1. Tämä sivusto käyttää evästeitä. Jatkamalla tämän sivuston käyttöä, annat suostumuksesi evästeiden käytöllemme. Lue lisää.

Onko OIKEASTI mahdollista luoda LEVIÄVIÄ haittaohjelmia s60 3rd ed alustaan?

Keskustelu osiossa 'Matkapuhelimet', aloittaja Richie_79, 29/6/07.

  1. Richie_79

    Liittynyt:
    4/8/05
    Viestit:
    107
    Tykkäykset:
    0
    Puhelinmalli:
    Räätälöity Samsung Galaxy s7
    Voisiko joku s60 alustan arkkitehtuuria OIKEASTI tunteva kertoa, että onko OIKEASTI mahdollista tehdä s60 alustan 3rd editionille MUIHINKIN puhelimiin yleisesti leviäviä haittaohjelmia kuten viruksia, troijalaisia, yms.? Ei kiitos mitään "mutu" arvioita kuten "luulen asian olevan näin" ja kummin-kaiman-saunakaveri kertoi jne. Spekulointia voi harrastaa kuka tahansa asiaan vähänkin perehtynyt mutta kaipaisin kylmää faktaa. ;)

    Minun käsitykseni sertifiointijärjestelmästä on seuraava: Sertifioinnin yhtenä tehtävänä on mm. estää luomasta sovelluksia mitkä pääsevät käsiksi kaikkiin API:hein. On olemassa eri tasoisia sertifikaatteja eri tasoisten sovellusten luomiseen. Developer sertifikaatilla pääsee jo hyvinkin moniin API:hin käsiksi mutta sillä luotua sovellusta ei voi levittää muihin luureihin (autetikointi IMEI?). Freeware sertifikaatilla luotuja sovelluksia voi levittää, mutta sillä tehdyt sovellukset eivät pääse käsiksi kuin hyvin rajattuihin API:n ja estävät näinollen mm. järkevän haittaohjelmien luomisen ja leviämisen. Ymmärtääkseni johtuen juuri tästä sertifiointijärjestelmästä ei kolmansilla osapuolilla ole enää asiaa mm. radiorajapinnan API:hin? Ainoastaan valmistaja sertifikaatilla pääsisi käsiksi niihin ja siksi kolmansilla osapuolilla ei olekaan olemassa enää mitään Cell Track tms. vastaavia softia? En ole ainakaan itse löytänyt. Korjatkaa jos olen väärässä. Vastauksia, pliiiiis..
     
  2. hiphei Aktiivinen jäsen

    Liittynyt:
    24/1/04
    Viestit:
    1994
    Tykkäykset:
    0
    Oikein olet päätellyt. Noiden API:en käyttöön tyssää haittaohjelmien tekeminen. Toki haitallisen ohjelman vastaanottaja voi itse alkaa allekirjoittelemaan haittaohjelmaa, mutta se lienee jo eri asia, kun ei sekään ihan puhelimella onnistu "automaattisesti".
    Tästä en ole varma, mutta luulen että tuo solutieto menee samaan kategoriaan kuin vaikka GPS:n käyttö eli Location-oikeudet tarvitaan. Sijainti kun on määritelty ihan puhelimen käyttäjän yksityiseksi asiaksi.
     
  3. sovelias Vuoden foorumilainen -06/-05/-03

    Liittynyt:
    21/6/02
    Viestit:
    42688
    Tykkäykset:
    363
    Haittaohjelman voi tehdä helpostikkin, sertifikointi ei edes sitä pyri kovin hyvin estään.

    Sertifikaatien on tarkoitus suojata kuitenkin käyttäjää ja auttaa selvittämään ongelma lähteitä jne. Esim firmakäytössä Symbian 9 alustalla voi rajata hyvinkin voimakkaasta käyttäjän mahdollisuudet, jolloin hän ei edes halutessaan pääse asentamaan mitään.

    Vanhempiinkaan S60 alustoihin ei olla tehty oikeita matoja, käyttäjän on niissäkin aina pitänyt ne itse asentaa ja useampaankin kertaan hyväksyä eriasioita, Symbian 9 alustoissa, kuten kerroit pitää tiettyjä toiminnallisuuksia saadakseen olla ohjelma allekirjoitettu enemmän kuin self signet, jolla voidaan estää tiettyjä haitallisia asioita ja tarvittaessa jäljittää tekijää paremmin ja myös jälkeen päin estää.

