment-354 :) Si BB mai are ceva scapari (vezi prezentarea mea de la DeepSec sau Zeus Trojan)

]]> De către: mihai http://ro.m-sec.net/2012/05/securitatea-aplicatiilor-mobile-i-speed-taxi/#comment-353 Sat, 11 Aug 2012 12:59:20 +0000 http://ro.m-sec.net/?p=413#comment-353 de-asta iubesc eu blackberry :)) nu da nimic din casa …. la nimeni :d

]]> De către: Bogdan Alecu http://ro.m-sec.net/2012/05/securitatea-aplicatiilor-mobile-i-speed-taxi/#comment-348 Sat, 04 Aug 2012 04:17:37 +0000 http://ro.m-sec.net/?p=413#comment-348 Alex, in primul rind, conform aceleiasi logici, de ce nu ti-ai da CNP-ul ca doar nu ai ce face cu el, nu-i asa?
Eu nu am de unde sti unde mai ajung acele date transmise (pe linga compania ce a facut softul si compania de taximetrie) si nu ma pot baza nici macar pe un raspuns oficial (sau pe ceva ce am auzit la tv). Sunt si alte date transmise pe linga IMEI si in plus alte date stocate. Gindeste-te ca cineva chiar utilizeaza aplicatia intens si isi pierde telefonul. Oricine ar recupera acel telefon poate vedea adresa de la serviciu, de acasa sau alte adrese importante (asta pentru a vorbi doar de ceea ce se stocheaza).
Apoi nu-i asa ca ar fi interesant sa ai o baza de date cu nume, prenume, adresa email, nr telefon, IMEI, versiune Android? Daca pentru tine nu, pentru ca nu stii ce poti face cu aceste date, pentru altii se pot face multe. Odata ce stii IMEI-ul stii si ce telefon are. Avind la dispozitie si versiunea de Android, deja poti initia atacuri catre respectivul numar. Si cum ar fi ca prin aceasta lista sa se afle fosti premieri / senatori sau directori de companii? Plus ca, avind IMEI-ul si persoana, deja il pot folosi in a programa alt telefon cu acelasi IMEI.

Un alt lucru pe care l-ai inteles gresit. Nu fac glume cu comenzie (ceea ce am facut a fost doar de test). La faza cu 3 secunde hai las-o ca mi s-a intimplat de mai multe ori sa vreau sa fac comanda si sa imi ceara si nr strazii. Daca il stiam mai foloseam aplicatia?

Mai bine apreciaza tu aceste „kkturi” de aplicatii si lasa oamenii care se pricep sa isi dea cu parerea.

]]>