Мне тут накидывают про то что сервисы Сбера будут теперь требовать собственный Root CA для работы.
habr.com

Хорошо это или плохо? Товарищ майор в каждом девайсе?

Если вы сейчас читаете это на смарте, то зайдите в Настройки=>Надежные сертификаты=>Система. Ознакомьтесь.

Что там у вас? Amazon, Google, Microsoft... Это те, кому вы доверяете? А чем корневой сертификат Russian Trusted Root CA "опаснее" сертификата от Krajowa Izba Rozliczeniowa S.A.? То есть какому-то там польскому сертификату от какой-то там финансово-консалтинговой конторы вы доверяете свой TLS-трафик, а российскому - нет?

Вся эта кухня с корневыми сертификатами - это, мать его, балаган-на-доверии. Большие дядьки в интернете тупо договорились между собой и убедили пользователей, что вот этим "хорошим" ребятам можно доверять, а все остальные - потенциально опасные. Сермяжная правда в том, что "хороших" нет, интернетом рулят корпорации, а ваш трафик вам и так не принадлежит.

Единственная реальная причина опасаться установки любых национальных сертов - это феодальный строй в глобальной сети. Если всяким Амазонам вы интересны как песчинка в пустыне Бигдата, то местным "баронам" вы можете быть интересны как конкретная личность, которая что-то там лишнее звездит в этих интернетах. Всякие там бизнес схемы на основе анализа объемов трафика не рассматриваю, ибо как-то пофиг.

Ставить подобные сертификаты в систему категорически не рекомендую, да и всякие польские-японские лучше поотключать к хренам. Пользоваться приложением-клиентом, разумеется, намного удобнее, но если в бок толкает паранойка, лучше юзайте для подобных сервисов (и только для них) отдельный браузер с поддержкой таких сертификатов. Яндекс заявил о поддержке, вроде. Если без удобного приложения вам жизнь не в кассу, юзайте песочницу с отдельным набором сертификатов, чтобы разделить, например, "бытовой" и "финансовый" трафики. Это если серт будут навязывать, как это было в KZ. Какие еще есть сервисы у Сбера, кроме банкинга, я, если честно, хз. Не интересно.
_______
Источник | #tvoijazz

4pda.to

"С 1 октября банки РФ обязаны подтверждать устройства, с которых клиенты проводят операции.

В указании Центробанка РФ сказано, что кредитные организации обязаны идентифицировать гаджеты пользователей, с которых те проводят удалённые банковские операции. Логика следующая: если кто-то войдёт в аккаунт с нового смартфона или компьютера, банк должен убедиться, что это действительно клиент, а не злоумышленник. При входе с неизвестного аппарата владельцу счёта придёт оповещение на электронную почту или в виде SMS с одноразовым кодом. Без подтверждения все операции в личном кабинете блокируются."

Я на эту тему вещал давеча на курсе. Но... Все равно не понял. "При входе с неизвестного... придёт оповещение..." А при входе с "известного" не придет?

На 4pda, где, собственно и встретил новость, есть вот такое пространственное рассуждение:
"Вероятно, им придётся записывать MAC-адрес — уникальный номер сетевого интерфейса. Ещё можно уточнять рекламный идентификатор пользователя. Менее надёжный вариант — записывать набор технических характеристик: модель телефона, разрешение экрана и так далее."

Это будет уникальный идентификатор клиента на основе каких-то конкретных характеристик устройства? С добавлением соли, генерацией по определенному (и очень засекреченному) алгоритму? Потому что если это будет тупо база типа ФИО и тд. + эти самые MAC, Ads ID, Android ID и тд., то когда (не если) эта база утечет, начнется феерия и массовый спуфинг под целевые устройства конкретных клиентов. Кроме того, любое приложение на девайсе, имеющие те же разрешения что и приложение банка, получит практически такой же набор прямых и косвенных идентификаторов, который можно использовать для спуфинга.

