Bkav Security - ne használd a Face ID-t üzleti tranzakciókhoz

 ( trey | 2017. november 28., kedd - 11:12 )

"In field of cyber security, this is not secured and we have to raise the security severity level of Face ID. Which means it is not secured for all of us to use Face ID in business transactions, [...] About 2 weeks ago, we recommended that only very important people such as national leaders, large corporation leaders, billionaires, etc. should be cautious when using Face ID," said Ngo Tuan Anh, VP of cyber security at Bkav. "However, with this research result, we have to raise the severity level to every casual users: Face ID is not secure enough to be used in business transactions."

További részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Eközben rajtvonalhoz áll: MKB Mobilbank app

Wow és márciusig a havidíját is elengedik!

--
"I would rather have questions that can't be answered than answers that can't be questioned.'

--Richard Feynman

Még szerencse, kapcsolom is ki. Ugyanis nem rémlik, hogy az alkalmazás szólt volna, hogy pénzbe kerül a funkció.

baszki, jo hogy szolsz!

> szelfi alapú

wut

ugye...

At lehet verni egy specialian elkeszitett maszkkal. Hat, ez meg az ujjlenyomat-alapu azonositasnal is kevesbe kellemetlen (azt meg konnyebb atverni, es az ujjlenyomatot megszerezni realisabb ugy, mint egy 3D scant az arcrol.

Egyebkent a Bkav Androidos telefonokat arul.

----------------------
while (!sleep) sheep++;

valoszinuleg azt se javasoljak hasznalatra.
De nyilvan, ez nem a 200K-s LEDtv vasarlasara vonatkozik, hanem a sok millio(dollaro)s tranzakciokra.

ez nem bug, feature
------------------------
Jézus reset téged

... hehe, akkor a tüszómúzeumban unlockolhatom erzsikenéni telefonját ...
:):):)
_____________________
www.pingvinpasztor.hu

Én tovább megyek - illetve tartom az eddigi hozzáállásomat:
Ne használd a TELEFONODAT üzleti tranzkciókhhoz.

--
zrubi.hu

Konkrét, technikai jellegű érv?

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

pl. ellopják és a nevedben csinálnak dolgokat. bár ez nem technikai :)

*sóhajt*

Laptopot, PC-t ugyanúgy el lehet lopni.

Mobilokon ott a jelkód, PIN zár, minta zár, és az ujjlenyomat védelem. Ráadásul a komolyabb alkalmazások (bank) megkövetelik, hogy használd is a biztonsági funkciókat, különben egyáltalán nem működnek.
Én úgy látom hogy a mai Android/iOS tökre praktikus szempontok szerint van összerakva, elég jó biztonsági funkciók mellett. Hacsak nem vagy teljesen idióta, egészen jól védi a dolgaidat.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Ne zavarj össze tényekkel :)

Igen sokan nem használják az ilyen advanced fícsörket, mintpl mintás zár, vagy neadjisten ujjlenyomatos feloldás. Sajnos megint az ember a leggyengébb láncszem.

Ezért van az, hogy a telefonok újabban azzal nyitnak, hogy állítsd be magadnak, és az alkalmazások, főleg az érzékeny adatot kezelő alkalmazások nem is hagyják úgy használni magukat, hogy nincsenek ezek a védelmek engedélyezve.

Erről beszélek. Az OTP smart bank pl. meg se moccan ujjlenyomat vagy jelkód megadása nélkül.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

még szerencse

- Backdoor(ok) hardver, OS, és szolgáltató szinten egyaránt.
- az aktuális világmegváltó szekuriti fícsörök - mint ez is - nagjából a beharangozásuk után 2 hét alatt elvéreznek, kiderül róluk, hogy parasztvakítás.
- a mobil OS-ek biztonsági megoldásai csak papíron működnek,
- a sjatát "ellenőrzött" áruház-ba is simán bekerülnek kártékony alkalmazások,
- a gyári alkalmazásokról is sorra kiderül hogy nem kért fícsörei is vannak,
- alapból mindent felszinkronizál egy 3rd party szerverre.
- legtöbb gyakorlatban használt eszközön örökre bugos WiFi, Bluetooth chip/firmware van.
- az SSL tanúsítványkezelésük - ha létezik - minősíthetelenül szar.

Ezen problémák többsége a legújjabb, pofátlanul túlárazott csilivili vágódeszkákra is igaz
És ha azt vesszük, hogy a gyakorlatban csak egy durván szűk réteg veszi meg mindig a legújabb cuccokat, a TÖBBSÉG pedig eleve már ismert bughalmazokat tartalmazó, soha többé nem frissülő elavult vackokat használ....

