Σε καμία περίπτωση δεν θέλω να προσβάλω κανένα ή να κρίνω την δουλειά του.
Επειδή εδώ είναι μια λίστα συζήτησης που συχνάζω γι αυτό και έγινε το post.
Αλλά αντί να συζητάμε και να προσπαθούμε να ανακαλύψουμε πάλι τον τροχό θα έπρεπε να πάρει θέση κάποιος υπεύθυνα και να κλείσει το θέμα.
Ελπίζω να το δω σύντομα και να μην το "θάψουν", και πραγματικά θα είναι τιμή τους να το τεκμηριώσουν κιόλας.
Αναμένουμε...
Θα συμφωνήσω απόλυτα μαζί σου. Είναι τεράστιο κενό ασφαλείας. Και
μάλιστα, με μία μικρή έρευνα μπόρεσα να ανακαλύψω ένα σύνολο από
διαφορετικά κενά, που προσωπικά θα με κάνουν να κλείσω τον λογαριασμό μου:
1) Αφήνουν τον χρήστη να χρησιμοποιήσει λειτουργικό σύστημα τρίτου
(android) και δεν έχουν αναπτύξει δικό τους! Αν είναι δυνατόν! Ξέρεις
πόσο εύκολο είναι να βάλεις τον κώδικα που έδωσες στο λειτουργικό
σύστημα και να κλέψεις τα στοιχεία;
2) Αφήνουν τον χρήστη να χρησιμοποιήσει συσκευή τρίτου και δεν έχουν
κάνει δικό τους κινητό τηλέφωνο! Απίστευτο! Εξίσου εύκολο σε hardware να
καταφέρεις να καταγράψεις τα σημεία που έκανε touch ο χρήστης και να
εξάγεις τον κωδικό του από αυτά! Πρέπει άμεσα να ανοίξουν εργοστάσια και
να παράγουν τα πάντα μόνοι τους! Ούτε να ακούσω για αγορά επεξεργαστών
από την αγορά, ξέρεις τι προβλήματα μπορούν να δημιουργηθούν στο supply
chain; Δες για παράδειγμα στο παρελθόν την cisco και τα θέματα με την NSA.
Και τα προβλήματα δεν σταματάνε στο mobile app. Σκέψου το web banking
τους. Αφήνουν τον χρήστη να χρησιμοποιεί δικό του browser και δεν έχουν
γράψει οι ίδιοι έναν για να τον δίνουν στους πελάτες τους, αφήνουν τον
χρήστη να χρησιμοποιεί δικό του driver για keyboard, δικό του
λειτουργικό σύστημα, δικό του firmware (bios ή uefi), δικό του microcode
για τον επεξεργαστή, και στην τελική δικό του hardware. Στο phone
banking δεν θα πάω, δίκτυο τηλεφωνίας από την τράπεζα εδώ και τώρα!
Πέρα από την πλάκα, πρωτού πεις ότι κάτι είναι κενό ασφαλείας, πρέπει να
εξετάσεις το threat model. Είναι απόλυτα αποδεκτό από την διεθνή
κοινότητα να εμπιστεύεσαι το third party application για το
πληκτρολόγιο. Αν κάποιος έχει την δυνατότητα να σου κάνει install ένα
'πειραγμένο' πληκτρολόγιο, και να έχει δικό της built-in πληκτρολόγιο η
εφαρμογή έχεις χάσει το παιχνίδι. Στην τελική, σου κάνει install ένα app
το οποίο έχει permissions να κάνει overlay (ίσως στέλνοντας τα κατάλληλα
keystrokes από το ήδη εγκατεστημένο πληκτρολόγιο), δημιουργεί το overlay
αυτό το οποίο είναι transparent και όταν βάζεις τον κωδικό στο
πληκτρολόγιο της εφαρμογής απλά μαζεύει ότι γράφεις. Αυτός είναι ένας
τρόπος που μου ήρθε στο μυαλό την ώρα που έγραφα το mail, μπορώ να σου
πετάξω μερικές δεκάδες ακόμη.
Επίσης μην νομίζεις ότι απλά έγραψαν ένα application και το δίνουν στον
κόσμο. Υπάρχουν ειδικά standard βάση των οποίων όλα αυτά γίνονται audit.
Δεν λέω ότι οι auditors θα βρουν τα πάντα, αλλά ένα τόσο χοντρό πρόβλημα
(χρήση third party keyboard ενώ απαγορεύεται) θα το ανακάλυπταν στο
λεπτό. Επίσης και τα standards μπορεί να μην είναι 100% σωστά, αλλά
είναι widely accepted και όλοι λειτουργούν βάση αυτών.
Απλά λίγο προσοχή πριν γίνουν δηλώσεις της μορφής 'κενό ασφαλείας από
εθνική τράπεζα'. Για να αναφέρεις κάτι τόσο χοντρό και να επιμένεις τόσο
πολύ πρέπει να είσαι σίγουρος ότι γνωρίζεις καλά το αντικείμενο και δεν
σου έχει ξεφύγει τίποτε. Στην συγκεκριμένη περίπτωση νομίζω ότι σου
έχουν ξεφύγει μερικά πραγματάκια, γιατί με την λογική σου θα έπρεπε να
απαιτήσεις να γράψουν τουλάχιστον ένα λειτουργικό για το κινητό.
My two cents,
Φώτης