Bitcoin gestohlen

[Crusader]

vor 6 Minuten schrieb o0dy:

Was ist denn ein sicheres Gerät für dich, was du in Zukunft überall mitschleppst, um "Geschäfte" zu erledigen.

Woher weißt du das bei jeder anderen Software?

Ich schleppe garnichts herum da ich unterwegs keine Geschäfte mache. Meine Order gebe ich ausschließlich zuhause am PC ein. Banking und 2FA auf dem gleichen Gerät ist sinnlos und grob fahrlässig.

Ich warte nur darauf daß die Betrüger zuschlagen und den Banken die das erlauben mal richtig Schaden zufügen. 

Wenn ich den Source Code von meinem Electrum geprüft und selbst compiliert habe dann ist das für mich ausreichend sicher.

[Cftral]

vor 37 Minuten schrieb Crusader:

Es würde mich ja interessieren ob da Leute bei  Blockchain.com  tatsächlich kriminell sind und solche Apps mit Absicht in den Store hoch laden.  Aber scheint ja so zu sein wenn Apple die App wieder entfernt hat. Und das gab es wohl schon mehrfach.

Zuerst dachte ich man hätte den User auf einen Fake-Shop gelockt was ja auch möglich wäre.

Aber das bestärkt wieder meine Meinung daß ein Smartphone natürlich kein sicheres Gerät ist und damit für Geschäfte nicht in Frage kommt.

Woher soll ich wissen daß das neueste Update für Bison sauber ist?

Gut, ein sehr seriöser Anbieter mit sicherlich sehr hohem Sicherheitsstandards. Aber auch dort könnte man vermutlich mit etwas Aufwand eine böse Software einschmuggeln.

Das kann dir auch an einem PC passieren. Da kann dir theoretisch auch dein Browser was unterschieben oder irgendeine andere Software. Je nachdem welches Betriebssystem du einsetzt ist es dann sogar noch deutlich leichter Daten anderer Programme und von Eingaben ab zugreifen als an einem aktuellen Smartphone (Dubiose Malware China Smartphones mal ausgenommen). 

[Crusader]

vor 6 Minuten schrieb Theseus:

Bevor eine App im offiziellen Store von Apple landet, passiert sau viel Überprüfung durch Apple. Man muss da als Entwickler regelrecht die Hosen ausziehen. Folglich kann eine Anzeige durchaus eine gewisse Erfolgschance haben.

Ich kenne mich in der Apple-Welt nicht aus. 

Aber nach dem was ich so lese geht es Apple doch vor allem darum versteckte Bezahl-Optionen zu unterbinden damit sie für In-App-Käufe ihre Provision kassieren können.   LOL

Und vielleicht noch etwas politisch Unkorrektes heraus filtern.

Aber was eine App wirklich so macht können die gar nicht prüfen und das interessiert die auch nicht.

Wenn eine App Netzwerkzugriff braucht und bekommt kann niemand prüfen was da für Daten gesendet werden.

Da kann dann schon mal ein Private Key dabei sein.

[Cftral]

vor 8 Minuten schrieb Crusader:

Ich kenne mich in der Apple-Welt nicht aus. 

Aber nach dem was ich so lese geht es Apple doch vor allem darum versteckte Bezahl-Optionen zu unterbinden damit sie für In-App-Käufe ihre Provision kassieren können.   LOL

Und vielleicht noch etwas politisch Unkorrektes heraus filtern.

Aber was eine App wirklich so macht können die gar nicht prüfen und das interessiert die auch nicht.

Wenn eine App Netzwerkzugriff braucht und bekommt kann niemand prüfen was da für Daten gesendet werden.

Da kann dann schon mal ein Private Key dabei sein.

Aber inwiefern ist das ein reines Smartphone Problem? Auf dem PC hast du in der Regel garkeine Instanz die nochmal drüber schaut. Und vorab Berechtigungen einsehen kannst du da überhaupt gar nicht. Ich gehe Mal davon aus das du deine genutzen Programme auch nicht alle selbst kompilierst und vorher den Code Reviewst. Von daher sehe ich jetzt auch nicht wieso du meinst das ein Smartphone unsicherer sei als andere Geräte.

[o0dy]

vor 25 Minuten schrieb Crusader:

Wenn ich den Source Code von meinem Electrum geprüft und selbst compiliert habe dann ist das für mich ausreichend sicher.

Nie und nimmer glaube ich das Du das kannst. 😏 

vor 17 Minuten schrieb Crusader:

Wenn eine App Netzwerkzugriff braucht und bekommt kann niemand prüfen was da für Daten gesendet werden.

