Je vždy dobré mít nějaké limity na volání. Předplacený kredit je ideál.
Ovládání banky pře mobilní aplikace bez toho aby byly rozumně nastavené limity je do nebe volající rozšířená hloupost.
Telefon si mohl koupit někdo, kdo tam nahrál vir a telefon vrátil ve 14 denní lhůtě. Dobrý vir, nebo pozměněný firmware, nemusí být snadné rozpoznat a ten vir se může i sám smazat na pokyn útočníka, nebo pokud někdo nainstaluje nebo začne používat známé diagnostické nástroje.
Škoda, že nezveřejnili jaká čísla byla volána. Předpokládám, že to byly běžné hovory jednoho obyčejného člověka, toho cizince. Zajímalo by mne, jestli by na tom hacknutém telefonu bylo možná nainstalovat a provozovat běžné bankovní aplikace. Poznaly by, že s telefon není něco v pořádku? Nebo by nechaly útočníka sledovat a pak provádět na dálku všechny bankovní operace za vás?
Bankéř vám sice bude tvrdit, že zrovna ta jejich aplikace má v sobě antivir a např. pozná, pokud je telefon rootnutý. To je ale hloupost, protože všechny detekční mechanizmy lze obelstít. Pokud je telefon rootnutý, může si dělat naprosto cokoli bez jakéhokoli bezpečnostního omezení, včetně toho, že se může tvářit, že rootnutý není. Obelstít bankovní aplikace běžně to zvládají i androidi nadšenci podle instrukcí někde z fóra, kteří ale mají rootnutý telefon z jiných legitimních důvodů. Všiml jsem si, že bankovní aplikace Revolut při některých operacích posílá sama sobě ověřovací SMS. Vysvětlení mohou být dvě. Nařízení hloupého EU úředníka z Bruselu, nebo protože aplikace sama sobě, co se bezpečnosti týká, nevěří - není si jista, jestli aplikaci někdo nepřemístil (nezkopíroval) na jiný stroj a pak se snaží udělat platbu za vás!
Zato aplikace od RaifeisenBank RB klíč si je sama sebou natolik jistá, že žádné další heslo zadávané na počítači ani nepotřebuje. Stačí znát rodné číslo majitele + mít přístup k hacknutému mobilními telefonu na dálku. Jednodušší je si ale telefon na chvíli půjčit, např. když dotyčný spí a pak jej zase vrátit svému majiteli. Otisk prstu spícího nebo čtyřmístné číselné heslo (např. natočené na skryté kameře) nebude žádný velký problém.
Předpokládám ale, že škody způsobené špatně nevrženými bankovními aplikacemi v mobilech banky svým klientům uhradí zatím ze svého (pokud se nevypátrá ten, kdo to provedl), pokud slíbí, že případ nebudou medializovat.
Ovládání banky pře mobilní aplikace bez toho aby byly rozumně nastavené limity je do nebe volající rozšířená hloupost.
No jak pisete, porad se mluvi o nutnosti dvoufaktoroveho pristupu a pritom vse tlacej do aplikace v mobilu, To uplne popira smysl. Cili jedine skutecne vicefaktorove je prihlaseni jmenem a heslem + sms kod prijaty na hloupem ale opravdu hloupem mobilu. Budou tak dlouho se starat o bezpenost uzivatelu az jim to cele padne na hubu.
Ovládání banky pře mobilní aplikace bez toho aby byly rozumně nastavené limity je do nebe volající rozšířená hloupost.
No jak pisete, porad se mluvi o nutnosti dvoufaktoroveho pristupu a pritom vse tlacej do aplikace v mobilu, To uplne popira smysl. Cili jedine skutecne vicefaktorove je prihlaseni jmenem a heslem + sms kod prijaty na hloupem ale opravdu hloupem mobilu. Budou tak dlouho se starat o bezpenost uzivatelu az jim to cele padne na hubu.
No já bych až tak přísný nebyl. Nahradit SMS mobilní aplikací je věřím možné. Co ale vidím za problém je, že RB úplně odstranila zadávání hesla na webu v počítači. Na počítači se jen zadává všeobecně známé rodné číslo. A veškerou bezpečnost pak zařizuje ta pochybná aplikace pro android.
Mám také pochybnosti o aplikacích, které umožňují vše ovládat přímo z mobilních telefonů, bez účasti počítače nebo dalšího zařízení. Pokud by útočník dostal pod kontrolu tuhle aplikaci, může si s vašim účtem dělat, co chce. Jediné dva důvody, proč se to moc nestává, jsou ty, že je to pro útočníka technicky obtížné a špatně se zahlazují stopy - hlavně o tom, kam se převedly nakradené peníze. Zvládne to někdo zneužít ve velkém, aby to donutilo banky ke změně uvažování?