Persze, abból kiindulva hogy az okostelefon felhasználók többsége már rég lemondott a saját magánéletéről is, hogyan lenne képes a céges adataira "vigyázni"?

Nyilván tudom, hogy ezzel a véleménnyel meg én vagyok a durván szűk kisebbség, de együttt tudok ezzel élni :)

Végeredményben pedig mindenki arra használja a mobilját, amire akarja - Mert megérdemli ;)

--
zrubi.hu

Amikor a backdoor-ok már a firmware-ben, video memóriában stb. vannak, baszhatod az összes világmegváltó security elképzelésed. Nincs olyan, hogy 100% biztonság. Ebből kifolyólag én nem hiszem, hogy életünk végéig rettegésben kellene élnünk, elutasítva a világ kényelmi vívmányait. Meg kell tenni minden lehető ésszerű dolgot az adatok védelme érdekében, de nem olyan áron, hogy remete életet éljünk.

--
trey @ gépház

+1

Olvastam olyan biztonsági szakemberről aki még bunkófont se hord magával mert azon is követni tudják. Lehet vannak emberek akiknek ilyen szinten tartaniuk kell a lehallgatásttól de én mint szürke, unalmas kispolgár megelégszek azzal, hogy olyan telefont veszek aminek van vállalt frissitési ütemterve és a böngészőmbe felteszem a Privacy Badger-t valamint nem kattintok gyanús linkekre emailekben. Ennyi.
--
:wq

Ezen érvek többsége a PC-kre is alkalmazható, sőt.

"- Backdoor(ok) hardver, OS, és szolgáltató szinten egyaránt."
Pont, mint a PC-kben.

"- az aktuális világmegváltó szekuriti fícsörök - mint ez is - nagjából a beharangozásuk után 2 hét alatt elvéreznek, kiderül róluk, hogy parasztvakítás."
Mi parasztvakítás nálad az ujjlenyomat azonosításban?

"- a mobil OS-ek biztonsági megoldásai csak papíron működnek"
Nálam működik a minta zár, a jelkód és az ujjlenyomatolvasó is, rosszul csinálok valamit?

"- a sjatát "ellenőrzött" áruház-ba is simán bekerülnek kártékony alkalmazások,"
Ettől még egy megbízható fél által kiadott biztonságos alkalmazás még lehet jó (pl. bankod appja)

"- a gyári alkalmazásokról is sorra kiderül hogy nem kért fícsörei is vannak,"
Mint tetszőleges eszköz tetszőleges bármilyen alkalmazásáról.

"- alapból mindent felszinkronizál egy 3rd party szerverre."
Nálam le van tiltva, de megnézhetjük együtt is, ha nem hiszed el

"- legtöbb gyakorlatban használt eszközön örökre bugos WiFi, Bluetooth chip/firmware van."
Just like PC-ken

"- az SSL tanúsítványkezelésük - ha létezik - minősíthetelenül szar."
az egyetlen amihez alátámasztást kérnék a többi üres fecsegés.

szerk.: egyébként én is próbálom privacy aware módon használni a telefont. az hogy a többség mit művel a telefonjával egy 10-es skálán mondjuk 0 szintig érdekel.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Miért üres fecsegés a tények felsorolása? - A mobiltelefonok adatszivárogtatását az emberek különböző mértékben tűrik, - de a jelenséget a struccpolitika homokba dugott fejével jellemezhetnénk leginkább. - (Kinek mi az elviselhető mélység, azaz a forró homokban mennyit bír lefelé a nyaka és feje.)

Fel lett sorolva egy csomó érv, hogy miért nem szabad telefont használni üzleti tranzakciókhoz, holott egy részük PC-re ugyanúgy igaz, sőt, van hogy halmozottan. És a tények pont hiányoztak.

Érveket kértem hogy telefonon miért ne végezz üzleti tranzakciókat. Kaptam érveket, amelyek igazak bármilyen számítógépes eszközre. Innentől kezdve soha ne kezelj üzleti tranzakciókat semmivel, ami hardverből és szoftverből áll. Tehát ezek nem érvek.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Keverjük kavarjuk a dolgokat. A google/facebook/társai valóban lopják az adataidat, ez ellen én pl. teszek is aktívan, de ettől egy jól beállított, frissítet operációs rendszerrel rendelkező, biztonsági funkciókkal (pl. ujjlenyomat) rendelkező telefonon _nyugodtan_ használd pl. a bankod alkalmazását. Még jobb helyen is fut, mint egy random JóskaPC-n.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

az egyetlen amihez alátámasztást kérnék a többi üres fecsegés.
:D

Nem, nem fogom megguglizni helyetted, hogy "bizonyítékot" keressek...

