[gull] Android "root" hiding and co.

magnus magnus at magooweb.com
Wed May 27 17:43:47 CEST 2020


Salut à tous,

le monde bancaire a une relation particulière avec tout ce qui sort de 
l'ordinaire.

J'ai eu récemment de grandes discussions avec Postfinance [pf] qui 
officiellement ne supporte plus les téléphones rootés ou jailbreakés: 
depuis plus de 6 mois, la nouvelle génération de leur app ne démarre 
même plus. J'ai essayé d'illustrer la distinction entre after-market ROM 
et root mais sans succès.

En général, il règne une confusion pour tout ce qui touche de près ou de 
loin aux after-market ROMs.

La détection du mal (définition de ce qui n'est pas un Galaxy S20 :-) ) 
se fait de plein de manières différentes [root_detection]. Selon la 
méthode de détection, c'est simple de contourner le problème (mais 
généralement pas très open-source).

Perso, j'utilise magisk hide [magisk_hide] au dessus de ma Lineage 16, 
mais ça ne fonctionne pas pour toutes les applications.

Attention, pour augmenter les chances que ça marche, il faut effacer 
tout le stockage de l'application en question; certaines sauvent un 
état.

Le problème de base réside dans les méthodes de détection mais surtout 
dans l'usage de l'information. Certaines applications s'arrêtent avec un 
doigt d'honneur, tandis que d'autres réduisent juste les 
fonctionnalités. Par exemple, on ne peut pas sauver la valeur du login 
d'un usage à l'autre.

N'hésitez pas à me faire part de votre retour d'expérience (en privé), 
j'aimerais créer une liste suisse de banque old-school-geek-friendly 
(mobile et web).

[pf] https://magnus.anderssen.ch/longs/open_letter_to_postfinance/
[root_detection] 
https://mobile-security.gitbook.io/mobile-security-testing-guide/android-testing-guide/0x05j-testing-resiliency-against-reverse-engineering#testing-root-detection-mstg-resilience-1
[magisk_hide] https://magiskmanager.com/#What_is_Magisk_Hide

bonne journée!

Magnus

PS: Postfinance m'a même dit que je devais utiliser un navigateur et un 
OS supporté pour leur site internet. Ils (SIX en faite) ont réussi à 
faire qu'une fonctionnalité ne marche pas avec Firefox sous linux (et 
sous win, même version de firefox, ça marche! Je suis dans le domaine 
mais j'ai une nouveauté pour moi. Postefinance a clos la discussion en 
me disant que j'avais accepté les conditions générales et que ces 
dernières donnent la liste des OS/navigateurs supportés... Je pleurs...


