Sicurezza pagamenti con custom ROM

[SilvioTO]

Ho installato la ROM Hyperion 9, e mi trovo molto bene.
Avendo necessità di acquistare un app, mi chiedo se sia consigliato o ci siano problemi di sicurezza usando queste ROM non ufficiali. Dato che è necessario inserire il numero della carta di credito, ho bisogno del parere ed eventualmente della rassicurazione di chi ha già affrontato la situazione.

Grazie, aspetto i vostri consigli!

Silvio.

[innuendofloyd]

io ho Cyanogenmod 11, la carta di credito l'ho inserita solo nel Play Store e l'impostazione è che per ogni pagamento devo digitare la password del mio account google (che è di 27 caratteri.... abbastanza difficile da scoprire LOL ) inoltre è più sicuro inserire i numeri di carta in una app (che utilizza un canale dedicato per la connessione... https... ecc..) piuttosto che un browser, molto più facilmente attaccabile.

Se non sei convinto, una volta che hai comprato la app dal play store, poi accedi dal tuo account google da computer, vai nella sezione Wallet e dissocia la tua carta di credito dal Wallet, finito, la tua carta è salva!

Ciao!

[speedyranger]

dal 2011 uso rom non ufficiali e mai un problema...ho avuto lg dua, 3d, ed ora con s4....s5 è ancora ufficiale.
quindi vai tranquillo.

[lostman]

Ti posso dire una esperienza reale a riguardo, comprai uno Zopo C2 da eTotalk per mia moglie un anno fa, ci misero la loro rom "custom" senza che l'avessi richiesta (in teoria si pagava) mia moglie si configurò l'account con le varie app, tra cui quella di Paypal, con relativa immissione di nome utente e password per l'accesso.
CASUALMENTE un giorno dopo ci arrivo una email di paypal segnalando movimenti sospetti ed il blocco dell'account, entrammo e l'account era stato usato per triangolare soldi dalla Cina chissà per quale illecito/truffa, non successe nulla chiamammo Paypal preoccupati e l'operatore ci disse che era tutto a posto e che sapevano che non era colpa nostra.
Cambiammo ROM con quella originale, e successivamente con fonti "sicure", e mai più successo un caso simile.
Per chiarezza ti dico che il telefono NON era stato acquistato con l'account "hackato" e che sono un esperto informatico, Sicurezza Informatica la insegno, e ti assicuro che non era stata fatta nessuna altra "leggerezza" a parte lasciare la loro ROM, avrei potuto usarlo, facendo passare i dati attraverso un proxy e/o uno sniffer per capire qual'era l'applicazione "bastarda", ma non avevo tempo di farlo in quanto a mia moglie il cell serviva.

Quindi occhio non ci vuole nulla a inserire trojan e backdoor in una custom rom poco diffusa, in particolare questa ROM Hyperion 9 non la conosco ma il discorso vale in generale.

[Warriors993]

Ti posso dire una esperienza reale a riguardo, comprai uno Zopo C2 da eTotalk per mia moglie un anno fa, ci misero la loro rom "custom" senza che l'avessi richiesta (in teoria si pagava) mia moglie si configurò l'account con le varie app, tra cui quella di Paypal, con relativa immissione di nome utente e password per l'accesso.
CASUALMENTE un giorno dopo ci arrivo una email di paypal segnalando movimenti sospetti ed il blocco dell'account, entrammo e l'account era stato usato per triangolare soldi dalla Cina chissà per quale illecito/truffa, non successe nulla chiamammo Paypal preoccupati e l'operatore ci disse che era tutto a posto e che sapevano che non era colpa nostra.
Cambiammo ROM con quella originale, e successivamente con fonti "sicure", e mai più successo un caso simile.
Per chiarezza ti dico che il telefono NON era stato acquistato con l'account "hackato" e che sono un esperto informatico, Sicurezza Informatica la insegno, e ti assicuro che non era stata fatta nessuna altra "leggerezza" a parte lasciare la loro ROM, avrei potuto usarlo, facendo passare i dati attraverso un proxy e/o uno sniffer per capire qual'era l'applicazione "bastarda", ma non avevo tempo di farlo in quanto a mia moglie il cell serviva.

