Αν έχετε προγραμματίσει σε Android ένα από τα πρώτα πράγματα που μαθαίνετε είναι ότι το λειτουργικό δεν κάνει διακρίσεις μεταξύ των εγγενών εφαρμογών και των εφαρμογών του χρήστη. Τι σημαίνει αυτό; Πολύ απλά ότι μπορείτε να γράψετε το δικό σας SMS client ή πληκτρολόγιο ή launcher και να τον κάνετε προεπιλογή του συστήματος. Συνήθως αυτό προκαλεί ενθουσιασμό στους προγραμματιστές αλλά και στους χρήστες καθώς ανοίγουν νέοι δρόμοι μπροστά τους. Για παράδειγμα μπορείτε επιτέλους να χρησιμοποιήσετε αυτόν τον απίθανο launcher που αντικαθιστά τον ακαλαίσθητο που προϋπάρχει και να δουλέψετε με το καταπληκτικό πληκτρολόγιο που μαντεύει τι θέλετε να πληκτρολογήσετε πριν καν ξεκινήσετε να γράφετε. Σωστά;
Από την άλλη πλευρά υπάρχει το αρτηριοσκληρωτικό iOS, ένας από τους βασικούς κανόνες του οποίου είναι ότι απαγορεύεται να αντικαταστήσετε τις εφαρμογές του συστήματος με εφαρμογές χρήστη. Έτσι δεν υπάρχει εφαρμογή που να αντικαθιστά το πληκτρολόγιο, τον πελάτη SMS ή τον launcher του iOS και δεν πρόκειται ποτέ να υπάρξει. Γιατί όμως αυτή η αρνητική στάση από πλευράς Apple;
Δείτε λίγο αυτό το άρθρο από τον in.gr και μετά συνεχίστε την ανάγνωση.
Λονδίνο
Σε μια υπόθεση που οι εταιρείες ασφάλειας υπολογιστών ονόμασαν Eurograbber («Ευρωάρπαγας»), 30 τράπεζες στην Ευρώπη έπεσαν θύματα ενός ιού που μόλυνε τα PC και τα κινητά τηλέφωνα καταθετών τους. Συνολικά 36 εκατομμύρια ευρώ εκτιμάται ότι κλάπηκαν από λογαριασμούς σε 30 τράπεζες.
Η κυβερνοεπίθεση, αναφέρουν την Τετάρτη οι Financial Times, έγινε αντιληπτή τον Αύγουστο από τις εταιρείες ασφάλειας υπολογιστικών συστημάτων CheckPoint και Versafe, οι οποίες εκτιμούν ότι οι κλοπές συνεχίζονταν από τις αρχές του 2012.
Οι τράπεζες δεν κατονομάζονται, ωστόσο οι καταθέτες που έπεσαν θύματα του ιού βρίσκονται στην Ιταλία, όπου καταγράφηκαν τα πρώτα περιστατικά, καθώς και στη Γερμανία, την Ισπανία και την Ολλανδία.
Οι χάκερ χρησιμοποίησαν μια παραλλαγή ενός «δούρειου ίππου» με την ονομασία Zitmo, ο οποίος μπορούσε να υποκλέπτει τους κωδικούς μίας χρήσης που απαιτούνται από τους πελάτες των υπηρεσιών web banking.
Το Eurograbber είναι το τελευταίο παράδειγμα επίθεσης που βασίστηκε σε μεθόδους της λεγόμενης «κοινωνικής μηχανικής», δηλαδή της υποκλοπής κωδικών πρόσβασης μέσω της παραπλάνησης των χρηστών.
Στο πρώτο στάδιο της επίθεσης, οι καταθέτες λάμβαναν παραπλανητικά email με συνδέσμους που οδηγούσαν στην εγκατάσταση του ιού στο PC.
Την επόμενη φορά που οι χρήστες συνδέονταν στην υπηρεσία web banking, ο ιός τους ζητούσε να αναβαθμίσουν την ασφάλεια της υπηρεσίας, μια διαδικασία για την οποία έπρεπε να δώσουν και τον αριθμό του κινητού τους τηλεφώνου.
