Vlákno názorů k článku Android Pay je v Česku. Zatím ho podporují mBank, J&T Banka a Moneta, přibude KB od BobTheBuilder - On je tu drobný rozdíl, Apple chybu opraví,...

Tady se do sebe hodně nešťastně míchá několik spolu nesouvisejících věcí.

V Androidu, stejně jako v každém jiném OS, chyby byly, jsou a budou. To se nezmění.
Důležitý je přístup uživatele. Telefon s několika málo aplikacemi je daleko méně zranitelnější než telefon do kterého si někdo narval stovky pochybných aplikací. Samozřejmě bez kontroly toho jaká práva daná aplikace vyžaduje. Tam je pak pravděpodobnost nějakého útoku daleko vyšší.

Pokud mám instalováno něco co má přístup k SMS, tak musím považovat všechny SMS za veřejné protože je může kdykoliv kamkoliv odeslat. Samozřejmě včetně autorizačních sms bankovních transakcí.
Je to stejné jako u klasických počítačů.

Autorizace SMS je obvykle použivána v případě dvoufaktorové autorizace a je založena principu DVOU NEZÁVISLÝCH kanálů, tj. pokud bude jeden z nich kompromitovaný, tak o tom tím druhým kanálem dozvím.
Tady je kriticky důležité dodržet nezávilost těch kanálů.
Pokud jsem přihlášený na PC a přijde mi sms, tak obojí jde zcela nezávislými kanály a útočník nemá šanci kompromitovat oba kanály zároveň.
Jiná situace samozžejmě je, pokud se přihlásím na mobilu a na ten samý mobil mi přijde ta autorizační sms nebo pokud se všechny sms přeposílají jako e-maily na počítač. Tam je porušeno pravidlo nezávilosti, protože pro získání obou částí autorizace mně stačí přístup na jediné zařízení.

Autorizace pouze certifikátem je opravdu méně bezpečná než dvoufaktorová autorizace přes SMS. Pro útok mně stačí ukrást ten certifikát. Pro dvoufaktor bych musel ukrást přihlašovací údaje A ZÁROVEŇ získat tu autorizační sms.

Pripodotek:

1) realne-matematicka bezpecnost bankovnich aplikaci vas nemusi zajimat, nebot potencielni skody jdou prave za bankou*. Pokud bude pro banku nejlevnejsi zpusob skladovani vasich penez v kosi na namesti, tak presne tam i budou. Pricemz potencielni skody jsou zapocitany pochopitelne to onech nakladu.

2) ona nesifrovana SMS je bezpecnejsi nez email. Pochopitelne za predpokladu, ze ten bankovni web nemate otevreny v tom telefonu na ktery vam ona SMS dorazi. Pokud to ovsem delate takto, tak si ten nezavisly kanal, o ktery jde predevsim, bourate sam. A ano, banky by v tomto ohledu mely sve klienty informovat.

*Ano, vim jak je to v CR, mluvim obecne.

Apple IOS na tom neni o moc lip http://www.cvedetails.com/product/15556/Apple-Iphone-Os.html?vendor_id=49

Jistě, ale to je systémová chyba. Na Windows máte aktualizace pravidelně. Při tom počtu chyb by to ale museli na Android doručovat týdně.

Ad 2: Nevím jak jiné banky, ale KB má přímo ve svých podmínkách, že pokud používáte jejich internetové bankovnictví z mobilu, musí potvrzovací SMS přijít na jiný mobil. Ale explicitně na to, pokud vím, neupozorňují.

Hezká statistika dle hlasování. Banky budou samozřejmě brát ztráty způsobené tímto odpadem na sebe, takže prozatím dva zodpovědní klienti budou hradit ztráty 16 nezodpovědných.

Já vím, proto jedině Windows 10 Mobile nebo BlackBerry.

Je úsměvné, když mne banka "poučovala" jak údajně strašně nebezpečná je podpisová aplikace s certifikátem, zatímco tyhle z hlediska bezpečnosti neopravitelné šunty (nelze je zabezpečit ani když o to stojíte) podporují bez keců.

Tohle už je naprostá rezignace bank na bezpečnost. Android jakožto nejhorší masový produkt softwarového průmyslu v historii nelze nijak zabezpečit, leda zařízení vypnout. Počet závažných chyb se neustále zvyšuje, většina zařízení nikdy neobdrží jedinou bezpečnostní aktualizaci za celou svou životnost. Některá už jsou napadena malwarem přímo z výroby, který nelze odstranit ani resetem do výchozího továrního nastavení.

Přitom banky tvrdí, že podpisová aplikace s certifikátem je údajně méně bezpečná, proto je (až na vyjímky jako Fio) ruší :-/

Stejně jako tvrdí, že autorizace transakce zcela nezabezpečenou SMS je údajně bezpečnější, než stejná informace zaslaná digitálně podepsaným emailem (proto ten kanál údajně nepodporují).