Domanda È possibile violare un telefono ?

Stato
Discussione chiusa ad ulteriori risposte.

blvckwolf

Utente Bronze
25 Settembre 2019
19
3
4
29
Girando in rete, e parlandone anche con degli amici sono saltate fuori delle discussioni se è possibile accedere, prendere anche solo il controllo di un telefono...
Se è possibile, solitamente che metodi si utilizzano per mettere a segno questo tipo di attacco ? Ci sono degli exploit proprio per un telefono ? O altro ?
 
Girando in rete, e parlandone anche con degli amici sono saltate fuori delle discussioni se è possibile accedere, prendere anche solo il controllo di un telefono...
Se è possibile, solitamente che metodi si utilizzano per mettere a segno questo tipo di attacco ? Ci sono degli exploit proprio per un telefono ? O altro ?
Fino a quando Android era un sistema operativo acerbo era possibile far installare un'applicazione (fosse essa legittima oppure infetta) che avesse tutti i permessi esistenti, in modo che potesse essere utilizzata per controllare il sistema (una cosa del genere: https://resources.infosecinstitute.com/topic/lab-hacking-an-android-device-with-msfvenom/)

Ora non è più così semplice, il livello di controllo sui permessi delle applicazioni è cresciuto notevolmente, nonostante tutto però l'attacco (in maniera simile) è ancora effettuabile. Serve però che la vittima non si renda conto degli eccessivi privilegi che si stanno fornendo all'applicazione (es. se installo un app che deve fare da calcolatrice e questa mi chiede se può accedere a internet, alla posizione GPS e alla galleria, due domande sorgono spontanee).
 
Ultima modifica:
non è possibile far apparire un messaggio che dia tutti i permessi necessari che servono solo una volta ? Senza far apparire tutti i permessi, come GPS, file, dati mobili, ecc...
Messaggio unito automaticamente:

Oppure caricare un payload in un applicazione in modo tale da darci tutti i permessi ?
 
non è possibile far apparire un messaggio che dia tutti i permessi necessari che servono solo una volta ? Senza far apparire tutti i permessi, come GPS, file, dati mobili, ecc...
Non credo, su android i permessi sono separati e singoli, non penso ci sia un exploit che ti dia la possibilità di confermare tutti i privilegi tramite una singola azione.
 
Dipende dalle SDK che vengono utilizzate. Le nuove versioni di android (Android 11 per esempio) permettono di attivare i permessi in modalità "solo per questa volta", rendendo molto complicata la persistenza. Se trovi l'utente sbadato che clicca su "permetti sempre", il problema è risolto, ma non del tutto. I permessi sono comunque modificabili nel tempo e inoltre appare una messaggio per ogni permesso che si vuole ottenere (richiedi 20 permessi, appaiono 20 pop up). Nelle vecchie versioni era diverso, compariva un solo messaggio dove ti elencava i principali permessi, ma il livello di dettaglio era molto inferiore.

Inoltre bisogna specificare che Android funziona con un meccanismo di sandboxing, per cui ogni applicazione ha il proprio "spazio dedicato". Un app non può leggere i dati salvati da un'altra app, a meno che il telefono non sia rootato. Anche nel caso di ottenesse un accesso al sistema, questo sarebbe limitato da questa architettura del sistema
 
  • Mi piace
Reazioni: LinuxUser
invece, con un computer la cosa si semplifica a relativamente, giusto ? Come è possibile "violare" un computer ? Ci sono moltissimi metodi per farlo, ma i principali quali possono essere ?
 
Dal pc puoi fare più cose però devi saper scrivere una backdoor oppure utilizi la windows meterpreter e scrivi un crypter.
 
invece, con un computer la cosa si semplifica a relativamente, giusto ? Come è possibile "violare" un computer ? Ci sono moltissimi metodi per farlo, ma i principali quali possono essere ?
Da un computer il discorso diventa molto più lungo perchè ci sono un'infinità di potenziali metodi. Se un pc esponse dei servizi vulnerabili è possibile exploitarne uno (esempio versioni obsolete di SMB oppure MSSQL), se fa girare un sito che è vulnerabile a SQL Injection è possibile accedere al DB e se si hanno i giusti permessi leggere e scrivere file su disco, se una persona utilizza un browser vulnerabile è possibile tramite social engineering farle visitare una pagina malevola che exploiti il browser e faccia paritre una connessione all'attaccante... ci sono davvero migliaia di modi, tutto dipende dalle circostanze e da cosa ci si trova davanti
 
Penso che @0xbro ti abbia risposto in maniera concisa, dirette nonchè esaustiva. Oggi non è piu possibile violare un telefono a distanza, specie nelle ultime versioni di Android e iOS, a meno che un hacker non disponga di un zero-day; ma anche avendolo, non è detto che riesca a prendere il controllo di tutte le app.
 
Ultima modifica da un moderatore:
Si è possibile facendo installare un apk malevolo alla vittima.
esiste qualche articolo o guida per la creazione di questo apk malevolo ?
Messaggio unito automaticamente:

Dipende dall'SDK utilizzata, le nuove versioni di Android richiedono i permessi anche dopo l'installazione
e se installiamo noi stessi questo apk nel telefono della vittima a sua insaputa ? cosi possiamo ovviare e risolvere questo porblema, no ?
 
esiste qualche articolo o guida per la creazione di questo apk malevolo ?
Messaggio unito automaticamente:


e se installiamo noi stessi questo apk nel telefono della vittima a sua insaputa ? cosi possiamo ovviare e risolvere questo porblema, no ?
Messaggio unito automaticamente:


e se installiamo noi stessi questo apk nel telefono della vittima a sua insaputa ? cosi possiamo ovviare e risolvere questo porblema, no ?
Diciamo che sei hai accesso al dispositivo della "vittima" il "processo" risulta facile, una volta che hai disattivato i possibili software/servizi di sicurezza e installato l'apk malevolo il gioco è fatto.

Ovviamente rimane il fatto che nel caso la "vittima" sia un minimo arguta e vada a verificare le autorizzazioni e cosi via, è possibile che si possa accorgere del software malevolo che hai installato.
 
Diciamo che sei hai accesso al dispositivo della "vittima" il "processo" risulta facile, una volta che hai disattivato i possibili software/servizi di sicurezza e installato l'apk malevolo il gioco è fatto.

Ovviamente rimane il fatto che nel caso la "vittima" sia un minimo arguta e vada a verificare le autorizzazioni e cosi via, è possibile che si possa accorgere del software malevolo che hai installato.
però non ci sarenne motivo di dubitare per esempio di un apk malevolo che si nasconde dietro ad un app calcolatrice per esempio, giusto ?
 
Stato
Discussione chiusa ad ulteriori risposte.