Если системе, чтобы посчитать вход валидным, будет необходимо совпадение такого идентификатора + дополнительный фактор входа в виде кода в SMS, то, допустим, если клиент сменит гаджет - как он будет это подтверждать, чтобы в эту самую базу внесли изменения? Опять через SMS? Все это не будет иметь смысла, пока не добавят еще один фактор - например подтверждение любой операции личным паролем. Так мы постепенно и неизбежно дойдем до связки "биометрия" устройства + биометрия клиента.
_______
Источник | #tvoijazz

Повеселили меня, конечно.

"Специалисты Mullvad VPN выяснили, что мобильные устройства на Android сливают трафик пользователей каждый раз, когда девайс подключается к новой сети Wi-Fi. Это происходит даже в том случае, если активированы функции "Блокировка подключений без VPN" или "Always-on VPN"."
www.anti-malware.ru

"Mullvad вчера обнаружил..."
https://t.iss.one/black_triangle_tg/3025

Персонально НАША команда ковыряла эту тему еще два года назад (на скрине моя переписка с коллегой) https://t.iss.one/tvoijazz/1266, а сообщество указывало на дыру в Captive Portal еще в бородатом 2019-ом, если не раньше.

Если у вас нет Root-доступа, берете Adaway в режиме VPN и прописываете переадресацию хостов connectivitycheck.gstatic.com и connectivitycheck.android.com на свой localhost. Может вам поломать соединение на стоковых прошивках, но если нет Root, то вам остается только сидеть и плакать.

Если у вас рутованное устройство, то эту дрянь можно тупо убить, без всякой возни с iptables и скриптов в AFWall, что мы, собственно, всегда и делаем на курсе:
settings put global captive_portal_mode 0
_______
Источник | #tvoijazz

Простой тест на гниль эффективность блокировки рекламы вашего браузера.
test.adminforge.de

Скрины:
1. Хваленый браузер Vanadium от проекта Graphene OS, кастомный hosts отключен.
2. Tor Browser (в забеге учавствует чисто условно), кастомный hosts отключен.
3. Браузер Firefox Klar, кастомный hosts отключен.
4. Браузер Iceraven, поддерживающий любые расширения Firefox с активированным плагином uBlock Origin без дополнительных настроек, кастомный hosts отключен.
5. Браузер Bromite, кастомный hosts отключен.
6. Упомянутый Vanadium с активированным кастомным hosts на устройстве.

Результаты теста, естественно, не истина в последней инстанции. Но приблизительный результат, думаю, понятен: ручками, Вася, ручками.
_______
Источник | #tvoijazz

Подскажу. Сохраненные сети:

/data/misc/apexdata/com.android.wifi/WifiConfigStore.xml

Пароль от сети в строке со значением "PreSharedKey".

Ну и раз уж зашел разговор, расскажу об еще одном интересном файле, нарисую чисто гипотетическую ситуацию и все вместе сделаем выводы.

Если сходите по пути /data/misc_ce/0/apexdata/com.android.wifi/WifiConfigStore.xml, то обнаружите там еще один занятный файл. А именно файл, в котором зафиксированы все открытые точки доступа, которые ваш смартфон обнаружил при сканировании сети, когда вы гуляли по городам и весям, и в радиусе действия которых вы пробыли продолжительное время (это важно). Забыв отключить модуль WiFi на устройстве. Тут будут записи о всяких торговых центрах и барах, где вы побывали, об электричке Ласточка, в которой вы ехали и все в этом духе.

Итак, ситуация.

Допустим, я сотрудник китайской ФСБ, достойный член партии и верный последователь заветов Мао. Мне нужно выявить всех этих проклятых повстанцев, которые партию не слушаются, ходить в ковидных намордниках не хотят и жить в карантинном бараке, собирая Айфоны, не желают. Но повстанцы, деланые хитрым китайским пальцем, или симки к чертям повытаскивали и радиомодули поотрубали, прежде чем идти свои протесты митинговать, или юзают смартфоны со сменным IMEI. В общем через верного партии и народу ОПСОСа их к уравнению "голова=пуля" не подтянешь.

