Czy ktoś łapie złodziei?

Postanowiłem poddać pod dyskusję tytułowy temat po przeczytaniu informacji z dnia dzisiejszego o ataku na bankowe aplikacje mobilne. Cytuję obszerny fragment:

W oficjalnym sklepie Google Play pojawiły się dwie niebezpieczne aplikacje, których ukrytym celem było wykradanie dostępu do rachunków bankowych Polaków i wyprowadzanie z nich pieniędzy. Na celowniku znaleźli się użytkownicy aplikacji mobilnych aż 14 polskich banków!
Z końcem listopada w oficjalnym sklepie Google Play pojawiły się dwie aplikacje - „CryptoMonitor”, mająca służyć do rzekomego śledzenia cen kryptowalut oraz „StorySaver”, obiecująca pobieranie z Instagrama tzw. „Stories”, czyli krótkich historii użytkownika z ostatniej doby.
Obie aplikacje, oprócz obiecywanych funkcjonalności, wyświetlały swoim ofiarom powiadomienia systemowe, które wyglądały identycznie jak te generowane przez aplikacje bankowe. Dodatkowo, złośliwe aplikacje wyświetlały swoim ofiarom fałszywe formularze logowania do rachunków bankowych, by docelowo przechwycić wprowadzane za ich pośrednictwem loginy i hasła. To jednak nie wszystko. Jak podkreślają eksperci, obie aplikacje potrafiły również bez wiedzy użytkownika przechwytywać wiadomości SMS, zawierające kody do autoryzowania transakcji online.

Więcej na: http://mobtech.interia.pl/systemy-operacyjne/news-...
Z informacji można się dowiedzieć jaki jest sposób działania trefnych programów, kto odkrył zagrożenie oraz co można zrobić aby się ochronić gdy się te programy pobrało. Jest też lista zagrożonych banków. Niestety, w linkowanej informacji niema nic o działaniach przeciwko twórcom aplikacji oraz ich dystrybutorom ani o działaniach prewencyjnych lub prawnych zagrożonych banków. Zaznaczam, że dotyczy to naprawdę znaczących banków a dystrybutor to sklep Google Play czyli gigant o zasięgu globalnym.
Większość komentarzy pod informacją, jak to zwykle bywa, jest idiotyczna ale kilka zacytuję bo warto:
1.

Czy w Google play nie ma żadnej weryfikacji, każdy może publikować wirusy, trojany i backdoory? W sklepie Microsoft (...) każda aplikacja jest weryfikowana, środowisko zamknięte i jest spokój. Nie ma żadnego antywirusa bo nie ma wirusów.

Autor nieco koloryzuje na korzyść Microsoft, całkiem bez problemów to tam nie ma ale poziom weryfikacji aplikacji jest rzeczywiście przyzwoity.
2.

Dobrze się stało, głupich nie sieją, sami się rodzą!, a tym co na to wpadli gratuluję!, są mądrymi ludźmi i informatykami.

Niby racja ale czy to oznacza, że konsumenci maja polegać wyłącznie na sobie?!
3.

LUDZIE, jestem informatykiem, specem od zabezpieczeń, i wszystkim non stop powtarzam, żeby nie używać srajfonów z lagdroidem do bankowości mobilnej, szczególnie jak ma się zainstalowane tony śmieci z google marketu. Ja nawet do autoryzujących przelewy SMSów używam starej Nokii, a nie głównego telefonu. Głupota i naiwność dzisiejszego społeczeństwa mnie przeraża, i jej wzrost jest wprost proporcjonalny do rozwoju technologicznego.

Nie poprawiałem oryginalnego słownictwa Autora postu bo dodaje specyficznego kolorytu. Ten post pokazuje, że nawet fachowcy skapitulowali narzekając jedynie na głupotę społeczeństwa (konsumentów) i niczego nie oczekując od światowych gigantów.
Przechodzę do tego co mnie gnębi najbardziej.
Czy ktoś ściga sprawców?
Czy twórcy złodziejskich programów już są namierzeni?
Jeśli odpowiedź na dwa poprzednie pytania jest pozytywna to jakie kary są przewidziane dla sprawców?
Czy Google Play też jest brany pod uwagę jako współsprawca?
Czy banki zrobiły cokolwiek aby pomóc w poszukiwaniu sprawców?
Czy prawo zawiera jakiekolwiek paragrafy zmuszające gigantów typu Google Play do zachowania dostatecznej staranności przy wprowadzaniu aplikacji do swojego sklepu?
Myślę, że jeśli te i podobne pytania nie doczekają się pozytywnych odpowiedzi to czeka nas, w niedalekiej przyszłości, masowe okradanie pod przykrywką światowych gigantów.

na ile punktów oceniasz?: 

Twoja ocena: brak
5
Ogólna ocena: 5 (głosów: 6)

Dyskusja

oto adam_54

I tu wychodzą na wierzch zalety .....

tzw. "wolnego oprogramowania" w stosunku do oprogramowania renomowanej firmy - i co pan na to p.Marku ? - nie lepiej zapłacić za coś i mieć gwarancję należytego działania programu ? - a jak już się jakiś "przekręt" odkryje to wtedy wiadomo kogo za dupsko chwycić ?
A co do.....

Czy twórcy złodziejskich programów już są namierzeni?

namierzyć to jeszcze chyba pół biedy , ale dowieść że kod wykonywalny zawiera jakieś złośliwości... to sztuka , wielka sztuka ... bo sztuczek na zagmatwanie programu , tak by jego właściwa algorytmika widoczna nie była , jest hoho i jeszcze razy hoho :-)

oto Marek Bekier

Ja nie mam problemów z

Ja nie mam problemów z opisanymi aplikacjami bo ich nie zainstalowałem. Opisałem nie swój problem. Nie zgadzam się też, że wolne i otwarte oprogramowanie jest bardziej ryzykowne od komercyjnego. W ogóle nie opisałem problemu dotyczącego wolnego i otwartego oprogramowania bo opisane szkodniki nie były wolne tylko dostępne w sklepie Google Play, nie były też otwarte bo nie były rozpowszechniane wraz z kodem źródłowym. Ja korzystam wyłącznie z wolnego i otwartego oprogramowania i to nie ze względu na jego zerową cenę bo jak mam jakieś pieniądze to wspieram twórców dobrowolnymi datkami. Promuję też wolne i otwarte oprogramowanie nauczając jego użytkowania w szkole.
Problem jest zupełnie gdzie indziej. Google Play podjęło się wspierania Androida poprzez udostępnianie aplikacji do tego systemu. Nie podjęło się żadnej odpowiedzialności za to co rozpowszechnia. O ile mi wiadomo nie podjęcie tej odpowiedzialności wprost, przez podanie stosownej informacji na swojej stronie internetowej, nie jest tożsame z jej brakiem. Odpowiedzialność wynika bezpośrednio z prawa handlowego. Równie ważny jest fakt, że dobrać się do skóry złodziejowi, który wyprodukował złodziejski program jest łatwo bo przecież twórca umieszczający cokolwiek na stronie Google Play nie jest anonimowy dla właściciela strony.

oto Zbyszek S

@Marek Bekier

Też nie widzę związku między otwartością oprogramowania, a opisanym problemem. Trochę śmieszą mnie "gwarancje" jakie się ma, gdy się używa oprogramowania "uznanej" haha firmy.

Czytałem kiedyś owe gwarancje. I stało wszem i wobec, że firma nie odpowiada, za jakiekolwiek błędy czy szkody wynikłe w wyniku używania oprogramowania "uznanej" firmy.

Co do kwestii odpowiedzialności to wynika ona głównie z siły stron.

oto Marek Bekier

Pełna zgoda. W opisywanym

Pełna zgoda. W opisywanym przypadku sensowne rozwiązanie widzę następująco.
1. Poszkodowani zgłaszają do prokuratury przestępstwo polegające na kradzieży pieniędzy z ich kont przez twórców oprogramowania. Jednocześnie zwracają się do Google Play o ujawnienie danych osobowych podejrzanych.
2. Prokuratura podejmuje sprawę być może dwoma drogami:
- jeśli ktoś z poszkodowanych (lub ich grupa) zdecydowała się na sprawę z powództwa cywilnego to w tym trybie;
- jeśli powództwa cywilnego brak to z urzędu ze względu na olbrzymią szkodliwość społeczną.
3. Google Play natychmiast ujawniają dane sprawcy prokuraturze gdyż dbają o swój wizerunek jako wielkiej firmy.
4. Z własnej inicjatywy włączają się w sprawę banki bo też czują się poszkodowane (pogorszenie wizerunku) i udzielają wszelkiego możliwego wsparcia.
5. W ciągu tygodnia jest po sprawie, która się kończy ciężkim wyrokiem odsiadki, pokrycia kosztów sądowych (niemałych bo to ekspertyzy) i sowitego odszkodowania dla okradzionych klientów oraz banków, które poniosły straty moralne.
PS
Zapomniałem dodać, że sprawca powinien też solidnie zapłacić tym, którzy wykryli proceder bo przecież poświęcili sporo czasu i użyli niebagatelnej wiedzy.