    Mutta siis ohjelma joka lähettelee viestejä tai tekee muuta haittaa pystyy tekemään ihan itse allekirjoitettuna.

    Aidolle kunnon perinteisen itseleviävän madon tekemiseen vaaditaan paljon, ei riitä edes kaikki imeit kattava ns perus dev allekirjoitus, tuo riittää siinä tapauksessa jos käyttäjät saadaan muutoin huijattua asentaan, mutta silloin riittää myös self signet.

    Jos jossain vaiheessa murretaan alusta niin hyvin että hommat voidaan tehdä "Näkymättömästi" niin on pelkoa oikealle epidemialle, tosin sitäkin jarruttaa lukuisat eri versiot käyttöjärjestelmästä ja laitteista.

    Kuten mainitsit paikkatietoon ei riitä self allekrijoitus, mutta luureissa on paljon muuta mielenkiintoista tietoa, usein paikkatietoa kiinnostavampaa.
     
  4. hiphei Aktiivinen jäsen

    Liittynyt:
    24/1/04
    Viestit:
    1994
    Tykkäykset:
    0
    Jos oikein katsoin tuolta http://developer.symbian.com/main/learning/press/books/pdf/Signing_Tips.pdf, niin self signature koskee vain yhtä IMEI:tä ja developer signature maksimissaan 100 IMEI:tä.
     
  5. Richie_79

    Liittynyt:
    4/8/05
    Viestit:
    107
    Tykkäykset:
    0
    Puhelinmalli:
    Räätälöity Samsung Galaxy s7
    Sertifiointihan nimenomaan estää haittaohjelmien helpon tekemisen ja tekee leviämisestä varsinkin erittäin vaikeata. Eli juuri kuten arvelinkin ja jonka HipHei tuossa vahvisti.

    Eihän kukaan käyttäjä lähdekään allekirjoittamaan haittaohjelmia kuin erehdyksessä. Harva loppukäyttäjä edes tietää mitä allekirjoittaminen tarkoittaa. HC-käyttäjät ovat tietysti huomattavasti valveutuneempia.

    ..ja joka toimii ainoastaan luojan omassa luurissa. Eli ei pysty leviämään minnekään.

    Developer sertifikaatilla pääsee moniin API:hin käsiksi mutta ei haittaohjelmien tekijällä ole tiedossa uhriensa IMEI:tä.

    Mitä "murrettavaa" järjestelmässä on? Tietyn tasoisella sertifikaatilla pääset tiettyihin API:hin käsiksi. Sillä hyvä? Kaikki s60 3rd ed laitteiden OSt ovat binääriyhteensopivia. Hyvin kirjoitettu Symbian C++ sovellus toimii kaikissa 3rd ed laitteissa.

    Conclusion: Eli helposti tehtäviä toisiin leviäviä haittaohjelmia ei voi luoda s60 3rd ed laitteisiin. Kiitos! Tätä juuri hain. =)
     
  6. sovelias Vuoden foorumilainen -06/-05/-03

    Liittynyt:
    21/6/02
    Viestit:
    42688
    Tykkäykset:
    363
    Mitä nyt tarkoitat haittaohjelmalla?

    Self signet toimii kaikissa luureissa joissa ei ole sitä estetty.

    Itse allekirjoitetulla pääsee jo hyvinmoneen ja saa käyttää yhteyksiä, sillä tekee jo paljon pahaa.

    No jos halutaan todella pc mailmankaltainen mato, niin kovasti pitää hakkoroida.

    Niin no, jos jotain aukkoa käytetään hyväksi, niin sen pitäisi olla läpi kaikki laaja mallisto, eikä laite versio kohtainen kräkkäys, toki jos symbian allekirjoitus käräkätään, niin laajempi toimivuus, mutta sekään ei taida vanhoja koneita kummosempii riittää, eli käyttäjää tarvitaan.
     
  7. hiphei Aktiivinen jäsen

    Liittynyt:
    24/1/04
    Viestit:
    1994
    Tykkäykset:
    0
    Eikös tässä tapauksessa joudu myös asettamaan oman sertifikaattinsa (public key) myös Certificate Manageriin ja asettaa se luotetuksi ohjelma-asennuksille? Siis aivan samoin kuin verkkoyhteyksien kanssa, jos oman WWW/Mail-serverin SSL/TLS-salauksen kanssa käyttää itse allekirjoitettua ei-kenenkään-tunnetun-CA:n allekirjoittamaa sertifikaattia.
     