Na počátku internetového bankovnictví bankám také poměrně dlouho trvalo, než byly donuceny přijít s autentizačními SMS. Autentizační SMS jsou ok, co mě spíše vadilo, bylo to, že neposkytly žádnou alternativu jako seznam jednorázových kódů vytištěných na papíře, které mohla banka poslat jednorázově obyčejnou poštou. Tedy kromě jména a hesla by uživatel musel zadat jednorázový kód podle tabulky, kartičku s tabulkou by šlo třeba každý rok obměňovat. Jednoduché řešení banky nenapadne.
Trend, že se z mobilů dělá banka, v bankovnictví je hodně peněz a google i apple se chctějí přiživit. Google se proto snaží naoko zvýšit bezpečnost a např. vyhazuje starší i opensource a aplikace z google play a mění politiku. Jsou to ale spíše jen kosmetické změny, které hlavně znevýhodňují malé aplikace a vývojáře před velkými a také kazí některé méně obvyklé možnosti použití androidu.
Zajímavá story... je v ní ale víc otazníků než vysvětlení.
Z té reportáže není jednoznačně jasné, zda potíže způsoboval upravený firmware telefonu (nebo nějaká skrytá aplikace), nebo zda nešlo o klon SIM karty... kterou prostě někdo využíval souběžně s jejím právoplatným vlastníkem.
V reportáži byla zmínka, že klonování SIM karet (se stejným číslem) není možné:
"Roman Gazdík, mluvčí operátora: ...není možné, že by existovaly dvě SIM karty (se stejným číslem) v jedné síti" Ale? To není pravda. Viz Vodafone DvojSIMka - dvě SIM karty se stejným telefonním číslem. A i zde docházelo ke zneužívání (trochu jiný typ podvodu a "nabourání se" na účet oběti, než ten popsaný zde). Dokonce o tom Černé ovce už jednou referovaly. Pokud se obě SIM přihlásí do téže sítě najednou, tak se trochu "tlučou" (nevíte, na kterou z nich se vám lidé dovolají nebo na kterou z nich přijde SMS...). Ale aktivní použití je možné na obou z nich (síť komunikuje s tou SIM, která byla aktivní jako poslední).
Z reportáže: "Hovory probíhaly brzo ráno a večer, kdy byl telefon vypnutý" - vypnutý telefon nemůže nikam volat. Leda, že by si ho upravený firmware dovedl sám zapnout. Např. v chytrých telefonech Huawei, Honor dovede firmware ve spolupráci s aplikací "Budík" (tou od výrobce) telefon zapnout. Sice se telefon spustí odpojený od sítí a komunikačních služeb, ale uživateli nabídne plnohodnotné spuštění po potvrzení, že ho uživatel chce zapnout... Nicméně je to jen otázka software, že se telefon ptá na potvrzení a čeká na něj. Také by to mohlo vypadat tak, že se telefon sám aktivuje a rovnou se přihlásí do sítě a všech komunikačních služeb.
Nebo může jít v reportáži o nepřesnou formulaci - místo "vypnutý" mělo být "nepoužívaný".
Volání z účtu uživatele při vypnutém telefonu by jasně hovořilo ve prospěch klonu SIM.
Nasvědčuje tomu i existence "druhého uživatele stejného čísla" a jeho registrace se stejným číslem na WhatsAppu.
Zajímavé je i vyjádření toho druhého anglicky hovořícího uživatele (pozoruhodné, že se s ním podařilo o problému promluvit!) - že "SIM kartu koupil si na trhu, a že je určená pouze pro data a volání, že není určená k tomu, aby někdo jemu mohl volat..." (ano příchozí hovor na klonované a souběžně používané SIM v jedné síti je nespolehlivý). "Ale má přístup na internet, za SIM kartu zaplatil velké peníze, protože může volat zdarma..." - skoro to vypadá, že někdo mu prodal klonovanou SIM někde na černém trhu, a i její držitel ví, že vše není OK, ale je v podstatě jen hloupým uživatelem (jít s kradeným číslem na WhatsApp... velmi hloupé).
Těžko říci, zda nešlo o podvod typu "provedeme hovor na zahraniční premiovou linku a budeme z toho mít provizi". V jednom výpise je vidět, že jedno volání je volání do zahraničí do zóny 3 na podivné číslo 882 412 415 315,00, které stálo cca 200 Kč/minutu, (volání přes satelit). Další volání jsou v zónách 1 a 2, délka volání je taková "normální" okolo 5 minut, frekvence a čas hovorů také nevykazují nějaký podezřelý vzor, snad kromě toho, že jim někdy předcházel malý datový přenos. Volání probíhala buď ráno mezi 6 - 8 hodinou, nebo večer mezi 20 - 22 hod. Ve výpise se objevují ještě nějaké podezřelé premium SMS v brzkých ranních hodinách (okolo 7 ráno)
"Lukáš Zelený, člen Rady ČTÚ: Pokud byl příčinou potíží virus, tak za to nenese odpovědnost operátor." Potíž je v tom, že se operátor pří šetření podvodu nesprávně zaměřil jen na hypotézu o zavirovaném přístroji, ale nepodnikl řádné kroky k jejímu prokázání.
