Názory k článku
Android v prosincovém vydání opravuje vzdáleně zneužitelnou chybu typu zero-click

Jak zaznělo výše, důležitá je proveditelnost. A ovládnout telefon s Androidem tak, abych přes něj mohl potvrdit bankovní transakci je HODNĚ těžké.

Nevím jak "hodně těžké" to je, ale diskutujeme zde ve zprávě o chybě v systému, která útočníkovi umožňuje spustit libovolný kód, bez nutnosti akce uživatele. (Těch dalších 85 opravovaných věcí tiše pomíjím.)

Z podrobnějších informací jsem se dozvěděl že oprava je pro verze "11, 12, 12L, 13, 14", ale už ne, že verzí před 11 se to netýká. Mám nejnovější možný Android pro můj šmatlafoun, tedy verzi 5.1.1. Takže bych byl "v pohodě". Tedy až na ty chyby, o kterých se u 5.x ví a nikdo už je neopraví,

Kolik dalších podobných chyb v tom OS je?
Nevíme.
V tom případě mi nepřijde vhodné používat jedno zařízení s jedním OS jak na přístup k aplikaci tak k ověřování.

Pokud jsem dobře pochytil, tak ta chyba je v Bluetooth, tedy pro zneužití chyby byste se musel dostat fyzicky do blízkosti oběti. To je jedna věc.

Druhá věc je, jaká práva ten kód bude mít. Asi může na obrazovce zobrazit "You have been pwned!", ale může ovládat jiné aplikace? Spíš bych tipoval, že ne (v CVE o tom žádné detaily nejsou).

No a potom - pro potvrzení transakce je třeba ji biometricky podepsat biometrikou (u slušných bankovních aplikací). Může SW zajistit toto ověření? Skoro jistě ne.

Že jsou podobné kousky hodně těžké je zjevné i z toho, kolik zpráv o úspěšných útocích tímto vektorem člověk potká. Třeba zprávy o překonání SMS autorizace přes telefonní sítě občas kolem proletí (viz diskuse výše).

…a iPhone neumí přijímat soubory po Bluetooth z jiného zařízení než od Apple.
No to ve 21. století opravdu opovrženíhodné, viz https://forum.root.cz/index.php?topic=28197.0
…tak to bude asi proto, že Apple to z bezpečností a soukromím uživatelů myslí skutečně vážně.

Přímo v odkazované diskuzi se dočtete, že Apple to neumí ani iPhone-->iPhone:

> Bluetooth je pro připojení sluchátek a ne pro přenos nějakých dat. Apple má svůj proprietární Air Drop, ostatní mají smůlu.

Apple pro přenos souborů používá WiFi (protože je mnohem rychlejší). A ano, existuje app pro Android, která umí protokol AirDrop:

> https://www.youtube.com/watch?v=zsxviDibcUg

Stejně jako máme implementaci jiných Apple protokolů, např. sdílení videa/audia/fotek přes AirPlay. Některé TV a projektory to umí přímo, zde je třeba app pro Windows PC:

> https://mspoweruser.com/cs/airplay-for-windows/

Protože slovo "vážně", není v uvozovkách, tak to vypadá, že to myslíte bez ironie.

Vzpomenu třeba takový projekt Indoš, kde to na začátku s bezpečností mysleli natolik vážně, že zakázali používání flashových úložišť, instalaci jakýchkoliv programů a dokonce zrušili funkci pravého tlačítka myši nad některými objekty.

Přitom v případě iFounu by stačilo tam nedat žádný OS, dát tam jen tlačítko na rozsvícení baterky a podsvícení jablíčka. To by byla panečku bezpečnost.

6. 12. 2023, 23:03 editováno autorem komentáře

Ano, myslel jsem to vážně. Tak jste se vy a ostatní aspoň dozvěděli, že protokoly Apple nejsou nijak tajné, ale naopak normálně implementované v aplikacích pro Android, Windows a integrované v některých TV a projektorech. BlueTooth je z dob hloupých telefonů, které jinou možnost neměly. Chytré telefony mají WiFi, která je násobně rychlejší.

To by mě zajímalo podle čeho jeblečný modrý přijímač posuzuje ,že odesilatel je rovněž modré jablko..

Nejde náhoddou to obejít, že útočník se bude vydávat za modré jablko?