Но при этом юзают эти мерзкие негодяи для координации протестов свои антипартийные mesh-сети или забыли WiFi на устройстве отключить, когда вышли на улицу. Я, как учит партия, создаю в районе протестной акции открытые точки доступа Mao1, Mao2...Mao10 и располагаю их по условному периметру и внутри него. Все устройства, на которых активирован модуль WiFi, в пассивном режиме, независимо от настроек ограничения поиска сетей, сканируют WiFi-окружение и заносят в упомянутый выше файл информацию о моих точках Mao. Заносят не сразу, а по прошествии определенного времени, но сути это не меняет. И файл этот будет храниться на устройстве до прихода коммунизма во всем мире.

В один прекрасный день, надев белый халат, я постучусь к кому-нибудь в дверь, и под предлогом проверки QR-кода, или просто потому что "так надо", подрублю устройство потенциального негодяя к разработанному партией комплексу для извлечения данных. Или установлю на него приложение "Партия против короновируса и за народ", с охрененными "преференциями" в системе. Тем самым получу доступ к дампу памяти, включая дважды упомянутый файл. И если я обнаружу в этом файле строки с записью "Мао", будет мне миска риса, а негодяю пуля в голову на стадионе и счет родственникам за потраченную государством пулю.

Я во многом упростил, но суть послания - проебаться можно в таких мелочах, о которых ты и понятия не имеешь, WiFi, Bluetooth и прочие блага цивилизации должны автоматически отключаться, если не используются, а открытые точки доступа губительны для повстанцев.

P.S. Тут еще интересно, если кому интересно почему рандомизация MAC-адреса - вещь очень даже нужная habrahabr.ru
_______
Источник | #tvoijazz

Интересная pdf'ка, там все красиво разложено по таблицам и тд. Сразу скажу, без определенных полномочий в системе пользовательские приложения половину (наиболее значимую) из всего что там перечислено хрен в глаза увидят. Тот же Serial Number, IMEI и проч., поэтому у кого-то есть большое желание впихнуть всратый Rustore в систему с полномочиями гугловского маркета, а в дальнейшем и "своя" система наподобие китайской Harmony.

Я уже писал на эту тему, щас попробую вильнуть немного в сторону и при этом не забираться в дебри.

Любое устройство имеет отпечаток в том виде, в котором это подразумевает данный стандарт безопасности, изложенный в документе. Каким бы этот отпечаток не был по совокупности прямых (например Build.Fingerprint, который "однозначно идентифицирует сборку") или косвенных (список установленных на устройстве приложений) составляющих, он, отпечаток этот, будет в конечном итоге иметь совершенно определенную хэш-сумму.

То что на скринах - это тоже фрагменты совокупного отпечатка устройства, отпечаток этот тоже будет иметь конкретную хэш-сумму, но... нихрена в плане информативности не несет. Понимаете к чему я?

Скрытие идентификаторов никоим образом не лишает вас иллюзорной "защиты по отпечатку" и при этом никаких данных о вашем устройстве не сливает. Если кто-то попытается что-то там импровизировать в ваш адрес с другим хэшем, то по идее этого документа ему не обломится. А при скрытых идентификаторах с львиной долей информации о вашем устройстве обломается уже сам автор этой брошюры. В тоже время, подмена отпечатков вместо их скрытия влечет некоторые сложности для вас персонально, например при смене устройства, прошивки или каком-либо обновлении компонентов.

На самом деле вся эта движуха в первую очередь имеет под собой цель сбора информации, разумеется. Для последующей идентификации и подтягивания за ноздри к чему им там заблагорассудится. Из этого вытекает обострение борьбы с рутованными устройствами и эмуляторами, дающими возможность скрывать/подменять отпечатки, встраивание в приложения новых проверок на разблокированный загрузчик и тд. Во вторую очередь - любое ваше финансовое движение можно заблокировать, сославшись на несовпадение каких-то там хэшей.
_______
Источник | #tvoijazz

by @F_S_C_P

Попробуй ⛵️MIDJOURNEY в Telegram

Да, проблема такая присутствует, конкретно при использовании анонимного режима. Собственно суть Aurora в доступе к приложениям размещенным в гугловском магазине без использования сервисов Google и регистрации аккаунта. Чё-как - без понятия, вопросы к разрабу. Пофиксит или нет - это зависит от множества факторов.

