Svi IT giganti udruženi u borbi protiv lopova

Ostace lopovi mobilnih uredjaja bez radnog mesta. Lopovi ce uvek nesto drugo naci, mozda ce sad da kradu punjace telefona :)

To je stvar koju je vrlo lako uraditi ali proizvođačima nije bilo u interesu jer na svaki ukraden telefon neko kupi jedan nov.

Sad kad su pritisnuti zakonima potpisuju "dobrovoljni" akt. Svaka čast.

A što se tiče praćenja, nije potreban nikakav dodatni softver jer postoji hiljadu i jedan način za to i bez dodatka.

Amerika, zemlja mogucnosti.

iPhone to ima jos od iOS 7

To je samo da za špijunažu, koga briga za nečije poruke i slike... Ali takav softver koji bi omogućio upravljanje telefonom na daljinu je lako zloupotreboti..

Sad ce na hiljade i hiljade gladnih lopova da strajkuju na ulicama jer su ostali bezposleni

Hteo bih da obradujem one među vama koji smatraju da je ovo samo još jedan korak ka neovlašćenom praćenju i špijuniranju običnih građana od strane velikog brata. Budite sigurni da postoji toliko teških bezbedonosnih propusta sa prosečnim mobilnim telefonom široke upotrebe da im uopšte nije potrebno da izmišljaju nešto novo :)

Za Android i iOS postoji solidan broj virusa - zloćudnih aplikacija koje dospeju u prodavnicu aplikacija predstavljajući se kao nešto sasvim drugo. U početku to mogu biti sasvim legitimne aplikacije, međutim dovoljna je samo jedna zlonamerna revizija ("apdejt") i vaša bezbednost je otišla kroz prozor. Apple još i radi reviziju aplikacija pre nego što ih stave u svoju prodavnicu, ali to važi samo za inicijelnu verziju.

Dalje, sam standard za mobilnu komunikaciju obiluje artefaktima (da ne kažem relikvijama) pristupa bezbednosti iz 90-ih. Ne postoji enrkipcija sa kraja na kraj (znači da sem mene i mog sagovornika niko ne može da dešifruje našu komunikaciju) ponjviše zbog želje bezbedonosnih struktura da sa važećim sudskim nalogom (a ako ih mrzi i bez njega ;) prisluškuju razgovore građana. Autentifikacija (dokaz o identitetu) je JEDNOSMERNA. Drugim rečima, vi morate da dokažete da ste legitimni vlasnik telefonskog broja koji želite da koristite kada se vaš telefon poveže na baznu stanicu ali ona nije dužna da dokaže da zaista pripada vašem mobilnom operateru. A ona se danas može napraviti za hiljadu evra.

Nastaviće se :)

Ja imam sistem protiv krađe još od Ericsson 688 - PAZIM GDE DRŽIM TELEFON :)

Maks: Zar nije bilo lakše izguglati, čisto reda radi, pre nego što me tako krvnički isprozivaš, čisto da ne ispadneš smešan? Kucaj lepo: "malicious iOS app" u gugletu, rezultata koliko ti srce ište.

Evo kratke liste dokazano zlonamernih aplikacija u iTunes App store-tu: Find and Call (aplikacija za imenik koja je na autorov server kopirala sve kontakte kako bi bili korišteni za spamovanje), Simply Find It (video igra koja u sebi ima trojanac), Tor Browser (ne povezuje se preko TOR mreže, sadrži adware i spyware).

Možda najčuvenji je Jekyll (nazvan po zlom alteregu doktora Hajda) kojeg su napravili istraživači sa nekog američkog univerziteta da bi dokazali koncept. Program je posle instalacije apdejtovao samog sebe i omogućio autorima da šalju tweet-ove, mejlove, sms-ove, snima fotografije i otvara sajtove sa inficiranog telefona.

OK, Apple se trudi, ali provlače se zloćudne aplikacije i istovremeno daju sebi za pravo da odlučuju šta ja smem imati na svom telefonu (zabranjuju torent klijente, SNES emulatore, itd). Naravno ako sideload-ujem aplikaciju ili jailbreakujem sistem onda mogu da imam šta hoću, ali tek tu čovek može da naiđe na svašta.

Mada moram da priznam da si u pravu u vezi jednog: Apple pregleda i zvanične revizije svih aplikacija. Moja greška.

Ali nisi upravu što se tiče Apple ID-a. Guglaj malo. Za aktuelnu verziju (7.1) trenutno ne postoji način da se zaobiđe Apple ID zaštita, ali ta verzija je stara svega mesec dana. Daj im malo vremena :)

A zasto nam ko ljudi ne ugrade vise te cipove pod kozu i zavrse stvar? Dokle vise pretvaranje?

Zloupotrebe u najavi. I već vidim neki backdoor koji će olakšati NSA špijuniranje i prikupljanje podataka.

Ako ste mislili da nas neće džentlmenski špijunirati, varate se.

To postoji i na ios 7 i aplikacija se zove find my ipod/phone. Mozete izbrisati podatke, zakljucati uredjAj, ukljuciti alarm na tom uredjaju i poslati poruke za uzbunu. I locirAti ga, naravno.

