זה לא עובד

אם יש משהו כזה אשמח לתגובה

קודם כל אני חושבת שזה לא יפה ליפרוץ לאנישים כי אולי זה דברים אישים קשורים אליך

אם תטרחו לקרוא (ucr.edu , ואפשר למצוא את המאמר בגוגל בקלות), תראו ש... א) אף אחד לא סורק זכרון. ההתקפה עובדת דרך אפיון שלבי הפעולה של האפליקציה הפגיעה (ג'ימייל או וואטאבר) על ידי בדיקה של סטטיסטיקות פומביות (שנמצאות בproc של לינוקס, ולכן אנדרואיד) ב) לא גונבים סיסמא ישירות, אלא מחליפים ברגע הנכון את ה-Activity לטרויאנית, שמדמה את עמוד המשתמש/סיסמא, וכך גונבים את הסיסמא, אם כבר. ג) ב-ios אי אפשר לבצע את זה כי א) אין /proc ב) יש sandbox חזק שאף אפליקציה לא מודעת אפילו לאיזה עוד תהליכים רצים. הם מנסים למצוא תחליף, אבל לא הצליחו. בווינדווס פון הסטטיסטיקות האלה דווקא כן קריאות, אבל אין להם התקפה ברורה גם שם. בנוסף, הם צריכים הרשאה של ריצה ברקע שבאנדרואיד יש (service) אבל ב-ios אין. ובאמת, סייג להתלהמות, שתיקה.

זה 2 טלפונים, טלפון אחד שנמצא עליי הוא טלפון פשוט לביצוע שיחות והודעות, טלפון שני שנמצא עליי הוא הסמארטפון שעליו אני לא מאחסן אנשי קשר ולא מתקשר או שולח הודעות אבל עדיין נהנה מכל היתרונות שלו - אינטרנט, GPS/WAZE, משחקים, תוכנות ועוד.. אני מוריד כל מה שבא לי כי גם ככה אי אפשר לקחת ממנו מידע שימושי (:

אם לא שמת לב. הפריצה היא במערכת ההפעלה והיכולת של הנוזקה לסרוק את הזכרון של כל המכשיר. גוגל אולי ישדרגו את האפליקציות שלהם אבל מה עם שאר האפליקציות שלא יעודכנו ? ומה עם כל האפליקציות שמשתמשי האדנרואיד אוהבים להתהדר שהם מורידים ממגוון גדול של חנויות אפליקציות ? מה קרה? פתאום חשוב להוריד מחנות אפליקציות אחת ומוכרת ? עכשיו תגיד לי. מה הקשר ש 20% ממשתמשי אנדרואיד הם כל משתמשי IOS ? מה אנחנו משחקים ב למי יש יותר גדול ? יש עובדות בשטח.מכשירי IOS מעודכנים וואנדרואיד לא. בדיוק כמו העובדה שפשוט ומשתלם יותר לפתח ל IOS ולא לאנדרואיד. (נראה אותך מתאים את הקוד של האפליקציה שלך לאלפי מכשירים וסוגי מסכים שיש לאנדרואיד).

כשבעצם זה הפוך. אנשים עם אנדרואיד כל הזמן קוטלים בתגובות ומנסים לסובב את האמת. האמת היא שאתם סתם מקנאים כי אין לכם 3,500 ש"ח לבזבז על טלפון איכותי - לנו יש.

לדעתי הדרך הקלה היא הדרך הסמויה בה התוכנה לא יודעת שהיא במצב מדומה וכך במצב בטוח לחלוטין התוכנה תחשוף את סודה האפל את עצמה תוך דקות מרגע שהתרחיש מתחיל! זה אומר שכל תוכנה חדשה/שומר מסך וכו תעבור את איזור הבידוק הזה מבלי לדעת בכלל שהיא שם, אולי יהיה אפשר אפילו לדעת לאן התוכנה מעבירה את המידע כי התרחישר יהיה מצוייד בהתאם בגלאים העוקבים אחר זרימת המידע החוצה! תאמין לי אחרי שכמה נוזקות כאלה ייתפסו עוד בשלבים המוקדמים ליצרניהם כבר לא יהיה כזה חשק להשקיע בעוד נוזקות זה כמו כיפת ברזל שמוציאה לחמס את החשק גם אם הם לא מודים בזה