És nyilván a PC platform (és itt a PC alatt nem az MS windwost értem) sem tökéletes, de egy-két-három? nagyságrenddel azért kezelhetőbb a helyzet.

Csak egy fő különbség:
A telefonodon, ki birtokolja a "root jogokat"?
Na, övé az összes adat ami a telefonodon van, és ő rendelkezik az összes hardver (kamera, WIFI, GPS, face id, fingerprint reader,stb) működéséről is.

Az, hogy nem érdekel egy probléma, az nem azt jelenti, hogy nem is létezik.

Szerintem.
--
zrubi.hu

"A telefonodon, ki birtokolja a "root jogokat"?
Na, övé az összes adat ami a telefonodon van, és ő rendelkezik az összes hardver (kamera, WIFI, GPS, face id, fingerprint reader,stb) működéséről is."

Az összesnél a gyártó. Amikor te egy telepítőről feltelepítesz egy OS-t, az "root" joggal fut. Onnantól kezdve elvesztél. Ugyanez igaz bármely OS frissítés telepítésekor.

Emlékszel még Shuttleworth mondására?

"Don’t trust us? Erm, we have root. You do trust us with your data already. You trust us not to screw up on your machine with every update. You trust Debian, and you trust a large swathe of the open source community. And most importantly, you trust us to address it when, being human, we err."

--
trey @ gépház

Hagyd csak, ne pazarolj energiát. Meg vannak győződve róla hogy a telefonról tilos bankolni, bár hard facteket nehezen hoznak. És ott van nekik a PC, mint a biztonság atyaúristene.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Szerencsére, PC esetében nem csak a "gyártók" által készített OS, és/vagy telepítőksézlet létezik ;)

Egy telefon esetében egy-két-három? nagyságrenddel rosszabb a helyzet.

És ismét hangsúlyoznám, hogy nem jó és rossz összehasonlításáról beszélek, sokkal inkább:
szar vs. mégszarabb.

--
zrubi.hu

Valakiben mindenképpen meg kell bíznod. Ha lemész baseband / firmware szintig, akkor semmivel se kommunikálj. Max. füstjelekkel. :)

--
trey @ gépház

nyiván.

De csak közeledünk akkor, mert ha nem mindegy kikben és milyen szinten kell megbíznod, akkor mégiscsak tudunk különbséget tenni - de még mindig csak szar vs mégszarabb szintről beszélek.

És ebben (is) a PC áll előrébb egy okostelefonnal szemben.

--
zrubi.hu

Rendben, a random telefonra szinte biztos, hogy nem fogsz találni az adott gyártótól eltérő sw stack vendort, tehát meg kell benne bíznod. De ha security aware akarsz lenni akkor a telefonvásárlás előtt meggyőződhetsz róla, hogy melyik gyártó milyen telefont ad és azzal mik a lehetőségeid, ha megveszed.
--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

"A telefonodon, ki birtokolja a "root jogokat"?"

Én.

"Az, hogy nem érdekel egy probléma, az nem azt jelenti, hogy nem is létezik."

De érdekel, csak sorrendbe állítjátok a telefont meg a pc-t biztonság szempontjából hard factek nélkül. Reméltem komoly érveket, de hát csalódni kellett.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

"A telefonodon, ki birtokolja a "root jogokat"?"

Én.

Most már érdekel: milyen telefonod van, és azon milyen OS fut?

Szerk:
Ja, már látom.
Innentől nincs is miről beszélni.

Hacsak nem arról, hogy mennyivel kisebb esélyed van arra hogy ezt (custom ROM) megvalósítds egy telefonon, mint egy PC-n?

Nekem legalábbis nem volt szerencsém (vagy elég pénzem?), az eddigi telefonjaimra vagy nem készült semmilyen custom ROM, vagy nem volt elég erős hozzá, vagy a szolgáltatóm tiltotta le ezt a lehetőséget.

Ezzel szemben az eddigi összes PC/laptop amit használtam alkalmas volt arra, hogy custom OS-t pakoljak rá, ezzel szűkítve - vagy legalábbis magam kiválasztva - kinek adom a bizalmamat...

--
zrubi.hu

Mi a fasznak ez a bonyolult szarsag. Sarokbaszoritok valait, rauvoltok, hogy vegye elo es nezzen ra, majd kikapcsolom a faceid-t vagy mitokomet.
De majd fejeket gyartok...aham.

Szerintem nem tudod kikapcsolni a jelkód nélkül

---
http://www.vultr.com/?ref=6814182

szerintem amíg szó szerint ötezer forintért képes valaki embert ölni, addig a jelkód sem lesz akadály

ha választhatok a jelkód átadása és a szilánkosra tört térdkalács között, akkor én gondolkodás nélkül az előbbit választanám

jaja, van aki ketezer forintert oli meg a sajat nagyanyjat... szoval szep ez a bohockodas a babaval, de ennel egyszerubb megkerdezni, hogy "biztonsagos?"-e :)

Nem igazán értem mi ebben bárkinek is az újdonság. Ha lemásolod az arcod azon részét, amiket a face id ellenőriz, meglepő hogy kinyit? Ugyan ez amikor az ikrekkel demózták, hogy unlockol.. Micsoda meglepetés!

---
http://www.vultr.com/?ref=6814182

Meglepetés, főleg, hogy a keynote-ban azt mondták, hogy háliúdi maszkmesterekkel dolgoztak, és tanították be az AI-t, ami az arcfelismerést végzi, hogy ilyen ne történhessen :)

De ők biztos több 10 ezer dolláros maszkokkal teszteltek, ez meg egy 200 dolláros szar. :D Erre nem gondoltak.

--
trey @ gépház

Lehet Timkuki csak nem bontotta ki az igazság minden részletét, a maszkolás a beszélő szarokhoz kellett. ;)

Amikor az infrared kamerát említették a bemutatón, azt hittem, hogy "hőkamera" is belekerült, de most látom, hogy csak a kivetített pöttyök infrások, ahhoz kell. Így nem nagy csoda, hogy egy jobb maszkkal át lehet verni, lényegében egy mezei 3D-s modell a "kulcs".

Hőkamerát nehéz lenne így átverni.

Sőt egyre "nehezebb" lenne átverni (átverekedni rajta magát az embernek,) amikor a növekvő számú próbálkozástól először kipirul az arc, majd a felismerés meghozza várva várt, "kifut a vér a fejemből" reakciót is..
:)

A bemutatott faceid átverési(?) eljárás legfontosabb lépése, a masz készítéshez szükséges arc 3D szkennelésének bemutatása kimaradt... én egykor próbálkoztam 3D szkenneléssel, just for fun, mert lehetőségem volt rá. A DSLR-es objektum körbefotózás (mondjuk 60-80 RAW kép a mozdulatlan tárgyról de persze ha több az jobb) + autodesk memento modellalkotós módszerhez volt eszközöm (dslr-em van és ha jól emlékszem '15-ben volt ez hogy a sw ingyenes volt egy ideig, PC-m is bírta), ill. egyetlen alkalommal, de volt lehetőségem kipróbálni kiállításon fuel3d szkennert is, valami ilyesmit használhattak az arcmodellt nézve...? Egyik objektum szkennelési módszer sem egyszerű, észrevétlen módon pedig nem végezhető, a fuel3d-s szkennelésnél pedig aktív közreműködés kellett valami biszbaszt kellett tartani az arcomnál míg "letapogattak" a géppel. Szóval állami meg nagyvállalati vezetők, milliárdosok esetében nem tudom, hogy lehetne megoldani az arcuk megfelelő minőségű közeli körbefotózását vagy ilyen spéci szkennerrel történő - közreműködésüket igénylő - leképezését a gorilláik általi pépesre verés előtt... egy átlagember célpontnál meg jóval egyszerűbb, ha markos legények elveszik a telefonját, és az arca felé fordítják a szenzorsávot, mintsem hogy ilyenekkel kínlódjanak.

Én inkább privacy szempontból tartom kicsit aggályosnak a faceid-t, de ezzel már így voltam a kinectnél is aztán mégsem volt azzal sem visszaélés... legalábbis nem tudunk róla...

A maszkot el kéne felejteni. A maszk egy PoC, a koncepció igazolásához használt eszköz. A cég azt akarta bizonyítani, hogy a rendszer átverhető. Akár maszkkal, akár alteregóval, akár egy közeli gyerek rokonnal stb. Eddig is sejtettük (az Apple sem titkolta), mert számos videó van a neten, ahol rokonok átbaszták a Face ID-t. Most igazolták tudományosabban. Erre kellett a maszk.

Security szempontból a Face ID és a többi arcfelismerésre alapuló azonosítás a _jelenlegi megvalósításukban_ hibás elképzelés. Ez olyan mint az D5. Régen kurva jónak gondolták, most meg, az idő előrehaladtával egy rakás szart sem ér.