Da li nas Veliki brat posmatra mene lično manje brine. Više mi smeta što kod nas ne postoji institucija pronalaženja izgubljenih i ukradenih telefona, iako tehnologija to odavno dozvoljava. Morala bi naša policija da se malo više angažuje tim problemom, koji nije mali. Vrlo lako je ući u trag neovlašćeno korišćenom telefonu. Ali onda bi morao i biti vraćen vlasniku. Očigledno da oni završe u džepu nekog iz policije.

Nastavljam listu teških bezbednosnih propusta kod mobilnih telefona široke upotrebe. Do sada sam se dotakao nebezbednog sotvera i zastarelog standarda.

Taj loš standard zasnovan na arhaičnim idejama o bezbednosti je dodatno kompromitovan praksom mobilnih operatera! Danas je u upotrebi 3-4 standarda za mobilne komunikacije. Ako izuzmemo CDMA, to su GSM (2G), 3G i 4G/LTE. Mobilni operateri skoro isključivo koriste GSM za glasovnu komunikaciju, dok 3G i 4G (koji imaju JAČE algoritme za enkripciju) "čuvaju" za razmenu podataka (mobilni internet). Da stvar bude gora mnogi operateri (uključujući i naše) rade stvari koje dodatno slabe GSM enkripciju. Recimo isti ključ koriste tokom više transakcija, umesto da forsiraju novi ključ za svaku. Ima toga još mnogo, ali sam ograničen prostorom :)

Ako ovo nije bilo dovoljno da se čovek naježi, sačuvao sam najbolje za kraj :) Svi moderni telefoni pored glavnog višejezarnog aplikativnog procesora imaju i prostiji procesor za radiofrekventu komunikaciju. Taj procesor je direktno povezan sa antenama i vrši demodulaciju i dekripciju. Ovu vrstu procesora proizvode samo 2 firme u iole značajnijim količinama. Čipove proizvođačima telefona daju bez izvornog koda za firmver (dakle proizvođači ne mogu da ga testiraju) a nezavisni istraživači su na svakoj generaciji tih čipova otkrili ozbiljne bezbedonosne propuste (recimo postaviš baznu stanicu od 1000e, pošalješ specifičnu poruku telefonu i on uključi mikrofon i šalje ti sve što snimi :)

ZIVEO HTC!!!!!!!!!!!

Jedan od kvaliteta koji asociramo sa proizvodima (posebno onim skupljim) je kradljivost. Ima ljudi kojima je povišen rizik od krađe ajfona ili golfa dovoljan razlog da razmotre kupovinu recimo HTC-a ili renoa). Tako da je teorija zavere po kojoj veliki proizvođači telefona računaju na krađu prilično smešna.


Tehnologiju protiv krađe je teško implementirati i zato je do sada nismo imali, i sumnjam da će još neko vreme uspeti da naprave 100% uspešno rešenje. Jednostavno bezbednost je uvek u kompromisu sa praktičnošću.

Bezbedno bi bilo da sve komunikacije budu šifrovane i to beskonačno dugim, jednokratnim, jedinstvenim i u potpunosti nasumičnim ključevima. Ovo je u praksi nemoguće - ako ni zbog čega drugog, onda zbog beskonačne dužine. U kriptografiji se umesto toga koriste "dovoljno dugi" ključevi, mada napredak tehnologije tokom desetak godina i te kako redefiniše pojam "dovoljno dugog" ključa (i postoje agencije koje sve komunikacije interesantnih individua čuvaju dok se to redefinisanje ne desi). A u praksi imamo vrlo praktično rešenje da se koriste višekratne kratke, nenasumične šifre i to (da stvar bude gora) na većem broju različitih servisa (ista šifra za fejs i mejl, recimo).

Savršeno bezbedno i savršeno nepraktično rešenje ću opisati u sledećem komentaru, potrošio sam previše karaktera ovde :)

Skoro savršeno bezbedno rešenje za telefon bi trebalo da bude zasnovano na principu pametnih kartica i centralnog registra. Ovakav sistem se recimo koristi u SIM karticama i karticama za skremblovane satelitske kanale.

One sadrže softver i tajni podatak u ROM memoriji kojoj je nemoguće (vrlo teško) pristupiti (dakle ne EPROM, Flash ROM i ostale memorije koje i predškolska deca pregaze kada "root-uju" android telefon). Njima pristup ima samo mikrokontroler/integrisano kolo. On ne odaje tajni podatak, nego odgovara na zahteve da dokaže da poseduje taj tajni podatak. Ako Pera i Marko obojica znaju jedan 1000-cifreni tajni broj onda postavljanjem nekoliko pitanja (u praksi je dovoljno samo jedno) mogu lako da ustanove da li je taj broj zaista isti.

Da bi telefon radio morao bi da poseduje pametnu karticu sa odgovarajućim podatkom za koji garantuje proizvođač. Bilo bi neophodno da prilikom kupovine kupac priloži lična dokumenta i da ona budu asocirana sa kupljenim telefonom. Bilo bi neophodno da se kod preprodaje novi i stari vlasnik zajedno pojave i prilože dokumenta kako bi telefon mogao da se prepiše.

U slučaju krađe, vlasnik telefona sa ličnim dokumentima ode kod predstvnika proizvođača i traži da se telefon deaktivira. Ovo nije savršeno rešenje (sve pametne kartice kad-tad budu provaljene, a razvoj novih je skup) i prilično je nepraktično kako za korisnike tako za proizvođače. Sigurn sam da ćemo videti neko praktičnije i manje bezbedno rešenje umesto toga :)

Koristim XTRA Security na androidu koji je otporan na fabricki reset. Telefon se rutuje a zatim se softwer integrise sa softwerom u srcu telefona. Nakon sto se ubaci druga kartica u telefonu ili se pokusa otkljucati sa neispravnom kombinacijom pina ili sablona, telefon uslika prednjom kamerom lopova i sliku salje na vas mail a zatim vas na drugom broju obavestava da je kartica druga unutra i tako znate broj. Sa web sajta ili sms porukom posaljete komandu za lociranje na ukradjenom aparatu i pokrenuce se GPS lokator koji ce vam putem sms-a slati google maps link sa koordinatama lokacije. Nemoguce ga je izgubiti, bukvalno zvonite lopovu na vrata. Ovi ostali softweri sto nude anti-teft, to okacite macki o rep. Cim resetujete telefon na fabricki, softwer NE RADI VISE. Ja sam programer, a probao sam na desetine aplikacija koje ne rade ni pola ili gotovo ni malo. Ukoliko nema ROM integracije kao system app u Root rezimu instaliranja, automatski je neupotrebljiva! Takvi softweri sluze kao placebo po vlasnika da se oseca bezbednijim a ustvari je laz nevidjena. Te aplikacije u pozadini samo crpe resurse,vrte reklame i trose bateriju! Toliko!

BlackBerry to ima od BB 10 OS, dakle godinu i po.

Znači neće više svako moći da krade mobilne telefone nego samo oni sa adekvatnim znanjem i opremom :) A i šta je sa onima koji ih kradu zbog delova kako tačno ova metoda njih odvraća?

ALEX, znači li to da veruješ da policajci kradu i bicikle i televizore i ostale stvari kradene koje ih mrzi da se cimaju da pronađu? :)

Šalu na stranu, IMEI se može promeniti, a kada telefon pređe granicu il' dve tamošnja policija ima još manju motivaciju da se oko toga cima nego naša. "Dovoljno visok nivo nesposobnosti i/ili nezainteresovanosti je nemoguće razlikovati od zlonamernosti".

Nigde u textu nije navedeno da sve nabrojano iphone vec ima?

@ (Nemanja C, 17. april 2014 13:13)
Kad se očigledno ne razumeš dobro u to kako iOS funkcioniše, bolje ne komentariši nego što pišeš netačne stvari.

Nije tačno da Apple samo pregleda prvu verziju aplikacije na AppStore i da neko kao "može" nakon što mu odobre aplikaciju jednom da ubacuje nešto što Apple kao nije odobrio kroz neki kao "update"... Uzmi informiši se malo bolje... Apple pregleda svaku aplikaciju i svaku verziju aplikacija koje developer hoće da objavi, pre nego što dopusti da se ta verzija pojavi na AppStore, a ne samo "inicijalnu verziju".

A da te pitam i odakle ti uopšte to da za iOS kao "postoji solidan broj virusa - zloćudnih aplikacija koje dospeju u prodavnicu aplikacija predstavljajući se kao nešto sasvim drugo", kako ti kažeš? Ajde navedi jedan jedini primer, ako je Appleu kao promakla neka "zloćudna aplikacija" na AppStore... ne nagađaj i ne iznosi neke rekla-kazala priče ako nisi koristio AppStore.

@ (Nemanja C, 17. april 2014 12:59)
Nikakve "pametne kartice" i odlazak kod operatora nisu neophodni da bi vlasnik mogao da aktivira i deaktivira svoj telefon... Apple je to rešio tako što je iPhone vezan za Apple ID vlasnika i ako vlasnik deaktivira telefon preko svog Apple ID-ja, neko ko nema pristup tom Apple ID-ju (neko ko ne zna mail i šifru za taj Apple ID), neće moći da ga aktivira čak i ako bi nekako uspeo da flashuje memoriju jer bi prilikom aktivacije server proverio da li je serijski broj uređaja već vezan za neki Apple ID.

Te aplikacije su uklonjene genije. I apple ID je mogao da se zaobiđe do pre mesec dana, moći će i opet.

@Nemanja C.
Izneo si neke vrlo interesantne i verodostojne stvari, ali i neke koje jednostavno ne stoje. Apple testira nove aplikacije u sand boxu i posmatra kako se ponašaju. Simply Find It je u kodu sadržavala potencijalni malware koji nije bio aktivan, i to iframe html kod na kraju mp3 fajla: http://www.macworld.com/article/2037099/ios-app-contains-potential-malware.html. Find and Call It takođe nije tipičan malware, nego su developeri mislili da mogu tako da rade. Ko još izbacuje malware pod istim imenom za različite platforme, sa web sajtom i autentičnim informacijama o vlasniku: http://nakedsecurity.sophos.com/2012/07/06/find-call-ios-android-malware.
Ideja povezivanja Apple ID sa serijskim brojem telefona je veoma jednostavna i u osnovi efikasna. Teoretski, način da se ova zaštita zaobiđe bi bila da se promeni serijski broj, te da se za aktivaciju koristi taj broj koji nije vezan sa Apple ID. Trebaš znači da nateraš iPhone da misli da ima drugi serijski broj, i sve se vrti oko toga.