Στη συνέχεια οι πελάτες λάμβαναν στο κινητό ένα μήνυμα που περιείχε έναν ακόμα κακόβουλο σύνδεσμο, ο οποίος οδηγούσε στην εγκατάσταση ενός δεύτερου δούρειο ίππο στο ίδιο το κινητό.
Μέσω των μολυσμένων PC και κινητών τηλεφώνων, οι χάκερ αποκτούσαν πρόσβαση στους κωδικούς μίας χρήσης που έστελναν οι τράπεζες μέσω SMS. Μπορούσαν έτσι να συνδέονται στις υπηρεσίες web banking και να πραγματοποιούν μεταφορές ποσών από 500 έως 250.000 δολάρια.
Η επίθεση έβαζε στο στόχαστρο κινητά BlackBerry και Android, διευκρίνισαν οι εταιρείες ασφάλειας.
Δούρειοι ίπποι λοιπόν. Ακόμα και η εφαρμογή με τις καλύτερες των προθέσεων μπορεί να κρύβει παγίδες. Για παράδειγμα φανταστείτε ότι θέλετε να εγκαταστήσετε ένα νέο πληκτρολόγιο που διαβάζει την σκέψη σας και βρίσκεται στο Android Market. Το κατεβάζετε και διαλέγετε να το εγκαταστήσετε. Λίγο πριν την εγκατάσταση βγαίνει μια οθόνη με τα δικαιώματα που έχει η εφαρμογή και που κανένας δεν διαβάζει. Το εν λόγω πληκτρολόγιο λοιπόν πέρα των άλλων ζητάει πλήρη πρόσβαση στο internet για να κάνει update (γιατί άλλο;). Πατάτε χωρίς πολύ σκέψη αλλά με λαχτάρα το κουμπί της εγκατάστασης και ενεργοποιείτε το πληκτρολόγιο. Όλα βαίνουν καλώς στην καθημερινή χρήση του τηλεφώνου, μπαίνετε σε sites, κάνετε login στο paypal, στο google, στην εφαρμογή που μόλις έβγαλε η τράπεζά σας και η οποία για να ενισχύσει την ασφάλεια των συναλλαγών σας στέλνει ένα κωδικό μιας χρήσης (OTP) στο τηλέφωνο που έχετε δηλώσει σαν δικό σας κινητό έτσι ώστε ακόμα και αν κάποιος έχει υποκλέψει τους κωδικούς σας να μην μπορεί να μπει στον τραπεζικό σας λογαριασμό. Αισθάνεστε πλέον κάτι παραπάνω από ασφαλής μέχρι που ξαφνικά μικροποσά κάνουν φτερά από τον τραπεζικό σας λογαριασμό! Μα τι γίνεται;
Ξαφνικά θυμάστε το super duper πληκτρολόγιο που εγκαταστήσατε λίγες μέρες μετά από τον wow SMS client. Και τώρα δένουν όλα. Το super duper πληκτρολόγιο με internet access κατέγραφε ότι πληκτρολογούσατε και το έστελνε σε έναν server στα βάθη της Ρωσικής τούνδρας. Όταν ζητάγατε OTP από την τράπεζά σας ο wow SMS client σας το έδειχνε αφού πρώτα φρόντιζε να το στείλει σε ένα περίεργο καρτοκινητό ενός Ρώσου hacker. Οπότε προχθές που επιλέξατε να πάρετε έναν OTP κωδικό από την τράπεζά σας και δεν ήρθε δεν έφταιγε η τράπεζα. Ο SMS client αποφάσισε μετά από εντολή του Ρώσου προγραμματιστή του ότι έχει έρθει η ώρα να μην σας δείχνει τα SMS αλλά να τα στέλνει απευθείας στο αφεντικό. Ο απατεώνας λοιπόν που έχει προ πολλού τους κωδικούς σας χάρις στο πληκτρολόγιο που εγκαταστήσατε αποκτά τώρα και το OTP και μπορεί να αλωνίσει στον τραπεζικό σας λογαριασμό. Μην ανησυχείτε δεν θα σας πάρει πολλά (ελπίζω). Συνήθως κλέβουν από πολλά θύματα μικροποσά για να μην φανεί αμέσως η απάτη.
Μα η Google ελέγχει τα προγράμματα που είναι στο Play Store θα πείτε. Και εδώ γελάμε. Δείτε προηγούμενα post του blog και θα καταλάβετε.
