4pda.to
"С 1 октября банки РФ обязаны подтверждать устройства, с которых клиенты проводят операции.
В указании Центробанка РФ сказано, что кредитные организации обязаны идентифицировать гаджеты пользователей, с которых те проводят удалённые банковские операции. Логика следующая: если кто-то войдёт в аккаунт с нового смартфона или компьютера, банк должен убедиться, что это действительно клиент, а не злоумышленник. При входе с неизвестного аппарата владельцу счёта придёт оповещение на электронную почту или в виде SMS с одноразовым кодом. Без подтверждения все операции в личном кабинете блокируются."
Я на эту тему вещал давеча на курсе. Но... Все равно не понял. "При входе с неизвестного... придёт оповещение..." А при входе с "известного" не придет?
На 4pda, где, собственно и встретил новость, есть вот такое пространственное рассуждение:
"Вероятно, им придётся записывать MAC-адрес — уникальный номер сетевого интерфейса. Ещё можно уточнять рекламный идентификатор пользователя. Менее надёжный вариант — записывать набор технических характеристик: модель телефона, разрешение экрана и так далее."
Это будет уникальный идентификатор клиента на основе каких-то конкретных характеристик устройства? С добавлением соли, генерацией по определенному (и очень засекреченному) алгоритму? Потому что если это будет тупо база типа ФИО и тд. + эти самые MAC, Ads ID, Android ID и тд., то когда (не если) эта база утечет, начнется феерия и массовый спуфинг под целевые устройства конкретных клиентов. Кроме того, любое приложение на девайсе, имеющие те же разрешения что и приложение банка, получит практически такой же набор прямых и косвенных идентификаторов, который можно использовать для спуфинга.
Если системе, чтобы посчитать вход валидным, будет необходимо совпадение такого идентификатора + дополнительный фактор входа в виде кода в SMS, то, допустим, если клиент сменит гаджет - как он будет это подтверждать, чтобы в эту самую базу внесли изменения? Опять через SMS? Все это не будет иметь смысла, пока не добавят еще один фактор - например подтверждение любой операции личным паролем. Так мы постепенно и неизбежно дойдем до связки "биометрия" устройства + биометрия клиента.
_______
Источник | #tvoijazz
"С 1 октября банки РФ обязаны подтверждать устройства, с которых клиенты проводят операции.
В указании Центробанка РФ сказано, что кредитные организации обязаны идентифицировать гаджеты пользователей, с которых те проводят удалённые банковские операции. Логика следующая: если кто-то войдёт в аккаунт с нового смартфона или компьютера, банк должен убедиться, что это действительно клиент, а не злоумышленник. При входе с неизвестного аппарата владельцу счёта придёт оповещение на электронную почту или в виде SMS с одноразовым кодом. Без подтверждения все операции в личном кабинете блокируются."
Я на эту тему вещал давеча на курсе. Но... Все равно не понял. "При входе с неизвестного... придёт оповещение..." А при входе с "известного" не придет?
На 4pda, где, собственно и встретил новость, есть вот такое пространственное рассуждение:
"Вероятно, им придётся записывать MAC-адрес — уникальный номер сетевого интерфейса. Ещё можно уточнять рекламный идентификатор пользователя. Менее надёжный вариант — записывать набор технических характеристик: модель телефона, разрешение экрана и так далее."
Это будет уникальный идентификатор клиента на основе каких-то конкретных характеристик устройства? С добавлением соли, генерацией по определенному (и очень засекреченному) алгоритму? Потому что если это будет тупо база типа ФИО и тд. + эти самые MAC, Ads ID, Android ID и тд., то когда (не если) эта база утечет, начнется феерия и массовый спуфинг под целевые устройства конкретных клиентов. Кроме того, любое приложение на девайсе, имеющие те же разрешения что и приложение банка, получит практически такой же набор прямых и косвенных идентификаторов, который можно использовать для спуфинга.
Если системе, чтобы посчитать вход валидным, будет необходимо совпадение такого идентификатора + дополнительный фактор входа в виде кода в SMS, то, допустим, если клиент сменит гаджет - как он будет это подтверждать, чтобы в эту самую базу внесли изменения? Опять через SMS? Все это не будет иметь смысла, пока не добавят еще один фактор - например подтверждение любой операции личным паролем. Так мы постепенно и неизбежно дойдем до связки "биометрия" устройства + биометрия клиента.
_______
Источник | #tvoijazz
Повеселили меня, конечно.
"Специалисты Mullvad VPN выяснили, что мобильные устройства на Android сливают трафик пользователей каждый раз, когда девайс подключается к новой сети Wi-Fi. Это происходит даже в том случае, если активированы функции "Блокировка подключений без VPN" или "Always-on VPN"."
www.anti-malware.ru
"Mullvad вчера обнаружил..."
https://t.iss.one/black_triangle_tg/3025
Персонально НАША команда ковыряла эту тему еще два года назад (на скрине моя переписка с коллегой) https://t.iss.one/tvoijazz/1266, а сообщество указывало на дыру в Captive Portal еще в бородатом 2019-ом, если не раньше.
Если у вас нет Root-доступа, берете Adaway в режиме VPN и прописываете переадресацию хостов connectivitycheck.gstatic.com и connectivitycheck.android.com на свой localhost. Может вам поломать соединение на стоковых прошивках, но если нет Root, то вам остается только сидеть и плакать.
Если у вас рутованное устройство, то эту дрянь можно тупо убить, без всякой возни с iptables и скриптов в AFWall, что мы, собственно, всегда и делаем на курсе:
_______
Источник | #tvoijazz
"Специалисты Mullvad VPN выяснили, что мобильные устройства на Android сливают трафик пользователей каждый раз, когда девайс подключается к новой сети Wi-Fi. Это происходит даже в том случае, если активированы функции "Блокировка подключений без VPN" или "Always-on VPN"."
www.anti-malware.ru
"Mullvad вчера обнаружил..."
https://t.iss.one/black_triangle_tg/3025
Персонально НАША команда ковыряла эту тему еще два года назад (на скрине моя переписка с коллегой) https://t.iss.one/tvoijazz/1266, а сообщество указывало на дыру в Captive Portal еще в бородатом 2019-ом, если не раньше.
Если у вас нет Root-доступа, берете Adaway в режиме VPN и прописываете переадресацию хостов connectivitycheck.gstatic.com и connectivitycheck.android.com на свой localhost. Может вам поломать соединение на стоковых прошивках, но если нет Root, то вам остается только сидеть и плакать.
Если у вас рутованное устройство, то эту дрянь можно тупо убить, без всякой возни с iptables и скриптов в AFWall, что мы, собственно, всегда и делаем на курсе:
settings put global captive_portal_mode 0_______
Источник | #tvoijazz
Anti-Malware
Android сливает трафик даже при включенной функции Always-on VPN
Специалисты Mullvad VPN выяснили, что мобильные устройства на Android сливают трафик пользователей каждый раз, когда девайс подключается к новой сети Wi-Fi. Это происходит даже в том случае, если