Názory k článku Stále chytřejší malware aneb Hrozby pro mobilní bankovnictví
-
P2010 (neregistrovaný)
S Androidem naprosto neřešitelné, když naprostá většina té veteše nedostane jedinou bezpečnostní aktualizaci za celou svoji životnost a to málo pak se zpožděním několika měsíců, takže jsou stejně neúčinné: https://twitter.com/SecX13/status/968225118517452800
Mnoho výrobců, včetně takových jako Samsung, pak dodávají falešné aktualizace, které ve skutečnosti nic neopravují
https://www.cnews.cz/android-chybejici-aktualizace-bezpecnost-srl-1200-zarizeni -
P2010 (neregistrovaný)
https://www.root.cz/clanky/telefony-s-androidem-lze-ovladnout-pres-usb-pomoci-at-prikazu/
Rozhraní je přitom dostupné přes USB, takže útočníkovi se stačí dostat fyzicky k telefonu nebo třeba upravit nabíjecí stanici volně přístupnou v obchodním domě
Ideální zařízení pro bankovní transakce.
-
P2010 (neregistrovaný)
Pro downvotující Google fans, citace z článku
Riziko je přitom velmi reálné, příkazy umožňují například: odemknutí displeje, simulaci dotyků na obrazovce, obcházení bezpečnostních mechanismů v Androidu, vyčtení citlivých údajů nebo rovnou výměnu firmware v telefonu.
V lepších případech je rozhraní dostupné jen v případě, že je v telefonu zapnuté ladění pomocí USB. Zpráva ale upozorňuje na to, že na řadě telefonů je možné AT příkazy použít v každé situaci. I pří zamčeném telefonu s vypnutým laděním .
Něco tak hrozného nebylo ani v dobách Windows 95, to až bude zase někdo tvrdit, že Android je údajně bezpečný.
-
fd (neregistrovaný)
Vy to stale nechapete ze? To banka takove zpusoby pouzivani nejen umoznuje, ale jeste propaguje, tudiz prave banka nese veskera rizika sveho pocinani. Z pohledu uzivatele/klienta je to naopak situace naprosto genialni, nebot je schopen kdykoli v pripadne libovolneho sporu o libovolnou castku dolozit, ze to byla banka, kdo mu doporucil takto nebezpecne se chovat.
A exaktne stejna rizika existuji na libovolnem systemu, ios/windows nejsou ani o pid lepsi.
-
Pokladam za zvlastni spolehat napriklad na obfuskaci jako obranu, nebot to neuspelo ani u aktivacnich kodu vsemoznych aplikaci.
Podle meho skromneho nazoru existuji jen tri mozne zpusoby skutecneho reseni:
1) nepouzivat mobilni bankovnictvi
2) pouzivat mobilni bankovnictvi na certifikovanem HW a O/S, a to bez jakychkoliv dalsich aplikaci
3) banka musi v plne vysi rucit za skody zpusobene utoky na mobilni bankovnictvi se splatnosti dane skody v radu nekolika dnu -
P2010 (neregistrovaný)
Banky už tiše s 3) souhlasí, když vědomě umožňují potvrzovat transakce na prokazatelně napadených zařízeních malwarem již z výroby, bez možnosti jakékoli účinné obrany a nápravy problému.
Je tu ale stále vidět ten rozdíl v přístupu, pokud si vyvěsíte přistupové heslo na balkoně, předpokládám že vám případnou ztrátu nenahradí. Pokud použijete jejich aplikaci na zcela nezabezpečitelném Androidu, kde banka o problému již předem ví, ale odmítá řešení (tedy na takovém odpadu něco takového neumožnit neprovozovat), pak to asi zaplatí ostatní klienti.
-
Petr Dvořák (neregistrovaný)
Pokud bych si měl vybrat z toho restriktivního seznamu, tak bod 3) je asi nejblíže, jen je nutné doplnit to, že pak banka má zájem na minimalizaci takových dopadů. Proto ostatně investuje do zabezpezpečení mobilní aplikace, a to i na potenciáně nebezpečném mobilním HW. Bezpečnost není binární. Je to škála, kde se pravděpodobnost a cena útoku srovává se složitostí a cenou protiopatření...