Sigurno je sa su propusti mogući, međutim Apple se trudi da ih svede na minimum i to mu više-manje polazi za rukom.

(Nemanja C, 17. april 2014 13:13)

navedi jedan registrovan virus za android, pa i za ios.
ne lazne prijave raznih antivirus aplikacija, nego jedan konkretan virus i slucaj.I da li ima iko koga poznajes da je zaradio virus na androidu ili iosu.

hvala Nemanji na komentarima. zanimljivo je čitati maksu kako brani epl svim snagama a ni oni i ništa zapravo nije savršeno. postoji hiljadu i jedan način da se špijunira telefon, ko želi uradiće to. na stranu što je to u stvari skupo (1000evra za baznu stanicu samo, ili koliko košta razviti aplikaciju) i ne isplati se svakoga špijunirati.

vest se ne tiče samo epla. vidim samsung, htc i drugi su isto potpisali. zanima me kako se na androidu sve to ponasa i zbog čega sony i lg nisu potpisali. da li oni znaju nešto što mi ne znamo ili kao što neko reče, odgovara im da kupiš drugi aparat...

sony, lg???

@Nemanja C
Hvala na odlicnim komentarima!

@ (Nemanja C, 17. april 2014 17:54)

Tih aplikacija koje navodiš kao neki "primer zlonamernih aplikacija" na AppStore ili nema na AppStore ili nije ni dokazano da je aplikacija bila "zlonamerna".

Za tu video igru za koju kažeš da je "zlonamerna" piše da je nakon ispitivanja utvrđeno da ipak nije bila "zlonamerna"... a te druge dve aplikacije koje si pomenuo (taj "Tor Browser" i tu "Find and Call" aplikaciju) i nema na AppStore (evo baš sad gledam)... postoji aplikacija za Tor mrežu na AppStore koja se zove "Red Onion", ali to nije ta aplikacija o kojoj pričaš i ne vidim da je neko na AppStore napisao bilo kakav loš review o toj "Red Onion" aplikaciji.

Na AppStore ne može da se nađe ni ta "Jekyll" aplikacija koja je bila kao neki esperiment da ukaže na neki potencijalni propust koji je na iOS 6 kasnije ispravljen (da li da te podsećam da se iOS 7 već neko vreme koristi?).

A što se tiče ovoga što kažeš "Ali nisi upravu što se tiče Apple ID-a. Guglaj malo. Za aktuelnu verziju (7.1) trenutno ne postoji način da se zaobiđe Apple ID zaštita, ali ta verzija je stara svega mesec dana"

Kako onda kao "nisam u pravu"? Nebitno kada je 7.1 update izašao jer Appleov server provera da li je serijski broj uređaja vezan za neki Apple ID... Znači, da bi ti Apple odobrio aktivaciju, potrebno je da se uloguješ sa Apple ID-jem na koji se taj telefon vodi... informacije o tome se čuvaju na Appleovom serveru i server će da traži to čak i ako bi neko uspeo da obriše sve na telefonu.

Uf, kakvi su to problemi i dileme, baš sam srećan što nemam ništa mobilno pa nemam nikakve muke.

Postoji odavno Android device manager.

https://www.google.com/android/devicemanager

@ (LG-G2, 18. april 2014 11:28)

Ne kažem ja da je Appleova zaštita sa Apple ID-jem koji je vezan za uređaj 100% neprobojna, ali postoji jako velika razlika kada imaš zaštitu koja će u velikoj većini slučajeva da spreči da neko otključa telefon ako bude ukraden i kada nikakvu zaštitu od krađe nemaš. iOS uređaj ili MacBook Pro koji je vlasnik zaključao preko iCloud ni u većini servisa ne bi mogli da otključaju bez šifre, osim u zvaničnim Appleovim servisima koji na zahtev vlasnika (kada vlasnik sa računom i ličnom kartom ode u zvanični servis i dokaže da je to njegov uređaj) mogu da pošalju zahtev Appleu da im izda ključ za otključavanje (a taj ključ je drugačiji za svaki uređaj... i ne mislim drugačiji samo za drugačije modele nekog uređaja, nego da ne možeš, na primer, da otključaš neki MacBook Pro ključem koji je Apple izdao za neki drugi računar, čak i da je reč o potpuno istom modelu... isto važi i za iOS uređaje).

Postoji anti-lopovskih aplikacija kamara.
Na androidu koristim PaxAnimi.com. Besplatna i jednostavna je skroz, i radi posao.

Render the smartphone inoperable to an unauthorized user (e.g., locking the smartphone so it cannot be used without a password or PIN), except in accordance with FCC rules for 911 emergency communications, and if available, emergency numbers programmed by the authorized user (e.g., "phone home").

Ем телефон (уређај), ем кућни број телефона, само кућна адреса и кад газда није код куће фале... Ах, да, адреса се како нађе, а позивом лако провери ко је код куће, рецимо само дете.

Ко год је писао овај закон, интелигенција му није јача страна.