למשתמשי אנדרויד על סלולר (שהם כ-80%) הנה לכם מה עושים: 1) צריך שיהיה לכם חשבון אימייל כדי להפעיל את האנדרויד בתחילה?? אז לייצר חשבון ג'ימייל שהינו רק לצורך הפעלת האנדרויד, ויותר אין מה להשתמש בו, ולא לעשות בו כל שימוש אחר, 2) אין לגלוש מסלולר, לכל אתר שמבקש או מצריך הקלדת קוד (דהיינו: שם משתמש+קוד),, ובמיוחד אם זה אתרים שחשוב לכם לשמור על פרטיות ואבטחה בהם.... לא חשבונות אימייל, לא בנקים, לא קרדיט קארד, לא קניות עם הקלדת פרטים אישיים, וכד' 3) ועדיף גם לא להשתמש דרך סלולר בהקלדת פרטים אישיים כמו: שם מלא, מס' זיהוי/מזהה, פרטי כרטיס אשראי, תאריך לידה, וכד', ***את מספר 2 ומספר 3, עדיף לבצע דרך מחשב בלבד, 4) והיזהרו ודעו, רוב האפליקציות שרצות לכם על הסלולר, בין אם מובנות ובין אם אתם הורדתם, הן אוגרות אישורים גורפים להעתקת כל הפרטים על הסלולר שלכם, ולא תוכלו למנוע זאת, ספר טלפון ופרטים על כל הקשרים,,,, לוג שיחות נכנסות/יוצאות,,,,כל הודעות הטקסט והתמונות,,,,,כל מאגר התמונות, הוידיאו, המוסיקה שאתם אוגרים,,, כל היסטוריית השימוש בסלולר, וכל פעולה שעשיתם על כל יישום/אפליקציה שם,,, וגם אוגרות פרטי מיקום שבאים דרך איתור ה-GPS,,, ושימוש חיבור למגדלי הסלולר,, כל פעולה נאגרת, נשמרת, מועברת ומועתקת----לכל אפליקציה שרוצה בזה...

אבל איכשהו נראה לי שכן. לפני שנתיים בערך מישהו פרץ לי לפלאפון או לאפליקציית גימייל ופשוט שלח לעצמו- מתוך חשבון הגימייל שלי- שרשורים של הודעות בוואטסאפ ותמונות אישיות. מאז זה חזר על עצמו כמה פעמים עד שאיימתי עליו שאני יתלונן במשטרה. יש מצב שהוא עדיין עושה את זה ופשוט מוחק את המיילים. דיברתי עם כמה טכנאי מחשבים ואנשים שחשבתי שעשויים להבין בזה, ואף אחד לא ידע להסביר לי איך זה ייתכן. קשור? לא קשור? מישהו יכול לתת חוות דעת?

אין לי מה להוסיף 29 סיכם את זה יפה אוכל רק לאמר שאפילו שאפל היא החברה הכי דורסנית בשוק ומנסה לשים מעצור על כל דבר, עדיין לא יהיה לה גישה של 100% לכל הקוד של כל אפליקציה נכנסת אליהם .

IOS היא מערכת הפעלה סגורה, אי אפשר להתקין דברים שאפל לא בדקו לפני. בWIN ברגע שמתגלה פריצה מייקרוסופט מוציאים עדכון אבטחה. ובשביל לעדכן את מערכת ההפעלה אין צורך בהתקנה שלה מחדש בניגוד לטלפונים אחרים.

בזכות הקוד הפתוח, מי שעלה על הבעיה הם חוקרים שהפיצו אותה לאנשים המתאימים והבעיה תתוקן. לעומת זאת, עם פושע-סייבר עולה על זה באייפון, והבעיה לא מוכרת לאפל, האפליקציה תעלה לחנות, ואף אחד לא ידע. למומחי סייבר, ובטח להאקרים סינים ופושעי סייבר רוסיים, דיי קל להסתיר קוד זדוני בקוד תמים למראה.

