Рады видеть вас на Ghost-Club.com

Зарегистрируйтесь сейчас, чтобы то бы вступить в наш клуб. После регистрации и входа в систему вы сможете создавать темы, отвечать на существующие темы, давать репутацию другим пользователям, получить свой собственный мессенджер, размещать обновления статуса, управлять профилем и многое другое. Это сообщение будет удалено после входа в систему.

Якут

Местные
  • Content Count

    28
  • Joined

  • Last visited

  1. отличноо, все работает!!!
  2. Бизнес-логика AdSDK часто непрозрачна для разработчика, который встраивает его в свое мобильное приложение. Программный код AdSDK работает с теми же привилегиями, что и приложение-носитель. Если носителю какие-то специальные разрешения не нужны, но они нужны AdSDK — носителю придется запросить их. Любой уважающий себя AdSDK затребует от тебя доступ к ID смартфона и геолокации, чтобы показывать тебе релевантные объявления. AdSDK-провайдеры вынуждены мириться с небезопасностью по многим причинам. Несколько самых очевидных: между рекламодателем и твоим смартфоном может быть непредсказуемое число промежуточных звеньев; объявления для показа выбираются динамически; на сегодняшний день не существует инструментов для гарантированной дезинфекции JS-кода. Поэтому AdSDK-провайдеры рассматривают каждое объявление как потенциально злонамеренное и используют механизм защиты, который запрещает программному коду объявлений читать чужие файлы из внешнего хранилища твоего смартфона. Этот запрет реализуется в два шага. AdSDK помещает программный код каждого объявления в изолированный экземпляр встроенного браузера WebView и ограничивает набор разрешений, которыми этот экземпляр может пользоваться. 2. Доступ программного кода объявления к внешнему миру, в частности к локальным файлам внешнего хранилища твоего смартфона, регламентируется в соответствии с концепцией SOP — чтобы программный код объявления не мог читать из внешнего хранилища чужие файлы. Импровизированный оракул При этом программному коду объявления разрешается пользоваться «импровизированным оракулом»: обращаться к внешнему хранилищу с, казалось бы, безобидным вопросом: «А существует ли у тебя файл X?» Но даже наличие определенных файлов может рассказать, какие лекарства ты принимаешь, какой у тебя круг общения и что ты за человек. INFO Возможность создания такого оракула с технической точки зрения не нарушает SOP, согласно четвертому разделу RFC6454. Дело в том, что этот оракул злоупотребляет тонким, но фундаментальным различием между моделями безопасности, реализованными в обычных веб-приложениях и в мобильных приложениях. Тонкое различие в моделях безопасности веб-приложений и мобильных приложений В обычных веб-приложениях доступ к кросс-доменным ресурсам координируется через CORS-запросы — совместными усилиями пользовательского веб-браузера и удаленного веб-сервера. Фактически немногие современные веб-сайты смогли бы работать, если бы SOP напрочь запретил возможность использования кросс-доменных ресурсов. Эта ключевая особенность веб-программирования выглядит довольно-таки безобидной, по крайней мере в своем первоначальном веб-контексте. Но она имеет интересные последствия для конфиденциальности, когда используется в мобильном контексте. В случае с внешним хранилищем твоего смартфона, где файлы тоже, по идее, принадлежат разным доменам, координацию доступа осуществлять некому. Встраиваемые браузерные компоненты, такие как WebView, позволяют мобильному приложению инклудить локальные файлы из внешнего хранилища твоего смартфона. Когда AdSDK использует для загрузки объявления loadDataWithBaseURL(), то коду HTML этого объявления разрешается инклудить локальные файлы из внешнего хранилища твоего смартфона в качестве DOM-элементов. Пробуя подключить DOM-элемент, чей URI указывает на локальный файл, мобильное объявление тем самым узнаёт, существует ли этот файл на твоем смартфоне. Такой импровизированный оракул работает, если: ты используешь относительно старую версию Android (до версии 