  8. sovelias Vuoden foorumilainen -06/-05/-03

    Liittynyt:
    21/6/02
    Viestit:
    42688
    Tykkäykset:
    363
    Missä koneessa, oletuksena E sarjaa kevyemmissä on annettu lupa asentaa kaikki, myös itse allekirjoitetut, toki siitä varoitetaan. Eikä ohjelman yhteyttä muodostaessa poikkeavaa käyttäytymistä.
    Java kikkuloilla vähän toisin.
     
  9. Richie_79

    Liittynyt:
    4/8/05
    Viestit:
    107
    Tykkäykset:
    0
    Puhelinmalli:
    Räätälöity Samsung Galaxy s7
    Piti nyt ottaa asiasta itse selvää kun kunnollisia vastauksia ei tullut. Vierailu symbiansinged sivuilla vahvisti aiempia käsityksiäni.

    Ohessa selkeä haittaohjelman määrite: "Haittaohjelma on yleiskäsite tietokoneohjelmille, jotka tarkoituksellisesti aiheuttavat ei-toivottuja tapahtumia koneessa tai tietojärjestelmässä." Huh, tätä enempää en jaksa tikusta vääntää asiaa jos ei viesti mene perille.

    ...ja...
    Self signed:illa ja "itse allekirjoitetulla" sekoitat nyt varmasti nätisti juuri kahdet eri tyyppiset DevSertifikaatit. Toinen ilman Publisher ID:tä joka EI tarvitse hyväksyntää mutta jossa on YHDEN IMEI:n rajoitus. Eli ei voi levitä. Toinen taas sisältää Publisher ID:n jossa on 100 IMEI:n rajoitus MUTTA joka pitää hyväksyttää TrustCentterillä saadakseen Publisher ID avaimen. Molemmilla DevSertifikaateilla pääsee sitä paitsi ainoastaan rajattuihin API:hin käsiksi.

    Enempiin kuin 100 IMEI:hin tarvitaan hyväksyntä regulaattoreilta (Ensisijaisesti laitevalmistajat mutta myös TrustCenter, Verisign yms.). Laitevalmistajan hyväksyttämällä ns. phone manuafacturer DevSertifikaatilla pääsee myös kaikkiin API:hin käsiksi. Regulaattorit näyttävät muuten olevan myös tiukkoja turhan monien API:n käsiksi pääsemiseen. Turhat API:t joita sovellus ei oikeasti tarvitse voivat olla kriteeri sertifikaatin hylkäämiseen.
    Mutta miten freeware periaate toimii? Onko siis osaan API:sta mahdollista päästä käsiksi ja luoda sovellus jota ei tarvitse hyväksyttää? Tosin freeware API:t eivät varmastikaan ole vakavia joten niistä ei tarvitse huolehtia.

    Siis nimenomaan jos kyseessä on 3rd ed. laitealusta (josta alunperinkin halusinkin tietää, EI esim sec ed. luureista joissa binääriyhteensopivuus on rikottu) ei tarvitse käydä mitään "laajempaa mallistoa" läpi, vaan hyvin Symbianille kirjoitettu C++ koodi toimii kaikissa 3rd ed laitteissa koska Symppari on kirjoitettu suurimmaksi osaksi C++. Javat, pythonit tms. muut joita aiemmin mainitsit ja joita symppari ei natiivisti osaa tulkita voi unohtaa kokonaan koska ne eivät pääse käsiksi herkkiin API:hin kuten All file systemsiin jne.

    Edelleen näyttää vahvasti siltä, että 3rd ed. ei voi LEVIÄVIÄ haittaohjelmia luoda. Korjatkaa jos olen väärässä =) (..oikealla faktalla tietysti ei mutu:lla ;)

    Ps. IMEI:n muuttamista ei sitten kannata miettiä myöskään. Koska 3GPP komissioissa jo R99 aikana päätettiin, että laitevalmistajan ns. 3G päätelaiteet (sis. WCDMA TRX) eivät saa Euroopassa käytettyä CE merkintää jos IMEI on mahdollista muuttaa millään tavalla. Osta luuri Huaveilta tai joltain muulta piraattifirmalta niin saatkin itse kärsiä ;)
     
  10. sovelias Vuoden foorumilainen -06/-05/-03

    Liittynyt:
    21/6/02
    Viestit:
    42688
    Tykkäykset:
    363
    Tuollaisen tekemiseen ei tarvita mitään virallisia allekirjoituksia.

