android 2016 – facem de un startup?

Azi avem anunțat încă un set de patch-uri de securitate pentru Android.

The most severe of these issues is a Critical security vulnerability that could enable remote code execution on an affected device through multiple methods such as email, web browsing, and MMS when processing media files.

Simplificat: deschide acest e-mail și ai telefonul compromis. Până și modemul Qualcomm e vulnerabil (iar).

Pe lista sunt 15 vulnerabilități critice care vor fi rezolvate NUMAI pe telefoanele sau tabletele Nexus. Nici măcar astea nu vor fi rezolvate azi (tocmai am verificat, pentru Nexust 7 2013 aflat în perioada oficială de suport nu am niciun update). Pentru celelalte 98%+ dispozitive Android (telefoane, tablete, media-boxuri, navigatoare etc) fix-urile vor veni de la producători, ca de obicei. Adică pentru cele mai noi Samsunguri probabil peste o lună și ceva, pentru 2-3 Motorole peste 3 săptămâni, pentru LG sau Sony mai vedem. Pentru restul de 90% din telefoane rezolvarea nu veni niciodată.

Cine are cunoștințe minime legate de securitate știe că imediat după publicarea unui patch, prin reverse-engineering ai șanse să poți crea un exploit pentru că ai diferența dintre codul corect și codul vulnerabil pe tavă. Deci se poate presupune că o organizație cu modeste investiții va avea luni 11 aprilie 2016 o pagina web și e-mail șablon perfect funcționale care să instaleze pe telefonul aproape oricui cod care să ruleze ca root. Când spun organizație nu mă refer la SRI/NSA/MI5 ci la un SRL. Pentru asta se va folosi un bug din lista (sau unul din zecile cunoscute din liste anterioare și perfect funcționale) + cod de pe Google Play pentru rootat cam orice Android + miniaplicație pentru accesul SRL-ului la datele din telefon.

 

Să vedem cum putem monetiza:

– facem un site unde clientul să îți creeze cont și să ne dea bitcoinu’ (ca să nu avem nevoie de bancă sau card)

– clientul logat completează un formular simplu care poate arăta cam așa:

Pasul 1: date despre țintă

Adresa de e-mail: [                   ]
Numărul de telefon: [                   ]
Modelul de telefon (opțional): [                   ]
  CONTINUĂ

Serverul SRL-ului verifică dacă nu are deja telefonul victimei (țintei) compromis, dacă e deja compromis se poate trece direct la pasul 3.

 

Pasul 2: vector

Introduceți adresa web pentru o pagină de interes pentru țintă pe care o puteți trimite victimei ca momeală:

[www.sait-cu-mâțe.com          ]

Vă rugăm să trimiteți un e-mail spre victimă care să îl determine să deschidă linkul de mai jos pe telefonul mobil:

bit.ly/iad3aicican-ais3rvici

Veți fi notificat imediat ce ținta a folosit linkul și vi se va comunica rezultatul (compromiterea telefonului sau link deschis pe desktop). În caz negativ puteți reveni* și genera un nou link pentru a încerca din nou.

*pentru doar 0.99 bitcoin (bineînțeles fără TVA)

 

Indicație de implementare: Bit.ly va duce spre serverul SRL-ului care va infecta și roota telefonul țintei și apoi va redirecta spre pagina oferită de client ca momeală. Imediat după utilizare linkul bit.ly va fi dezactivat pentru a nu lăsa urme.

 

Pasul 3: servicii solicitate

Serviciu acces
prin interfață web
  cost bitcoin
/ lună
Locație [X] 0.019
E-mail [X] 0.299
Agenda telefonică [  ] 0.049
Jurnal telefonului [  ] 0.009
SMS-uri [X] 0.019
Poze
(upload doar prin Wi-Fi)
[X] 0.299
Convorbiri înregistrate
(doar pentru clienții premium)
[X] 0.299
Notificări în timp real pe mobil pentru evenimente de interes [X] 0.002
     
Total (bineînțeles fără TVA)   0.995

Introduceți cupon de reducere: [                    ]

Ofertă specială doar azi! Doresc plata în avans pentru un an: [X] pentru a beneficia de o reducere de 20%.

PLĂTEȘTE AICI

 

Iei linkul și îl pasezi într-un e-mail motivant unui prieten (iubitor de pisici) care îl deschide pe telefon. După asta, oricând ai chef îi poți atrage atenția prietenului că a primit un SMS dar nu l-a citit, îi poți spune ce să răspundă la e-mailul de la Ioana, îi poți face backup la poze pentru cazul în care pierde telefonul sau îi poți spune în timp real unde tocmai se află cu precizie de 0.3 metri – nu se știe niciodată când va avea nevoie. Șansa de reușită este de peste 99% dacă te grăbești. Plătește acum!

Dacă ești mulțumit dă aici un like, recomandă-ne unui (alt) prieten și vei primi un cupon pentru reducere!

Cumpără acum din magazinul nostru telefon gata tunat pentru tine sau pentru a-l da cadou unui prieten drag. Pentru orice telefon cumpărat din magazinul nostru ai 20% reducere la toată gama de servicii în primele 6 luni**.

** cu condiția de a face o plată în avans pentru minim 12 luni.

Asigurăm onorata clientelă de disponibilitatea serviciului pentru minim 99.8% din timp folosind cele mai bune servicii cloud hostate în Uniunea Europeană. Partener oficial Google.

Alte servici: verifică acum dacă ești monitorizat deja de cineva pentru doar 9.99 bitcoin. Rezultatul fi comunicat corect în 60% din cazuri prin tragere la sorți săptămânală cu premii.

Fantezii? Conspirații? Toate astea se pot realiza lejer cu 3-4 oameni motivați și cunoscători, în 2-3 luni numai cu informație disponibilă public si vizează peste 90% din Androizi aflați în libertate. Stai totuși liniștit, nimeni nu s-ar gândi să facă așa ceva și în fond nu ești destul de important să meriți atâtea bitcoinuri. La urma urmelor oricum nu ai făcut nimic rău deci nu ai nimic de ascuns. Ah de fapt stai că tu ai Nexus, poate ai noroc să îți vină update până luni. Cum, l-ai schimbat cu un S7? Edge? Pe negru? Miștoo! Să-l folosești sănătos! Mai vorbim.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *