[Tanel]

M-hääletuse ehk nutitelefonis hääletamise rakendused on praegu arendamisel, kuid turvariskide tõttu ei võeta neid tõenäoliselt järgmisel aastal europarlamendi valimistel veel kasutusse. Peamine mure on Apple`iga, kelle tegevust rakenduse levitamisel kontrollida ei saa.

Lisaks võib probleemiks osutuda äpis kiirete muudatuste tegemine.
"Kui on vaja kiiresti tehnoloogilisi muudatusi programmi teha, siis praegu on see võimalik loetud minutitega. (Äpi)poodides võtab parandatud rakenduse üleslaadimine kindlasti tunde kui mitte päevi. E-valimiste läbiviimine muutub sellisel juhul suureks probleemiks," lausus Valimiskomisjoni esimees Oliver Kask ERR-ile.

Loe edasi: https://www.err.ee/1608991649/valimiskomisjon-m-haaletuse-kasutamine-tooks-kaasa-liiga-palju-riske

[d3t]

Demagoogia meisterklass see artikkel ikka. Loetud minutitega pushida välja update kõlab võimatuna kui teha seda vastutustundlikult. Tuleb ju PR üle vaadadata vähemalt kellelgi teisel, tuleb katsetada hunnikus seadmetega jne. Kontroll levitamise üle ei ole ju tegelikult kuhugi kadunud, seda eriti Apple seadmega. Kui Valimisteenistus laeb rakenduse ülesse, siis see sama rakendus ka kasutajate telefoni jõuab. Mobiilirakendus on ju reeglina kest, kogu tarkus istub serveris, nii ka täna valijarakendusega. Ehk olematu väljamõeldud probleem reaalmaailmas, kui vähegi vastutustundlikult tarkvara arendada. Kontrollimehanismi senisel kujul teha ei saaks, kuid seda annaks kergelt kohandada. Nt. salvestada pilt galeerisse QR koodiga ja siis valimise kontroll rakendusega võimaldada kaamera feedi asemel ja pilt näppu anda ja korras.

Üsna pea muutub sideloadimine ka võimalikuks Apple seadmetega tänu EU kohtuotsusele, seega teoorias saab nii Androidi kui iOS jaoks ise rakendust levitada ja vältida poodi. Minu hinnangul, see küll vähem turvaline (kuna shanss on, et arvuti on nt. nakatunud ja kuvatsekse vale infoga lehekülge ning kuna igaljuhul tuleb anda 3 tilka verd ja öelda, et installi tundmatuid rakendusi siis võib ka installitud saada pahatahtlik rakendus) kuid võimalus on olemas, kui soov on kõike teoreetiliselt enda kontrolli all hoida.

Taaskord, kui palju sa usaldaksid e-hääletuse tarkvara, kui selle välja tuleku päeval, tuleb patch, et poisid, hääletagem uuesti, esimesed 2h ei toiminud kuna me tegime katkise rakenduse ja ei testinud? Ajuvaba ju. Ning nüüd kasutatakse seda hüpotereetilist olukorda õigustamiseks.

[Tomorrow]

Mina sideloadimises mingit turvariski küll ei näe. Enne MS Store tegemist "sideloaditi" kogu tarkvara arvutitesse ja seda tehakse siiani kuna enamus win32 progesi ei ole poes esindatud.
Niikaua kui tarkvara väljastaja on ise usaldusväärne ja avaldab allalaadimislehel tarkvarapaketi hashi, siis saab allalaadija seda võrrelda, et olla kindel selle autentsuses.

[d3t]

Tomorrow, kusagil 35% submititud appidest App Storedesse on nii petturlikud, et nad ei läbi isegi automaatkontrolli. Kasutad API't valesti ei lähe läbi, pead ikka väga osavalt oma tegevust peitma et automaatkontrollist mööda saada. Juba see esmane kaitse on väärt midagi. Teine on blacklist millega remotly app terminateda, kui peaks nt. olema mingi versioon pahavaraga nakatunud (nt. arendaja tegi mingi paki update, mis oli compromised ja lasi koodi kokku ja update kaudu nii sisse sai) ning sundida rakendus kas uuendama või üldse eemaldama sõltuvalt vajadusest. Kui me räägime valimisest, siis VVK omaks piisavalt jõudu, et kõik kloonid lihtsalt blokeerida app storedes, rääkimata siis võimalusest lasta telefonides promoda seda valimiste nädalal poes. Kogu poe point on selles, et 1% kes kontrollib nt hashi ei aita 99% inimeste puhul kes seda ei tee.

[tshw900]

Juuni kuu esimesed 72 tundi:

iPhone'i uued 0-klikk häkid, turvaparandusi neile hetkel pole:
https://arstechnica.com/information-technology/2023/06/clickless-ios-exploits-infect-kaspersky-iphones-with-never-before-seen-malware/

Miljonitel GigaByte emaplaatidel püsivara tagauks:
https://arstechnica.com/security/2023/06/millions-of-pc-motherboards-were-sold-with-a-firmware-backdoor/

Iga üheksas Android telefon nuhkvaraga nakatunud:
https://www.tomsguide.com/news/over-400-million-infected-with-android-spyware-delete-these-apps-right-now