oto Adolph

Pan naiwnie zakłada

że Google Play posiada prawdziwe dane osobowe sprawców.

Google Play ma tylko takie dane, jakie podał mu autor aplikacji i nie ma za bardzo możliwości ich weryfikacji, a wątpię aby były one prawdziwe.

Biorąc pod uwagę rodzaj przestępstwa, można być prawie pewnym, że zarówno konto w Google Play (z danymi autora programu), jak i konto bankowe (na które są przelewane pieniądze), lub co bardziej prawdopodobne, inne systemy płatności (łatwiej i bezpieczniej, niż poprzez bank, wyciągnąć za ich pomocą pieniądze), były założone na tzw. słupa.

Tak więc sytuacja nie jest taka prosta, jak Pan ją przedstawił.

oto Marek Bekier

Malutkie nieporozumienie: ja

Malutkie nieporozumienie: ja niczego nie zakładam i dość dobrze wiem jak jest teraz. Pisałem jak, moim zdaniem, powinno być.

oto Adolph

Odniosłem wrażenie

że Pan obwinia Google Play o niedostateczną ochronę użytkowników przed szkodliwymi aplikacjami.

Problem jest zupełnie gdzie indziej. Google Play podjęło się wspierania Androida poprzez udostępnianie aplikacji do tego systemu. Nie podjęło się żadnej odpowiedzialności za to co rozpowszechnia.

Aby Google Play mogło skutecznie weryfikować aplikacje, musiałyby być one dostarczane, jako kod źródłowy i dopiero po wnikliwym przeglądzie, kompilowane przez samych pracowników.

Dodatkowo, musiałby by być ustalone ograniczenia tego, co mogłaby robić taka aplikacja (lub bardziej, czego nie mogłaby robić). Niedozwolone byłyby jakiekolwiek aktualizacje (bo można za ich pomocą przesłać złośliwy kod później, już po pozytywnej weryfikacji).

A i tak dałoby się to (chociaż nie byłoby to łatwe) obejść. Zamiast jawnego złośliwego kodu, wystarczy tak go napisać, aby w pewnych okolicznościach pojawił się błąd, dzięki któremu można przejąć kontrolę nad aplikacją. Jest to często stosowane przez firmy do robienia różnych "furtek" w oprogramowaniu (na "życzenie" różnych trzyliterowych agencji). W przypadku ich odkrycia, zawsze można się wytłumaczyć błędem.

Osobiście uważam, że tylko totalna inwigilacja (znacznie większa, niż obecnie), mogłaby temu zaradzić, więc traktuję to jako "koszt" wolności (której i tak już niewiele, dla zwykłego obywatela zostało).

oto Marek Bekier

Mogło by być prościej i

Mogło by być prościej i inaczej ale troszkę się jeszcze wstrzymam z opisem mojego punktu widzenia bo dyskusja się rozwija a ten punkt widzenia jest trochę niepewny.

oto mmm777

Nie przeczytał Pan regulaminu Google :)

To jest temat na większą dyskusję, ale myślę że zasadniczą kwestię wyjaśni ten cytat:
.
“Google się pod niczym nie podpisuje. Google udostępnia tylko swoje miejsce i sieć developerom przy czym obiecuje że będzie sprawdzać co tam umieszczą. Jest to tak jakbyś poszedł na bazar. Właściciel placu/działki jest jeden a sprzedawców cała masa i ten właściciel nie odpowiada za działania sprzedawców. On tylko wynajmuje im miejsce za opłatą a że google to korporacja taka a nie inna to póki zielone wpływają wszystko jest utrzymywane tylko żeby dobrze wyglądało.

