Het onderzoek naar ToxicPanda laat goed zien hoe kwetsbaar Android blijft bij misbruik van Accessibility Services. Door zich voor te doen als een legitieme app en vervolgens permissies af te dwingen, kan de malware volledige controle overnemen – inclusief het stelen van inloggegevens en OTP’s. De aanval is technisch slim opgebouwd en lastig te verwijderen, zeker voor niet-technische gebruikers. Opvallend is dat de infectieroute nog onbekend is; zonder die kennis blijft effectieve preventie lastig. Ook rijst de vraag in hoeverre bestaande beveiligingslagen zoals Google Play Protect dit soort malware tijdig herkennen en blokkeren.

Mijn moeder van negentig wil per se een Samsung maar gelukkig doe ik al haar administratie en heeft zij geen risicovolle apps op haar telefoon.

oa apps met adds.............................................

Oh ja hoor... Bankieren met een Linux computer en een scanner van je bank voor inlog zoals van ING of AMRO is véél onveiliger. Oh ja? En waarom dan? En geef dan ook maar antwoord op mijn vraag hoe het komt dat ik nooit maar ook nog nooit ben gebeld met een lulverhaal van een nepbankmedewerker.
Hoe vaak ik hier wel niet lees dat er weer iets mis is met smartphone bankieren; daar zakt spreekwoordelijk de broek van af tot op de schoenen nu dit weer. Waarom die shitbanken dat smartphone bankieren maar blijven pushen is mij een raadsel. Het lijkt wel of zij opzettelijk klanten de bagger in willen laten draaien. Donder toch op met die kleuter-software; die bankapps!
Geen enkele bank kan mij wijsmaken dat zij hun datacenter besturen met kleuter-software; met een bank-crypto app.. Zij zouden wel gek, compleet van de pot gerukt zijn!
Even terzijde maar daar krijg ik ook altijd de hik van: Die hoogst irritante pop-up "ben je er nog?" als ik even zit te staren in mijn bankaccount en dat terwijl mijn bank verdomd goed weet dat ik nooit met een stuk in mijn kraag in een bankapp zit en met mijn dronken kop mijn telefoon op de bar zal laten liggen om even te gaan pissen, simpel omdat ik geen smartphone heb!

Waarom perse een Samsung?
Letterlijk die , of bedoel je/ze "een smartphone" en is dat synoniem met Samsung geworden?

Mijn moeder van negentig wil per se een Samsung maar gelukkig doe ik al haar administratie en heeft zij geen risicovolle apps op haar telefoon.
De kwetsbaarheid zit in Android.
Mijn moeder heeft een Android en het is een Samsung.
Daar is zij aan gewend.

Ja, ook dat steeds vragen om te updaten buiten de webstore om.
Dat is vragen om problemen.

Handhaving bij cybercriminaliteit? \
Gebeurt er nog wel iets?
Of is het steeds dweilen met alle criminele kranen open?

Je bent een egoist en ongeschikt om beslissingen voor "alle" klanten te nemen.

Alleen maar IKKE doe het goed dus wat IKKE wil doen moet kunnen.

yep, alleen maar ikke ikke want in jouw persoonlijke kringetje heb je een nogal reeel risico toevallig niet zelf meegemaakt dus het valt wel mee .


Wordt eens sociaal en ga eens in een buurthuis, bieb of zo "gewone" mensen helpen .
Kijk nou eens goed wat _die mensen_ doen - en heb dan nog eens het lef om te roepen dat ze "gewoon" linux moeten draaien voor "veiligheid" .



Dat weet je bank helemaal niet van jou.

100% egoist - voor de massa die zich wel onveilig gedraagt (ook weglopen achter de compu) zijn al dat soort dingen nodig.

Maar omdat JIJ het niet doet moet het maar voor iedereen uitgezet worden.

Haal die klote stoplichten ook maar weg, want IK kijk altijd wel drie keer voordat ik oprij.
En zet die herrie sirenes van de ambu maar uit want IK kijk vaak genoeg in de spiegels.

ja leuk hoor Samsung smartphone met 2 account...een voor Samsung een voor google...ik zeg nou neen geen Samsung voor mij...mee geleerd..nu 1smartphone. met aleen google account Motorola bere goed en snel....

Omdat verschillende omstandigheden andere risico's met zich mee kunnen brengen.

Bijvoorbeeld, als jij goed oplet dat je niet op een nep-banksite inlogt en geld overmaakt, is jouw risico om op die manier beroofd te worden als je een scanner van jouw bank en een browser onder Linux (of zelfs Windows) gebruikt, klein. Als je gevoelig bent voor dat soort oplichting, bijv. omdat je niets van domeinnamen snapt (of graag met allerlei browser-plug-ins experimenteert), kun je waarschijnlijk beter een bankapp (met hardcoded domeinnaam en niet te omzeilen https-check) voor Android of iOS gebruiken.

Anderzijds moet je, in die laatste situatie, natuurlijk niet een nep bank-app installeren, of een andere app met vergaande privileges (daarbij kan het ook om niet-malware gaan, zoals AnyDesk en TeamViewer).

Dus omdat er nog nooit een vliegtuig op jouw huis is neergestort, weet jij 100% zeker dat dit morgen niet kan gebeuren?

Ik heb meerdere e-mail aliases. Op enkele krijg ik veel spam, op andere nooit (zoals op degene in mijn profielfoto, die ik voor allerlei relatief onbelangrijke zaken -maar wel veel en openlijk- gebruik.

En terwijl mijn vriendin veel spam over (zogenaamd) hete Russische vrouwen krijgt, ontvang ik weer heel andere rommel.

Als je wilt kan ik wel even een nepsite voor je opzoeken die om een telefoonnummer vraagt. Als jij (of ik) daar dan jouw nummer invult, word je heus wel, vroeger of later, gebeld door oplichters. Je weet (nu) niet wat je mist!

Bewonderenswaardig dat je kunt wennen aan al die bugs in Samsung producten.

Geef de voorkeur aan internetbankieren via een goede browser. Helaas lijkt mijn bank al geruime tijd aan het voorsorteren dat het binnenkort nog enkel via hun, privacy-onvriendelijke, applicatie kan.
Functionaliteiten die verdwijnen en links en rechts (tussenin ook) steeds meer lege ruimte. Wat dan? Bank doet nu al niets met feedback. Hun laatste toegevoegde wapenfeit, iedere keer weer een nutteloze pop-up wegklikken na het inloggen.
Daar betaal je dan de hoofdprijs voor en je wil zo min mogelijk keren in inloggen. Daarom vallen de verslechteringen ook zo op.

Administratie kan toch gewoon op de pc, of wil iedereen het zichzelf tegenwoordig persé moeilijk maken?

Man man het nijd drupt, neen stroomt er vanaf hè? Enfin, natuurlijk weet de ING dat ik geen smartphone heb. Tsjonge jonge; Ik app toch niet?! De enige smaak die dan nog overblijft is een bureaubak of laptop met een browser! Dus: Denk jij nu ècht dat zij niet weten met welke device je verbinding hebt met hun server? Hoe naïef kun je zijn.

Ik ben de afgelopen 10 à 12 jaar al verschillende keren voor een Dinosaurus of zelfs Neanderthaler versleten omdat ik geen smartphone heb/wil. Maar om voor 100% egoïst te worden geëtaleerd vanwege het luttele feit dat die kleuter hardware mij voor geen bal boeit moet je toch wel behoorlijk zoniet volledig van het padje zijn m.b.t. beoordeling van mijn geestesgesteldheid.
(Het is bijna dagsluiting en heb voor het slapen gaan toch weer even kunnen genieten van een staaltje amateurpsychologie van grote humoristische waarde!)
Oh en voor ik het vergeet naast Linux 22.1 heb ik op een andere computer Win.10 in gebruik en daarnaast ook nog een tweedehandse MacMini uit 2018 met MacOs 15 Sequoia. Daarmee ben ik uiteraard een nog grotere egoïst...

Wie bankiert mbv de smartphone vraagt erom

Linux 22.1 bestaat niet. Als je ook win10 gebruikt weet je echt niet waarom je eigenlijk Linux gebruikt.

Tja dat is de windows manier van applicaties installeren. Dat moet je dus afleren. Alleen installeren via de play store.

Bij Android weten de meeste gebruikers niet eens dat je kunt sideloaden, laat staan hoe je het aan moet zetten op te telefoon/tablet.
Bij Windows wordt de MS Store helaas nog te weinig gebruikt, en juist daar is nog veel te halen bij gebruikers die eiegnlijk niet weten wat ze aan het doen zijn....

Bank-gerelateerde exploits bestaan op elk besturingsysteem, zowel op Apple, Linux, Windows en Android.
De grootste opening tot exploits zijn mensen zelf, vandaar dat mensen het zelden vergoed krijgen van de bank, en geljjk hebben ze.

Linux Mint 22.1 Cinnamon versie 6.4.9

M.b.t. je tweede opmerking: Verklaar je nader en zeur niet zo kinderachtig. Ga jij voor mij de OS puber uithangen waarom ik denk ook Windows 10 te willen gebruiken èn MacOs. Ik dacht het zeker niet! Grow up! Wees een volwassen computergebruiker! Je lijkt de belastingdienst wel die nou net niet bepaalde dat je voor je opgave IB Win.95 nodig had, maar het kwam er wel op neer.

Hee, ik moest er net aandenken: heartbleed (2011) en het betalingsverkeer in Nederland (ideal) en banken die werkten met SMS bevestigingen. Nu gaat dat de Wero worden.

Hele trits persoons- en bankgegevens die verstopt moesten worden in een zwarte doos (black box waarvan men de werking nog niet wilde bekendmaken, maar vloog de hele wereld over)

Ontopic in de zin van risico-inschattingen maken, doch slightly offtopic ook: het roept bij mij de herinnering vers in het geheugen hoe mijn eerste gedachte na het neerstorten van die Boeing op de Bijlmer, een paar honderd meter naast mijn huis, was: zo, nou weten we 100% zeker dat er nooit een vliegtuig op mijn huis gaat neerstorten - ze kijken wel link uit in het vervolg, in ieder geval op die specifieke plek :)

Okay kleuters, kom maar terug met een bericht als je wel weet waar je over praat...

Dit soort berichten las je in de begindagen dat Apple begon te zweten van de opmars van Android regelmatig... FUD was dat.

Net zo'n zinvol bericht als 'autobanden lek van mensen door heel nederland.. oorzaak, geen idee'... ja, lekker belangrijk dan.

Linux is een andere manier van werken, een idealisme ook dat jou weer zeggenschap over de computer geeft. Of te wel jij bepaalt en niet Microsoft. Voor mij is het een heerlijk gevoel om Microsoft vrij te zijn. Winstmaximalisatie vs samenwerken en verder bouwen op wat al eerder is gedaan sluiten elkaar uit. Ik zei vroeger altijd je gaat Linux past echt waarderen als je eerst door de windows shit bent gegaan en uiteindelijk wil je alleen nog maar Linux ook met die ontbrekende applicatie (waar later een veel beter alternatief voor blijkt te zijn). Windows is hier verboden ivm ransomware.

...want we wijzen pas op bedreigingen voor de samenleving wanneer we het probleem onder controle hebben.
Omdat het anders maar "onnodig" met_apps_bankierende_klanten ongerust maakt.
Wat stellen 1500 gecompromitteerde devices dus 1500 slachtoffers immers voor?
---
Bitsight is gewoon volledig.
En zo hoort het.

Lezen en begrijpen is moeilijk voor je , dat was al duidelijk.
Wat de bank NIET van jou kan weten is of je met je dronken kop weggelopen bent van een device in een shared omgeving , of dat jij in je eentje in je veilige zolderkamer even wat zit op te zoeken in je papieren.
je schrijft nota bene letterlijk dat je verwacht dat de bank _dat_ van je weet.
En als je daarop aangesproken wordt is het opeens "ze weten wel dat ik met een desktop brows" .


Het egoisme zit het in het feit dat je jouw heel specifieke gebruiksscenario geschikt voor iedereen acht, danwel vindt dat set van beveiligingsmaatregelen die er zitten om "iedereen" te beschermen tegen onheil zo lastig/onnodig zijn omdat ze _in jouw persoonlijke setup en met jouw specifieke stijl van gebruiken" niet strikt nodig zijn.

Btw - karaktertrek != geestesgesteldheid.

Security _professionals_ weten wel dat je bepaalde risico's op verschillende manieren kunt (/moet) mitigeren.
Als je iets moet doen op een manier die meestal onveilig is, moet je aantonen dat je de risico's op een andere plek/andere manier gemitigeerd hebt .
Een heel erg beveiligd client systeem , met een heel erg alerte gebruiker kan best in het totaalplaatje gebruik van (slechts) usernaam/password acceptabel maken zonder MFA, bijvoorbeeld .
Alleen is dat zelden of nooit een keuze die je voor een volledige omgeving zo wilt maken, omdat tig client systemen , en met name met een grote populatie gebruikers - dan kies je modellen waarin zoveel mogelijk centraal geregeld (/afgedwongen) wordt .

Als je zo leert kijken en denken zie je de logica van de keuzes van partijen die "veel" gebruikers hebben .


Het zou goed voor je zijn om eens buiten de bubbel van "ikzelf" of "ikzelf en mijn persoonlijke kennissen die op mij lijken" te denken.

Bedenk eens hoe slecht 'de gemiddelde gebruiker' eraan toe zijn als een dienst werd ingericht (geen popups , geen auto logout, gewoon usernaam/wachtwoord) op die manier die JIJ wil (en waar jij, qua alertheid en systeembeheer, redelijk veilig mee om kan gaan ) . En als je dan durft toe te geven dat de grote meerderheid daarop achteruit gaat - en het toch wil - bingo - egoist .

Iemand als Max Verstappen is een erg volwassen professional - die gaat dus niet lopen oreren dat ie met 200 km/h nog prima "voertuigbeheersing" heeft en alles onder controle - en dat verkeersregels op die basis zo vervelend zijn.
Feitelijk zou hij wel gelijk hebben - zijn persoonlijke voertuigbeheersing is exceptioneel , en een hoop verkeersregels hebben als achtergrond dat "de verkeersdeelnemer de controle niet verliest" ; in zijn geval ligt die grens veel hoger.
Maar de IT zit vol met mensen die van alles roepen over een massaproduct op basis van wat zij , in dat domein, als gebruiker dan een stukje beter kunnen dan de rest van de wereld.