Na druhou stranu... operátor tvrdí, že odchozí hovory do zahraničí probíhaly ze stejné mobilní buňky, jako když byl poškozený doma... otázka je, zda to operátor skutečně ověřoval, nebo si to vymyslel (ČEZ mobile jako virtuální operátor nemá k těmto údajům přímý přístup, musel by je ověřit u vlastníka infrastruktury, tedy u O2).
Operátor problém nejprve popíral, posléze se (možná pod tlakem TV) rozhodl zákazníka odškodnit a reklamaci uznat. Vypadá to ale, že operátor si jen spočetl, že trváním na úhradě, by mu vznikla větší reputační škoda, než kolik ho stojí vyplacení reklamace. A možná si operátor také spočetl, že řádné vyšetření celé věci by ho stálo víc. Zda došlo k skutečnému systematickému prověření příčiny případu a krokům k jejímu zamezení v budoucnu... si dovoluji pochybovat.
No těch nepřesností nebo nešikovných formulací je tam více. Novější SIMkarty zatím snad nikdo neumí klonovat, ale je možné naklonovat starší SIM, kterou ale dotyčný určitě neměl. Nebo je možné mobilního operátora přimět, aby vydal dvě SIM se stejným číslem. Ty ale neumí fungovat současně. Co je možné, je SIM používat na dálku. Používá se to u GSM bran, kdy můžete mít všechny SIM na jednom místě, ale hovor může probíhat z jiného místa. SIM je pak připojena jakoby na dálku přes internet. Výhodu to má v tom, že se nepřetíží jedna lokalita a mobilní operátor pak také špatně zjišťuje, že se jedná o GSM bránu, když se dotyčný jakoby pohybuje, i když SIM je celou dobu na jednom místě, aby se to dalo snadněji spravovat. Využití by to mohlo být třeba i takové, že byste mohl mít SIM fyzicky třeba v USA, a přesto telefonovat z ČR přes speciální zařízení. Komunikace se SIM i hovor samotný by se přenášel přes internet a dá se tak vyhnout roamingovým poplatkům. Jestli by k tomu stačil speciálně upravený android, nebo by to vyžadovalo i úpravu hardwaru netuším.
Mobil rozhodně nemohl být vypnutý v době, kdy někdo ze SIM v něm dělal hovory. Mohl být ale nepoužívaný. Prostě jej někdo používal asi jako GSM bránu. Pikantní je na tom to, že právě tomuhle se google snaží zabránit.
A co říkal ten cizinec může být zkreslené. Neuměl nebo nechtěl se vyjádřit úplně přesně, nemluvě o tom, že jej nemuseli dobře pochopit.
Základní věc, že si dotyčný koupil levný značkový telefon (energizer je značka, i když ne moc telefonů) ve známém eshopu, nainstaloval do něj jedinou bezpečnou aplikaci a přesto byl zneužit.
Google nedovoluje telefon používat jako GSM VoIP bránu, to by pak pak otevřelo spoustu možností jako hlasové menu, nebo přesměrování hovoru jinam. Ale google to nechce zjevně kvůli bezpečnosti a možná si to také nechce rozházet s mobilními operátory. Ale na tomto telefonu to zjevně šlo
.
Pravděpodobně tak na podobných telefonech nebudou fungovat i jiná bezpečnostní opatření googlu, které mají chránit třeba bankovní aplikace. Tedy dost možná si budou moci útočníci nejen volat na váš účet, ale vám vykrást i peníze z bankovního účtu. To že se všichni tváří, že to není možné, ještě neznamená, že je to pravda. Bankovní aplikace se sice snaží si hlídat, že telefon je OK a není rootnutý, ale to je ochrana spíše naoko, protože existují postupy, jak tomu zabránit.
Zavirovaný telefon jsem také koupil. Z Číny. Soyes 6S. Dělal je AIEK, výrobce falešných iPhonů, a podvodných Android telefonů (ukazující falešnou RAM, falešnou flash i falešnou verzi Androidu). Instalátor virů se skrýval ve firmwaru pod názvem WirelessUpdate.
S takovým přístrojem lze snadno nainstalovat třeba registrátor WhatsAppu, ale volat přes něj z ciziny už hůře, a určitě ne ze SIM.
Klon SIM karty umí udělat operátor nebo ten, kdo mu kartu vyrábí. To by ovšem hovory nešly ze stejné bezdrátové buňky.
Do mobilu je také možné dostat některou z aplikaci na rSAP (Remote SIM Access Profile). Ten je sice určený pro Bluetooth, ale lze si představit i poslání po síti. U rootovaného telefonu to nemusí být náročné. To by ovšem uživatel klonu nemohl mít normální SIM z trhu.
Lze si ovšem představit, že SIM se napojuje na stále stejné číslo, a to se přesměrovává na to ukradené. A že se před voláním použije speciální dialer, který hovor propojí přes ukradené číslo. Tomu by nasvědčoval malý přenos dat před hovorem. Zároveň by to pak nepotřebovalo klon SIM.
Lze si ovšem také představit (záměrnou) chybu při recyklaci nepoužívaných telefonních čísel.