Την επόμενη φορά λοιπόν που θα σιχτιρίσετε το iOS για την αρτηριοσκληρωτική του στάση σκεφτείτε για ποιον λόγο δεν έπεσαν θύματα χρήστες τηλεφώνων με iOS αλλά μόνο με Android και με Blackberry. Ξανασκεφτείτε επίσης την στιγμή που πατάτε το κουμπί Jailbreak Me! γιατί τότε όλα τα παραπάνω μέτρα προστασίας πάνε περίπατο.
Από την άλλη πλευρά υπάρχει το αρτηριοσκληρωτικό iOS, ένας από τους βασικούς κανόνες του οποίου είναι ότι απαγορεύεται να αντικαταστήσετε τις εφαρμογές του συστήματος με εφαρμογές χρήστη. Έτσι δεν υπάρχει εφαρμογή που να αντικαθιστά το πληκτρολόγιο, τον πελάτη SMS ή τον launcher του iOS και δεν πρόκειται ποτέ να υπάρξει. Γιατί όμως αυτή η αρνητική στάση από πλευράς Apple;
Δείτε λίγο αυτό το άρθρο από τον in.gr και μετά συνεχίστε την ανάγνωση.
Λονδίνο
Σε μια υπόθεση που οι εταιρείες ασφάλειας υπολογιστών ονόμασαν Eurograbber («Ευρωάρπαγας»), 30 τράπεζες στην Ευρώπη έπεσαν θύματα ενός ιού που μόλυνε τα PC και τα κινητά τηλέφωνα καταθετών τους. Συνολικά 36 εκατομμύρια ευρώ εκτιμάται ότι κλάπηκαν από λογαριασμούς σε 30 τράπεζες.
Η κυβερνοεπίθεση, αναφέρουν την Τετάρτη οι Financial Times, έγινε αντιληπτή τον Αύγουστο από τις εταιρείες ασφάλειας υπολογιστικών συστημάτων CheckPoint και Versafe, οι οποίες εκτιμούν ότι οι κλοπές συνεχίζονταν από τις αρχές του 2012.
Οι τράπεζες δεν κατονομάζονται, ωστόσο οι καταθέτες που έπεσαν θύματα του ιού βρίσκονται στην Ιταλία, όπου καταγράφηκαν τα πρώτα περιστατικά, καθώς και στη Γερμανία, την Ισπανία και την Ολλανδία.
Οι χάκερ χρησιμοποίησαν μια παραλλαγή ενός «δούρειου ίππου» με την ονομασία Zitmo, ο οποίος μπορούσε να υποκλέπτει τους κωδικούς μίας χρήσης που απαιτούνται από τους πελάτες των υπηρεσιών web banking.
Το Eurograbber είναι το τελευταίο παράδειγμα επίθεσης που βασίστηκε σε μεθόδους της λεγόμενης «κοινωνικής μηχανικής», δηλαδή της υποκλοπής κωδικών πρόσβασης μέσω της παραπλάνησης των χρηστών.
Στο πρώτο στάδιο της επίθεσης, οι καταθέτες λάμβαναν παραπλανητικά email με συνδέσμους που οδηγούσαν στην εγκατάσταση του ιού στο PC.
Την επόμενη φορά που οι χρήστες συνδέονταν στην υπηρεσία web banking, ο ιός τους ζητούσε να αναβαθμίσουν την ασφάλεια της υπηρεσίας, μια διαδικασία για την οποία έπρεπε να δώσουν και τον αριθμό του κινητού τους τηλεφώνου.
Στη συνέχεια οι πελάτες λάμβαναν στο κινητό ένα μήνυμα που περιείχε έναν ακόμα κακόβουλο σύνδεσμο, ο οποίος οδηγούσε στην εγκατάσταση ενός δεύτερου δούρειο ίππο στο ίδιο το κινητό.
Μέσω των μολυσμένων PC και κινητών τηλεφώνων, οι χάκερ αποκτούσαν πρόσβαση στους κωδικούς μίας χρήσης που έστελναν οι τράπεζες μέσω SMS. Μπορούσαν έτσι να συνδέονται στις υπηρεσίες web banking και να πραγματοποιούν μεταφορές ποσών από 500 έως 250.000 δολάρια.