Postoje i sad slicni programi, ali ko i malo nesto zna o telefonima moze ih obrisati...

iPhone to ima jos od iOS 7

A zasto nam ko ljudi ne ugrade vise te cipove pod kozu i zavrse stvar? Dokle vise pretvaranje?

ZIVEO HTC!!!!!!!!!!!

To je samo da za špijunažu, koga briga za nečije poruke i slike... Ali takav softver koji bi omogućio upravljanje telefonom na daljinu je lako zloupotreboti..

Uf, kakvi su to problemi i dileme, baš sam srećan što nemam ništa mobilno pa nemam nikakve muke.

Zloupotrebe u najavi. I već vidim neki backdoor koji će olakšati NSA špijuniranje i prikupljanje podataka.

Ako ste mislili da nas neće džentlmenski špijunirati, varate se.

Nigde u textu nije navedeno da sve nabrojano iphone vec ima?

@ (Nemanja C, 17. april 2014 13:13)
Kad se očigledno ne razumeš dobro u to kako iOS funkcioniše, bolje ne komentariši nego što pišeš netačne stvari.

Nije tačno da Apple samo pregleda prvu verziju aplikacije na AppStore i da neko kao "može" nakon što mu odobre aplikaciju jednom da ubacuje nešto što Apple kao nije odobrio kroz neki kao "update"... Uzmi informiši se malo bolje... Apple pregleda svaku aplikaciju i svaku verziju aplikacija koje developer hoće da objavi, pre nego što dopusti da se ta verzija pojavi na AppStore, a ne samo "inicijalnu verziju".

A da te pitam i odakle ti uopšte to da za iOS kao "postoji solidan broj virusa - zloćudnih aplikacija koje dospeju u prodavnicu aplikacija predstavljajući se kao nešto sasvim drugo", kako ti kažeš? Ajde navedi jedan jedini primer, ako je Appleu kao promakla neka "zloćudna aplikacija" na AppStore... ne nagađaj i ne iznosi neke rekla-kazala priče ako nisi koristio AppStore.

@ (Nemanja C, 17. april 2014 12:59)
Nikakve "pametne kartice" i odlazak kod operatora nisu neophodni da bi vlasnik mogao da aktivira i deaktivira svoj telefon... Apple je to rešio tako što je iPhone vezan za Apple ID vlasnika i ako vlasnik deaktivira telefon preko svog Apple ID-ja, neko ko nema pristup tom Apple ID-ju (neko ko ne zna mail i šifru za taj Apple ID), neće moći da ga aktivira čak i ako bi nekako uspeo da flashuje memoriju jer bi prilikom aktivacije server proverio da li je serijski broj uređaja već vezan za neki Apple ID.

BlackBerry to ima od BB 10 OS, dakle godinu i po.

To postoji i na ios 7 i aplikacija se zove find my ipod/phone. Mozete izbrisati podatke, zakljucati uredjAj, ukljuciti alarm na tom uredjaju i poslati poruke za uzbunu. I locirAti ga, naravno.

Amerika, zemlja mogucnosti.

Skoro savršeno bezbedno rešenje za telefon bi trebalo da bude zasnovano na principu pametnih kartica i centralnog registra. Ovakav sistem se recimo koristi u SIM karticama i karticama za skremblovane satelitske kanale.

One sadrže softver i tajni podatak u ROM memoriji kojoj je nemoguće (vrlo teško) pristupiti (dakle ne EPROM, Flash ROM i ostale memorije koje i predškolska deca pregaze kada "root-uju" android telefon). Njima pristup ima samo mikrokontroler/integrisano kolo. On ne odaje tajni podatak, nego odgovara na zahteve da dokaže da poseduje taj tajni podatak. Ako Pera i Marko obojica znaju jedan 1000-cifreni tajni broj onda postavljanjem nekoliko pitanja (u praksi je dovoljno samo jedno) mogu lako da ustanove da li je taj broj zaista isti.

Da bi telefon radio morao bi da poseduje pametnu karticu sa odgovarajućim podatkom za koji garantuje proizvođač. Bilo bi neophodno da prilikom kupovine kupac priloži lična dokumenta i da ona budu asocirana sa kupljenim telefonom. Bilo bi neophodno da se kod preprodaje novi i stari vlasnik zajedno pojave i prilože dokumenta kako bi telefon mogao da se prepiše.

U slučaju krađe, vlasnik telefona sa ličnim dokumentima ode kod predstvnika proizvođača i traži da se telefon deaktivira. Ovo nije savršeno rešenje (sve pametne kartice kad-tad budu provaljene, a razvoj novih je skup) i prilično je nepraktično kako za korisnike tako za proizvođače. Sigurn sam da ćemo videti neko praktičnije i manje bezbedno rešenje umesto toga :)

Hteo bih da obradujem one među vama koji smatraju da je ovo samo još jedan korak ka neovlašćenom praćenju i špijuniranju običnih građana od strane velikog brata. Budite sigurni da postoji toliko teških bezbedonosnih propusta sa prosečnim mobilnim telefonom široke upotrebe da im uopšte nije potrebno da izmišljaju nešto novo :)

Za Android i iOS postoji solidan broj virusa - zloćudnih aplikacija koje dospeju u prodavnicu aplikacija predstavljajući se kao nešto sasvim drugo. U početku to mogu biti sasvim legitimne aplikacije, međutim dovoljna je samo jedna zlonamerna revizija ("apdejt") i vaša bezbednost je otišla kroz prozor. Apple još i radi reviziju aplikacija pre nego što ih stave u svoju prodavnicu, ali to važi samo za inicijelnu verziju.