הגישה לזיכרון צריכה להיעשות ע"י מנהל זיכרון ובלי שותפים, גם אם מדובר בזיכרון בו נטענות האפליקציוה מוכנות לשימוש (בטח יש מגבלה של כמות) עדיין צריכה להיות הפרדה אקטיבית ביניהן כך שלא יעבור ביניהן מידע ואחת לא "תציץ" לשניה! בכלל לדעתי הבעיה של המחשבים שמי שיצרו אותם מהתחלה היו רק מתכנתים וזה לתת למהנדס לתכנן בניין...חייבים דחוף אדריכלי תוכנה שיראו את התמונה הכללית ולא עוד איזה אלגוריתם קסם שיפתור הכללללללללל

לא צריך את הקוד מקור בשביל לזהות קטעי קוד זדוניים באפליקציה, ולאפל יש מספיק כלים וידע לנתר את האפליקציות שעושות שימוש ב API שאסור בשימוש לשם חדירה לזכרון המשותף.

אתה מניח שכל תוכנה שעולה לחנות של אפל נבדקת היטב כדי לגלות כל פעולה שהיא עשויה לעשות, כולל קריאה של הזכרון המשותף. בלתי סביר בעליל שאפל מקבלים את קוד המקור של כל תוכנה שעולה לחנות שלה, ועושים לה code review מספיק מפורט בשביל לגלות דברים כאלה, כי מפתחים לא יסכימו לשתף את אפל בקניין הרוחני שלהם, וזה יעלה לאפל הון עתק. [להזכירך: מהנדסי תכנה מרוויחים משכורת יפה, כניסה לקוד חדש זאת פעולה שלוקחת זמן, והקוד הזדוני עשוי להסתתר בתכנה מסובכת יותר מטפט או שומר מסך.] לעשות reverse engineering יקח עוד יותר זמן. ניטור של מה בדיוק התוכנה קראה בזכרון משותף ושלחה לרשת (במיוחד אם טורחים להשקיע קצת זמן בדחיסה ו\או הצפנה, לדוגמא בתואנה של איסוף סטטיסטיקות שימוש, במסגרת כתיבת אפליקציה מסובכת יותר משומר מסך) אף הם לא הולכים ברגל. התוצאה היא שלא מן הנמנע שתוכנה כזאת תגיע גם לאייפון.

זה רק מראה כמה אתה לא מבין במערכת של גוגל וחושב שהיא פועלת כמו אפל. בשנה וחצי האחרנות גוגל עשתה מאמצים אדירים להילחם בפרגמנטציה של אנדרואיד ועברה מעדוכני תוכנה לעדכוני אפליקציות כדי לטפל בבעיות כאלה. ככה מגיעים היום רוב עדכוני האבטחה ל-90% ממשתמשי אנדרואיד, וככה גם הם נהנים מרוב הפיצרים החדשים שגוגל מוציאה ללא תלות בגרסאת המערכת הפעלה - אני יכול להשתמש בגוגל now למרות שלא קניתי טלפון חדש כבר שלוש שנים, אתה לא יכול להתשמש בסירי אם פעלת כמוני. אני לא מבין מספיק בשביל לדעת אם בפירצה הזאת אפשר לטפל ברמת עידכון לגוגל פליי או צריך עדכון למערכת ההפעלה אבל מאחר ופעם היו כול חודשיים שלוש יוצאים עידכונים לאנדרואיד והיום זה הפל להיות עידכוני אפליקציות אני מניח שלא תהיה בעיה לטפל בזה. אתה לעומת זאת תצטרך להוריד עידכון למערכת הפעלה, שיתפוס לך מקום בשטח האיחסון המוגבל שיש לך, לבזבז חצי שעה-שעה על להתקין אותו ולהגיד תודה שמישהו בטריח את עצמו לספר לך שיש בכלל בעיית אבטחה כי אפל בחיים לא היתה מודה בזה בעצמה. וסתם הערה קטנה 20% ממשתמשי אנדרואיד זה עדין יותר מ90% משתמשי אפל. ומה שאתה גם לא מבין שזה ממש לא האחוז הנכון - זה 90% ממשתמשי אפל במכשירים שתומכים ויכולים להוריד את העדכון. בעוד שבגוגל זה 20% מהמתשמשים הפעילים שלפיי סטור. עוד הבדל קטן בין חברת שיווק טובה וחברה שלא מנסה חסבן את הנתונים שלה.