-
Noname (neregistrovaný)
Nojo, ono mobilni bankovnictvi jaksi postrada dalsi kanal, ktery lze pouzit pro potvrzovani plateb. U klasickeho internetoveho bankovnictvi lze jako dalsi kanal pouzit SMS na mobilni telefon. Take se to da prolomit, ale je to uz mnohem slozitejsi.
Navic mobilni telefon nemam pod kontrolou, "operacni system" tam nainstaloval nekdo jiny nez ja, a nemam ani root/admin prava a nastroje, abych mohl operacni system spravovat. -
Petr M (neregistrovaný)
Teoreticky má. Mobil má NFC a pokud to umí použít nejenom jako tag, tak může použít pro autorizaci platební kartu...
- Prakticky
- velká spotřeba NFC to dost omezuje,
- problém je uživatel, co skladuje kartu v obalu mobilu
- možnost napadnout aplikaci skrz API (simulovat dotyky, skrýt obrazovku)Takže plán B: Na mobilu zadat, na jiným zařízení potvrdit . Ale v tom případě je lepší "klasický bankovnictví" s ověřením přes mobil. Jenom se to frikulínům blbě vysvětluje.
-
Petr Dvořák (neregistrovaný)
K tomuto pouze doplním, že "cross-platformní útoky", kdy útočník napadne jak telefon tak stolní počítač (a kdy útok typicky využívá slabin SMS na chytrém telefonu), jsou dnes zcela běžné a dějí se velmi často, narozdíl od útoků na mobilní aplikace jako takové (tam jsme teprve v začátku a snad je včas podchytíme).
Útočník není lovec motýlů, který si musí vybrat, zda chytne do své sítě žluťáska a bělásek mu mezitím uletí. V kyberprostoru neplatí fyzikání zákony. Útok na dvě zařízení současně není tak složitý, jak by se mohlo zdát...
-
MB. (neregistrovaný)
Řešení je jednoduché: HW klíče jako je “kalkulačka”. Pak mě nevadí, že útočník získá kontrolu nad zařízením, neboť není schopen provést autorizaci podvržených transakcí....ano, může v real-time zaměnit mojí transakci za svojí, ale to už je hodně problematické....
Problém je spíš v tom, lidi HW klíče nemají rádi. -
P2010 (neregistrovaný)
Řešení je nepodléhat módním trendům. Například podpisová aplikace pro Windows s certifikátem (kterou stále nabízí Fio banka) je stále miliardkrát bezpečnější řešení (pro ty, kdo o bezpečnost stojí), než cokoli s Androidem, který zabezpečit nelze ať se budete snažit sebevíce.
Totéž se týká zcela nezabezpečených potvrzovacích SMS, zatímco digitálně podepsaný email je nejen levnější a nezávislý na nějakém předraženém českém operátorovi (zde bude hlavní problém), ale především lze ověřit jeho odesílatele i pravost obsahu. Banka ovšem bude donekonečna tvrdit, že SMS je údajně bezpečná a email nikoliv, což je naprostý nesmysl.
Dokud budou banky podléhat masovým módním trendům na úkor elementární bezpečnosti, je vše zbytečné.
-
P2010 (neregistrovaný)
Před časem jsem o tom vedl diskusi s Fio bankou. Ptal jsem se proč mě nutí používat nezabezpečené SMS a ještě muset mít v zahraničí předraženou SIM kartu českého operátora, zatímco digitálně podepsaný email by všechny tyto problémy vyřešil. Odpověď byla, že to nepovažují za bezpečné :-)
-
L. (neregistrovaný)
Tak, digitálně _podepsaný_ e-mail by opravdu bezpečný nebyl. Musel by být digitálně zašifrovaný (asymetrickou) šifrou, kterou dokážete dešifrovat pouze vy. Nicméně počet uživatelů schopných takové řešení používat by bylo limitně blízký nule, takže nedává smysl, aby jej banka implementovala.