Dalje, sam standard za mobilnu komunikaciju obiluje artefaktima (da ne kažem relikvijama) pristupa bezbednosti iz 90-ih. Ne postoji enrkipcija sa kraja na kraj (znači da sem mene i mog sagovornika niko ne može da dešifruje našu komunikaciju) ponjviše zbog želje bezbedonosnih struktura da sa važećim sudskim nalogom (a ako ih mrzi i bez njega ;) prisluškuju razgovore građana. Autentifikacija (dokaz o identitetu) je JEDNOSMERNA. Drugim rečima, vi morate da dokažete da ste legitimni vlasnik telefonskog broja koji želite da koristite kada se vaš telefon poveže na baznu stanicu ali ona nije dužna da dokaže da zaista pripada vašem mobilnom operateru. A ona se danas može napraviti za hiljadu evra.

Nastaviće se :)

To je stvar koju je vrlo lako uraditi ali proizvođačima nije bilo u interesu jer na svaki ukraden telefon neko kupi jedan nov.

Sad kad su pritisnuti zakonima potpisuju "dobrovoljni" akt. Svaka čast.

A što se tiče praćenja, nije potreban nikakav dodatni softver jer postoji hiljadu i jedan način za to i bez dodatka.

Jedan od kvaliteta koji asociramo sa proizvodima (posebno onim skupljim) je kradljivost. Ima ljudi kojima je povišen rizik od krađe ajfona ili golfa dovoljan razlog da razmotre kupovinu recimo HTC-a ili renoa). Tako da je teorija zavere po kojoj veliki proizvođači telefona računaju na krađu prilično smešna.


Tehnologiju protiv krađe je teško implementirati i zato je do sada nismo imali, i sumnjam da će još neko vreme uspeti da naprave 100% uspešno rešenje. Jednostavno bezbednost je uvek u kompromisu sa praktičnošću.

Bezbedno bi bilo da sve komunikacije budu šifrovane i to beskonačno dugim, jednokratnim, jedinstvenim i u potpunosti nasumičnim ključevima. Ovo je u praksi nemoguće - ako ni zbog čega drugog, onda zbog beskonačne dužine. U kriptografiji se umesto toga koriste "dovoljno dugi" ključevi, mada napredak tehnologije tokom desetak godina i te kako redefiniše pojam "dovoljno dugog" ključa (i postoje agencije koje sve komunikacije interesantnih individua čuvaju dok se to redefinisanje ne desi). A u praksi imamo vrlo praktično rešenje da se koriste višekratne kratke, nenasumične šifre i to (da stvar bude gora) na većem broju različitih servisa (ista šifra za fejs i mejl, recimo).

Savršeno bezbedno i savršeno nepraktično rešenje ću opisati u sledećem komentaru, potrošio sam previše karaktera ovde :)

Da li nas Veliki brat posmatra mene lično manje brine. Više mi smeta što kod nas ne postoji institucija pronalaženja izgubljenih i ukradenih telefona, iako tehnologija to odavno dozvoljava. Morala bi naša policija da se malo više angažuje tim problemom, koji nije mali. Vrlo lako je ući u trag neovlašćeno korišćenom telefonu. Ali onda bi morao i biti vraćen vlasniku. Očigledno da oni završe u džepu nekog iz policije.

Maks: Zar nije bilo lakše izguglati, čisto reda radi, pre nego što me tako krvnički isprozivaš, čisto da ne ispadneš smešan? Kucaj lepo: "malicious iOS app" u gugletu, rezultata koliko ti srce ište.

Evo kratke liste dokazano zlonamernih aplikacija u iTunes App store-tu: Find and Call (aplikacija za imenik koja je na autorov server kopirala sve kontakte kako bi bili korišteni za spamovanje), Simply Find It (video igra koja u sebi ima trojanac), Tor Browser (ne povezuje se preko TOR mreže, sadrži adware i spyware).

Možda najčuvenji je Jekyll (nazvan po zlom alteregu doktora Hajda) kojeg su napravili istraživači sa nekog američkog univerziteta da bi dokazali koncept. Program je posle instalacije apdejtovao samog sebe i omogućio autorima da šalju tweet-ove, mejlove, sms-ove, snima fotografije i otvara sajtove sa inficiranog telefona.

OK, Apple se trudi, ali provlače se zloćudne aplikacije i istovremeno daju sebi za pravo da odlučuju šta ja smem imati na svom telefonu (zabranjuju torent klijente, SNES emulatore, itd). Naravno ako sideload-ujem aplikaciju ili jailbreakujem sistem onda mogu da imam šta hoću, ali tek tu čovek može da naiđe na svašta.

Mada moram da priznam da si u pravu u vezi jednog: Apple pregleda i zvanične revizije svih aplikacija. Moja greška.