5.0); * AdSDK взаимодействует со своим сервером через HTTP вместо HTTPS. INFO Печальная новость заключается в том, что три из четырех самых распространенных AdSDK — AdMob, MoPub и AdMarvel — передают свои объявления именно через HTTP. Примеры угроз Теперь я хочу на реальных примерах показать, как знание о наличии некоего файла может быть использовано для эксфильтрации твоей конфиденциальной информации. GoodRx GoodRx — приложение для поиска лекарств. Оно кеширует изображения лекарств, которые пользователь искал или добавил в закладки. Злоумышленник может создать список из нескольких десятков антидепрессантов и подготовить массив, который будет содержать имена соответствующих изображений, чтобы затем сравнивать их с уже кешированными изображениями. Таким образом информация о любых препаратах, которые ты принимаешь, может оказаться в руках людей, которым ты бы предпочел никогда ее не доверять. Dolphin — веб-браузер для Android. Приложение кеширует во внешнем хранилище изображения и загруженные страницы, чтобы уменьшить нагрузку на сеть. В качестве имен файлов для кешированных адресов Dolphin использует хеши, сгенерированные функцией String.hashCode(). Это 32-битное целочисленное значение. Уже описанным способом — проверяя наличие файлов с определенных сайтов — можно выяснить, посещал ли ты их. INFO Внимательный читатель заметит, что здесь через параметр src элементу script передается не файл JS. Но скрипт загружать и не нужно, достаточно проверить наличие целевого файла. Если целевой файл присутствует на твоем смартфоне, то WebView радостно вызывает callback, который генерирует событие «Загрузка прошла успешно». Эта техника позволяет правильно определять сайты, которые ты посещал через Dolphin. KakaoTalk KakaoTalk — еще одно приложение, которое может стать брешью в твоей безопасности. А возможно, не только твоей. Миниатюрные аватарки твоих друзей приложение кеширует во внешнем хранилище. Если злоумышленник сгенерирует таблицу сопоставления кешированных миниатюр с соответствующими им людьми, то сможет легко идентифицировать твоих друзей. Даже если число попыток будет ограничено, все равно возможно узнать, было ли показано объявление конкретному человеку. Как? А все тем же сканированием во внешнем хранилище. Только теперь злоумышленник будет искать среди кешированных аватаров твоих друзей. При этом следует понимать, что даже частичная информация о социальных пересечениях жертвы помогает однозначно идентифицировать ее. Предполагаемая личность может быть затем подтверждена при помощи данных геолокации и других метаданных, доступных злонамеренному рекламодателю. Метаданных, которые по отдельности не значат практически ничего, но в совокупности — достоверно идентифицируют личность. Итоги Когда речь заходит о кибербезопасности — по крайней мере, когда речь о ней заходит в корпоративном ключе, — принято говорить об управлении рисками. Следует понимать, что при желании нас могут взломать: вопрос только в том, сколько это будет стоить злоумышленнику и как сильно он хочет взломать. Для атаки, которую я описал, насколько мне известно, пока нет противоядия. Но осведомлен — значит вооружен. Поэтому, когда будешь скачивать очередное бесплатное приложение с рекламными объявлениями, помни, что заплатишь ты не только тем, что посмотришь на товары, но, возможно, и конфиденциальностью.
  3. 85-летняя женщина обратилась летом в отделение Сбербанка чтобы внести немного денег на свой накопительный счет. 28-летняя менеджер предложила бабушке переоформить вклад якобы на более выгодных условиях - дескать, там и проценты будут побольше, и пластиковую карточку заодно выдадим, чтобы было удобнее снимать деньги или пополнять счет. Пенсионерка согласилась. Однако, как рассказали в полиции, на самом деле менеджер не открыла клиентке новый вклад, а просто сняла с прежнего все имеющиеся на нем средства - почти 280 тысяч рублей - и присвоила. Спохватилась пенсионерка лишь через несколько месяцев, когда снова посетила отделение банка и узнала, что ее счет пуст, а обещанный вклад не открыт. Женщина обратилась в полицию. Стражи порядка выяснили, что к исчезновению денег причастна менеджер банка. 28 октября было возбуждено уголовное дело о мошенничестве в крупном размере, молодую женщину задержали. Следствие предполагает, что эпизод с 85-летней клиенткой не единственный на совести экс-сотрудницы Сбербанка - вероятно, она и до этого обчищала счета престарелых людей.