Protokoly aplikací přes WiFi jsem výše uvedl, že jsou známé a implementované v aplikacích pro různé OS a v některých TV a projektorech. U BlueTooth to funguje jednoduše - Apple podporuje jen úzký seznam BT protokolů, takže nic "rozlišovat" nemusí. Pro daný protokol na straně Apple nic neposlouchá.

RE. "tak ta chyba je v Bluetooth, tedy pro zneužití chyby byste se musel dostat fyzicky do blízkosti oběti. "

Záleží na tom, zda na zneužití té chyby potřebuje nějaké speciální BT zařízení. Pokud mu stačí běžné, tak ani není třeba tam být fyzicky a jde zneužít BT z nějakého nabořeného zařízení poblíž.

To že je o některých typech útoků slyšet a o jiných ne, nemusí vypovídat o tom, jak moc jsou zneužívány. Mnohem víc je slyšet o útocích sociálním inženýrstvím, protože to funguje, dá se dohledat co se stalo a je to čtenářsky pochopitelné a zajímavé.

Přitom víme, že stovky tisíc zařízení si v klídku botnetí, jako by se nechumelilo.

Jen bych trochu oponoval: slušná bankovní aplikace umí bankovní transakci podepsat za použití biometriky, ale rozhodně to nedělá přímo, a v žádném případě to nevynucuje.
Poměrně častým řešením je, že aplikace požádá systém o (biometrické?) ověření uživatele a systém se postará.
Hlavním důvodem (toho, proč nejde o povinnost), je příliš velké množství false negative ověření, tedy případů, kdy není oprávněný uživatel ověřený (typicky zedníci a zdravotní sestry mají problémy s otiskem prstu, opilci a přenalíčené modelky s rozpoznáním obličeje) - a proto je záměrně snížena hranice rozpoznání (takže naopak se zvedne poměr false-positive ověření).

7. 12. 2023, 09:03 editováno autorem komentáře

Banky sledují, jak moc je která biometrika false-positive, a případně danou biometriku zakážou. To byl případ třeba Samsung telefonů s první verzí čtečky otisku prstů pod displejem (tak špatná, že Samsung musel snížit citlivost).

Pro banku je problém false-positive, tedy že by se mohl přihlásit někdo neoprávněný.
Pro klienta je mnohem větším problémem false-negative, tedy že se nedostane ke svým penězům nebo nepotvrdí transakci (případně se ani neověří při telefonátu na helpdesk banky).
Proto vždycky musí existovat nějaká náhradní cesta k ověření.

Však je tam ještě PIN do app (oddělený od PIN na kartu, vytvoříte při instalaci app).

To jsou právě ty slušné bankovní aplikace. ;o)

Ale soudím, že je obecně špatné mít dostupné bankovnictví z jen jednoho zařízení.
Představme si (prosím o shovívavost, trochu zjednodušuji a zveličuji - tohle by nefungovalo!), že útočník, třebas pomocí bluetooth, má možnost spustit si bankovní aplikaci, byť na zamčeném telefonu; ta si řekne o ověření otiskem prstu, který uživatel (v domnění, že otiskem odemyká telefon) poskytne. Aplikace je aktivovaná, obrazovka zamčená. (Asi mi to nepřečetlo palec - zkusím znova.) Útočník mezitím zadá příkaz k převedení všech milionů z účtu někam na Bahamy a čeká na ověření otiskem prstu...
Prostě: je mnohem těžší ovládnout dvě zařízení současně, než jedno jediné...

To se dá zabezpečit tak, že požadavek na potvrzení biometrikou v app vyžaduje odemčený telefon (tj. rozsvícený displej).

Ono se dá ošetřit ledacos, stejně, jako se dá vymýšlet, jak to obejít (když na to máte čas a když vás to živí. ;oD ).
Však jsem upozorňoval, že takhle by to nefungovalo.

Problém vidím spíš v tom, že se postupně ošetřují různé vektroty útoku proti konkrétní aplikaci, místo aby se ošetřil celý model používání.
Já v podstatě nemám nic proti tomu, aby klienti používali čistě mobilní bankovnictví - pokud je to jejich svobodná volba. Ale když vidím, jak banky nahrazují čistě přihlašovací/pot­vrzovací jednoúčelové aplikace plnohodnotným bankovnictvím i těm, kdo prostě banku v mobilu mít nepotřebují a nechtějí (Spořitelna..), protože to (webové) v počítači je pro ně mnohem pohodlnější...