Ali nisi upravu što se tiče Apple ID-a. Guglaj malo. Za aktuelnu verziju (7.1) trenutno ne postoji način da se zaobiđe Apple ID zaštita, ali ta verzija je stara svega mesec dana. Daj im malo vremena :)

Ostace lopovi mobilnih uredjaja bez radnog mesta. Lopovi ce uvek nesto drugo naci, mozda ce sad da kradu punjace telefona :)

Nastavljam listu teških bezbednosnih propusta kod mobilnih telefona široke upotrebe. Do sada sam se dotakao nebezbednog sotvera i zastarelog standarda.

Taj loš standard zasnovan na arhaičnim idejama o bezbednosti je dodatno kompromitovan praksom mobilnih operatera! Danas je u upotrebi 3-4 standarda za mobilne komunikacije. Ako izuzmemo CDMA, to su GSM (2G), 3G i 4G/LTE. Mobilni operateri skoro isključivo koriste GSM za glasovnu komunikaciju, dok 3G i 4G (koji imaju JAČE algoritme za enkripciju) "čuvaju" za razmenu podataka (mobilni internet). Da stvar bude gora mnogi operateri (uključujući i naše) rade stvari koje dodatno slabe GSM enkripciju. Recimo isti ključ koriste tokom više transakcija, umesto da forsiraju novi ključ za svaku. Ima toga još mnogo, ali sam ograničen prostorom :)

Ako ovo nije bilo dovoljno da se čovek naježi, sačuvao sam najbolje za kraj :) Svi moderni telefoni pored glavnog višejezarnog aplikativnog procesora imaju i prostiji procesor za radiofrekventu komunikaciju. Taj procesor je direktno povezan sa antenama i vrši demodulaciju i dekripciju. Ovu vrstu procesora proizvode samo 2 firme u iole značajnijim količinama. Čipove proizvođačima telefona daju bez izvornog koda za firmver (dakle proizvođači ne mogu da ga testiraju) a nezavisni istraživači su na svakoj generaciji tih čipova otkrili ozbiljne bezbedonosne propuste (recimo postaviš baznu stanicu od 1000e, pošalješ specifičnu poruku telefonu i on uključi mikrofon i šalje ti sve što snimi :)

Koristim XTRA Security na androidu koji je otporan na fabricki reset. Telefon se rutuje a zatim se softwer integrise sa softwerom u srcu telefona. Nakon sto se ubaci druga kartica u telefonu ili se pokusa otkljucati sa neispravnom kombinacijom pina ili sablona, telefon uslika prednjom kamerom lopova i sliku salje na vas mail a zatim vas na drugom broju obavestava da je kartica druga unutra i tako znate broj. Sa web sajta ili sms porukom posaljete komandu za lociranje na ukradjenom aparatu i pokrenuce se GPS lokator koji ce vam putem sms-a slati google maps link sa koordinatama lokacije. Nemoguce ga je izgubiti, bukvalno zvonite lopovu na vrata. Ovi ostali softweri sto nude anti-teft, to okacite macki o rep. Cim resetujete telefon na fabricki, softwer NE RADI VISE. Ja sam programer, a probao sam na desetine aplikacija koje ne rade ni pola ili gotovo ni malo. Ukoliko nema ROM integracije kao system app u Root rezimu instaliranja, automatski je neupotrebljiva! Takvi softweri sluze kao placebo po vlasnika da se oseca bezbednijim a ustvari je laz nevidjena. Te aplikacije u pozadini samo crpe resurse,vrte reklame i trose bateriju! Toliko!

ALEX, znači li to da veruješ da policajci kradu i bicikle i televizore i ostale stvari kradene koje ih mrzi da se cimaju da pronađu? :)

Šalu na stranu, IMEI se može promeniti, a kada telefon pređe granicu il' dve tamošnja policija ima još manju motivaciju da se oko toga cima nego naša. "Dovoljno visok nivo nesposobnosti i/ili nezainteresovanosti je nemoguće razlikovati od zlonamernosti".

Postoji odavno Android device manager.

https://www.google.com/android/devicemanager

Ja imam sistem protiv krađe još od Ericsson 688 - PAZIM GDE DRŽIM TELEFON :)

@ (Nemanja C, 17. april 2014 17:54)

Tih aplikacija koje navodiš kao neki "primer zlonamernih aplikacija" na AppStore ili nema na AppStore ili nije ni dokazano da je aplikacija bila "zlonamerna".

Za tu video igru za koju kažeš da je "zlonamerna" piše da je nakon ispitivanja utvrđeno da ipak nije bila "zlonamerna"... a te druge dve aplikacije koje si pomenuo (taj "Tor Browser" i tu "Find and Call" aplikaciju) i nema na AppStore (evo baš sad gledam)... postoji aplikacija za Tor mrežu na AppStore koja se zove "Red Onion", ali to nije ta aplikacija o kojoj pričaš i ne vidim da je neko na AppStore napisao bilo kakav loš review o toj "Red Onion" aplikaciji.

Na AppStore ne može da se nađe ni ta "Jekyll" aplikacija koja je bila kao neki esperiment da ukaže na neki potencijalni propust koji je na iOS 6 kasnije ispravljen (da li da te podsećam da se iOS 7 već neko vreme koristi?).

