Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
PASIVNA ANALIZA BEZBEDNOSTI ANDROID MOBILNE APLIKACIJE “Izabrani Doktor”
#1
[Image: attachment.php?aid=26824]
Povodom: Повереник сугерисао грађанима: опрезно са апликацијом "Изабрани доктор"


Attached Files Thumbnail(s)

“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#2
Haha... Ja sam je instalirao i cim je trazila prisup mojim SMS-ovima odustao sam... Smile
Reply
#3
Pa tako to ispadne kad pisu aplikacije kako ko stigne a blage veze nemaju sta pisu.
Cuo da moze da se napravi Android aplikacija pa ajd malo da uvezemo sa ostatkom sistema.

Android je tokom godina prilicno evaluirao, recimo file I/O ne moze vise da se radi direktno nego preko specificnih resurs menadzera koji se konfigurisu po potrebi, isto tako i SVI ostali servisi, mora da se trazi "dozvola" i za SMS, i za mrezu, storage, fingerprint, kameru, geo-location i ostalo.

Sve ostalo je stvar implementacije, da li su ti developeri recimo koristili specialan KVstorage za privatne i javne kljuceve koji je novost u Android OS od neke 22-23 verzije SDK? Ma taj developer nije cuo o tome, ako je programirao u JavaScrip nije ni cudo ...
Reply
#4
PS: I ovaj test sa rezultatitma je jos i dobar jer je sam OS obezbedio neke stvari, bio bi i jos gori da su sve prepustili developerima aplikacije : )
U fazonu su "nece valjda da otvore port i da urade to i to ...." ... "ne moze, baci exception, ako neko vidi vidi, ako ne vidi nikom nista, nase je da to tako uradimo" : )
Reply
#5
U moj džep neće nikada ući android!
Reply
#6
Mislis da je iOS bolji? Smile
Nema tog OS otpornog na glupost, dzaba kad na sred čela aplikacije pise "uhakuj me" Smile
Reply
#7
Miki, ovaj mi je u džepu
[Image: Samsung-S5610-Crna.jpg.jpg]


A za nedaj bože ovaj
[Image: nokia-1110.gif]
Reply
#8
^ iskljuci i Bluetooth (ako ga ima na tom modelu) Wink
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#9
Nema Smile
Reply
#10
Svi se baciste na developere Smile ...ne znam o kojoj firmi je rec, ali obicno vece firme i dobijaju ovakve projekte, a u vecim firmama su oni samo (manje \ vise) vredni mravi, glavni krivac za bilo koji ozbiljniji software (cak i malu prostu app) je uvek software architect Smile

EDIT:
Da dodam i za app koje se oslanjaju na JS, to bez problema moze da bude solidan klijent, ako oni naprave pristojan API, po meni bi bilo sasvim opravdano koriscenje Cordove npr. i usteda sto se tice duplog odrzavanja za iOS vs Android, naravno, nema izgovora za glupe propuste sa bespotrebnim permisijama poput one koje su gore navedene za SMS ili sl. ili kao sto sam vidjao neke flashlight app ranije, sto hoce SMS, galeriju, lokaciju, krv device i sl. Smile
Reply
#11
(06-03-2018, 08:18 PM)1van Wrote: ^ iskljuci i Bluetooth (ako ga ima na tom modelu) Wink

I izvadi bateriju! 

Mada kazu ljudi da ni tako nije sigurno, to vec ne znam, nisam uspeo bez baterija ista da uradim : )
Reply
#12
(06-03-2018, 09:07 PM)vsavic Wrote: EDIT:
Da dodam i za app koje se oslanjaju na JS, to bez problema moze da bude solidan klijent, ako oni naprave pristojan API, po meni bi bilo sasvim opravdano koriscenje Cordove npr. i usteda sto se tice duplog odrzavanja za iOS vs Android, naravno, nema izgovora za glupe propuste sa bespotrebnim permisijama poput one koje su gore navedene za SMS ili sl. ili kao sto sam vidjao neke flashlight app ranije, sto hoce SMS, galeriju, lokaciju, krv device i sl. Smile

Vidi, to sa Cordova i generalno sa JavaScript je malo neozbiljno, ne moze to da se poredi sa "native" aplikacijama koje se kodiraju u C/C++ ili Java/C# (kad pricamo o Android) ...