Biztonsági szempontból nem ad megfelelő védelmet, így a biztonsági cég kiadott egy PSA-t, hogy akinek a biztonság fontos, az nem használja.

Hogy ezek után ki mit kezd az információval, az vérmérséklet kérdése.

--
trey @ gépház

szerintem azért elég fontos hozzátenni, hogy könnyebb valakinek az ujjlenyomatát lemásolni és átverni a jelenlegi leolvasókat, mint egy ilyen maszkot elkészíteni.

Végülis az van, hogy nem érdemes a maszkot elfelejteni, mert pont a maszkkal kijátszás a lényeg.

https://images.apple.com/business/docs/FaceID_Security_Guide.pdf

azt mondja a 3. oldalán, hogy "An additional neural network that’s trained to spot and resist spoofing defends against attempts to unlock your phone with photos or masks".

https://support.apple.com/en-us/HT208108

kiemelik, hogy "It's designed to protect against spoofing by masks or other techniques through the use of sophisticated anti-spoofing neural networks"

Vagyis az Apple nem csupán a keynoteos hablatyolásban meg a marketing bullshitben, hanem termék dokumentációkban is valótlant állít a faceid egy alrendszerének, a spoofing felismerését és megakadályozását végző neurális hálónak a képességéről. Nagyon gáz.

Koszonom a pontos kutakodast.

Akkir az apple lesujjedt a random magyar hazudozos kamuzos lebegtetos szamitasteknikas magyar kft-k kereskedoinek szintjere :D

Diakok fejlesztenek.
Profik irnak doksit.
Elso helyen van a marketing :D

Valóban, ez nekem eddig elkerülte a figyelmem. De pl. a bohócmaszkoknál jól működött (állítólag :).

https://i.ytimg.com/vi/zcBreZAl95E/maxresdefault.jpg

--
trey @ gépház

Azért mert nem követted attól még halad ez az iparág.

Kell egy jó fotós, ilyen van magától és aparát is.
Kell egy szoftver https://knowledge.autodesk.com/search-result/caas/video/youtube/watch-v-BLxJGFzX0Qc.html
Kell egy 3d nyomtató.
Kell egy színes nyomtató.

Mindenből megfelelő és nagyon sok munka, szívás, tapasztalat, de az apple ismét átverte a vásárlóit.

A lényeg, hogy az Apple ismét állított valamit ami ismét nem volt igaz. Vagyis akármit állít az soha nem igaz, pl,zafír kameravédő, fejlesztett biztonság, icoude brute force attak ... stb stb. Olyan az Apple mint egy politikai párt, minden pénzt sebre tesz és akármit mond amit a haszonemberei hallani akarnak.

Azért egy high-profile ember tudtán kívüli körbefényképezése mondjuk egy preparált liftben nem olyan nagy wasistdas ám... Attól függően, hogy mennyire értékes egy ember, akár dollármilliókat, rakás időt, számolatlan emberi erőforrást is megérhet az erőfeszítés. Lásd Ahmed Mansoor esete:

https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/

--
trey @ gépház

ezt írják:

"Annak valószínűsége, hogy egy idegen az Ön iPhone X készülékére ránézve feloldja azt a Face ID segítségével körülbelül 1 az 1 000 000-hoz (a Touch ID esetén ez az arány 1 az 50 000-hez). További védelmet biztosít az, hogy a Face ID csupán öt sikertelen azonosítást engedélyez – ezután a jelkód megadására van szükség. A statisztikai valószínűség másképp alakul ikrek és olyan testvérek esetén, akik nagyon hasonlítanak egymásra, valamint a 13 évesnél fiatalabb gyerekek esetén, mivel az arcuk jellegzetes vonásai nem feltétlenül alakultak ki még teljesen. Ha emiatt kétségei vannak, azt javasoljuk, használjon jelkódot a hitelesítéshez." -- https://support.apple.com/hu-hu/HT208108

nem értem, ki lett itt átverve. egy szóval nem írják sehol, hogy a rendszer tévedhetetlen.

326 millióan élnek az usákokban, akkor statisztikailag elég lenne végigsétálni egy metrón és odatartani mindenki arcához a telefont, nem? :D

A "jelkódra" meg ott a csőkulcs+térd kombó.

Ez tipikus megtevesztes. Nem igaz, hogy tobbszor tortek fel a touchid-t de az uj marketing szart mindenki megette.

Azt mondtak hogy biztonsagosabb es ez nem igaz.

Hát, istenem, na... Van apró betűs rész... :)

--
trey @ gépház

Igen. Es szerencsere kovetkezo telefon is lesz.