Merkst du eigentlich welchen Unsinn du da redest?

Abgesehen davon, jede App die mit einer Blockchain agiert braucht Netzwerkzugriff, oder denkst du die Apps bekommen ihre Daten aus einer göttlichen Eingebung? 

Bearbeitet 8. April 2021 von o0dy

[Crusader]

vor 8 Minuten schrieb Cftral:

Das kann dir auch an einem PC passieren. Da kann dir theoretisch auch dein Browser was unterschieben oder irgendeine andere Software. Je nachdem welches Betriebssystem du einsetzt ist es dann sogar noch deutlich leichter Daten anderer Programme und von Eingaben ab zugreifen als an einem aktuellen Smartphone (Dubiose Malware China Smartphones mal ausgenommen). 

Das sehe ich halt etwas anders.

Auf einem Smartphone habe ich keinerlei Kontrolle was da passiert und bin auf Apps aus einem Store angewiesen die vielleicht kompromittiert sind.

Auf meinem PC habe ich die volle Kontrolle was da läuft und warum.

Es sei denn ich hätte mir ein Rootkit gefangen, was mir aber in 30 Jahren noch nie passiert ist.

Die VM die ich ausschließlich für Bank und Börse verwende ist garantiert sauber und wird nach jedem Gebrauch zurück gesetzt. Da gibt es auch keine Plugins oder unbekannte Fremdsoftware.

Ich halte das für sehr sicher und hatte damit noch nie Probleme.

[Crusader]

vor 3 Minuten schrieb o0dy:

Nie und nimmer glaube ich das Du das kannst. 😏

Ok, soll ich dir eine frisch compilierte aktuelle Version von Electrum liefern?

Mit CRC und von mir signiert.

Bei netten Leuten wie dir mache ich das zum Sonderpreis. 

Sagen wir 999 Euro?

[o0dy]

vor 14 Minuten schrieb Crusader:

Ok, soll ich dir eine frisch compilierte aktuelle Version von Electrum liefern?

Mit CRC und von mir signiert.

Bei netten Leuten wie dir mache ich das zum Sonderpreis. 

Sagen wir 999 Euro?

Compilieren meinte ich dabei auch nicht😅, sondern dass du den Code überprüfen könntest. Du bist Software-Entwickler, kannst programmieren? Was hast du schon alles gemacht? In welchen Programmiersprachen? 

Bearbeitet 8. April 2021 von o0dy

[Crusader]

vor 7 Minuten schrieb o0dy:

Compilieren meinte ich dabei auch nicht😅, sondern dass du den Code überprüfen könntest. Du bist Software Entwickler, und kannst programmieren? Was hast du schon alles gemacht? In welchen Programmiersprachen? 

Du kannst mich gerne ausfragen.

Ich bin so alt daß ich noch COBOL, FORTRAN und vor allem PASCAL verstehe.  LOL

Die aktuellen Projekte benutzen meistens  C++ und Qt.

Aber natürlich ist Python kein Fremdwort. 

Da sehe ich schon was ein Widget mit einem Privaet Key macht.

[Crusader]

vor 22 Minuten schrieb Cftral:

Von daher sehe ich jetzt auch nicht wieso du meinst das ein Smartphone unsicherer sei als andere Geräte.

Du hast da normalerweise keinen Root-Zugriff und kannst nicht sehen was passiert.

Da braucht sich nur eine böse App als Wetterbericht getarnt als  Man in the Middle  zwischen die Banking App und den TAN-Generator setzen. Dann räumen sie dir dein Konto in Sekunden bis zum Dispo ab.  LOL

Dieser Leichtsinn wird den Banken noch böse auf die Füsse fallen.

Bei Commerzbank, Comdirect und Consors sind das wenigstens noch zwei Apps wo man das Banking entfernen kann.

Aber bei der ING haben sie den Vogel abgeschossen. Das ist nur eine App die beides macht.

Also 2FA vollkommen ad absurdum.  Keine Ahnung wer sich solchen Schwachsinn ausdenkt.

[Theseus]

vor 52 Minuten schrieb Crusader:

Ich kenne mich in der Apple-Welt nicht aus. 

Aber nach dem was ich so lese geht es Apple doch vor allem darum versteckte Bezahl-Optionen zu unterbinden damit sie für In-App-Käufe ihre Provision kassieren können.   LOL

Und vielleicht noch etwas politisch Unkorrektes heraus filtern.

Aber was eine App wirklich so macht können die gar nicht prüfen und das interessiert die auch nicht.

Wenn eine App Netzwerkzugriff braucht und bekommt kann niemand prüfen was da für Daten gesendet werden.