7. 12. 2023, 09:47 editováno autorem komentáře

False negative je v konečném důsledku problém i pro banku. Každé bezpečnostní opatření, které je opruz, začnou uživatelé velmi rychle systematicky obcházet a sabotovat.

Proto banky zakázaly jen tu první verzi čtečky pod displejem. Ostatní nechávají, i když čtečka na zádech nebo na boku v čínském telefonu za 3 tisíce taky není žádná sláva.

Když máte prsty zničené od desinfekce (jako zdravotní sestry) nebo od cihel a betonu (jako zedníci), tak vám nebudou fungovat čtyři čtečky z pěti - a ta co bude fungovat, nebude na zařízení, které potřebujete použít.

Proto Apple přišel s Face ID. Protože to skenuje obličej ve 3D a ne 2D, tak potřebujete masku ve stylu rekvizit do hollywoodských filmů, nestačí fotka jako na běžné PC/Android konkurenci.

EDIT: Lidi si na sítích ukazovali, jak naučit Face ID, aby fungoval s maskou/respirátorem i bez.

7. 12. 2023, 09:37 editováno autorem komentáře

No - ale nebudu si kupovat Apple jen proto, že mi lépe nascanuje obličej. Většina lidí kupuje levné Androidy především proto, že jsou levné. Ani já nejsem ochoten dát za telefon víc než pět tisíc, protože ho používám vlastně jen na telefonování.
(Opačným extrémem je náš služební iPhone, který používám k jedinému účelu: k přihlášení do firemní sítě. Je to asi nejdražší přihlašovací token, jaký si běžný člověk může pořídit.)

V některých zemích ale většina kupuje iPhone, v jiných je ta většina aspoň ve střední třídě a pro zajímavost, iPhone je oblíbený i mezi chudinou. Nejen tady v Česku , ale třeba i Africe. A když člověk nechce na splátky, tak starý X generací za pár tisíc sežene a díky extrémně dlouhé softwarové podpoře furt plně funguje*.

*) Nový OS je samozřejmě pomalejší, ale šetřílci jsou na to zpomalení již zvyklí z levných androidů (které se zpomalují, aniž by na to potřebovaly novou verzi OS - kterou beztak nedostanou).

> iPhone je oblíbený i mezi chudinou.

Tohle není až tak překvapivé. Přece jenom stereotyp je, že chudina dost kupuje třeba i (ojeté) bavoráky nebo zlaté řetězy.

Kazdy software ma svuj zivotni cyklus. Bezpecnostni podpora u Androidu bezi stale pro verzi 11 - i pro verzi 10 skoncila uz v breznu. Takze to, ze tam vase prehistoricka a devet let nepodporovana verze neni uvedena neznamena, ze vas telefon je nedotcen - jen uz tam proste uz nikdo ani nezkouma a nezjistuje... aneb jednoduse nevite na cem jste.

Naopak. Vím lépe na čem jsem, než ti, s "podporovanými" verzemi. Záleží na úhlu pohledu.

A ještě jeden pohled.
HW toho starého šmatlafounu stále funguje. Dokonce mi funguje i těch pár aplikací, které na něm potřebuji mít.
Mám za to, že kdyby byl v téhle oblasti vývoj postaven na otevřených standardech místo na snaze o vendor-lock, tak by byly k dispozici light verze s odlehčenými OS a službami.

Nehraju na mobilu hry, a tak nevidím důvod, proč by i starý HW neměl výkonnostně zvládat těch pár aplikací, které pracují s pár kb dat.

Jakoze vy znate dopady vsech publikovanych CVE na tu vasi krabicku s muzejnim software? ;-) No tak to nam jeste prihodte pohadku o Karkulce, kdyz mame ten vikend... :D

Pokud je to jako s hodně starými verzemi Windows, tak je možné, že hackerům se nevyplatí na takto staré verze Androidu útočit. Ten marketshare jim za to nestojí.

Neznám detailní dopady ani jednoho z publikovaných CVE pro mou "krabičku". Ani je nepotřebuji znát. Používám ji s vědomím a přístupem, že jí nemůžu věřit.

Místo pohádky přidávám citát k zamyšlení:
„Člověk bývá tak sebevědomý, jak je omezeno jeho chápání.“ (Alexander Pope)

"HODNĚ těžké"

A proto si o tom denne prectes na vsech mainsteam webech (nejen)u nas....