Quindi occhio non ci vuole nulla a inserire trojan e backdoor in una custom rom poco diffusa, in particolare questa ROM Hyperion 9 non la conosco ma il discorso vale in generale.

Io non credo fosse colpa della rom, ma più che altro dell'email di paypal, in cui hanno avuto accesso.
È successa la stessa cosa con l'email di gmail, ed ovviamente hanno bloccato l'accesso, adesso basta mettere l'accesso soltanto per il browser che usa dal pc, mettendo il codice che ti invia google stessa e sei apposto. Anche se qualcuno, conosce la vostra password, hanno bisogno del codice che arriva tramite sms nel cellulare.
Inoltre, trojan su android non esistono, non siamo su windows e se c'era qualche app che raccoglieva informazioni, il terminale non andando in deep sleep, doveva prosciugarti la batteria in poche ore.
Comunque per l'autore della discussione: Puoi stare tranquillo, in casi estremi, controlla la discussione ufficiale della rom e vedi se ci sono questi casi, almeno sei più tranquillo.

[lostman]

Io non credo fosse colpa della rom, ma più che altro dell'email di paypal, in cui hanno avuto accesso.
È successa la stessa cosa con l'email di gmail, ed ovviamente hanno bloccato l'accesso, adesso basta mettere l'accesso soltanto per il browser che usa dal pc, mettendo il codice che ti invia google stessa e sei apposto. Anche se qualcuno, conosce la vostra password, hanno bisogno del codice che arriva tramite sms nel cellulare.
Inoltre, trojan su android non esistono, non siamo su windows e se c'era qualche app che raccoglieva informazioni, il terminale non andando in deep sleep, doveva prosciugarti la batteria in poche ore.

I trojan posso esistere eccome su android se chi lo mette è il realizzatore della rom stessa, cioè un software messo appositamente nella rom sulla quale non hai controllo, ti stai sbagliando i trojan esistono benissimo se hai accesso ai sorgenti della ROM puoi inserirlo in qualsiasi punto, anche e sopratutto al di fuori della VM, è molto più semplice di quello che credi, basta fare una versione della tastiera che sembra "stock" ma invece è un keylogger, semplicissimo.

Abbiamo attiva l'autenticazione in due passaggi su G dai primi giorni in cui è stata disponibile, cioè quella che chiami "con il codice sul cellulare" che, tra l'altro non è solo sms, ma c'è una comodissima app "google autenticator", la password dell'account Paypal era complessa, controllata a riguardo da me, conosciuta solo dalla noi e mai usata in terminali pubblici, ti assicuro che chi "cucina" una rom e non ti fa vedere i sorgenti può mettere qualsiasi cosa dentro senza che tu possa accorgertene, non è come pensi tu.

[Warriors993]

I trojan posso esistere eccome su android se chi lo mette è il realizzatore della rom stessa, cioè un software messo appositamente nella rom sulla quale non hai controllo, ti stai sbagliando i trojan esistono benissimo se hai accesso ai sorgenti della ROM puoi inserirlo in qualsiasi punto, anche e sopratutto al di fuori della VM, è molto più semplice di quello che credi, basta fare una versione della tastiera che sembra "stock" ma invece è un keylogger, semplicissimo.

Abbiamo attiva l'autenticazione in due passaggi su G dai primi giorni in cui è stata disponibile, cioè quella che chiami "con il codice sul cellulare" che, tra l'altro non è solo sms, ma c'è una comodissima app "google autenticator", la password dell'account Paypal era complessa, controllata a riguardo da me, conosciuta solo dalla noi e mai usata in terminali pubblici, ti assicuro che chi "cucina" una rom e non ti fa vedere i sorgenti può mettere qualsiasi cosa dentro senza che tu possa accorgertene, non è come pensi tu.

Se hai un bel server trojan in qualche sistema, ti comanda l'intero sistema come vuole. Ti ripeto, su android non esistono i trojan. Esistono App installate apposta, per far ricevere dati al client, ma deve essere sempre configurato manualmente, perciò installando la rom tu stesso, non corri rischi. Comunque, sicuramente la rom che ti hanno rilasciato nel tuo terminale, aveva una tastiera server (keylogger) che faceva ricevere tutto a loro. Anche se è da 4 anni che flasho rom su i miei terminali, e sinceramente non ho mai avuto nessun problema. Inoltre, consiglio di mettere rom con autori conosciuti o che hanno postato qualcosa in precedenza. Sia per il fatto che già c'è un pò di esperenzia e la rom sarà migliore, sia per il fatto di "sicurezza".