Da kann dann schon mal ein Private Key dabei sein.

Bitteschön: https://developer.apple.com/app-store/submitting/

Als erstes braucht man einen akkreditierten Account. Der Prozess ist "pain in the ass". Apple hates developer. Wenn man dann die komplette Identitätsprüfung durch hat und die 100$/a bezahlt, darf man seine Apps mit Xcode bauen, Zertifikate im Store mit Herausgeberinformation erzeugen, ordentliches codesiging machen und die Software zur Prüfung durch Apple hochladen. Meist kommen dann 1-3 rejects und irgendwann nach ein paar reworks ist das Teil im Store live. Es kann auch sein, daß eine App rejected wird, weil darin verwendete libs zu alt sind.

Bei Google oder Huawei ist das deutlich einfacher, da reichen in der Regel ein paar Selbsterklärungen aus.

Angriffsvektoren gibt es natürlich immer und überall. Auch kompromittierter Sourcecode durch Fehler beim Entwicklungsteam könnte passieren, aber letztlich bleibt bei den offiziellen Stores immer genau eine verantwortliche Stelle für die jeweiligen Programmpakete/Apps. Und diese verantwortliche Stelle wird _nicht_ durch die Plattformbetreiber geschützt, sondern hat eine ladungsfähige Adresse, die Strafverfolgungsbehörden auch bekommen werden.

 

Nochmal: Bevor man irgendwas im Apple-Store Publisher kann, muss man einen ID-Check über sich ergehen lassen, gegen den KYC Kinderkram ist. Und genau damit packt man auch Leute, die betrügerische Soft bereitstellen. Sofern es kein Sideload oder irgendwelches komisches PWA-Zeugs ist. Aber das macht man ja auch nicht, wenn es um Werte geht.

[o0dy]

vor 27 Minuten schrieb Crusader:

Da braucht sich nur eine böse App als Wetterbericht getarnt als  Man in the Middle  zwischen die Banking App und den TAN-Generator setzen. Dann räumen sie dir dein Konto in Sekunden bis zum Dispo ab.  LOL

Gefallen mir immer wieder, solche Aussagen, wie... "da braucht man ja NUR...blabla" 

Um es einfach zu halten, schon mal die Sicherheitskonzepte der Smartphone Betriebssysteme angesehen.

Oder anderes herum, wie würdest du denn deine böse Wetterapp bauen um das (man braucht ja NUR) zu erreichen? Erzähl mal.

Bearbeitet 8. April 2021 von o0dy

[Crusader]

Von wirklichen "Sicherheitskonzepten" habe ich da noch nichts gelesen.

Du musst nur in der Lage sein ein vertrauenswürdiges Zertifikat zu fälschen.

Für den normalen User natürlich nicht so einfach.

Die NSA lacht über so etwas.

[o0dy]

 

Zitat

Du musst nur in der Lage sein ein vertrauenswürdiges Zertifikat zu fälschen.

...

Die NSA lacht über so etwas.

Jap, und den Chip von Gates hast du auch schon verimpft bekommen?

vor 11 Minuten schrieb Crusader:

Von wirklichen "Sicherheitskonzepten" habe ich da noch nichts gelesen.

Dachte ich mir schon.

Bearbeitet 8. April 2021 von o0dy

[Crusader]

vor 8 Minuten schrieb o0dy:

Hast du schon den Chip von Gates verimpft bekommen?

Nö.

Auch wenn ich  Moderna halte nehme ich doch lieber den deutschen von Biontech.  

 

[Cftral]

vor 37 Minuten schrieb Crusader:

Von wirklichen "Sicherheitskonzepten" habe ich da noch nichts gelesen.

Du musst nur in der Lage sein ein vertrauenswürdiges Zertifikat zu fälschen.

Für den normalen User natürlich nicht so einfach.

Die NSA lacht über so etwas.

Apps können jedenfalls in Android nicht einfach so auf andere Apps zugreifen:

Zitat

Android uses the UID to set up a kernel-level Application Sandbox. The kernel enforces security between apps and the system at the process level through standard Linux facilities such as user and group IDs that are assigned to apps. By default, apps can't interact with each other and have limited access to the OS. If app A tries to do something malicious, such as read application B's data or dial the phone without permission, it's prevented from doing so because it doesn't have the appropriate default user privileges.

https://source.android.com/security/app-sandbox

Wie da eine App einfach so mal eben dein Konto leerräumen soll müsstest du mir aber noch genauer erklären damit ich das nachvollziehen kann. Ich gehe davon aus das IOS das ähnlich Handhabt wie Android.