Ono totiz bohate staci, kdyz k tomu primejes toho vola co ten telefon drzi, a je to radove jednodussi, nez ho presvedcit, ze ma nekam opsat nejakou sms.

tve "fakta" obsahuji nejmene 3 "nepresnosti" (spis lzi ;-)

1. Android 9 vysel v 2018, tzn. by si v tom krame musel narazit na 5let stary model, coz bude naprosta vyjimka, primarne pujde o telefony s Android 13, castecne s 12 a zatim asi vyjimecne s 14...
s tim ze kdokoliv alespon trochu informovanej si novej telefon kupuje letosni, v nouzi lonskej model...
pro prehled, pocet modelu telefonu s Androidem dle roku uvedeni momentalne prodavane v Alza:

2023 487
2022 187
2021 87
2020 27
2019 2

2. aktualizace v podobe +2 verze neni v nejlepsim, ale v tom horsim pripade, dam seznam toho co sem pred par mesici dohledaval kdyz vybiral novej telefon:

Fairphone 5     5y OS, 8y SecUpd, 5y Warranty
Samsung A54     4y OS, 5y SecUpd
OPPO            4y OS, 5y SecUpd
Pixel >=6       3y OS, 5y SecUpd
Nothing Phone   3y OS, 4y SecUpd

3. ze by banka nepodporovala bezne prodavany Android (viz c.1: A12 - A14)
pozadavky na min verzi Androidu u nasledujich vidim:

7 - AirBanka
8 - Ceska Sporitelna
7 - CSOB
6 - Fio Banka
8 - Komerční banka
7 - mBank
7 - Moneta
6 - Raiffeisenbank

tzn. i kdyby dnes koupil telefon s Android 12 kterej by dostal i jen 1 aktualizaci na Android 13, tak pravdepodobne bankovni aplikaci s pozadavkem na Android >=14 se dostane tak za 5let, ale protoze si koupi s Android 13 kterej dostane aktualizace minimalne na Android 16, tak mu to hrozi na 8let ;-)

Ad 1: Nějakou dobu trvá, než se telefony s novým Androidem dostanou do krámu (sám to potvrzujete v bodu 3). Taky je rozdíl velký e-shop, kde se to točí, a kamenný obchod, kde vám vnutí "výhodný" ležák (např dřívější zkušenost mého táty).

Ad 3: Lidé s malým rozpočtem (inflace, nízké mzdy a důchody, většina příjmu na nájem a energie, potraviny dražší než v Německu, ...), environmentálně smýšlející lidé a minimalisti používají starý telefon, dokud funguje. Jak jsem napsal v komentáři o kus výše, mně tam vše kromě bankovní app funguje (včetně Teams a online schůzek), a ta banka funguje aspoň přes SMSky. Navíc u starých telefonů řešíme minulost a je celkem jedno, jak dlouho budou podporované telefony, které bych si koupil dnes.

ad 1) v bodu 3 nepotvrzuji, jen sem tam v te uvaze pripustil i krajni moznost
logicky, nepujdu kupovat do kramu kde mi budou nutit starej model, ale do kramu kde maji vyber z prevazne letosnich modelu...

ad 3) pokud nekdo smysli enviromentalne, tak si "musi" zaroven uvedomit, ze pokud koupil telefon s kratkou sw podporou, tak i kdyz ten HW po ni funguje dal, tak ne bezpecne...

ale jo, ja to take chapu, predchozi telefon i presto ze pred ~3.5roku kdy sem ho kupoval mel v podstate CPU stejne jako pred-predchozi kupovanej pred dalsima 3rokama (a ani v te dobe to nebyl zadnej highend), a presto vim ze ten HW by mi jeste alespon 3 roky stacil, proto sem tentokrat pri vyberu primarne koukal na co nejdelsi sw podporu tedy 5let a letostni model... vybiral sem pred/o prazdninach a protoze prosakovalo ze prijde novy Fairphone, jsem pockal s cim prijdou a...
- 8let sw podpora (s tim ze je mozne ze ji prodlouzej na 10let)
- 5let zaruka
- snadno vymenitelne i koupitelne vsechny komponenty
- i LCD lze prohodit jen se sroubovakem
- baterie lze vymenit i bez sroubovaku
=> takze na minimalne 8let mam klid ;-)