    En tiedä mitä oikeuksia nyt tarvitset haittaohjelmaan, mutta ihan omin SDKn välinein voi tehdä itse-allekirjoitusta varten oman Sertifikaatin. ei siinä enempää tarvita Symbiania tai valmistajaa (*
    Tuolla itse tehdyllä sertifikaatilla voi sitten allekirjoitella softia ja levittää niitä halukkaille.

    Se on pieni haitta että softaa asentaessa puhelin varoittaa että softa ei ole luotettu, niinhän suurin osa softista asentaessa varoittaa, ja Dev Sertifikaatilla allekirjoitettu softa varoittaa jopa enemmän (tosin sellaisella voi tehdä enemmän pahaa).

    (* E sarjalaisissa on oletuksena asetus että asennetaan vain luetetut, senkin on monet käyneet asetuksissa vaihtamassa "kaikki asennetaan", ja kun menet kaupasta hakemaan N-sarjalaisia tai "alempia" niin niissä yleensä oletuksena asetus "asenentaan kaikki"

    Valmistaja voi toki tehdä puhelimia joissa voi asentaa vain luetetut, näin tehtiin ilmeisesti joidenkin kytkykoneiden osalta, palaute tietenkin tyrmäävä. Joissain organisaatioissa työnantaja voi estää henkilökunnan luureista vapaan asentamisen.


    Jos halutaan tehdä tehokkaasti leviävä mato niin on käytettävä jotain aukkoa, siinä ei ole paljoa tekemistä binääriyhteensopivuudella, ei ne koneet ole identtisiä softalta ja raudalta mikä tarkoittaisi että kuviteltu aukko olisi kaikissa sama (rauta ja koodi erot eivät sitä tietenkään estä).

    Jos allekirjoitukset murretaan ja pahat tekijät keksivät keinon allekirjoittaa vahvoilla oikeuksilla on toki kuvailemallasi yhteensopivuudella helpotusta haitallisten sovellusten tekemiseen, tehokkaaseen itsekseen levittämiseen tarvitaan enemmän, enkä aivan usko että yhteensopivuus joka tasolle yltää.

    Itse allekirjoitetuissa ohjelmissa levittäminen ei ole niin tehokasta kuin vanhemmalla alustalla on tavattu, esim auto startin toteuttaminen vaatii enemmän, eli lähinnä houkuteltava käyttäjä käynnistään ohjelma, tähän voi tietenkin käyttää perinteistä konstia, eli luodaan ohjelma jossa on myös käyttöarvoa käyttäjälle. Kun sovellus on saatu käyntiin niin sitten on pelikenttä yllättävän vapaa kaiken näköiselle ilkeälle.
     
  11. hiphei Aktiivinen jäsen

    Liittynyt:
    24/1/04
    Viestit:
    1994
    Tykkäykset:
    0
    Koska tuo allekirjoitus on IMEI-kohtainen, niin sen levittäminen ei ole ihan niin kätevää kuin nämä aiemmat mm. Bluetoothin avulla levinneet. Toki vaikka WWW-sivulla voidaan kysyä puhelimen IMEI:tä ja siten aina allekirjoittaa softa juuri ko. käyttäjälle.

    Tämä ei ole erityisen helppo juttu. Nuo allekirjoitukset eivät rajoitu pelkästään ohjelman asennukseen vaan samalla allekirjoitetaan myös softan vaatimat omainaisuudet (capabilities). Joka kerta, kun softa koittaa ladata toista DLL:ää tai käyttää jotain serveriä, nämä ominaisuudet tarkistetaan. Tuo siis tehdään ihan sisäisesti Symbianissa kernelissä automaattisesti eikä sitä voi edes valmistaja kiertää omissa softissaan.
     
  12. sovelias Vuoden foorumilainen -06/-05/-03

    Liittynyt:
    21/6/02
    Viestit:
    42688
    Tykkäykset:
    363
    En minä nyt mitään imei kohtaisi allekirjoituksia ollut tekemässä, eihän imei sidonnaisia ole kuin nuo Dev sertifikaatilla allekirjoitukset.

    Siis ihan Self Signed certificaatilla, joka siis itse tehty, ei IMEI sidonnaisuutta ja tai anomisia, siitähän tässä oli kyse miten helpoiten haittaohjelman saa tehtyä.

    Ei todellakaan, ja perustui siihen että tuolla olisi todella paha reikä.
     
  13. Richie_79

    Liittynyt:
    4/8/05
    Viestit:
    107
    Tykkäykset:
    0
    Puhelinmalli:
    Räätälöity Samsung Galaxy s7
    Sovelias, elät sec. ed. aikaa ja muutenkin spekulaatiosi ilman taustafaktaa kuulostaa ontuvalta..
    3rd ed. laitteisiin EI VOI asentaa allekirjoittamattomia sovelluksia VAIKKA valitsisi puhelimen asetuksista "asenna kaikki". Kokeile vaikka itse jollain allekirjoittamattomalla EI-freeware sovelluksella. Asentaminen kaatuu varmennevirheeseen. Aikaisempi allekirjoituspolitiikka toimi juuri kuvailemallasi tavalla sec. ed. luureissa. 3rd ed. julkaisuajankohtaan mennessä oli Symbian signed -työryhmä saanut nykyisen sertifikaattipolitiikan valmiiksi joten se otettiin käyttöön 3rd ed. luureissa.

    Tod. näk. juuri itse allekirjoittamasi Self Signet tarkoittavat freewarea. Eli voit koodata freeware sovelluksen jota voit levittää rajottamattomasti. MUTTA freeware sovelluksella pääset käsiksi ainoastaan rajattuihin API:hin. Jos olet viruskirjoittaja ei freeware sovelluksen API:t riitä.

    Noh, pääsy MMS API:in olisi "aika" oleellinen jos haluan, että haittaohjelma leviäisikin muihinkin luureihin MMS:n välityksellä... ;)
    Kerro esimerkiksi linkki 3rd ed freeware sovellukseen jolla voi lähettää MMS:iä? Ei ole mahdollista koska ilman allekirjoitusta et pääse käsiksi MMS käyttävään API:in. (MultimediaDD?)

    Tässä tapauksessa pelkkä signeerauspolitiikka ei ole tarpeeksi rajoittava koska käyttäjät voivat asentaa mitä tahansa freeware, allekirjoitettuja tai allekirjoittamattomia sovelluksia. Tämän voi estää tehokkaasti työnantaja ainoastaan ulkopuolisen sovelluksen avulla.

    Mutta kun s60 luurit (pois sulkien muut kuin 3rd ed) nimenomaan OVAT juuri hyvin identtisiä viruskirjoittajan silmissä. Ei haittaohjelmien tekijää kiinnosta mistä luureista on rajattu mitkäkin fyysiset rajapinnat tai löytyykö jostain s60 luurista FM-radio tms. muu epärelevantti ominaisuus kunhan kuoren alla sykkii sama s60 alusta.
    Haittaohjelmien tekijää kiinnostaa avoimista fyysisistä rajapinnoista eniten se:
    Mitä tekniikkaa hyödyntäen haittaohjelma voisi levitä?
    -Kuten BT, GPRS, CSD, WLAN, MMS
    Ja mihin tietojenkäsittely API:hin haittaohjelmalla voisi päästä aiheuttaakseen hallaa?
    -Kuten All Files, Disk Admin, CommDD, yms.
    Nämä tekniikat ja API:t löytyvät useammista s60 luureista mutta näiden tekniikkojen hyödyntämiseen tarvitaan symbian signed sertifikaattia.


    Onko sinulla jotain faktaa tämän tueksi? Analyysia, tutkimusta, diagrammia tms. muutakin kuin mutu -fiilistä?

    Kannattaa tutustua symbiansigned dokumentaatioon esim. pääsivun https://www.symbiansigned.com/Symbian_Signed_White_Paper_v0.4.pdf Sieltä minäkin päivitykset tietoihini hain.
     
  14. KLaakso

    Liittynyt:
    18/7/04
    Viestit:
    16
    Tykkäykset:
    0
    Pari pientä oikaisua:

    Se kieli on ensinnäkin Symbian C++, joka ei ole (valitettavasti) sama asia kuin C++. Ja markkinoilla on jo nyt 3rd ed -laitteita, jotka eivät ole enää ohjelmistojen suhteen täysin yhteensopivia ensimmäisten 3rd ed -puhelinten kanssa. Tähän voisi lisätä että valitettavasti.

