ZiK3aK

ZiK3aK

Пикабушник
5634 рейтинг 209 подписчиков 19 подписок 21 пост 1 в горячем
Награды:
10 лет на Пикабу

Пользователи Android, изоляция банк клиентов.

Здравствуйте. Счастья, здоровья, держитесь там. Приношу извинения, тчо сильно затянул написание этой заметки. Автор занимался определёнными изысканиями в одной отбитой области и по этой причине времени написать сий трудъ не было. Паралельно бросил пить, курить, занялся спортом, похудел, ох*уел как хорошо жить вне интернетов в реальном мире. Да-да всем срать, приступаю. Извиняйте за тавтологию, если повторю то, что уже писал.


Предисловие: меня удивляет безалаберность большинства пользователей, никто из моих знакомых не использует аккаунты в телефоне, работают под администратором в ОС или, админы поймут, запускают продуктивные приложения из-под рута. Возможно люди станут чуть более расторопными, когда уже будет поздно. Те, у кого троян, скачанный в виде игрушки с левого сайта племянником-двоюродной_сестры-тёти спёр деньги со счёта мобильного или с банковской карты обычно прозревают.


Начиная с версии Android 4.2 у владельцев планшетов существует возможность создавать несколько учетных записей для разделения устройства между разными пользователями. В мобильных телефонах данная функция появилась, начиная с версии 5.0. Я предлагаю использовать эту возможность для обеспечения более высокого уровня безопасности.


Что нам понадобится: Устройство на android 5+, второй, гугл аккаунт.


Краткое руководство к действию. Справедливо для голого Android, названия пунктов меню взяты из версии 8.1


После первоначальной загрузки телефона, не стоит настраивать вообще ничего, кроме трёх пунктов, этот аккаунт является администратором и позволяет давать доступ к sms/вызовам другим пользователям, добавлять и удалять их, предполагаю в будущем возможности контроля и ограничений будут расширены.


1) Добавьте пароль для аккаунта, именно пароль, длинный жирный необрезанный. Впрочем вы можете руководствоваться своими соображениями и использовать любой вариант.

Настройки – Местоположение и защита – Блокировка экрана.


2) Проверьте, что ваше устройство зашифровано.

Настройки – Местоположение и защита – Шифрование и учетные данные – Зашифровать данные.


3) Создаём пользователей.

Настройки – Пользователи и аккаунты – Пользователи.


Создаём 2 аккаунта:

Первый - будет нашим повседневным с обычной учетной записью Google, отпечатком пальца для разблокировки и прочими свистелками/перделками.

Второй мы планируем использовать для всех приложений с доступом к финансовым активностям, именно для него я и могу рекомендовать завести отдельный гугл.аккаунт не связанных НИКОИМ образом с первым.


Можно расширить список аккаунтов и изолировать назойливые игры, которые пытаются изнасиловать вас своими уведомлениями и напоминаниями. Также есть гостевой аккаунт.


Рекомендации для параноиков:


1) Не привязывайте номер телефона к второму «банковскому» аккаунту гугл. В случае, если недобросовестный опсос перевыпустит симку, все(ну почти все) банк клиенты перестанут работать на сутки, а получить доступ к вашему аккаунту человек сможет. Зная, как в данный момент развита электронная коммерция, этого может быть достаточно для создания вам проблем. Простой пример – привязанная к аккаунту карта для платежей gPay.


2) Используйте 2FA – двухфакторная аутентификация. Обязательно сгенерируйте новые резервные коды для входа, именно они являются наиболее безопасным способом восстановить доступ к аккаунту.

https://myaccount.google.com/signinoptions/two-step-verification


3) Идеальным вариантом является использование «паролей для приложений». Генерируются один раз, записывать не надо, запоминать тоже, геморройно бывает настраивать новое устройство, но лучше этого пока не придумали.

https://myaccount.google.com/apppasswords


4) Проведите аудит конфиденциальности. Я лично выключил для банковского вообще всё.

https://myaccount.google.com/privacycheckup


5) Отключите/удалите все не нужные вам приложения.

