A hackerfeleség naplója

Vigyázat, pongyola! Csak laikusoknak.

Autólopás okostelefonnal

2016. november 26. - A feleség hackere

Belefutottam ebbe a cikkbe: http://androgeek.hu/hir/android-aplikacion-keresztul-hackelheto-a-tesla és szeretném kicsit megmagyarázni, árnyalni a dolgot, ugyanis ez így csak féligazság.

393px-ifa_2010_internationale_funkausstellung_berlin_92.JPGkép: Wikipedia

Tök jól hangzik, hogy egy Teslát el lehet kötni ilyen támadással, de ez tipikusan az a támadás, aminek egyrészt nagyon sok feltétele van, másrészt ha ezek a feltételek teljesülnek, akkor nem csak egy Teslát lehet elkötni, hanem bármit meg lehet csinálni a telefonon. Azért ez egy elég lényegi információ. Mobilbank, bármilyen online fiók, levelezés, jelszavak, akármi. Tényleg akármi. A mobilbankos kommunikációt is pontosan ugyanígy lehet támadni, ha a user volt olyan hülye, hogy:

  • Rootolt telefont használ*, vagy mindent ész nélkül engedélyez az alkalmazásnak (tegnap hitelesnek tűnő forrásból hallottam, hogy az androidok 25%-a, az IOS-ek 8%-a rootolt/jailbroken). Biztonsági szempontból ez az első lépés a legnagyobb hülyeség, amit mobilt hasznaló ember tehet (tudom, ezzel most sok embernek a lelkébe tiportam, bocs).
  • Csatlakozik ismeretlen open wifihez. Ez mondjuk néha előfordul, de ha lehet, kerülendő.
  • Letölt és telepít egy ismeretlen gyártótól származó alkalmazást egy hamburgerért (vagy barmi más motiváció miatt).
  • Mindezt ott, akkor, azonnal, amikor a támdó épp ül a free wifi mögött. Ennek mi az eselye?

De ha mindezeket megtette, akkor a támadó a telefonját törte fel, nem a tesláját. A cikkben leírt módon többek között mobilbanki kommunikaciót is támadhat a hacker, mert nagyon hasonlóan működik, de valójában az újraregisztrálás vagy új kulcs generálás sem fontos, mert ha már rootkent futok az eszközön, azt csinálok vele amit akarok. Bár ez realtime működik, a Tesla lopáshoz tényleg kellhetnek azonositók. Mindezek mellett persze meg lehetne jobban is csinálni azt az alkalmazást.

Úgyhogy a cikk érdekes, de pongyola és szenzációhajhász. Igazabol olyan mintha azt mondanank, hogy egy autot el lehet lopni a kulcsaval.. oriasi szenzacio. De ami még fontosabb, ami miatt megszületett ez a post, hogy a cikk nem foglalkozik a megoldással, amit én nagyon utálok. Állandóan leirják, mi a baj, de sosem irják le, mi a megoldás.

Mi leírjuk:

  • ne rootold a telefonod,
  • ne rootold a telefonod,
  • ne rootold a telefonod,
  • ne telepíts semmilyen ismeretlen, torrentezett stb. alkalmazást,
  • óvatosan bánj az ismeretlen wifikkel, openhez inkabb ne csatlakozz, de ha mégis, akkor használj mindent titkosítva (levelezés, mindenféle webes belépések stb.)

És akkor nem fogják (így) ellopni a Tesládat. :)
És ha van egy Teslád, hívj meg egy tesztvezetésre, köszi.

Egyébként azt nagyon fontos lenne mindenkinek megértenie, hogy egyre kevésbé van olyan, hogy adatlopás nem egyenlő fizikai lopással. Gondoljatok bele! Az ingatlan-, autó-, vagy bármilyen tulajdonjogotok, az adózási informaciótok, a pénzetek - minden csak egy adat. Egy rekord egy adatbázisban. Mi van ha módositják az adatbázist? Hogyan bizonyitod az igazad. És 10 év múlva?


* rootolt/jailbroken telefon: lényegében egy a user által eleve feltört telefon, amin a user rendszergazda jogokkal rendelkezik. Tehát ha telepít egy malware-t az képes lesz rendszergazda jogokkal barmit csinalni a telefonon. Tehát a telefont előzetesen a user maga törte fel, csak utana jött a hekker :)

A bejegyzés trackback címe:

http://hackerfeleseg.hu/api/trackback/id/tr2111997382

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.

Tetszett a bejegyzés? Kövesd az oldalt!

blog.hu