A što se tiče ovoga što kažeš "Ali nisi upravu što se tiče Apple ID-a. Guglaj malo. Za aktuelnu verziju (7.1) trenutno ne postoji način da se zaobiđe Apple ID zaštita, ali ta verzija je stara svega mesec dana"

Kako onda kao "nisam u pravu"? Nebitno kada je 7.1 update izašao jer Appleov server provera da li je serijski broj uređaja vezan za neki Apple ID... Znači, da bi ti Apple odobrio aktivaciju, potrebno je da se uloguješ sa Apple ID-jem na koji se taj telefon vodi... informacije o tome se čuvaju na Appleovom serveru i server će da traži to čak i ako bi neko uspeo da obriše sve na telefonu.

Znači neće više svako moći da krade mobilne telefone nego samo oni sa adekvatnim znanjem i opremom :) A i šta je sa onima koji ih kradu zbog delova kako tačno ova metoda njih odvraća?

sony, lg???

(Nemanja C, 17. april 2014 13:13)

navedi jedan registrovan virus za android, pa i za ios.
ne lazne prijave raznih antivirus aplikacija, nego jedan konkretan virus i slucaj.I da li ima iko koga poznajes da je zaradio virus na androidu ili iosu.

@ (LG-G2, 18. april 2014 11:28)

Ne kažem ja da je Appleova zaštita sa Apple ID-jem koji je vezan za uređaj 100% neprobojna, ali postoji jako velika razlika kada imaš zaštitu koja će u velikoj većini slučajeva da spreči da neko otključa telefon ako bude ukraden i kada nikakvu zaštitu od krađe nemaš. iOS uređaj ili MacBook Pro koji je vlasnik zaključao preko iCloud ni u većini servisa ne bi mogli da otključaju bez šifre, osim u zvaničnim Appleovim servisima koji na zahtev vlasnika (kada vlasnik sa računom i ličnom kartom ode u zvanični servis i dokaže da je to njegov uređaj) mogu da pošalju zahtev Appleu da im izda ključ za otključavanje (a taj ključ je drugačiji za svaki uređaj... i ne mislim drugačiji samo za drugačije modele nekog uređaja, nego da ne možeš, na primer, da otključaš neki MacBook Pro ključem koji je Apple izdao za neki drugi računar, čak i da je reč o potpuno istom modelu... isto važi i za iOS uređaje).

Sad ce na hiljade i hiljade gladnih lopova da strajkuju na ulicama jer su ostali bezposleni

hvala Nemanji na komentarima. zanimljivo je čitati maksu kako brani epl svim snagama a ni oni i ništa zapravo nije savršeno. postoji hiljadu i jedan način da se špijunira telefon, ko želi uradiće to. na stranu što je to u stvari skupo (1000evra za baznu stanicu samo, ili koliko košta razviti aplikaciju) i ne isplati se svakoga špijunirati.

vest se ne tiče samo epla. vidim samsung, htc i drugi su isto potpisali. zanima me kako se na androidu sve to ponasa i zbog čega sony i lg nisu potpisali. da li oni znaju nešto što mi ne znamo ili kao što neko reče, odgovara im da kupiš drugi aparat...

Render the smartphone inoperable to an unauthorized user (e.g., locking the smartphone so it cannot be used without a password or PIN), except in accordance with FCC rules for 911 emergency communications, and if available, emergency numbers programmed by the authorized user (e.g., "phone home").

Ем телефон (уређај), ем кућни број телефона, само кућна адреса и кад газда није код куће фале... Ах, да, адреса се како нађе, а позивом лако провери ко је код куће, рецимо само дете.

Ко год је писао овај закон, интелигенција му није јача страна.

@Nemanja C
Hvala na odlicnim komentarima!

Te aplikacije su uklonjene genije. I apple ID je mogao da se zaobiđe do pre mesec dana, moći će i opet.

Postoji anti-lopovskih aplikacija kamara.
Na androidu koristim PaxAnimi.com. Besplatna i jednostavna je skroz, i radi posao.

@Nemanja C.
Izneo si neke vrlo interesantne i verodostojne stvari, ali i neke koje jednostavno ne stoje. Apple testira nove aplikacije u sand boxu i posmatra kako se ponašaju. Simply Find It je u kodu sadržavala potencijalni malware koji nije bio aktivan, i to iframe html kod na kraju mp3 fajla: http://www.macworld.com/article/2037099/ios-app-contains-potential-malware.html. Find and Call It takođe nije tipičan malware, nego su developeri mislili da mogu tako da rade. Ko još izbacuje malware pod istim imenom za različite platforme, sa web sajtom i autentičnim informacijama o vlasniku: http://nakedsecurity.sophos.com/2012/07/06/find-call-ios-android-malware.
Ideja povezivanja Apple ID sa serijskim brojem telefona je veoma jednostavna i u osnovi efikasna. Teoretski, način da se ova zaštita zaobiđe bi bila da se promeni serijski broj, te da se za aktivaciju koristi taj broj koji nije vezan sa Apple ID. Trebaš znači da nateraš iPhone da misli da ima drugi serijski broj, i sve se vrti oko toga.

Sigurno je sa su propusti mogući, međutim Apple se trudi da ih svede na minimum i to mu više-manje polazi za rukom.

Postoje i sad slicni programi, ali ko i malo nesto zna o telefonima moze ih obrisati...