  4. Сейчас уже эта тема не катит, еще пол года назад ежедневно 5000 деревянных за пару часов поднимал на ней
  5. На постоянной основе готов предложить полиса топовых страховых компаний Спб, Москва. В наличии полиса: Югория, Уралсиб, МСК, Росно, ИнноГарант, РОСГОССТРАХ, РЕСО Гарантия. Осаго = 800 рублей за 1 полис (мин.заказ 25 полисов) Каско = 6000 рублей за 1 полис (мин заказ 5 полисов) Все полиса оригинальные! Не просроченные !!! Готов работать с гарантом данного форума. Доставка: Почта РФ Сроки доставки: 3-е суток. Оплата: Яндекс, Сбер. Связаться со мной можно через личку.
  6. есть способ на соньке в настройках интернета созддаеш новый профель csd и прописуеш номер жертвы и совершаеш дозвон вреда никакова но достает реально сам над друзьями прикалывался тел звонит и звонит а принять не можеш может будет работать и на других телах незнаю непроверял
  7. В разрыв линии не получится, так как дивайс будет питаться только тогда, когда хозяин снял трубку, а это нам не нужно)
  8. Питание нужно, с линии питаться не получится, так как при 2-10 миллиамперах потребления, АТС думает, что трубка снята! Придется дюраселки ставить, хотя это мелочи, поставить три огромных + DC-DC, на месяц хватит, а потроха спрятать в щитке, туда как правило телефонные провода уходят. Самое палевое в этом деле, это процесс обнала, тут нужно грамотно деньги выводить, аферу раскусят быстро и будут искать усилено.
  9. Тема прикольная! Думал о подобном, но на тему стационарных телефонов. Я летом собирал жука, но до ума его так и не довел. Тема такая, цепляем его на домашнюю линию к кому-нибудь, он определяет, что трубка не снята, значит он начинает звонить на платный номер, если вдруг хозяин квартиры берет трубку, то жук это определяет и вырубается. Как правило, счет у нас выставляют через месяц, можно тонну бабла нарубить) В этом есть большая доля риска и моральная сторона. Есть еще лазейки, если набрать платный номер и замкнуть провода, то дозвон удерживается около 20 мин, это мало конечно, лучше делать жука, который поимеет все!
  10. А конкретно тебе никто и не скажет, люди делают деньги, если все начнут делать на этом деньги - баг найдут и устранят... Сколько случаев я знаю, например сидит оператор и по тихой сливает бабки со счетов клиентов опсоса, ну например по 1-2р, потом по 10, а потом находит тех у кого баланс например 250 000р насотовом, ну и мысли появляются, а возьму ка я сотку, не лучше шт уку, один хер у него их 250, он и не заметит, а потом терпила приходит к администрации и говорит что у него спиздили деньги, всё заканчивается судимостью! Жадность фраера, ну дальше вы знаете... Поэтому ищите свои способы, открывайте новые направления фрикинга!
  11. У нас ваще такая тема уже давно не катит, раньше сам экономил на международных звонках симки были минимум 1500р в долг, учитывая что продавались на каждом углу и БЕЗ ДОКУМЕНТОВ, потом лавочку прикрыли, опсоса называть не буду... Так что 400р это игрушки...
  12. hezer А там заказать нельзя белорусского мтса? Стукни в асю 634118170
  13. фольга не всегда покатит . я сам работаю в магазине и у нас 2 типа таких ворот и магнитиков , для снития клипс нужен специальный магнит или пистолет (зависит от вида клипс смотреть нада) дак вот магнит там не простой а хитро вые.аный так просто обычным магнитом не снимешь . и наклейки разные есть, вот если смотришь наклейки прозрачные с металической полоской внутри то простым магнитом размагничиваешь а если такие белые выпуклые и на поверхности штрих код типа то просто сильно на неё нажимаешь и спокойно проходишь через магнитные варота .