On 2020-05-20 12:00, gull-request at forum.linux-gull.ch wrote:
> Send gull mailing list submissions to
> 	gull at forum.linux-gull.ch
> 
> To subscribe or unsubscribe via the World Wide Web, visit
> 	https://forum.linux-gull.ch/mailman/listinfo/gull
> or, via email, send a message with subject or body 'help' to
> 	gull-request at forum.linux-gull.ch
> 
> You can reach the person managing the list at
> 	gull-owner at forum.linux-gull.ch
> 
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of gull digest..."
> 
> 
> Today's Topics:
> 
>    1. Custom ROMs Android & BCN CrontoSign (Marc SCHAEFER)
>    2. Re: Custom ROMs Android & BCN CrontoSign (Sebseb01)
>    3. Re: Custom ROMs Android & BCN CrontoSign (Marc SCHAEFER)
>    4. Re: Custom ROMs Android & BCN CrontoSign (Laurent Franceschetti)
> 
> 
> ----------------------------------------------------------------------
> 
> Message: 1
> Date: Tue, 19 May 2020 19:54:34 +0200
> From: Marc SCHAEFER <schaefer at alphanet.ch>
> To: "Gull, liste de discussion" <gull at forum.linux-gull.ch>
> Subject: [gull] Custom ROMs Android & BCN CrontoSign
> Message-ID: <20200519175434.GA14782 at alphanet.ch>
> Content-Type: text/plain; charset=iso-8859-1
> 
> Bonjour,
> 
> Jusqu'il y a quelques temps, la BCN permettait un login via ZTIC(*).  
> C'était
> assez simple, mais pas très sécurisé par la faute de la BCN: seul le 
> numéro de
> contrat était nécessaire, pas de mot de passe, pour activer ensuite un 
> login
> ZTIC. Un ami a montré qu'on pouvait se logguer depuis une autre adresse 
> IP via
> social engineering (la personne croit valider un paiement et elle 
> valide, sur
> la ZTIC, un login tiers). De mémoire il a informé la banque qui a dit 
> `vous
> utilisez mal la clé BCN'. Mais passons, ce n'est plus exploité.
> 
> Aujourd'hui, on se loggue avec une application mobile: CrontoSign. Les
> commentaires sur le Google Play sont plutôt négatifs, on parle 
> d'application
> bricolée. Par contre, ce qui est bien mieux est qu'il faut un login, un 
> mot de
> passe, puis on confirme le login via le CrontoSign.
> 
> Il y a deux modes de confirmation CrontoSign: scanner une image-code 
> sur
> l'écran de l'ordinateur qui se loggue (challenge de la banque), taper à 
> la main
> le code retourné; ou scanner l'image-code et c'est le smartphone qui 
> parle
> directement avec la banque, pas d'interaction au clavier (mode `push').
> 
> Mon problème: je ne veux pas acheter un smartphone tous les 3 ans.
> Tous les 4 à 8 ans me convient. D'un autre côté, les fabricants ne 
> supportent
> l'OS de base que 2 à 3 ans. Donc j'ai installé LineageOS du 15 mai 
> 2020,
> et bien sûr mis à jour tous les logiciels du Google Play.
> 
> Problème avec CrontoSign:
> 
>    - sur un téléphone ancien non supporté NON MIS A JOUR, CrontoSign
>      fonctionne (en mode avec interaction, pas en mode push -- erreur)
> 
>    - sur un téléphone ancien non supporté MIS A JOUR, CrontoSign
>      fonctionne, mais la banque fait une erreur de `téléphone rooté' 
> (alors
>      que ce n'est pas le cas, c'est juste une custom ROM)
> 
> Donc, j'ai informé la banque que j'utiliserai un téléphone ancien non 
> supporté
> et non mis à jour pour me logguer. Comme mon mot de passe est assez 
> long, que
> mon ordinateur est à jour, je doute que cela soit exploitable. On verra 
> leur
> réaction.
> 
> Ma question: savez-vous s'il est possible avec LineageOS de faire 
> croire
> à une application comme CrontoSign que c'est une installation 
> `standard'
> de Android, ou ils fonctionnent avec des signatures et il faudrait 
> tricher
> en montrant un faux contenu de flash, grâce au MMU, comme certains 
> virus
> de BIOS PC?
> 
> PS: pour être complet, il est toujours possible de se logguer avec un
>     équipement tout-en-un, une scanneuse à 50.-, mais je n'ai pas 
> essayé.
> PS/2: je préfère quand même la calculette de Postfinance ou les listes
>       de code à biffer de SwissQuote ... simple, sûr, efficace -- si
>       associé à un login et mot de passe, ce qui est le cas.
> 
> (*) clé USB développée par IBM qui crée un relais sécurisé via le PC;
>     le logiciel est propriétaire mais fonctionne aussi sur OS standard 
> Linux.
> 
> 
> ------------------------------
> 
> Message: 2
> Date: Tue, 19 May 2020 20:55:34 +0200 (CEST)
> From: Sebseb01 <gull at sebseb01.net>
> To: "Gull, liste de discussion" <gull at forum.linux-gull.ch>
> Cc: "Gull, liste de discussion" <gull at forum.linux-gull.ch>
> Subject: Re: [gull] Custom ROMs Android & BCN CrontoSign
> Message-ID: <M7iHbvC--3-2 at sebseb01.net>
> Content-Type: text/plain; charset=UTF-8
> 
> Bonsoir,
> 
> Je ne comprend pas pourquoi le millieu bancaire a autant de peine a
> utiliser les standart de l'authentification tel que l'U2F. Il me
> semble que postfinance est entraint de supprimer la calculette pour
> passer au smartphone :-/
> 
> J'ai fait le choix de prendre un smartphone certifier AndroidOne
> d'entrée de gamme pour cette tache. En effet Android One est sensé
> guarantir 2ans de mise a jour sur la dernière stable et encore 2 ans
> de mise a jour de sécurité (ce qui devrait durer plus que mon
> Fairphone, [/troll])
> 
> si quelqu'un a une meilleures solutions je suis intéressé--
> Sebseb01
> 
> 
> 
> 19 mai 2020 à 19:54 de schaefer at alphanet.ch:
> 
>> Bonjour,
>> 
>> Jusqu'il y a quelques temps, la BCN permettait un login via ZTIC(*).  
>> C'était
>> assez simple, mais pas très sécurisé par la faute de la BCN: seul le 
>> numéro de
>> contrat était nécessaire, pas de mot de passe, pour activer ensuite un 
>> login
>> ZTIC. Un ami a montré qu'on pouvait se logguer depuis une autre 
>> adresse IP via
>> social engineering (la personne croit valider un paiement et elle 
>> valide, sur
>> la ZTIC, un login tiers). De mémoire il a informé la banque qui a dit 
>> `vous
>> utilisez mal la clé BCN'. Mais passons, ce n'est plus exploité.
>> 
>> Aujourd'hui, on se loggue avec une application mobile: CrontoSign. Les
>> commentaires sur le Google Play sont plutôt négatifs, on parle 
>> d'application
>> bricolée. Par contre, ce qui est bien mieux est qu'il faut un login, 
>> un mot de
>> passe, puis on confirme le login via le CrontoSign.
>> 
>> Il y a deux modes de confirmation CrontoSign: scanner une image-code 
>> sur
>> l'écran de l'ordinateur qui se loggue (challenge de la banque), taper 
>> à la main
>> le code retourné; ou scanner l'image-code et c'est le smartphone qui 
>> parle
>> directement avec la banque, pas d'interaction au clavier (mode 
>> `push').
>> 
>> Mon problème: je ne veux pas acheter un smartphone tous les 3 ans.
>> Tous les 4 à 8 ans me convient. D'un autre côté, les fabricants ne 
>> supportent
>> l'OS de base que 2 à 3 ans. Donc j'ai installé LineageOS du 15 mai 
>> 2020,
>> et bien sûr mis à jour tous les logiciels du Google Play.
>> 
>> Problème avec CrontoSign:
>> 
>>  - sur un téléphone ancien non supporté NON MIS A JOUR, CrontoSign
>>  fonctionne (en mode avec interaction, pas en mode push -- erreur)
>> 
>>  - sur un téléphone ancien non supporté MIS A JOUR, CrontoSign
>>  fonctionne, mais la banque fait une erreur de `téléphone rooté' 
>> (alors
>>  que ce n'est pas le cas, c'est juste une custom ROM)
>> 
>> Donc, j'ai informé la banque que j'utiliserai un téléphone ancien non 
>> supporté
>> et non mis à jour pour me logguer. Comme mon mot de passe est assez 
>> long, que
>> mon ordinateur est à jour, je doute que cela soit exploitable. On 
>> verra leur
>> réaction.
>> 
>> Ma question: savez-vous s'il est possible avec LineageOS de faire 
>> croire
>> à une application comme CrontoSign que c'est une installation 
>> `standard'
>> de Android, ou ils fonctionnent avec des signatures et il faudrait 
>> tricher
>> en montrant un faux contenu de flash, grâce au MMU, comme certains 
>> virus
>> de BIOS PC?
>> 
>> PS: pour être complet, il est toujours possible de se logguer avec un
>>  équipement tout-en-un, une scanneuse à 50.-, mais je n'ai pas essayé.
>> PS/2: je préfère quand même la calculette de Postfinance ou les listes
>>  de code à biffer de SwissQuote ... simple, sûr, efficace -- si
>>  associé à un login et mot de passe, ce qui est le cas.
>> 
>> (*) clé USB développée par IBM qui crée un relais sécurisé via le PC;
>>  le logiciel est propriétaire mais fonctionne aussi sur OS standard 
>> Linux.
>> _______________________________________________
>> gull mailing list
>> gull at forum.linux-gull.ch
>> https://forum.linux-gull.ch/mailman/listinfo/gull
>> 
> 
> 
> 
> ------------------------------
> 
> Message: 3
> Date: Wed, 20 May 2020 08:32:36 +0200
> From: Marc SCHAEFER <schaefer at alphanet.ch>
> To: "Gull, liste de discussion" <gull at forum.linux-gull.ch>
> Subject: Re: [gull] Custom ROMs Android & BCN CrontoSign
> Message-ID: <20200520063236.GA28908 at alphanet.ch>
> Content-Type: text/plain; charset=iso-8859-1
> 
> On Tue, May 19, 2020 at 08:55:34PM +0200, Sebseb01 wrote:
>> Je ne comprend pas pourquoi le millieu bancaire a autant de peine a 
>> utiliser les standart de l'authentification tel que l'U2F. Il me 
>> semble que postfinance est entraint de supprimer la calculette pour 
>> passer au smartphone :-/
> 
> La réponse de la BCN:  aucun OS libre n'est supporté avec CrontoSign,
> même s'il est mieux à jour que l'image du fabricant, il faut
> réinstaller l'image de base.
> 
> J'ai écrit
> 
>    J'ai suivi votre recommandation: j'ai donc maintenant un téléphone
> dont l'OS de
>    base est vulnérable à toutes les attaques corrigées depuis 2 ans 
> dans l'OS
>    libre que j'avais installé.
> 
>    Vous confirmez que vous acceptez cette situation ?
> 
> Je doute qu'ils tombent dans mon piège.
> 
>> J'ai fait le choix de prendre un smartphone certifier AndroidOne 
>> d'entrée de gamme pour cette tache. En effet Android One est sensé 
>> guarantir 2ans de mise a jour sur la dernière stable et encore 2 ans 
>> de mise a jour de sécurité (ce qui devrait durer plus que mon 
>> Fairphone, [/troll])
> 
> Intéressant. Mais 4 ans c'est peu: typiquement mon ordinateur principal 
> a
> maintenant plus de 9 ans et fonctionne à satisfaction.
> 
> 
> ------------------------------
> 
> Message: 4
> Date: Wed, 20 May 2020 08:40:12 +0200
> From: Laurent Franceschetti <laurent at franceschetti.net>
> To: "Gull, liste de discussion" <gull at forum.linux-gull.ch>
> Subject: Re: [gull] Custom ROMs Android & BCN CrontoSign
> Message-ID: <14D5DD89-A400-48E7-8D1E-FDECBF370B87 at franceschetti.net>
> Content-Type: text/plain;	charset=utf-8
> 
> Je veux pas être cynique, mais la technologie dans ce domaine souffre
> d’un tendance générale de l’industrie bancaire vers la médiocrité.
> 
> Tout ça pour vous dire qu’il ne sont pas du tout méchants; mais que si
> ça ne paraît pas avoir de sens, c’est surtout parce que ça n’en a pas.
> Tout ça c’est complètement au-dessus de leur tête.
> 
> 
> 
>> Le 20 mai 2020 à 08:32, Marc SCHAEFER <schaefer at alphanet.ch> a écrit :
>> 
>> On Tue, May 19, 2020 at 08:55:34PM +0200, Sebseb01 wrote:
>>> Je ne comprend pas pourquoi le millieu bancaire a autant de peine a 
>>> utiliser les standart de l'authentification tel que l'U2F. Il me 
>>> semble que postfinance est entraint de supprimer la calculette pour 
>>> passer au smartphone :-/
>> 
>> La réponse de la BCN:  aucun OS libre n'est supporté avec CrontoSign, 
>> même s'il est mieux à jour que l'image du fabricant, il faut 
>> réinstaller l'image de base.
>> 
>> J'ai écrit
>> 
>>   J'ai suivi votre recommandation: j'ai donc maintenant un téléphone 
>> dont l'OS de
>>   base est vulnérable à toutes les attaques corrigées depuis 2 ans 
>> dans l'OS
>>   libre que j'avais installé.
>> 
>>   Vous confirmez que vous acceptez cette situation ?
>> 
>> Je doute qu'ils tombent dans mon piège.
>> 
>>> J'ai fait le choix de prendre un smartphone certifier AndroidOne 
>>> d'entrée de gamme pour cette tache. En effet Android One est sensé 
>>> guarantir 2ans de mise a jour sur la dernière stable et encore 2 ans 
>>> de mise a jour de sécurité (ce qui devrait durer plus que mon 
>>> Fairphone, [/troll])
>> 
>> Intéressant. Mais 4 ans c'est peu: typiquement mon ordinateur 
>> principal a
>> maintenant plus de 9 ans et fonctionne à satisfaction.
>> _______________________________________________
>> gull mailing list
>> gull at forum.linux-gull.ch
>> https://forum.linux-gull.ch/mailman/listinfo/gull
> 
> 
> 
> ------------------------------
> 
> Subject: Digest Footer
> 
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> https://forum.linux-gull.ch/mailman/listinfo/gull
> 
> ------------------------------
> 
> End of gull Digest, Vol 141, Issue 9
> ************************************

-- 
magnus


More information about the gull mailing list