Miért létezik olyasmi, hogy az sms alkalmazásban linkre kattintasz, majd ellopja a banki cuccaidat?
Egyik ismerősöm, egészen véletlenül esőben nézte meg milyen sms-t kapott. Majd az eső miatt rákattintott egy linkre, ami a dhls futár valamitől jött (Ami igazából, egy hamis dhls volt) A lényeg az, hogy miután rákattintott. Le lett szívva a pénze a bankból.
Ha belegondolunk, hogy hogyan lehetséges ez, akkor először az jut eszünkbe, hogy miért nincs opció az sms alkalmazásba a linkek eltüntetésére. Viszont, nem vagyok képes rájönni, hogy miért történhet meg ez. Erre keresem a választ.
válasza:A DHL-es sms-t mikor kijött, én kipróbáltam.
Persze nem vagyok nagy szaki de a lényeg kb érthető lesz talán.
Szóval egy link megnyitásával normál esettben nem lehet baj. Azért mondom, hogy normál esettben, mert tudom, hogy InternetExplorerbe volt olyan hiba, hogy egy linket megnyitva kaptál hozzáférést az áldozat gépéhez admin joggal. És nemrég az Iphone/Safari böngészőben is találtak hasonló hibát. Szóval nem azt mondom, hogy esélytelen de azért nagyon nem gyakori.
Szóval a dhl-es cuccnál a weboldalra irányított, ott szépen letöltette a dhl appot (mármint a saját kamujukat), feltelepítetted (ugye itt kellett a 3th party engedély is) majd az app induláskor mindenhez is engedélyt kért. Szépen megadtad az sms küldés, naptár olvasás, kamera hozzáférés, gps adatokat, szépen beírta magát a rendszerbe. Olyannyira, hogy magát az appot eltüntette, és ha a beállításoknál az alkalmazások törlése menübe mentél, bezárta a beállításokat :D (gondolom valami szervize figyelte ezt az "intent" hívást).
Ennyit biztos tudok róla. Viszont, az android minden alkalmazása a saját kis környezetében fut, nem igazán fér hozzá más alkalmazás mappáihoz (nem úgy mint mondjuk windows alatt). Ez alól kivétel a néhány "közös mappa", mint letöltések, fényképek, dokumentumok stb... (ugye android 8 felett ehhez már el kell kérni az engedélyeket).
Vagyis én kicsit nehezen tudom elképzelni, hogy pl az otp-s alkalmazásból "kilopta" a belépési adatokat. Még ha root-olt eszköz lenne, akkor is macerás kicsit. (főleg hogy a legtöbb adat azért titkosítva van a feloldó kulccsal/ujjlenyomattal).
Ettől függetlenül az sms-eket ellophatták, ha oda ment a banki belépésének második faktora, akkor simán kijátszható lehet.
De, én azt mondom, hogy ha nem ilyen hiper-szuper sérülékenység volt a telefonjában, attól hogy valaki megnyit egy linket, még nem bírják ellopni a pénzét. Ha telepít egy alkalmazást és minden fasz**m jogot megad hozzá, és még nem megbízható helyen meg is adja a kártya adatokat/belépést, hát akkor az vessen magára. Mondjuk tény, nagy számok törvénye alapján valakinél be fog jönni. Egy tanárom mondta nemrég, "a támadó mindig nyer". Mert ha 200 000 emberből egy ugrik be neki, akkor Ő már nyert.
A session hijacking (xss) meg azért egész másról szól. Ott az veszélyes, ha valahova bejelentkezel és oda a támadó (hozzászólásban, valamilyen szöveges részben a html-be) be tudja juttatni a kis javascript kódját amiből kiszedi a te session adataidat és elküldi magának. De azért ehhez egy nagyon béna oldalnak kell lennie, banki oldalak azért nem ilyenek.
Nah, nem lehetetlen amúgy, meg lehet oldani. De azért jóval több kell, mint egy "link megnyitása"...
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!