СП
Не иллюзии. Ради даже 5% снижения убытков от фрода это уже норм.
Size: a a a
2019 July 31
IC
Не иллюзии. Ради даже 5% снижения убытков от фрода это уже норм.
Какой фрод от рута?
IC
Доступ к которому контролируется пользователем
IC
Руткиты как раз и не палятся проверками, а угрозу представляют именно они
AC
Ну то есть банки готовы пожертвовать клиентами ради иллюзии безопасности, интересно
Сколько таких?
IC
Сколько таких?
Не владею статистикой, но как минимум не один я
J
Должно, без вариантов. И не работать на рутованном и/или в эмуляторе.
Рут отрубает море допущений на которых построена защита. Потом у человека деньги спиздят потому что в комплекте с рутом еще и руткит сидит - а банку разбираться.
Рут отрубает море допущений на которых построена защита. Потом у человека деньги спиздят потому что в комплекте с рутом еще и руткит сидит - а банку разбираться.
Если у малвари есть рут, она может запустить приложение под с фрида сервером и обойти проверки. Так?
J
Всем привет, вопрос возможно риторический, может я чего-то не понимаю, должно ли банковское приложение проверять наличие Рут прав на устройстве ?
Думаю что должны, чтобы усложнить процесс анализа и эксплуатации.
security through obscurity
Все что есть в мобилках
security through obscurity
Все что есть в мобилках
СП
Ну вероятно да.
Плюс, снимается защита с данных в каталоге приложения, а возможно и во внеаппаратном кейсторе и с установки разрешений
Плюс, снимается защита с данных в каталоге приложения, а возможно и во внеаппаратном кейсторе и с установки разрешений
PC
Спасибо всем за ответы
YS
Ну как минимум, если не запрещать работу на рутованном устройстве (и не бороться потом с фейковыми приложениями а-ля "банк для рут") то передавать в антифрод данные о том, что труба рутованая
YS
То есть определять, на мой взгляд нужно, а вот что дальше делать с этой информацией это хороший вопрос)
R
Ребят, тут в рабочем чатике завязалось обсуждение про SafetyNet. Кто-нибудь из здесь присутствующих пробовал реализовывать Attestation API на бэкэнде? Чтобы нельзя было условное “колнсольное приложение” написать и дергать бэк не из “доверенного приложения”?
Я просто не видел нормальной реализации еще, но может ребята из пентест лабораторий сталкивались?
Я просто не видел нормальной реализации еще, но может ребята из пентест лабораторий сталкивались?
YS
Запрещая работу на руте, придется бороться с другими проблемами. Во первых - больше необходимость ковырять приложение с целью избавления от проверки (а ведь в процессе этого анализа можно ещё что найти интересное)
Во вторых тьма фейков и малвари, которое будет мимикрировать под приложение, которое работает на руте
Во вторых тьма фейков и малвари, которое будет мимикрировать под приложение, которое работает на руте
YS
Так что спорная тема, на самом деле. Но проверять и получать инфу о самом факте, мне кажется всё-таки нужно
YS
Ребят, тут в рабочем чатике завязалось обсуждение про SafetyNet. Кто-нибудь из здесь присутствующих пробовал реализовывать Attestation API на бэкэнде? Чтобы нельзя было условное “колнсольное приложение” написать и дергать бэк не из “доверенного приложения”?
Я просто не видел нормальной реализации еще, но может ребята из пентест лабораторий сталкивались?
Я просто не видел нормальной реализации еще, но может ребята из пентест лабораторий сталкивались?
Видел и делал костыли)))
YS
Нормального, к сожалению, тоже не видел(
А
у меня в мобиусном докладе был небольшой обзор на него и в концессылка на большой доклад по нему должна быть
R
Так итог какой. Можно написать эту защиту нормально или нет?