Kompletnie nie rozumiesz jak działa sklep google. To że w nazwie jest "sklep" nie znaczy że działa jak biedronka czy inne dziadostwo.”

oto chłop jag

Powstało nowe pole działania

w postaci bankowych aplikacji mobilnych - wiec jest pokusa aby powstawały i mafie do okradania ludzi w ten sposób tołażysze.
Wniosek?
Jest jednak na tym polu nadzieja - ponieważ pupile szatana nie lubią w okradaniu konkurencji - bo sami też okradają ale za to w majestacie prawa przez siebie wymyślonego - tołażysze.

oto Mar.Jan

Krótkie sprostowanie

Generalnie material bardzo pozyteczny, poniewaz zwraca uwage na niebezpieczeństwa czyhające na nieświadomych użytkowników telegfonów.
jednak nie przesadzajmy w ocenie zagrożeń:

Jak podkreślają eksperci, obie aplikacje potrafiły również bez wiedzy użytkownika przechwytywać wiadomości SMS, zawierające kody do autoryzowania transakcji online.

To racej jacyś dziennikarze, którym zawse mało sensacji, nie eksperci. Hasło sms jest wysyłane na telefon do zatwierdzenia transakcji wygenerowanej przez użytkownika. Skoro uzytkownik chce za cos zapłacić, to nawet , gdyby tego hasła uzył jakiś podstępny złodziej, to ono sluży wyłacznie do potwierdzenia tej jednej transakcji.
Prawdopodobnei chodzi o coś nieco innego: jesłi ktoś uzyska hasło dostępu do cudzego konta i zleci jakąs transkację przelewu, to może również ściągnąć z tego telefonu przysłane przez bank hasło do zatwierdzenia transakcji i w imieniu własciciela, ale bez jego wiedzy i zgody, to haslo przesłac do banku. Zatem jedynym niebezpieczeństwem jest udostępnienie hasła do swego loginu zlodziejom. Dalej juz tylko konsekwencje tego.

W sklepie Microsoft (...) każda aplikacja jest weryfikowana, środowisko zamknięte i jest spokój. Nie ma żadnego antywirusa bo nie ma wirusów.

JEst to nieprawdopodobna naiwność! Własnie oprograowanie Microsoft jest roznosicielem 90% wszelkich wirusów dostępnych w Internecie. Powó tego jest taki, że 90%uzytkownikó Internetu posługuje się tym niedoskonałym oprogramowaniem. Jednak skale zagrożenia można znacznie zmniejszyć instalując odpowiednie programy zabezpieczające, oraz dbając o zabezpieczenie połczeń z INternetem przez pilnowanie portów systemu operacyjnego. Wszystkie nieuzywane w danych okolicznościach porty powinny być zamknięte. Od tego jest firewall. Jeśłi ktos wyłacza firewall i oprogramowanie antywirusowe, bo mu "spowalnia" i "utrudnia" dostęp do pożądanych "fajnych" treści , to niech się nie dziwi, że mu do komputera wpełzaja niepożądane robaki.
Trzeba zwłaszca uważac na przeróżne darmowe i anonimowe programy służacę do ulepszania systemu, przyśpieszania i zwiększania możliwości, bo one moga przy okazji zrobic generalny przegląd komputera, odkryć jego słabe strony i przekazac te informacje komu trzeba. A potem dysk zaszyfrowany, albo w ogóle brak systemu i wszystko diabli wzięli: milion zdjęć i filmików, nie mówiąc o tajemnicach słuzbowych i cennych bazach danych.

oto Adolph

Jednym z najczęstych błędów

jest logowanie się do banku i odbieranie kodów autoryzacyjnych na tym samym urządzeniu. Jak ktoś przejmie kontrolę nad urządzeniem, to ma wtedy dostęp do obu rzeczy. Podobnie wygląda sprawa z adresami mailowymi.

Twój komentarz?

Filtered HTML

  • Allowed HTML tags: <a> <em> <i> <strong> <b> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <center> <h1> <h2> <h3> <h4> <h9> <img> <font> <hr> <span> <bgcolor> <del> <iframe> <span>
  • Youtube and Vimeo video links are automatically converted into embedded videos.
  • Lines and paragraphs break automatically.
  • Web page addresses and e-mail addresses turn into links automatically.

Plain text

  • No HTML tags allowed.
  • Lines and paragraphs break automatically.
  • Web page addresses and e-mail addresses turn into links automatically.