Re: Κενό ασφαλείας από Εθνική Τράπεζα Ελλάδος για Android

[Ioannis Proios <john.proios@gmail.com>]

Καλημέρα.

Ναι δεν είναι bug αλλά σίγουρα είναι δουλειά της εφαρμογής.

Όπως δηλαδή και με το login του browser, αν η τράπεζα δεν απαιτούσε SSL θα λέγαμε ότι φταίει ο browser που δεν το κάνει από μόνος.

Επειδή λοιπόν μιλάμε για την υπ.αριθμόν 1(?) τράπεζα της Ελλάδος θεωρώ τραγικό λάθος να παραβλέψει το θέμα ασφαλείας.

Ένας λόγος παραπάνω έπρεπε να δώσει μεγαλύτερη προσοχή επειδή είχε να κάνει με ένα open source OS και όχι να το αφήσει κατά το "δοκούν".

Και ξανά καλημέρα...

Στις Τρί, 3 Οκτ 2017 στις 7:08 π.μ., ο/η John Tsiombikas <nuclear@member.fsf.org> έγραψε:

On Mon, Oct 02, 2017 at 03:02:45PM +0000, Ioannis Proios wrote:
> Άν το δοκιμάσεις, να ανοίξεις την εφαρμογή, θα δεις ότι όταν βάζεις τον
> κέρσορα στο username ή στο password το Android κάνει popup κάποιο πρόγραμμα
> πληκτρολογίου (ο αφελής χρήστης βάζει ότι νάνε) με αποτέλεσμα αυτά που
> γράφει περνάνε από κώδικα που δεν ξέρουμε τι κάνει.

Ayto einai basiko design feature tou android. Den einai bug, kai sigoura
den einai douleia tis efarmogis na bgalei diko tis keyboard. Mporei o
xristis na einai tyflopontikas kai na exei balei brail pliktrologio,
mporei na einai i kleopatra kai na exei balei pliktrologio me arxaia
ideogrammata. An o xristis den kserei ti pliktrologio bazei, einai
provlima tou xristi, oxi provlima KATHE android efarmogis.

Einai san na mou les keno asfaleias, to shell einai ksexoristo
programma, kai mporei o xristis na balei to LogMyInputSH anti gia to bash
kai na tou klepsei tin psyxi.

--
John Tsiombikas
http://nuclear.mutantstargoat.com/