[lostman]

Se hai un bel server trojan in qualche sistema, ti comanda l'intero sistema come vuole.

Mi sa che hai le idee un po confuse, ti stai confondendo con software e servizi di controllo remoto nascosti che non sono trojan ma appunto servizi nascosti e risiedono ad un livello più basso nel S.O. e grazie a questo sono in grado di intercettare e gestire diverse funzionalità del sistema anche contemporaneamente.

Un Trojan invece ha accesso solo alle stesse risorse a cui ha accesso l'app su cui è "nascosto" ed ha gli stessi privilegi che vengono dati all'app, se l'app non ha accesso di rete, cioè non dichiara di necessitare di questo accesso nel "manifest" il trojan non avrà accesso alla rete in quanto a quella specifica app verrà negato l'uso di quella parte di API che permettono al programmatore di stabilire una connessione su rete.

Ti ripeto, su android non esistono i trojan. Esistono App installate apposta

Mi sa che non hai chiaro il concetto di Trojan, bastava che facevi una ricerca su google senza avere chissà quali conoscenze specifiche o aver seguito un corso di sicurezza informatica quindi ti scrivo due righe a riguardo, che potevi trovare da solo anche tu, e poi chiudiamola qui.

Il Trojan "Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; "

Quindi qualsiasi programma contenga un payload malevolo è nei fatti un trojan, le differenze le fanno le modalità di diffusione
"I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono un intervento diretto dell'aggressore per far giungere l'eseguibile maligno alla vittima."

Spesso i Virus o i Worm contengono a loro volta un payload malevolo ma, non rientrando nella definizione di cui sopra, non sono trojan salvo rari casi in cui a replicarsi è una applicazione che sostituisce o simula un'altra apparentemente utile, nel qual caso e anche un Trojan oltre che un Virus o un Worm.

Nell'ipotetico caso di una rom "non sicura" l'aggressore sarebbe l'autore della ROM stessa che ha installato il programma apparentemente utile, ad esempio una tastiera stock modificata, ma che in realtà contiene codice malevolo, senza che fosse necessario nessun intervento diretto dell'utente, ohibò in realtà l'intervento diretto c'è lo stesso all'atto dell'installazione della intera rom.

Puoi dire che non ci sono virus su android, che non ci sono worm, ma i Trojan ci sono eccome, cambia solo il modo con cui l'aggressore riesce a fartelo installare, nel caso di una rom custom gli viene facilissimo, ma sempre di un Trojan per definizione si tratta, a volte ci vuole la conferma dell'utente che magari pensa di stare installando l'ultima versione dello scopone scientifico.

Riassumendo un Trojan è un software con funzionalità nascoste all'interno di un programma apparentemente utile, da parte di chi, come e quando venga installato questo software non ne cambia la natura o la definizione.

Se hai una tastiera modificata nella rom tu stai usando un programma apparentemente utile, utile perchè ti permette di scrivere i testi, ma che in realtà contiene funzionalità nascoste, come ad esempio keylogging e invio dei dati a terzi, questo è un Trojan, punto.

[Ma5t3r]

Mi sa che hai le idee un po confuse [...] come ad esempio keylogging e invio dei dati a terzi, questo è un Trojan, punto.

Il ragionamento di lostman è corretto, non ci sono se e ma riguardo al fatto che uno sviluppatore possa mettere un virus di qualsiasi sorta in una ROM.
A dirla tutta, oltre ad Android in sé c'è un kernel Linux sotto in cui è possibile aggiungere moduli, basta ben poco nel cucinare una ROM per cacciare uno o due moduli spia, totalmente invisibili al sistema operativo sopra.

Questo non significa che ogni autore di ROM ci cacci dentro virus o trojan, ma dal punto di vista teorico le uniche cose sicure di Android sono le versioni AOSP compilate in casa, senza le Google Apps, dato che di queste non ci sono i sorgenti.