זה דבר אחד לחקור איך האקר הצליח לפרוץ משהו, או שחברה תבדוק את האבטחה של המערכות/תוכנות שלה. אבל זה משהו שונה, שאוניברסיטה משקיעה בעצם בהכשרת האקרים חדשים. ובמציאת דרכים חדשות לגרום נזק.

ניתור לחיצת מקשים היא הדרך הישנה של קליטת מספרים סודיים. לכן לא רצוי להכנס לחשבונות פרטיים במחשבים ציבוריים, לכן רצוי לשים את כל האצבעות ביחד על מקשי הבנקומט ורק להפעיל אחת אחת. הפריצה הנוכחית מנתרת אותו הדבר, אבל מ"הקשות" שתוכנות אחרות שומרות בבטן עבור עצלנים שכמונו

וויתרתי מראש על אפשרות מייל בנייד, פתחתי חשבון gmail חדש רק לצורך התקנת האנדרואיד, האמייל לא פעיל ואני לא מקבל לשם אמיילים, זה רק מאפשר לי לעבוד עם אנדרואיד. דוא"ל רק במחשב, עם כל האבטחות שיש ל pc.

מעניין למה...............

יש את מנגנון האימות הכפול שאם מנסים להתחבר מכתובת שעדיין לא מזוהה ומאושרת באופן קבוע. כל נסיון כניסה שולח הודעה לסלולרי וככה גם אם הושגה הסיסמא אי אפשר להשתמש בה בכלל. ונניח שאני רואה נסיונות התחברות אני פשוט יכול לשנות את הסיסמא. ל-5: ראית יותר מדי סרטים... ראשית. אתה לא יכול לבוא עם תעודה מזוייפת ולקבל אמיתית חדשה. יש סדרה של שאלות אקראיות שהפקיד שואל אותך שרק האדם האמיתי יכול לדעת ואם אתה טועה באחת אתה לא מקבל כלום. שנית, לא מוסרים דגימת DNA אלא צילום ביומטרי של מבנה הפנים וטביעות אצבעות.

הבעיה היא לא ג'ימייל, כל חשבון שאגדיר במערכת אנדרויד בסמארטפון חדירה . לג'ימייל יש אפשרות ליצור אימות דו שלבי כלומר , כל כניסה למייל כרוכה בהכנסת סיסמא וקוד שניתן או בסמס או באפליקציה בסמארטפון שמחילפה קודים כל הזמן. ניתן להגדיר בתוך זה מכשירים ו/או מחשבים קבועים שבהם לא נתבקש להזין קוד . זו בדיוק התשובה למישהו שמשתמש במייל שלך ופיצח את הסיסמא . כמובן שזה לא תופס אם גנבו לך את המכשיר או השתליטו לך על המחשב האישי.

1. החוקרים אמרו שניתן אבל לא הוכיחו זאת. למה לא הוכיחו זאת? 2. נניח שיש פרצה כזאת ב IOS. התיקון יופץ ויותקן בכ 90 % ממשמשי אפל תוך מספר ימים וזה כולל את כל האייפונים מגרסה 4 ומעלה. בניגוד למשתמשי אנדרואיד שסה"כ כ 20% משדרגים את מערכות ההפעלה שלהם למערכות חדשות. וזה אומר שכ 80% ממשתמשי אנדרואיד יהיו תמיד חשופים לפריצה - ויש המון פירצות (גם ללא הפירצה החדשה שפורסמה) 3. אם אתה משתמש אנדוראיד פעיל ומוריד אפליקציות - רוב הסיכויים שהמכשיר שלך פרוץ

הוא לא אמר שבאפל זה בלתי אפשרי אלה שבאפל רוב הסיכויים שהנוזקה לא תעבור את בקרת האייכות של אפל. מה לעשות, לאפליקציה באפל לוקח שבועיים בדיקות, כולל ידניות של בני אדם, בגוגל יש בוט שבודק 30 שניות ... זה ההבדל ...