    Tässä olet oikeassa, itsestään leviävää ohjelmaa ei tiettävästi pysty mitenkään tekemään, ellei sitten jokin todella vakava tietoturva-aukko ole vielä piilossa. Käytännössä platform securityn pitäisi kyllä estää tämä.

    Troijalaisia sitten voi toki tehdä ja onpa maailmalla jo aivan Symbian Signedin omaava haittaohjelmakin. Nämä toki tarvitsevat vielä sen käyttäjän asentuakseen puhelimeen ja lähes kaikissa tapauksissa ajon aikana hyväksymään toimintoja.

    Ja niitä tietoturva-aukkoja tosiaan yllättäen laitteissa on. 3rd ed onneksi estää mokomien käytön melko tehokkaasti.
     
  15. hiphei Aktiivinen jäsen

    Liittynyt:
    24/1/04
    Viestit:
    1994
    Tykkäykset:
    0
    Tästä voi olla montaa mieltä. Kyllä se syntaksillisesti on täysin C++:aa, kun katsoo mitä makrojen taakse kätkeytyy. Käyttöjärjestelmä asettaa kyllä rajoitteita, joita ei voi käyttää kuten exceptioneita, ns. prosessit ovat/olivat oikeasti threadeja, muistinvaraus tehdään hitusen erilailla sisäisesti jne. Mitä tulee sitten itse Symbian C++ -nimeämisiin, niin siitä voi kiistellä enemmänkin, mutta sen tarkoitus on etenkin metodeissa sen viimeisen ison L-kirjaimen avulla kertoa, että ko. funktio saattaa leavata ja ko. tapahtuman sattuessa tulee mahdollisuuksien mukaan käsitellä tämä poikkeustilanne tai antaa edellisen kutsuvan funktion hoitaa se... Ja tämä kaikki johtuu siitä, että exceptioneita ei paremman suorituskyvyn vuoksi käytetä ollenkaan. Noiden kaikkien ylimääräisten kirjaimien merkitys aukeaa vasta kehittyneemmälle ohjelmoijalle, jolle niistä oikeasti on apua. Nuo kirjaimet myös mahdollistavat myös sen, ettei jokaisen kutsutun metodin lähdekoodia tarvitse lukea läpi voidakseen tehdä vakaata ja kaatumatonta softaa. Se on ollut Symbian:in tarkoitus alunperinkin vaikkei se esim. Windows-koodareille yleensäkään aukea sitten millään. Ne jotka ovat tehteet sulautettua softaa ennekin, eivät koe sitä niin vaikeaksi.
     
  16. sovelias Vuoden foorumilainen -06/-05/-03

    Liittynyt:
    21/6/02
    Viestit:
    42688
    Tykkäykset:
    363
    Jos olen epäselvästi ilmaissut, niin sovellukset pitää olla allekirjoitettu, mutta monessa tapauksessa siihen riittää kehittäjän oma allekirjoitus, jo sovelluksen asentaja siihen muutoin luottaa. Asenna kaikki valinta on edellytys tuohon.

    Mistä ihmeestä luuri tietää onko sovellus freewarea vai ei? eikä Self Signet velvoita ohjelmaa Freewarena jakamaa

    On olemassa toki malli jossa Freeware ohjelmalle voidaan hakea virallinen SymbianSignet veloituksetta, se allekirjoitus on toki silloin virallinen ja oikeuksia ohjelman tarpeen mukaan.

    Haittaohjelmasi määritys ei pitänyt sisällä kykyä lähettää itseään MMSllä.
    Suurin ongelma on saada softa käyntiin ja tietenkin käyttäjä asentaan. "vapaita" capabilityjä on tehdä haittaa ja levittää riittävästi.

    Lukases mitä pitää sisällään MultimediaDD. ja kenenkä luvat siihen vaaditaan. ja estääkö se haitta ohjelmaa tekemästä.

    Mistä nyt tuon allekirjoittamattoman otit mahdolliseksi?

    Joka tapauksessa Busines ympäristössä pystytään estämään tehokkaasti käyttäjän asentamiset.

    He, siksi haittaohjelman tekijän on helpompi käyttää vapaita rajapintoja. Käyttäjän tiedot ovat kiinnostavia, kalenteri osoitekirja etu nenässä, sieltä saa myös aineistoa minne levittää itsestään tietoa, perus verkkoyhteydet mahdollistaa paljon ja muutakin haittaa voi tehdä.

    Hä, Symbian 9 alustalla on rajoitettu tiettyjä asioita mitkä vaikeuttavat haittaohjelman piilottamista ja levittämistä, joista allekirjoitus ja capability politiikka on yksi. Ihan siis mutuna.

    Katso myös SDK documentteja ja ohjeita miten allekirjoitat oman sovelluksen.
     
  17. sovelias Vuoden foorumilainen -06/-05/-03

    Liittynyt:
    21/6/02
    Viestit:
    42688
    Tykkäykset:
    363
    PIkasesti menin my-symbian sivulle
    UniMessaging Lite Ei taida tuokaan olla Symbian Signet, ko sivustolta löytyy paljon vastaavaa, ja ilman Symbian Signet "leimaa" olevaa tavaraa löytyy liki kaikista softa kaupoista, softwaremarket taitaa olla niitä harvoja joka sitä pyrkii vaatiin omilta tuotteiltaan.
     
  18. Aslak

    Aslak

    Liittynyt:
    29/12/04
    Viestit:
    283
    Tykkäykset:
    1
    Mikä on sellainen freeware softa jolla on pääsy "merkittäviin" apeihin ja jota ei ole tarvinnut signata? Minulle on kyllä tässä nykyisessä 3 rd ympäristössä selviö että kaikki softat joilla "on jotain käyttöä" on signattu. Ja olen siis sitä mieltä (perustuen jo kerran esitettyihin faktoihin) että s60 3rd:lle ei voida luoda helposti leviäviä haittaohjelmia (tarrtukoon joku sanoihin etc.) Joku tuossa aiemmin väitti s60 3rd:lle olevan olemassa haittaohjelman. Voisiko saada jonkin linkin tai viittauksen siihen mikä tällainen haittaohjelma on ja mitä se tekee? En ole itse moisesta kuullutkaan (se ei tosin todista mitään!)
     
  19. sovelias Vuoden foorumilainen -06/-05/-03

    Liittynyt:
    21/6/02
    Viestit:
    42688
    Tykkäykset:
    363
    Ei freeware softa ota mitään kantaa allekirjoituksiin tai merkittäviin api:hin Symbian freeware ohjelma toki ottaa kantaa, joka on siis luotu sen takia että virallisen signeerauksen kustannuksia voidaan laskea tietyt ehdottayttäviin freeware projekteihin, ja voi siis tehdä hyödyllisiäkin softi

    siitä voidaan toki kiistellä voiko self signet allekirjoituksella tehdä "hyödyllisiä" softia, sillä voi tehdä paljon, mutta ei kaikkea.

    Totta, leviämis mekanismit itseallekirjoitetulla eivät ole läheskään samat kuin vanhoilla alustoilla, mikä rajoittaa todellisen epidemian syntymistä kummasti.

    Eräs tieturvayhtiö uutisoi hiljan eräästä virallisesti allekirjoitetusta softasta haittaohjelmana, kyseessä oli kuitenkin softa joka teki sitä mitä luvattiin, tosin tuota softaa voi toki kääyttää vakoiluun, kuten vaikka noita nauhoitussoftia.
     
  20. KLaakso

    Liittynyt:
    18/7/04
    Viestit:
    16
    Tykkäykset:
    0
    Troijalainen: http://blogs.s60.com/seeintos60/2007/05/trojan_horse_targetting_series.html

    Symbian Signed Spyware: http://www.f-secure.com/weblog/archives/archive-052007.html#00001190

    No jos Symbian-laitteelle kodatessa ei voi _käytännössä_ käyttää tavallista C++:aa, vaan täytyy osata Symbian C++:aa, mielestäni voi puhua eri kielistä. Eihän esimerkiksi C# ja Javakaan nyt niin hirveästi syntaksiltaan eroa toisistaan, ja toista kieltä osaavan kodarin on suhteellisen helppoa loikata toisen matkaan. Itse ainakin koen välin C++:n ja Symbian C++:n kesken olevan suurempi kuin vaikkapa juuri Javan ja C#:n välillä näin vaadittavan osaamisen ja tietämyksen perusteella, joita hyödyntäminen edellyttää. Tähän toki vaikuttaa myös saatavilla olevat työkalut ja dokumentaatio
     

Jaa tämä viestiketju