Mně se líbí unifikovat počítač a mobil, tj. k mobilu připojit monitor, klávesnici, myš, případně i repráky, ethernet, externí disk, flashdisk, kreslící tablet apod. (existují i dockiny ve tvaru notebooku a monitory s USB-C dockem, tj. do mobilu vede jediný kabel - vše je připojeno do monitoru). A k tomu samozřejmě desktopový OS (jakýkoli). Bohužel Google s každou verzí Androidu znemožňuje používat Termux stále více, na 3D akceleraci (hlavně pro 3D hry) můžu zapomenout úplně (přestože první verze Samsung Dex to uměla - další už ne) a někteří výrobci (např Xiaomi) sami na to kašlou, když v USB-C konektoru chybí USB3/DisplayPort kanály (je tam jen PowerDelivery a USB2 - jde vlastně takový microUSB s unifikovaným rychlým nabíjením a unifikovaným tvarem pro požadavek EU). V neposlední řadě tragická softwarová podpora (zaujal mě Asus ROG, má ho kolega a prý tragédie včetně zamrzání).

Já to mám přesně obráceně: mobil mám na telefonování a nesnažím se z něj dělat universální přístroj.
Mám pocit, že pak je takové zařízení universálně k ničemu, protože se v podstatě nehodí k ničemu z toho, k čemu se je snaží člověk používat - u všeho je to jen nějaký kompromis. Navíc si člověk za tu universálnost připlatí...
Na takovéhle hraní mám jedno Raspberry Pi 4 v plechové krabičce - a zrovna marně hledám HD/Full HD display velikosti zhruba A5, s HDMI připojením.

Kompromis je to i v případě, že máte na všechno specializované zařízení - herní desktop, tenký notebook, iPad s perem a mobil. Pro mě je totiž synchronizace a dostupnost mých dat a projektů skoro důležitější než třeba ta 3D akcelerace (u starších her mi stačí softwarové kreslení 3D). Ten Raspberry Pi má bohužel několikanásobně pomalejší procesor i než levný mobil a má pro mě malou RAM (vím, že vyšla nová verze, ale ta je asi stejně nedostupná).

Ale největší problém je ta softwarová podpora, kdy Google je aktivně proti (přitom by to mohlo učinit Android opět atraktivní pro enthusiasts) a výrobci telefonů na všechno kašlou, protože na iPhone nikdy mít nebudou, tak stačí nebýt horší než zbytek Android konkurence. Viděl jsem dobrou zkušenost s Huawei, ale ten skončil. Asus a Xiaomi z okolí tragédie, ale bylo mi navržen Honor, což byla flagship verze Huawei.

Ale je možné, že to nakonec skončí iPhonem a macbookem, protože MacBook s Apple Silicon, když jsem ho měl před rokem 3 týdny na obsáhlé testy, mě jako dlouhodobého uživatele PC notebooků doslova šokoval (a to i v podpoře AAA 3D Windows-only x86 her).

7. 12. 2023, 14:00 editováno autorem komentáře

Já mám na informaci o čase náramkové hodinky, na telefonování mobil, na hraní si s obrázky a koukání na filmy počítač s velkou obrazovkou, na cesty notebook - a na hraní si to Raspberry Pi (4B, 8 GB RAM). No, a v noťasu (a v Raspberry) mám VPN domů, kdybych potřeboval něco z domácích dokumentů, plus VPN a vzdálený přístup do práce (k čemuž musím tahat iPhone s firemní OTP aplikací). Ještě mívám přibalenou bezdrátovou klávesnici, myš, a krabičku s internetem (LTE), kdyby bylo třeba; a středně velkou powerbanku.
Takže s přístupem k projektům nebo domácí zábavě nebývá problém. ;o)
Výhodou je, že nehraju hry, pročež mi stačí výkon i starších zařízení.

A já hodinky přestal nosit, jakmile byly hodiny na mobilu ;-)

Já mobil považuji za telefon a ještě jsem plně nepřijal, že to není pevná linka - obvykle ho zapomenu doma na stole. A jak bych pak věděl, kolik je hodin? ;oD

Mně vyhovuje být v kontaktu s kolegy a šéfem ve firmě, což je u nás Teams. Např nemusím řešit čas strávený na obědě nebo jet dřív z práce - kdyby něco, jsem k dispozici.