לפי השיטה שהם מתארים הם לא יצליחו לפרוץ בוינדוס פון. כל אפליקציה שם רצה על מרחב זיכרון מנותק.

אפל קובעת לכם מה לעשות ואיך לעשות .. באנדרואיד צריך פשוט מאוד שיקול דעת מה להוריד ומה לא - ( מה גם שיש הרבה תוכנות אנטי וירוס טובות ) אגב - שיקול דעת זה מה שחסר למשתמשי האייפון !!

בלי שהתכוונתי כנראה שזה היה צעד חכם.

גם באנדרוייד צריך להתקים את האפליקצייה הזדונית.

כשמורידים דברים על המחשב בבית אז חושבים עשר פעמים לפני כל שטות. בסמארטפון חשבנו לתומנו שזה עובר איזה סינון של חנות האפליקציות או וואטאבר. בסוף מתברר שזו אותה רמת סיכון... כשכל האפליקציות ללא יוצא מן הכלל ירוצו אך ורק על הבראוזר, שלאט לאט בלי ששמנו לב הופך להיות מכונה וירטואלית (ובעתיד הוא כנראה יהפוך גם להיות הסטנדרט של המכונות הוירטואליות) - אולי אז אפשר יהיה להריץ אפליקציות בביטחה.

אפליקציות לאפסטור שלהם. לפעמים יש יתרונות בגן הסגור ובהגבלות של אפל... :-/

הוא לא כתב שמבחינה טכנית אי אפשר לייצר אפליקציה שכזו, הוא טוען שהאפסטור תזהה אותה מראש ולא תאפשר בכלל להציב כזו אפליקציה באפסטור. כלומר שבקרת האיכות באפל הדוקה יותר.

הדבר הזה רץ בזכרון ואפילו לא צריך להזין סיסמה. אפשר לקחת את המכשיר ולהיכנס למייל של האדם ישירות. יש בכלל דרך לסגור את ה-gmail שתמיד יבקש סיסמה?

לא בטוח שהמערכת של אפל תזהה אותה כאפליקציה זדונית , החסרון שבאנרדואיד המשאבים משותפים , בIOS זה כנראה אותו דבר וכל עוד המשאבים משותפים ניתן להשיג גישה .

היום הייתי במשרד הפנים.....דרכון עולה 280 שח....ביומטרי חינם תעודת זהות 120 שח....ביומטרי חינם. הקמצנות של האנשים תעלה לכולנו ביוקר. תארו לכם שאני בא אם תעודה מזהה כמו רישיון מזויף ונרשם כאדם בזהות בדויה ....נותן די אן אי שלי והזהות מזויפת... גנבתי זהות של בן אדם כולל הדי אן אי שלו... רק עניין של מספר שנים שכול המאגר הזה ידלוף וכול עובד ציבור יוכל להיכנס או לפרוץ ולשנות פרטים....

לא ברור. כדי לעשות זאת, מישהו צריך להתקין תוכנה זדונית. עם אנדרואיד ו-״בקרת האיכות״ של גוגל, זו לא בעיה, משום שקיימים הרבה מקורות פיראטיים ובלתי מבוקרים. אבל איך אפשר לעשות זאת ב-iOS? הרי אפשר להשתמש רק באפליקציות מהאפ-סטור - ולא נראה לי שאפל תאשר אפליקציה זדונית כזאת. אה, עם אי-פון פרוץ... אבל כאלה אין הרבה, ומי שאשכרה פרץ אי-פון, הרי או שהוא דביל מושלם ומגיע לו להפגע מתוכנה זדונית כזאת - או שהוא יודע מה הוא עושה, וידע איך להתגונן. אבל מה: אין כמו אפל בכותרת!