[gull] Android "root" hiding and co.
Miçhael Parchet
mparchet at sunrise.ch
Wed May 27 22:48:16 CEST 2020
Bonjour,
Faire confiance à Google à non jamais tout ce que je veux Google c’est collecter vos données pour vous faire de la publicité ciblée donc penser qu’une application est sécurisé parce qu’elle est signé par Google non parce que Google ne peut pas jouer d’un côté sur la sécurité et de l’autre côté se foutre de notre gueule en remontant nos données personnelles et se faire beaucoup d’argent sur notre dos
Est-ce que j’ai la garantie que Postfinànce Fais expertiser son implication et son serveur par des experts universitaires indépendant si il y avait un label qui le disait oui j’aurais plus confiance
Il y a deux façons de voir la sécurité
Soit on ferme le code et on dit qu’il est sécurisé parce que certaines personnes ont accès et pas d’autres soit on ouvre le code et tout le monde peut le voir pour l’expertiser. L’proche que les banques ont choisi c’est la première
J’ai également entendu des experts en sécurité et dire qu’il faut mettre à jour son appareil et ne pas le router ou le jailbreaker
Maintenant il faudrait qu’on m’explique quelle est la faille de sécurité qu’on créer lorsqu’on jailbreak ou qu’on route l’appareil. Est-ce qu’un logiciel peut plus facilement s’installer par exemple un logiciel malveillant comme un rend R. Est-ce que le logiciel Postfinànce où é-finance présent dans le magasin d’applications aptoid sont fiables et ne sont pas des faux application PostFinance
Je pense que si ils ne connaissent pas une application dont ils n’ont pas accès au code source il pourrait la rejeter pour des raisons de sécurité
Pour faire quelque chose de bien il faudrait donc que quelqu’un en puisse développer une application PostFinance qui soit open source ou tout du moins donc PostFinance ou les experts universitaires mandaté par eux puisse faire une expertise
Mais je pense que ne faire confiance qu’à Google est une erreur de la part de Postfinànce
Tout le monde n’a pas Google sur son téléphone moi par exemple j’ai à faire phone avec Lynage os car je refuse les conditions générales de Google et particulièrement leur politique de confidentialité qui m’impose d’accepter que mes données personnelles soit revendu à des fans marketing ce qui reviendrait à dire que Pourreux je suis comme une orange ou comme une pomme qu’on va au supermarché ce que je n’ai pas envie
La pub non merci par contre leur proposer qu’on puisse les payer sous forme d’option et qu’on échange de quoi il s’engage ou à traiter nos données de manière confidentielle ça oui mais qu’il joue d’un côté sur la sécurité avec leur Google Play store avec des certificats et de l’autre côté revendre nos données personnelles c’est quelque chose que je n’admets pas
Refusé d’entrer toutes les configurations en dehors d’une liste agréé est un jeu dangereux auquel jouent Postfinànce. Par curiosité j’ai retexter Firefox sur des bien et ça fonctionne très bien personnellement, j’utilise brave
Par contre, sur mon téléphone équipé de l’image os postfinànce ne fonctionne pas heureusement que j’ai un iPhone c’est pour cela que j’ai deux téléphones sinon je devrais accepter les politique de confidentialité de Google ce que je ne suis pas près de faire.
Une dernière chose
Comme le disent des experts en sécurité, il est important de maintenir à jour ses appareils toutefois, au niveau de l’iPhone c’est 50 durée de vie après vous n’avez plus les mises à jour sur Android c’est encore pire c’est deux ans et si d’un côté on vous dit de maintenir à jour vos appareils et que de l’autre côté on vous empêche de le faire sauf si vous acheter un fer phone avec Android Fairphone OS plus exactement dessus mais ils ont devons accepter les politiques de confidentialité de Google sans quoi vous n’avez pas accès à Postfinànce À mon avis il y a certainement un problème de diversité possible des systèmes d’exploitation c’est-à-dire dans ce cas là du nombre de plates-formes depuis lesquels on peut utiliser Postfinànce
Est-ce qu’on est sûre que les gens de la FINMA qui ont mis ses normes en place ont des experts en sécurité bien formé est-ce que pour la sécurité ne passe que par le code source fermé qui ne se montre pas ?
Par qui les codes sources des programmes des banques sont-ils expertisé ?
À supposer qu’on puisse techniquement utiliser les logiciels des banques sur des plates-formes un peu exotique jailbreak ou routtée quel serait selon vous le vrai risque au niveau de la sécurité risque que craint justement les experts en sécurité qui recommande de ne pas avoir de téléphone routé ou jailbreaker
D’avance merci de répondre à mes questions
Meilleures salutations
mparchet
> Le 27 mai 2020 à 19:38, Daniel Cordey <dc at pxcluster.com> a écrit :
>
>
>
>> On 27.05.20 17:43, magnus wrote:
>>
>> le monde bancaire a une relation particulière avec tout ce qui sort de l'ordinaire.
>
> Pour les avoir pratiqué pendant plus de 18 ans, c'est toujours lié à une méconnaissance et/ou de l'incompétence. Méconnaissance crasse de tout ce qui concerne les standards. Jusqu'à il n'y a pas si longtemps, certains considéraient que IE était un standard. C'est très difficile, et en général impossible, de discuter avec ces gens là. Soit ils ne comprennent pas, soit ils ne connaissent pas et font preuve alors de mauvaise fois. Et surtout, ils sont tout puissants et vous le font sentir.
>
>> J'ai eu récemment de grandes discussions avec Postfinance [pf] qui officiellement ne supporte plus les téléphones rootés ou jailbreakés: depuis plus de 6 mois, la nouvelle génération de leur app ne démarre même plus. J'ai essayé d'illustrer la distinction entre after-market ROM et root mais sans succès.
>
> Les exigences légales de la FINMA sont telles qu'ils s'abritent derrière celles-ci. Y-t-il une garantie que les after-market ROMs garantissent que toutes les applications sont "genuine" et controlées par Google ? Sans garantie absolue... c'est niet d'entrée. C'est la raison pour laquelle ils n'ont pas envie de faire la différence; ils n'y sont pas obligés !
>
>> La détection du mal (définition de ce qui n'est pas un Galaxy S20 :-) )
>
> Tu as de la chance qu'il n'exigent pas un niphone ! Heureusement, les niphones commencent à être pollués par des malware et des tas d'autres problèmes; ce qui fait que de moins en moins de sociétés l'érigent comme une exigence.
>
>> Perso, j'utilise magisk hide [magisk_hide] au dessus de ma Lineage 16, mais ça ne fonctionne pas pour toutes les applications.
>
> garantie ! Garantie ! Il faut pouvoir être certain que TOUTES les applications ont bien été scannées par Google, et qu'elles respectent donc les standards du constructeur Samsung/Google. J'entends par garantie que l'un des fournisseurs Smasung/Google puisse assurer que les applications respectent les APIs officiels, pour s'assurer que les communications ne sont pas interceptées (etc.). Or, cela peut-il être "garanti" avec des after-market ROM ? ou un téléphone rooté ? Probablement pas; et c'est là que réside le problème.
>
>> N'hésitez pas à me faire part de votre retour d'expérience (en privé), j'aimerais créer une liste suisse de banque old-school-geek-friendly (mobile et web).
>
> Aujourd'hui, les cadres légaux ont nettement pris le pas sur les aspects techniques. Il faut que tout soit "compliant", "audited", etc. Sinon, le département légal de l'entreprise mettra un "stop" rédhibitoire et il est impossible de passer outre.
>
> Le seul salut réside donc dans les termes utilisés dans les conditions générales. S'il existe une ambiguïté dans la définition de ces "standards", c'est donc discutable et on peut argumenter (ce qui ne veut pas dire qu'ils vont changer par la suite). Exemple, Windows n'est pas un standard officiel ! Mais EMCA script et HTML oui, puisque issu d'organisme relativement indépendants. Pour ISO, NIST, IEC, etc. c'est évident.
>
> Mais, si tu as signé le document des CDV, regarde s'il est fait mention expressément de Windows et de quelle manière. J'ai utilisé cet argument il y a pas mal d'année avec l'UBS qui avait soudainement décidé (du jour au lendemain et sans prévenir) de ne supporter plus que IE et Windows... pour des "raison de sécurité". Une seule lettre a suffit et j'ai eu immédiatement l'appel d'un juriste qui s'est excusé et m'a promis qu'ils allaient faire marche-arrière. Ce que l'UBS a fait. Aujourd'hui, ils ont une application d'identification du genre CrontoSign que je trouve bien et est assez sûre. Je ne peux pas parle de Postfinance, n'ayant pas de compte chez eux. J'avoue que je n'ai pas rooté mon téléphone pour installer un nouveau firmware. Je l'ai fait pendant des années sur mes Samsung pour leur offrir une deuxième jeunesse après quelques années. Et maintenant j'ai opté pour un téléphone... Huawei... qui fonctionne très bien avec l'appli de login de éUBS et certainement aussi avec CrontoSign.
>
> Il existe des méthodes d'encapsulation d'applications sur les téléphones, mais je ne sais pas si elles sont toujours "garanties" en les utilisant sur un téléphone avec un firmware "non-genuine".
>
> dc
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> https://forum.linux-gull.ch/mailman/listinfo/gull
More information about the gull
mailing list