Mobilra milyen eszköz javasolható védekezésként?

Security-all

Itt is, máshol is ömlenek a hírek a különböző banki lenyúlásokról. Taácsokat kérek olyan okostelefonos (itt és most nekem: Androidos) appokra, amelyek pl. arra jók, hogy ha egy nem rootolt telón valaki benyel egy rosszindulatú férget, legalább némi esély legyen utólag felfedezni (vagy nyilván ne is engedje be), eltávolítani. Víruskeresőnek is mondhatám, de akármi is lehet - pl. _jó_ processz / task / ( tökömtudja Androidon mi a hivatalos szóhasználat) listázó is akár.

(Nyilván az 5 legjobb tűzfalszoftver linkeket és cikkeket én is tudok keresni.)

Kieg: igen, tudom, frissítés, oktatás. Most ezeken lépjünk túl.

  • 1116 megtekintés

( kila | 2023. 10. 18., sze – 06:36 )

Szerkesztve: 2023. 10. 18., sze – 06:53

1. Mobilról nem bankolunk.
2. Ha a második faktor SMS, akkor PC-n a webbank használat idejére a telefonon kapcsold ki az internet csatlakozást.
3. Ha a második faktorhoz kell a mobilra internet, akkor a bankolás idejére csak  annak a forgalmát/szervereinek elérését engedélyezd androidon pl. "NoRoot Firewall"-al.
https://play.google.com/store/apps/details?id=app.greyshirts.firewall

Amúgy csak akkor legyen a telefon internetre csatlakoztatva amikor használod is rajt a netet, de az azonnali üzenetküldés miatt ez egyeseknek nem opció.
--
Légy derűs, tégy mindent örömmel!

Mobilról nem bankolunk.

Ami azt illeti, de. Egy alap android boduletesen le van "plombalva":
- (hardveresen) read-only rendszer particiok (qualcomm -mal; MTK-val ovatosan)
- selinux enforce alapbol
- linux kernel, minden app kulon-kulon user, es az app 'binaris' read-only
- es ugye alapbol minden az ART VM-ben fut, eleg massziv jogosultsag-rendszerrel
- gyartok force system update-t adnak ki negyedevente vagy gyakrabban
- play store alapbol szinten automatikusan update-el, illetve a google services framework update-jeit force-olja, rejtetten a hatterben.

Egy alap (ertsd: nem 'bizgetett') android telefonba ha nem is lehetetlen, de igen-igen nehez betorni; a legutobbi CVE ugye 4, azaz 4 darab 0-dayt/n-dayt hasznalt, egymasra epitve (ertsd: barmelyik javitasa a 4-bol egybol megszunteti a torest), es specifikusan a samsung browser-t celozta, akik lassan toltak ki a security update-ket.

 

Szoval en azt mondanam, hogy de, a legeslegbiztosabb bankolas pont, hogy mobilrol tortenik; nagysagrenddel van biztonsagi szempontbol egy akarmelyik windows felett. Ha ezt meg megtoldod azzal, hogy egy mobilt fenntartasz kizarolag banki app-ek futtatasara, annal jobb vedelem nincs ma. Teszem azt, legolcsobb samsung/xiaomi valami 30-40K, 4-5 eves update ciklussal ugye, de akar a "levetett" csaladi telefon is jo egy wipe utan.

 

BTW ugyanez igaz pepitaban a chromebook-okra/chrome OS-re.

sose néztem még utána az selinuxnak, de most megtettem. nyitóoldal:

It was originally developed by the United States National Security Agency (NSA) as a series of patches to the Linux kernel using Linux Security Modules (LSM).  

lol, akkor tuti nincs rajta backdoor

Ha én lennék az NSA hova raknám a backdoort:
- egy nyílt forrású, sok ezer mérnök (és potenciálisan ellenséges államok szakértői) által nézegetett kódba

- a CPU gyártók (Intel, Qualcomm) zárt forrású firmware-eibe / mikrokódjába, amit csak olyan ember láthat, aki NDA-t aláír (és jó eséllyel nemzetbiztonsági átvilágításon is át kellett esnie).

Több különböző gyártó telefonjai alapján a tapasztalat:

- valahányszor volt frissítésem, mindig ment az elodázás (szóval kevéssé enforce-olt)

- pl. Huawei Pad5 - ami még bőven támogatott meg minden - még mindig nem kapta meg az itt többször emlegetett BlastPass-javító frissítését.

- tapasztalatom szerint a play store-beli appok automatikus frissítése olyannyira hektikus, hogy saját telefonon naponta force-olom ( ez kb 8-10 év után alakult ki, mert semmilyen eszközön nem volt megbízható, volt, hogy hónapokig! nem frissült egy folyamatosan wifin lógó eszköz)

- de pl. magának a Google Play-nek a rendszerfrissítését még soha nem csinálta meg magától eszközöm, én szoktam kierőszakolni

- és akkor nem beszéltünk arról, ha maga az eszköz már nem is kap gyártói OS-frissítést

Szóval, no.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Ezt az ágat könnyű zárni, mert nem bankolok telefonról, viszont a telefonról bankolás kapcsán jutott eszembe a kérdés.