Sve znam zgodna je JavaScript, laka za pisanje, portabilna i sve ostalo ali kada treba da ti sracuna recimo "Merkle Tree/Root" to bi trajalo danima umesto sekunde : )

A i razmazeni su JS developeri, "jel' ima JS plugin da pretvori string-u-array" i tako sve zivo pisu, niko da sedne i to napise kako treba ...

Ja sam zbog tih razloga odlucio da totalno batalim WEB kao i JavaScript, muka mi je vise od djubreta koje sam nagledao i prepravljao ... Odo malo u C/C++ gde bar znam sta pisem ... Nemam nikakve prepreke jer C code mogu da prevedem za bilo koju platformu, od MCU, x86 do najnovijeg ARM-a u mobilnim telefonima, to mi je mnogo bitna stvar da mi ostane kao "logicka vrednost" taj code koji mogu da upotrebin na bilo kom mestu sa eventualno minornim prepravkama koje su uslovljene okruzenjem gde se taj code izvrsava.

Evo isti slucaj i sa Unity, moze da se programira u JavaScript ali postoji ceo API i JNI Java interfejs sa C/C++ binding-om, da svoje neke logicke stvari resis na najnizem nivou. Kad od toga krenes i upotrebis tacno ono sto ti treba i usput implementiras najbolje sto mozes prateci OWASP preporuku, onda posaljes 1van-u da proveri i da ti sacini ovaj crveno-zuto-zeleni raport ... Big Grin
Nema nista lepse kad napravis shared biblioteku .so ili .dll a unutra zapakovano sve do tancina, biblioteka 100-200kb i cudo logike, radi SVUDA, to je sjajno ali zato ima da poblesavis dok to ne skontas i napravis da radi : ) Ovi sto testiraju te biblioteke, vidis da su pozeleneli skroz Big Grin

Ili recimo nesto visi nivo ali isti pristup u PHP svetu, kao Zend, ovaj-onaj frejmowork sa stotinama skripti da bi skockao jednu formu i uporedis to recimo sa r57 shelom skockanim u jednoj PHP skripti Big Grin
https://r57.gen.tr

PS: Ove r57, i r99 smo 1van i ja jurili ko blesavi po serverima jer su nas sa tim u pocetku radili ko papane dok nismo seli i uradili kompletan reverzni izinjering tog shela, posle toga je bila druga prica totalno Big Grin Jel tako bilo 1van? Big Grin
Na kraju smo ostavili da mogu da uploaduju ali da ne mogu da izvrsavaju jer smo tako skupljali nove verzije shelova ... ma idi to je bio shou program ... PHP4 je bio aktuelan cisto da referenciramo vreme Wink
Reply
#13
^ bilo je zanimljivih momenata Smile

A sto se tice bezbednosti mobilnih platformi, i dalje koliko god "zatezali" bezbednost na samoj platformi ostaje problem korisnika koji ne gleda gde klikce ako je iza slike "sladoled" i naravno problem sa developerima koji ne zele da nauce kako platforma na kojoj razvijaju stvarno radi (pa koriste precice koje zapravo dovode do security/privacy problema).
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#14
(06-03-2018, 09:30 PM)mikikg Wrote: Vidi, to sa Cordova i generalno sa JavaScript je malo neozbiljno, ne moze to da se poredi sa "native" aplikacijama koje se kodiraju u C/C++ ili Java/C# (kad pricamo o Android) ...

Naravno, ne kazem da uvek treba da se koristi takav pristup sa hibridnim alatima, sve zavisi od situacije i naravno da je nativ aplikacija uvek brza. Ali kad je rec o prostim stvarima gde imas par prostih formi i sve to zakaceno na neki API ionako, sve to o jednom trosku moze da se upakuje ovim.

Naravno, kao sto si naveo primer za Unity, ti i za Cordova uvek mozes da bilo koju funkcionalnost implementiras i na native nivou kao dodatni plugin, ali ne moras sve i ne treba uvek izmsiljati toplu vodu.

Verujem da ste upoznati i sa situacijom za iOS i kako je sve par godina unazad, te ajd uzmi razvijaj u Objective-C-u, pa ajd Swift pa opet isto sa Swift 2, 3, 4, ... a srecno sa XCode-om i updejtima Smile

Anyhow, tehnologija ko tehnologija, svaka ima svoje prednosti i mane, ali ko sto rece, nema tog OS-a i aplikacije zasticene od gluposti Smile
Reply
#15
https://www.espreso.rs/vesti/drustvo/257...je-napisao
Reply
#16
Dajte APK da malo "pogledamo" : )
Ne mogu nesto da je extraktujem sa Samsung telefona, imaju neki glupi bug, mislim na Samsung pa ne moze da se povuce ...