Это сократит как расход батареи, при переходе между аккаунтами многие приложения получают событие для пробуждения, так и позволит чуть ограничить собираемые о вас данные. Оставить точно стоит gPlay, т.к. обновлять приложения нужно обязательно, остальной софт по-вкусу.

Настройки – Приложения и уведомления – Показать все.

При выборе приложения вы провалитесь в меню, где будет возможность удалить обновление/отключить приложение.


6) Отключите Google Instant App!

Настройки – Google – Сообщения с предпросмотром приложений.


Что это за зверь? Теоретически задумка неплохая, при переходе на сайт, устройство загрузит приложение, что-то вроде тонкого клиента сайта, после чего вы сможете пользоваться сайтом в рамках экосистемы вашего устройства. Например, можно будет моментально оплатить покупку, привязанной к аккаунту картой. А можно потерять все деньги, если это приложение окажется зловредом, подписанным корректным сертификатом. Тот же aliexpress вообще никаких вопросов не задаёт, просто деньги с карты списывает.


p.s.

Для Xiaomi на прошивках MIUI существует аналог – второе пространство. К сожалению множественное добавление пользователей тут невозможно, однако есть такие фишки, как:

1) Скрытие из меню основного аккаунта пункта второго пространства.

2) Вход в разны аккаунты из одного экрана блокировки по разным паролям/отпечаткам пальца. Не знающий человек просто не догадается, что в телефоне есть изолированный сегмент с блекджеком и ещё чем-нибудь.

3) Склероз мой друг. Если верно помню, есть возможность "завернуть" определённые контакты с вызовами и смс во второе пространство. И никто не узнает, что вы бэтмен, ходите на сторону/ведёте двойную жизнь(курьерам с зп 300к в месяц привет). В крайнем случае сяоми из-коробки имеет applock, который способен скрывать даже конкретные сообщения из чатов.


Спасибо за интерес. К сожалению у меня нет совершенно времени отвечать.

Показать полностью

Как перестать переживать за свои пальчики и начать жить.

Никогда не претендую на истину в последней инстанции, информационная безопасность – личное дело каждого.

Как мы знаем, современные смартфоны предлагают такие удобные способы разблокировки экрана, как отпечаток или распознавание лица. Также отпечатком очень удобно подтверждать вход в банковские приложения и платежи. Однако, если мы даём поиграться со смартфоном другому человеку, он может по незнанию поставить зловред, который выпьет много крови или в случае утраты контроля над телом (как своим так и звонящим) этим могут воспользоваться злоумышленники или «друзья».


У меня таким образом программа для "обрезки" рингтонов спёрла голоса из VK, мелочь, а 4 человека можно было с др порадовать, их мне, конечно, не вернули.

Как перестать переживать за свои пальчики и начать жить. Без рейтинга, Android, Интернет-банкинг, Длиннопост

Я рассматривал несколько вариантов ограничения доступа к таким приложениям, но защитить их от других приложений, установленных в системе невозможно. Даже парольный доступ не является панацеей, т.к. на уровне ОС все приложения могут взаимодействовать друг с другом.


1) Пользовательское приложение-блокировщик. Существенным минусом такого решения является то, что приложение может быть выключено/удалено, если есть физический доступ к органу разблокировки и телефону.

2) Системное приложение-блокировщик. Появляется необходимость разблокировать загрузчик, что серьёзно снизит уровень безопасности, а заблокировать после установки ПО – невозможно, т.к. есть модификации. Если пользовательское пространство зашифрованно – из кастомного рекавери оно будет недоступно, но можно удалить системное приложение, которое блокирует доступ.

3) Последним вариантом было разделение рабочего пространства. Оно возможно начиная с 4.4 версии андроида для планшетов и с 5 версии для смартфонов. Некоторые производители вырезали эту возможность в ОС с собственной оболочкой или добавляли/расширяли её возможности.