Η επίθεση έβαζε στο στόχαστρο κινητά BlackBerry και Android, διευκρίνισαν οι εταιρείες ασφάλειας.
Δούρειοι ίπποι λοιπόν. Ακόμα και η εφαρμογή με τις καλύτερες των προθέσεων μπορεί να κρύβει παγίδες. Για παράδειγμα φανταστείτε ότι θέλετε να εγκαταστήσετε ένα νέο πληκτρολόγιο που διαβάζει την σκέψη σας και βρίσκεται στο Android Market. Το κατεβάζετε και διαλέγετε να το εγκαταστήσετε. Λίγο πριν την εγκατάσταση βγαίνει μια οθόνη με τα δικαιώματα που έχει η εφαρμογή και που κανένας δεν διαβάζει. Το εν λόγω πληκτρολόγιο λοιπόν πέρα των άλλων ζητάει πλήρη πρόσβαση στο internet για να κάνει update (γιατί άλλο;). Πατάτε χωρίς πολύ σκέψη αλλά με λαχτάρα το κουμπί της εγκατάστασης και ενεργοποιείτε το πληκτρολόγιο. Όλα βαίνουν καλώς στην καθημερινή χρήση του τηλεφώνου, μπαίνετε σε sites, κάνετε login στο paypal, στο google, στην εφαρμογή που μόλις έβγαλε η τράπεζά σας και η οποία για να ενισχύσει την ασφάλεια των συναλλαγών σας στέλνει ένα κωδικό μιας χρήσης (OTP) στο τηλέφωνο που έχετε δηλώσει σαν δικό σας κινητό έτσι ώστε ακόμα και αν κάποιος έχει υποκλέψει τους κωδικούς σας να μην μπορεί να μπει στον τραπεζικό σας λογαριασμό. Αισθάνεστε πλέον κάτι παραπάνω από ασφαλής μέχρι που ξαφνικά μικροποσά κάνουν φτερά από τον τραπεζικό σας λογαριασμό! Μα τι γίνεται;
Ξαφνικά θυμάστε το super duper πληκτρολόγιο που εγκαταστήσατε λίγες μέρες μετά από τον wow SMS client. Και τώρα δένουν όλα. Το super duper πληκτρολόγιο με internet access κατέγραφε ότι πληκτρολογούσατε και το έστελνε σε έναν server στα βάθη της Ρωσικής τούνδρας. Όταν ζητάγατε OTP από την τράπεζά σας ο wow SMS client σας το έδειχνε αφού πρώτα φρόντιζε να το στείλει σε ένα περίεργο καρτοκινητό ενός Ρώσου hacker. Οπότε προχθές που επιλέξατε να πάρετε έναν OTP κωδικό από την τράπεζά σας και δεν ήρθε δεν έφταιγε η τράπεζα. Ο SMS client αποφάσισε μετά από εντολή του Ρώσου προγραμματιστή του ότι έχει έρθει η ώρα να μην σας δείχνει τα SMS αλλά να τα στέλνει απευθείας στο αφεντικό. Ο απατεώνας λοιπόν που έχει προ πολλού τους κωδικούς σας χάρις στο πληκτρολόγιο που εγκαταστήσατε αποκτά τώρα και το OTP και μπορεί να αλωνίσει στον τραπεζικό σας λογαριασμό. Μην ανησυχείτε δεν θα σας πάρει πολλά (ελπίζω). Συνήθως κλέβουν από πολλά θύματα μικροποσά για να μην φανεί αμέσως η απάτη.
Μα η Google ελέγχει τα προγράμματα που είναι στο Play Store θα πείτε. Και εδώ γελάμε. Δείτε προηγούμενα post του blog και θα καταλάβετε.
Την επόμενη φορά λοιπόν που θα σιχτιρίσετε το iOS για την αρτηριοσκληρωτική του στάση σκεφτείτε για ποιον λόγο δεν έπεσαν θύματα χρήστες τηλεφώνων με iOS αλλά μόνο με Android και με Blackberry. Ξανασκεφτείτε επίσης την στιγμή που πατάτε το κουμπί Jailbreak Me! γιατί τότε όλα τα παραπάνω μέτρα προστασίας πάνε περίπατο.