Всем "обезгугленным", как вариант, могу предложить юзать апку от проекта /е/os - те же яйца только в профиль. В том смысле что это немного перепиленная Aurora, но суть та же и все работает как часы.

Из плюшек: в настройках можно выбрать отображение только опенсорсных приложений. Ну и там анонимный аккаунт, все такое...

doc.e.foundation
_______
Источник | #tvoijazz
by @F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram

Google создаст поисковую сеть из миллиардов Android-устройств 4pda.to

Прочитали?

"...будет задействовано большинство Android-смартфонов в мире."

"Найти устройство". Все заебись. Как бы. Если бы не одно "но".

"По данным сетевых источников, в новой версии Android появится полезная функция, которая поможет найти потерянный смартфон даже после его выключения."
4pda.to

"Согласно источнику, поиск смартфона будет осуществляться с помощью Bluetooth: в новой версии Android появится возможность подачи питания на соответствующий модуль даже после выключения гаджета."

Кинутся ли вендоры это реализовывать пока вынесем за скобки. Но тенденция очевидна. Сначала несъемные аккумуляторы. Потом неотключаемый Bluetooth. И вот уже в кармане постоянно работающий маяк. Остается расставить приемо-передатчики, и любое устройство с таким функционалом, попавшее в их радиус действия, будет отслежено. Другие пользовательские девайсы с работающим Bluetooth в зоне нахождения искомого устройства дополнят картину вплоть до направления и скорости перемещения.

Вернемся к нашим "скобкам". Без поддержки производителя железа это, разумеется, реализовать невозможно. Но зная Google, в один прекрасный момент они могут выкатить соответствующее требование как обязательное для прохождения сертификации устройства, и у вендоров не останется выбора. У владельцев устройств тоже не останется другого выбора, кроме как вырезать Bluetooth. Вот прям по серьезному резать конфиги, драйвера и тд. При чем не systemless, а-ля Magisk и его модули, так как модули в разделе /data и подтягиваются при загрузке, а из прошивки до ее установки и прощай подсы.

Впрочем, я бегу впереди паровоза. Сначала надо дождаться и расковырять. Хотя воображение уже рисует паяльник и самопальный переключатель по типу Librem, отрубающий соответствующий модуль от аккумулятора.
_______
Источник | #tvoijazz
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram

Листал тут новости. И вот
https://t.iss.one/F_S_C_P/98849

Почти год назад, когда рассуждали на тему "вокруг блокировок", я ванганул что хостеров будут блочить
https://t.iss.one/tvoijazz/2054

Коллега Default тогда же призывал озаботиться своей инфраструктурой, пока гром не грянул. Я не нагнетаю, я реалист.

Не помню у кого подсмотрел вот этот список хостеров, принимающих оплату в крипте
www.bitcoin-vps.com

В общем, закиньте в закладки. Возможно пригодится.
___
Источник | #tvoijazz
#полезности
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram

Коротенькое видео, которое наглядно показывает почему никогда, ни при каких обстоятельствах нельзя использовать пин-код в качестве защиты данных на устройстве.

m.youtube.com

Если кто не понял, в видео с помощью софта от Oxygen через замыкание определенных контактов на плате устройства дампится полный образ данных, защищенных 4-х значным пином , а затем пин для расшифровки данных подбирается на сторонней машине, что позволяет обойти ограничения на количество попыток ввода. Сколько на это требуется времени - без комментариев. Да, это галимый МТК, да, используется уязвимость процессора (режим BootRom). Но сути это особо не меняет.
_______
Источник | #tvoijazz
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram