Pegasus Cię zhackuje, nawet jeśli nie klikniesz w żadnego linka

Tą zabaweczką przekierują Ci niezaszyfrowany ruch ze smartfona na swój serwer, który wstrzyknie skrypt atakujący i odeśle Cię na tę stronę, na którą chciałeś wejść. Nawet się nie zorientujesz. (Tak, pomimo powszechności HTTPS wciąż HTTP jest w użyciu)

niebezpiecznik-pl z dodany: 25.07.2020, 19:48:09

171
Odpowiedz

Komentarze (171)

najlepsze

g.....4

konto usunięte 25.07.2020, 20:11:43

proste rozwiązanie - nie używaj przeglądarki w telefonie którego używasz do komunikacji z innymi przestępcami ;)

Garet_

25.07.2020, 21:38:53

@gundis24: tu nie chodzi o sama przeglądarkę tylko o żądania http, które są wysyłane bez szyfrowania. W taki sam sposób można się nadziać używając aplikacji, której producent poskąpił na „szyfrowanie” a ta odpytuje jego serwery po jakieś dane. Analogicznie ze skrzynka mejlowa - wystarczy ze klient pocztowy ładuje obrazki po otwarciu wiadomości - obrazek pobrany przez http zamiast https i cyk - nadziewasz się na atak network injection.

Bonetti

25.07.2020, 22:14:01 via Wykop Mobilny (Android)

@komw: wystarczy jedna która tego nie używa i jest problem

d.....o

konto usunięte 25.07.2020, 20:27:50

d.....o — **źródło:** comment_1595708869QuFvcgAEE6pTxjcvmPTGoG.jpg
Pobierz

FrankTheTank

25.07.2020, 21:39:22

@drzuo: To nie jest Pegasus ( ͡° ͜ʖ ͡°)

dave8

25.07.2020, 22:14:40

@drzuo: @FrankTheTank:

komw

25.07.2020, 21:37:32 via Android

@niebezpiecznik-pl dlaczego nie wspomnieliscie o hsts? Przecież w większości omyłkowych wejść na http właśnie eliminuje tego typu przypadki o których pisaliście i praktycznie większość stron (tych poważniejszych) go implementuje, przez co niezbyt prawdziwie wygląda opisana wasza historia...

srame9

26.07.2020, 00:24:34

@frank_b: logi

niebezpiecznik-pl

26.07.2020, 06:32:10 via iOS

@komw: bo hsts na nowej domenie jest ustawione po http, czyli połączeniu które może użyć Pegasus, a "nowych" domen jest "nieskończenie" wiele.

FightMaker

26.07.2020, 03:52:49

Mój trzeci smartfon którego używam to Lumia z Windows Phone, a jak powszechnie wiadomo, na tym systemie nic nie działa - nawet Pegasus. Szach mat! ( ͡° ͜ʖ ͡°)

Bot127

26.07.2020, 07:42:32

Pracowałem kiedyś w firmie co to robiła SDK na mobilki uzywane potem przez duże firmy z produktem za grube pieniądze. Jako specjalista od zabezpieczeń co jakiś czas podnosiłem problem prawidłowej implementacji SSLa - z jakiegoś powodu decyzje sięgały, aż szefa działu gdzieś tam w innych landach tysiące kilometrów od nas, który mówił jasne NIE. Bo dla klientów to problem, bo czasami to nie będzie działać - Uwaga np. w sieciach korporacyjnych to

d.....b

konto usunięte 26.07.2020, 08:02:08

@Bot127: no facet miał rację. Większość korpo robi MITM. Bez tego admin byłby "ślepy" Jak chcesz mieć szyfrowanie to postaw sobie VPN'a.

jimw

26.07.2020, 10:04:14

@Bot127: Trochę nie rozumiem, o czym piszesz - co ma prawidłowa implementacja SSLa do korpo MITM. Korpo MITM działa zwykle tak, że na sprzęcie od korpo masz dodany jakiś root cert korpo, jako cert zaufany i cały ruch idący przez proxy korpo jest podpisywany tym certem (lub innymi certami podpisanymi przez ten root cert). Tutaj problemem jest więc root of trust.

Chętnie zrozumiałbym dokładniej, co miałeś na myśli z tą

S.....a

konto usunięte 25.07.2020, 22:34:11 via Android

Będę szczelał w telewizor do kaczek i nie dam się shakować!

M.....r

konto usunięte 26.07.2020, 08:20:58

@SaveznaRepublikaJugoslavija: ale tylko jeśli masz telewizor kineskopowy ( ͡º ͜ʖ͡º)

SweetDreams

26.07.2020, 10:54:41

Mam BlackBery Classic - mogą mnie cmoknąć ( ͡° ͜ʖ ͡°)

PieknyWojciech

26.07.2020, 13:40:45

@Gleba_kurfa_Rutkowski_Patrol: to podeślij ten fragment

ruda1987

26.07.2020, 14:03:55

Treść przeznaczona dla osób powyżej 18 roku życia...

orle

25.07.2020, 22:50:34

Anomalocaracid

26.07.2020, 04:36:51 via Android

@orle To nie ochroni

Anomalocaracid

26.07.2020, 08:41:18

@RapRose: bo wchodzi bezpośrednio na twój telefon,żeby zainstalować się pegasus potrzebuje nawet zwykłego połączenia nieodebranego.są też sposoby ktore nie są znane publicznie.

zigibombes

26.07.2020, 07:23:50

Szkoda że Tizen na mobile się nie rozpowszechnił. Sądzą, że byłoby bardziej bezpieczniej. W końcu to niszowy system.

cacum3

26.07.2020, 08:52:02

@Bot127: Panie a gdzie ta lista? Poratuj linkiem

Bot127

26.07.2020, 08:52:33

@zigibombes: lista nie jest aktualna na dziś, ale też i może być tak, że nie jest złamany - takie firmy łamią telefony, które są mocno popularne w pierwszej kolejności. Paradoksalnie może to być plus dla mniej popularnych platform.