Nyilván nem ugyanaz egy "lenullázták a számlá(i)mat" mint az, hogy "elveszett sok évnyi fotó, mert még a G tárhelyéről is törölt mindent a kis g*ci", de mivel egyiket sem szeretném a közelemben átélni látni, ezért kérdezek.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

( bazso | 2023. 10. 18., sze – 06:55 )

Samsung telefon KNOX fantázia név alatt valójában SELINUX beállításokkal fut, azaz elég jól el vannak választva a dolgok egymástól. Ha használsz secure folder-t vagy company profile-t rajta, azok tartalma elérhetetlen a többi alkalmazás számára, azaz ha csinálsz egy dedikált profilt csak bankolási célra, és abba telepíted a kritikus dolgokat, akkor szoftveres támadás ellen egész védett vagy. 

A kényelem és a biztonság ugyanannak a skálának a két vége. Találj egy számodra elfogadható kompromisszumos szintet

Samsungon alapból ott a leírtakon felül még ott van a Google Play Protect (ami nem sokat ér) és a McAfee for Samsung is: https://www.mcafee.com/zh-tw/consumer-corporate/newsroom/press-releases/press-release.html?news_id=a66dbea5-faf5-40b4-81c7-8166451c8a46

 

Szerk: mondjuk ott kezdődik, hogy Android Enterprise eszközt használsz és felteszed a havi frissítéseket. Az említett samsungból ezek azok pl: https://www.samsungknox.com/en/knox-platform/supported-devices/aer

( Adamyno | 2023. 10. 18., sze – 09:47 )

Hogy a kérdésre is válaszoljak:
Én a Kaspersky szoftverét használom. Az elv a következő: Kínai telefon, jenki szoftverrel, orosz ellensúllyal. Egyébként elég hasznos kis tool, nyilván előfizetéssel. Végigpróbáltam sokmindent, ez az egyik legalaposabb és nem fogja meg sem a telefont, sem az akkuidőt.

Például ilyen 50+ korosztálynak már erősen javasolt, mert ők már egyre kevésbé érzik a veszélyt.

A fiataloknak pedig azt javaslom, hogy a legjobb védelem ha az agyukat használják, mert állítólag nekik még van. Mert ugye időskorra sorvad el :D
De az a baj, hogy azt látom amúgy, hogy egységnyi agyra egyre több a jelentkező, így egyre kevesebb jut mindenkinek :P 

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

( trey | 2023. 10. 18., sze – 13:34 )

Amikor a "világ legbiztonságosabb telefonja"-t is heti szinten basszák fel hónapokig nem patchelt 0day-en keresztül Pegasus-szal, akkor azt hiszem, hogy teljesen mindegy.

trey @ gépház

( GaLbi | 2023. 10. 18., sze – 13:37 )

Végig olvasva a hozzászólásokat Én inkább azt javasolnám, hogy talán vegyél egy iPhone-t.

( ssikiss | 2023. 10. 18., sze – 16:16 )

AOSP projekt, GApps nélkül, heti rendszerességgel, esetleg valami debloat spinje - ha van ilyen. ;D

(LineageOS ftw)

Azért GApps nélkül, hogy fog menni a banki app? Az AOSP hez még kell pár varázs program, hogy a banki ne sikoltozzon. A magisk már nem elég.

De a kérdezőnek:

A bankok legújabb szokása, hogy email cím + jelszó. Az egyszerű halandó megadja azt, amivel vásárol, facezik, stb. Szóval a kettő közül csak az egyiket kell kitalálni a csúnya bácsinak.. Ezért reg. egy random, de azért normális email címet, amit csak és kizárólag a banknak tartasz fenn.

Kettő : egy viszonylag olcsó de sokáig updatelt sw  telefon, egy feltöltő kártyával csak és kizárólag banki célra. Se hívás, se semmi. Csak aktuális használatkor bekapcsolt.

Így talán.

UI:

Ha a banki appokat aurora storeral teszed fel nem kell google acc, így gmail cím se-

Így minimálisra csökkented a láthatóságodat, ez is valami, ha már a védelmed nem a te kezedben van.

( Sanya v | 2023. 10. 18., sze – 19:53 )

Jó, mert én szinte csak telefonról bankolok.

( borneoo v | 2023. 10. 19., cs – 09:03 )

Szerkesztve: 2023. 10. 19., cs – 09:08

Esetleg külön telefon a banki appoknak, ahol több pénz van és revolut / net-es bankkártya a normál telefonon kevesebb pénzel