Uzasno me kopka jedna informacija sa pocetka ove teme a to je da je 1van odvojio samo 2 sata za to testiranje! Sta li bi sve pronasao da je ulozio nesto vise vremena Big Grin
Tj. da vidim sta ga je mrzelo da testira Big Grin
Reply
#17
Setio sam se isto jednog zanimljivog primera koji me je totalno razocarao a bio je kao vrhunac tehnolgije u tim vodoma, Kurento Server (gluplje ime za software nisam cuo), WebRTC je u pitanju, ljudi moji, taj software je radio na nekih 20-ak posebnih instanci na Microsoft Azure Cloud-u, to je bilo iskonfigurisamo preko brda-i-dolina, account na Azure za te resurse je kostao >150k$ i rezultat??? Katastrofa, imao je lag od 1 do 5 sekunde a tu u kancelariji sve probamo, baguje sa onim artifaktima u slici i zvuku, kolegama pricam da je to nenormalno, toliki resursi da ne moze to da odradi i da tu nesto debeeeelo ne stima ali ne vredi klient navalio kao to mora tako .... sta sunceti mora ... pogledajte XMOS u jednom chipchetu sta radi, stremuje preko 1GBit Ethernet Full-HD nekopresovan ...
Reply
#18
https://apkpure.com/izabrani-doktor/com....p/versions Big Grin Ja sam testirao 1.2.7 a vidim da je izasla i 1.2.8.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#19
Uh sto ti dobar ovaj "sajtić" : )
Reply
#20
Ja ne vidim sto bi ova aplikacija bila sporna ili opasna po licne podatke zdravstvenih korisnika. Aplikacija ne pravi soppstvenu bazu podataka nego jednostavno pristupa bazi podataka koja je u vlasnistvu Ministarstvu Zdravlja. E sad da bi aplikacija izdvojila(ponudila) vase podatke o izabranom lekaru i zakazavivanje pregleda mora se bazi pristupiti putem nekog ID-a koji je u ovom slucaju vas LBO (ili kako se vec zove). Davanje tog LBO-a je jedini kriticni podatak za koji morate da odlucite dali cete ga nekome javno dati ili necete. To isto kao kad na kasi u marketu PIN sa kartice saopstite prodavcu ili ga sami kucate u uredjaj. Morate biti sveni da  u oba slucaja vi ste posredno ili neposredno dali vas PIN na "izvolte" nekome ko sa tim PIN-om pristupa vasim podacima o racunu u Banci..
Sto se tice aplikacije "Izabrani Doktor" koja na testu koji je @1van uradio i objavio i nije tako lose prosla. Obzirom da se radi o nekoj prvoj verziji (u medjuvremenu izasao je jedan update) i sigurno da ce se sigurnost koriscenja aplikacije podignuti na visi i sigurniji nivo.
Nas Poverenik za zastitu licnih podatak, Sabic svoju primedbu na softver je stavio u kontekstu krsenja zakona po kojem on nije obavesten o softveru koji koristi licne podatke gradjana Srbije i  o nazivu firme (koja je inace iz Nisa) koji se, greskom ili ne, razlikuje u nazivu (International ili Internacional).
Ako je Ministarstvo odobrilo pristup njihovoj bazi o zdravstvenim osiguranicima verovatno je i vodilo racuna o zloupotrebi tog pristupa i taj pristup verovatno je radjen na nivou API-a gde aplikacija ima odredjeni nivo pristupa od strane samih developera.
Jedino sporno i neprihvaceno sta moze da bude  kod ove aplikacije je upravo to sto je @ddanijel naveo kao primer upotrebe u praksi. Tehnoloska nepismenost veceg broja, pogotovo, starijih osiguranika i trud medicinskog osoblja da prihvate novonastale izmene vezane za njihoh svakodnevni rad.

p.s.
Koristili mi ovu aplikaciju ili ne cinjenica je da "tamo negde"(citaj baza podataka) postoje podaci o nama. Ako nekome ti podaci zatrebaju zbog zloupotrebe oni ce se domoci njih na bilo koji nacin pa i putem ovakvih aplikacija,,,,,
Reply


Forum Jump:


Users browsing this thread: 3 Guest(s)