Bei dem Thema 2 Faktor Authentifizierung auf dem selben Gerät oder sogar in der selben App wie die wo man sich eigentlich einloggen will bin ich aber bei dir. Das ist wirklich völliger Quatsch denn sich da einige Banken ausgedacht haben.

[Crusader]

vor 4 Minuten schrieb Cftral:

Apps können jedenfalls in Android nicht einfach so auf andere Apps zugreifen:Wie da eine App einfach so mal eben dein Konto leerräumen soll müsstest du mir aber noch genauer erklären damit ich das nachvollziehen kann. Ich gehe davon aus das IOS das ähnlich Handhabt wie Android.

Natürlich können Apps auf Daten anderer Apps zugreifen wennn das erlaubt wird.

Wie filtert der AdBlocker die Daten die deine Browser App anzeigt?

Und hier unterhält sich die Banking App mit der TAN App und möchte eine Überweisung machen.

Die wird munter authorisiert und das Geld ist weg.

 

[o0dy]

vor 12 Minuten schrieb Cftral:

Bei dem Thema 2 Faktor Authentifizierung auf dem selben Gerät oder sogar in der selben App wie die wo man sich eigentlich einloggen will bin ich aber bei dir. Das ist wirklich völliger Quatsch denn sich da einige Banken ausgedacht haben.

Was eigentlich auch recht egal ist, die Banken ersetzen i.d.R solche Verluste ohne viel Aufsehen zu erregen. Genauso wie es die Kreditkarten Institute schon immer machten, bei Missbrauch von Kartendaten. 

Diese Taktik dürfte scheinbar billiger sein.

[o0dy]

vor 5 Minuten schrieb Crusader:

Die wird munter authorisiert und das Geld ist weg.

Wir warten auf deine App die das macht.

[Crusader]

vor 5 Minuten schrieb o0dy:

Was eigentlich auch recht egal ist, die Banken ersetzen i.d.R solche Verluste ohne viel Aufsehen zu erregen. Genauso wie es die Kreditkarten Institute schon immer machten, bei Missbrauch von Kartendaten. 

Diese Taktik dürfte scheinbar billiger sein.

Ja, noch ja.

Aber wenn die Entwickler dieser Backdoors mal richtig zuschlagen dann sieht es für diese Banken ganz schnell sehr düster aus.

LOL

[o0dy]

vor 30 Minuten schrieb Crusader:

Wie filtert der AdBlocker die Daten die deine Browser App anzeigt?

Jedenfalls braucht der nicht in die Browser-App eingreifen.

https://de.m.wikipedia.org/wiki/Werbeblocker#:~:text=Als Werbeblocker (auch Werbefilter oder,%2C Texteinfügungen und Pop-ups.

Gibts natürlich auch als eigenständige Software. 

Kannst du dich auch mal selbst damit befassen, als immer nur dein Halbwissen zu verbreiten. Schön langsam denke ich du trollst hier. Bei dir hat ja fast gar nichts Hand und Fuß, und du willst Sourcecode überprüfen können?

Werbeblocker funktionieren einfach über das abfangen von Request/Response.

Bearbeitet 8. April 2021 von o0dy

[Crusader]

Was ist jetzt der Unterschied?

Da greift ein Programm in den Netzwerk-Traffic zweier anderer ein.

[o0dy]

vor 11 Minuten schrieb Crusader:

Was ist jetzt der Unterschied?

Da greift ein Programm in den Netzwerk-Traffic zweier anderer ein.

Fang einfach ganz von vorne an. 😏

https://www.google.com/search?q=wie+funktioniert+das+internet

Bearbeitet 8. April 2021 von o0dy

[Crusader]

Willst du dich hier ganz disqualifizieren?    LOL

[Cftral]

vor 19 Minuten schrieb Crusader:

Was ist jetzt der Unterschied?

Da greift ein Programm in den Netzwerk-Traffic zweier anderer ein.

Das reine Blockieren von Traffic welcher von bestimmten Domains kommt, ist eine ganz andere Hausnummer als das manipulieren der Daten. 

Es geht aber auch nicht darum ob überhaupt keine Angriffsflächen existieren. Die gibt es immer auch auf einer Linux VM. Ab einem bestimmten Grad an hürden wird es aber immer unwahrscheinlicher das sich ein Angriff noch lohnt. Du hast vorher selbst die NSA ins Spiel gebracht. Die hätte genug Mittel sowieso an das zu kommen was sie von dir wollen. Egal ob du an deinem Smartphone sitzt oder vor dem Rechner in einer VM arbeitest.