Для себя выделил из плюсов и плюшек:


• Все финансовые приложения находятся под отдельным паролем в отдельном профиле пользователя. Это закроет возможность несанкционированного доступа к ним без пароля по отрезанному пальцу или голове. Мелочь, а приятно.


• Можно сохранить возможность удобного входа в приложение по отпечатку и возможность подтверждения платежа отпечатком.


• Для банковских приложений характерен АДОВЫЙ сбор данных о вас, включая чтение смс, вызовов, приложений, установленных на ваш телефон, доступ к хранилищу, что может позволить фактически «слить» всю нужную информацию. Куда и как идут эти данные и кто может получить доступ к этим данным производитель ПО вам никогда не скажет. Не все производители ПО, где можно привязать карту или платить картой даже сознаются в сборе таких сведений. Привет @BurgerKing, не обижайтесь, вы пример хороший.


• Все приложения в данном пространстве спят, что сокращает расход батареи, т.к. телеметрия, описанная выше не собирается и «вумные» интивирусы не пытаются постоянно проверить ваше устройство.


• Относительная защита от 0day уязвимостей. Для пользователей общими являются только исполняемые файлы приложения. Все временные данные, настройки, кэш – индивидуальны.


Сценариев может быть два:

В первом случае вы используете административный аккаунт как основной, а банковские приложения, переписки с любовницами, грабёж караванов - запираете в дополнительном. Из административного аккаунта можно удалить второй со всем содержимым в случае необходимости.

Во втором, что является наиболее безопасным, вы не используете административный аккаунт ВООБЩЕ. У вас получается 3 учётки: админ, телефон, банк. Которые не пересекаются.


Если вы считаете такое излишним и вирусы сказками – это ваше право. Мне мои 300 заработанных копеек терять не хочется.

Как перестать переживать за свои пальчики и начать жить. Без рейтинга, Android, Интернет-банкинг, Длиннопост
Показать полностью 1

Счастья, здоровья, держитесь там

Счастья, здоровья, держитесь там Новости, Дурдом, Раскадровка
Показать полностью 1

Мошенники "Фирменного сервисного центра Xiaomi"

Приветствую. Хочется донести эту информацию до всех владельцев Xiaomi и не только!

Мошенники "Фирменного сервисного центра Xiaomi" Xiaomi, Meizu, Мошенничество, Пермь

Преамбула. г.Пермь. В прошлую пятницу после не самого приятного рандеву по улицам, которые комунальщики любят шлифовать тракторами со щётками до зеркального блеска, случился со мной неприятный конфуз в виде сломанного дисплея рабочей лошадки Redmi Note 4x.

Сегодня наконец нашлись финансы отремонтировать аппарат и обратился я "в интернеты", а именно к яндексу гуглу, который на запрос "xoaomi mi note 4x ремонт" выдал мне замечательный сайт первой же ссылкой. Я оставил номер телефона и бомж-звонилка, используемая для таких случаев, радостно запищала уже через пару минут.

Со мной связались и была составлена заявка, что курьер приедет и заберёт мой телефон около 14-00, а уже к 20 часам обещали доставить по нужному адресу (наверно именно тут стоило насторожиться, ибо так хорошо работать может только мошенник, особенно у нас в стране) Цену заломили в 2600, учитывая стоимость оригинального дисплея у китайцев в 1100, а у нас 1500~1600, учитывая стоимость работы (там гемморно менять дисплей и за неимением времени я обратился в сервис), учитывая забор девайса и доставку цена казалась приемлемой. Приехал курьер, оформили договор и телефон уехал.

Весёлое началось уже через час, позвонил "мастер" с номера +74994503869, который начал рассказывать про повреждение "модуля изображения" и стоимость ремонта выросла до 5600, что составляет 60% цены нового телефона. После вежливого посыла найух мне было предложено забрать аппарат с "Грузинская 7", при этом оплатив диагностику в 1800 рублей.

Срываюсь с работы, еду к ним, где мне выдали акт проверки, в которм указана реальная неисправность:

"повреждена кристаллическая решётка матрицы, требуется замена дисплейного модуля в сборе со шлейфом"

И указана стоимость диагностики в 1250 рублей. Психологический прям фактор, сперва говорили 1800, а тут 1250 и подсознание говорит, что не так уж критично, можно заплатить.

Я требую ещё раз поговорить с "мастером", который на этот раз начинает меня лечить насчёт повреждения модуля связи с тачскрином, ни о каком изображении речь уже не идёт. К сожалению звонилка звонки не пишет.

Консультируюсь у знакомого, который больше не ремонтирует ведроиды и занимается только япле, он говорит, что чистые мошенники. Отдаю 1300 от безысходности и мне делают скидку в 50 рублей "за неимением сдачи", что тоже подтверждает факт мошенничества, ибо каждый бизнес живёт на учёте копеек, с которых набегают миллионы в обороте.

К чему это всё я? Да к тому, что ремонтом телефонов в 99% случаев при наличии рук и головы у нас нужно заниматься самому или обратиться к адекватному "тыжпрограммисту", за батон колбасы/печенек/вискаря. Это я как тыжпрограммист говорю.

Что самое важное!

Таких сайтов, ведущих на одни контакты я нашёл два, думаю есть ещё по другим производителям!

Причём, по отзывам, данная схема работает чуть ли не по всей стране! Если вам предлагают забрать телефон с курьером, ВНИМАТЕЛЬНО читайте ту бумажку с двух сторон, которую вам предлагают подписать.

p.s. Извиняюсь за многобуков, комменты для минусов присобачу. Берегите свои финансы.

p.p.s. Заказал запчасть, буду делать сам. (приложить договор, чек, и акт проверки смогу только 29.03.2018)

Показать полностью

Помогите построить новый дом для кошек приюта Матроскин!

Хочу обратиться за помощью к Pikabu. Пожалуйста, поднимите в топ, комменты для минусов прилагаются.


Приют Матроскин - самый большой приют для кошек в Пермском крае. Так случилось, что приют выселяют. Владельцы помещения дали короткий срок чтобы переехать, до конца января 2018 года.

Уже 2 года приют Матроскин лечит, ставит на лапы и даёт безопасную крышу над головой самым незащищённым, самым обиженным и самым «безнадёжным» кошкам! Более 550 кошек, инвалидов или излечившихся, благодаря приюту уже обрели дом за время существования Матроскина. Но, как бы изо всех сил мы ни стралась спасать кошек, максимальная вместимость приюта всего 60 кошек. Приют находится в небольшом арендуемом полуподвальном помещении, которое было абсолютно не пригодно для содержания кошек. Мы вложили много сил и любви, чтобы в приюте стало чисто, красиво и уютно. Все вместе мы поменяли ветхие окна в приюте на телпые, перекрасили стены, поменяли линолеум и обрудовали операционную.

ссылка

Помогите построить новый дом для кошек приюта Матроскин! Пермь, Приют, Кот Матроскин, Кот, Помощь, Видео

p.s. Даже Россия1 уже выпустила сюжет, но я в силу Pikabu верю больше.

Показать полностью 1

Мошенники

Пикабу, какого?! Рекламу совсем не проверяете?

Мошенники World of Tanks, Мошенничество, Реклама

Трудности перевода

Трудности перевода
Показать полностью 1

Политика? Война? Iphone 6!

Некоторые энтузиасты зарабатывают на ожидании — ближе к анонсу они продают свои места в очереди, причем стоимость доходит до нескольких тысяч долларов.
Политика? Война? Iphone 6! Некоторые энтузиасты зарабатывают на ожидании — ближе к анонсу они продают свои места в очереди, причем стоимость доходит до нескольких тысяч долларов.
Отличная работа, все прочитано!