cogito, ergo incognito

cogito, ergo incognito | gordiusz

kis magyar „fappening”

2016. augusztus 30. - gordiuszblog


2o14-ben közkedvelt tengerentúli véleményformálók privát fotói kerültek ki a 4chan-ra. Azt kihasználva, hogy a telefonok szinkronizálják a velük készített fényképeket a szolgáltató szervereire és az ezekre történő bejelentkezési próbálkozások nem voltak korlátozva.
Ne szinkronizáljunk privát fotókat, kényes, személyes adatokat tartalmazó dokumentumokat felhőbe. Még titkosítva sem feltétlenül, de minimum úgy, ha nagyon muszáj.
Más személyes adataira is ugyan úgy ügyeljünk, mint a sajátunkra.

Alábbi módszerrel mások MMS üzeneteit távolról megtekinthetjük.

A mobilszolgáltató SMS üzenetben értesít arról, hogy MMS-üzenetünk érkezett. Az üzenetben egy állandó link van, ahol lekérdezhető az MMS, illetve egy állandó jelszó, mellyel bejelentkezhetünk a felületre. A problémát az állandó jelszó okozza.

az SMS üzeneteinket változatos módokon hagyhatjuk el:

- telefoncsere alkalmával nem töröljük megfelelően adatainkat a régi készülékről
- üzeneteinket szinkronizáljuk valahová
- készítünk egy archív fájlt, amit rajtafelejtünk a továbbadott laptop-on
- valaki belenéz a telefonunkba egy szórakozóhelyen, vagy az irodában
- töröljük az adatainkat, de az üzenet applikáció vagy a beállított profil a következő újraindításnál vissza-szinkronizál belső tárhelyről, szerverről
- a telefon illetéktelenhez kerül, de ebben az esetben mindenünk odalesz - titkosítsunk, jelszavazzunk, PIN..

Önnek és a trolljának új MMS-üzenete érkezett!

A szolgáltató weboldalán a telefonszámunk és az állandó jelszavunk megadását követően megnézhetjük a nekünk küldött fényképeket, hangfájlokat, kisebb mozgóképeket.

A szolgáltató weboldalán a telefonszámunk és az állandó jelszavunk megadását követően más is megnézheti a nekünk küldött fényképeket.. - 3o napos ciklusban.

Kérdésként merülhet fel, hogy a jelszó generálhatósága egyszerűsíti-e a jogosulatlan hozzáférést? Például mi lehetett 1o évvel ezelőtt a jelszóalkotáshoz választott algoritmus? Ügyfélszám + telefonszám osztva kettővel + MurMur3 hasító-függvény konverzió? Vagy nem kell hozzá ügyfélszám a számlalevélről?

mms.png

„kicsit sárgább, kicsit savanyú, de a mienk”

Ha a nagymamánknak küldtünk már akár 1 db. ilyen üzenetet, akkor rajta keresztül még könnyebb a jogosulatlan hozzáférés. Nem elég, ha mi védekezünk, gondolni kell a nagymamára is. Látogassuk meg minél sűrűbben inkább és beszélgessünk vele, amíg tehetjük.
Függetlenül attól, hogy olyan átlagos felhasználók vagyunk, akik 3 évente 1 db. MMS-t küldenek gyerekszületés alkalmával, mások küldhetnek nekünk privát tartalmat. Azaz, mi hiába titkoskodunk, nem minket kell elcsípni, hanem azt, akinek privát fotókat küldözgetünk.

Ha valaki eddig nem tudta az un. MMS-jelszavunkat, akkor egy fél fogmosásnyi időre hozzájutva a telefonunkhoz kiderítheti oly módon, hogy kér egy SMS-ben érkező jelszóemlékeztetőt a telekom szolgáltató honlapján. Nem új jelszót kap majd, hanem a régit, így nem tűnik fel a közbeékelődés.

Lehet, hogy bénán próbálunk védekezni a Stagefright ellen vagy hagyományos telefont használunk, illetve rosszul van beállítva, megrendelve az MMS-szolgáltatás, esetleg a „készülék nem támogatja” [kikapcsoltuk] - de a legbiztosabb, ha megváltoztatjuk a jelszavunkat az MMS-lekérdező oldalon. Persze az új jelszó ismét megérkezik majd az értesítő SMS-sel és kezdhetjük az egészet előröl.

Túlhaladott, de több korosztály esetében alkalmazott technológia az MMS. Azonban 2o16-ban elavultnak számít egy olyan azonosítási folyamat, amikor valakiknek egyszerre elküldjük a felhasználónevét és az állandó jelszavát, valamint a belépőoldal címét is egy szöveges üzenetben, melynek nyoma marad.

ki mit lát?

A és B kapcsolatban él.
- C lefényképezi a frissen locsolt orchideáját és elküldi B-nek
- A korábban belenézett B telefonjába és tudja a 8-jegyű MMS-jelszót
- A látja C orchideáját minden alkalommal, amikor C megörökítésre érdemesnek tartva átküldi B-nek

vagy

A megvette/megörökölte/kölcsönkapta B telefonját. A látja az SMS-ek között a telefonszámot és a jelszót - ettől kezdve észrevétlenül fér hozzá minden MMS-üzenethez, melyet B-nek küldenek.

A sérülékenység bejelentés idővonala egy rövid, de dolgos 31 órás periódus volt: a szolgáltató mindent megtesz az ügyfelek személyes adatainak védelmében.

Ebből kiindulva a megoldás ránk vár, ami ha érintettek lehetünk a következő:

I. jelszóváltoztatás az MMS lekérdező felületen
II. minden új MMS értesítő üzenet törlése a bejövő mappából

  • „..Új jelszót hetente egyszer vagy évente 52 alkalommal igényelhetsz.
  • MMS üzeneted megtekintéséhez legfeljebb napi 3 alkalommal igényelhetsz jelszót..”

tanulság: naponta maximum 3 partnerrel szakítsunk!

 

A bejegyzés trackback címe:

https://gordiusz.blog.hu/api/trackback/id/tr911658466

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása