rabbit82047

回覆 20# alanh999

不如你又根據個 report 指出有幾 serious

Access 到部機再可以 set 埋 proxy 先 exploit 到個 critical flaw
我攞到部機又 unlock 到，其實真係咩都做得，唔會只係安心出行單一個 app 有問題
平心而論呢個已經超出 app 可以控制既範圍，android system fix 會比較好
只不過做得好d就係 app 都 check 一次 個 proxy 係未有問題咁解

講真份 report 55 個 pages 我又真係無睇哂其他 medium/low, 仲有果d標明係 unproven 既問題
或者真係有d好嚴重既漏洞，咁就睇你報告啦

alanh999

回覆  alanh999

不如你又根據個 report 指出有幾 serious

Access 到部機再可以 set 埋 proxy 先 exploi ...
rabbit82047 發表於 2022-8-2 09:52

    https://7asecurity.com/reports/pentest-report-leavehomesafe.pdf

You really should read the full report.

Page 5 - "It was found that the latest LeaveHomeSafe Android app at the time of writing (3.2.3)
fails to validate TLS certificates correctly, which allows MitM attacks without any user
warnings. "

Such warning had been implemented in all modern browsers since years ago while an app developed in 2021 lacks this basic security feature.

沙盒A

科技界對漏洞和弱點要分開來理解吧?
正常情況下要達到正常操作下不會有的操作才會有暴露風險
既然政府看 ...
一隻人 發表於 2022-8-1 13:03

rabbit82047

回覆 22# alanh999


    總算睇左，係唔係一般既 security assessment report，就交俾你判斷啦

EVANGELION

GOOGLE 會唔會將佢下架
bsheung 發表於 2022-8-1 16:40

    已經裝左既話下架都無用，最多之後無得update...但有得去安心上路個網download個apk黎裝..

dptinker

回覆  alanh999

不如你又根據個 report 指出有幾 serious

Access 到部機再可以 set 埋 proxy 先 exploi ...
rabbit82047 發表於 2022-8-2 09:52

set proxy 黎exploit 只係一個demo
佢係想話比你聽, 如果你connect左去一個有問題既network, 或者有用人某D方法intercept到你既connection,
就會因為個安心app 做cert verification 做得唔好, 而令有心人偷到安心app傳送既資料 (所謂既man-in-the-middle attack)
正常而言, 如果個app係要傳送sensitive information,
establish connection 時就一定要verify server張cert 係咪完全valid,
如果整張假cert黎扮可以騙到個app,
咁個app 點都要fix吧


比較好笑既係後面有個high risk
係話安心app 可以開啟認證功能(例如PIN/指模)先可以睇到儲喺app 入面既針卡資料,
但經測試後, 只要直接去設定關閉個認證功能,就可以繞過個認證睇到D資料,
而關閉呢個動作完全唔駛認證.
測試認為,呢個完全係程式既設計邏輯有問題,
因為一個認證功能只需要在程式裡按幾下就能關掉,
簡單D講, 就係設計認證功能既人冇用腦

buzz_

其實無做cert pinning咪話會做返囉，硬係要死撐。

alanh999

其實無做cert pinning咪話會做返囉，硬係要死撐。
buzz_ 發表於 2022-8-4 11:49

    The HK government is always right, so whoever points out any problem is considered a problem.

alanh999

回覆  alanh999


    總算睇左，係唔係一般既 security assessment report，就交俾你判斷啦 ...
rabbit82047 發表於 2022-8-4 08:36

How do you define "一般" and not "一般"?

一隻人

所以問題就是為什麼會出現訊息差了
Android 6是7年前出的產物了
到底是都出BUG還是只是歷史問題BUG
假如只是ANDROID版本問題倒還好
始終現在程序大多數的功能實現是靠調用公用庫來實現功能的
公用庫的BUG有時還真非戰之罪
期望他能用一台較正常型號的機型做測試吧