-
P2010 (neregistrovaný)
Přečtení a podvrhnutí SMS není složité https://www.root.cz/clanky/postrehy-z-bezpecnosti-ss7-zranitelnosti-zneuzity-k-vykradeni-bankovnich-uctu/
Podepsaný email řeší základní problém SMS a to je závislost na konkrétním poskytovateli služeb a zařízení, navíc s regionálním omezením. Jenže tam vidím jasný záměr banky takové služby propagovat, zřejmě nějaká interní smlouva s operátory.
-
bmann (neregistrovaný)
Ani jedno není a nemusí být pravda.
ad 1) cena je diskutabilní a závisí na politice banky. Třeba USB má HW kalkulačku za 500Kč. Ale mají totálně blbou implementaci, ale to je jiná věc nesouvisející s cenou.
U RB se platí měsíční poplatek za používání HW kalkulačky.ad 2) existují různé varianty, např.
- klasická HW kalkulačka (při málo platbách není problém u mě)
- se čtečkou QR kódů (naskenuji, potvrdím a hotovo)
- s modrým zubem s možností propojení s mobilním bankovnictvím v mobilu. Vidíte informace o transakci a musíte potvrdit.
Takže i mobilní bankovnictví může být bezpečné. -
L. (neregistrovaný)
Ad 1) Myslel jsem cena obecně. Banka se sice může rozhodnout klíč dotovat z jiných výnosů, ale ve výsledku tu cenu stejně zaplatí klient.
Ad 2) Prvotní otravnost je v tom, že to další zařízení, které máte. Takže ho buď musíte tahat s sebou, nebo se z mobilního/internetového bankingu stává spíše homebanking.
Scanování QR kódů / bluetooth spojení je sice hezké, ale komplikuje (= prodražuje) zařízení a zvyšuje jeho spotřebu, tedy dále komplikuje jeho používání potřebou nabíjení / výměny baterek. No a bluetooth, v jeho implementaci mohou být bezpečnostní bugy, přes které se dá do zařízení vzdáleně dostat...
P.S.: 100% bezpečnost neexistuje ;)
-
P2010 (neregistrovaný)
Existuje ještě další velmi bezpečné řešení, pokud neprovádíte deset transakcí denně a je zcela nezávislé na jakémkoli hardware. Seznam předem vygenerovaných potvrzovacích kódů. Bohužel to nemá šanci tím jak je to jednoduché, protože v tom není závislost na zbytečných mobilních operátorech ani na zbytečných proprietálních mobilních aplikacích.
-
Petr Dvořák (neregistrovaný)
Doplním, že se zavedením PSD2 legislativy tento prostředek není ani legální, protože autentizační kód musí být:
- pevně spojený s daty transakce
- spočítaný s využitím alespoň dvou autentizačních faktorůDo budoucna tomuto požadavku vyhovují dvě technologie:
- softwarová kryptografická kalkulačka - např. aplikace ala mobilní klíč, jádro v mobilním bankovnictví, ...
- hardwarová kryptografická kalkulačka kam lze zadat data a pak buď heslo/PIN kód, nebo biometrický scan -
bmann (neregistrovaný)
Ad 1) Mě zajímá výsledek. Pokud máte u UCB účet, zaplatíte 500 a už nic. Účet je dále za stejných podmínek.
Ad 2) Ale tak každý si může zvolit co mu vyhovuje víc. Mě by tahání kalkulačky nevadilo. Navíc při mém používání to klidně můžu mít i doma.
Ano nic není 100%. Pokud nechcete modrý zub, můžete mít standardní kalkulačku, která nemá žádné připojení.Je to vše o volbě každého. Bohužel ale u nás nemáte možnost výběru a zvolit si tu vhodnou variantu pro sebe.
-
L. (neregistrovaný)
Ale za těch 500 je to jen kalkulačka, neumí to ani QR, ani Bluetooth, ne?
Pointa je v tom, že lidí, kteří by si zvolili nějakou verzi kalkulačky je příliš málo, aby se to bankám vyplatilo nějak ve větším zavádět, natož mít ještě několik různých verzí, to už by byla naprosto minoritní záležitost.
-
bmann (neregistrovaný)
Ano, jen kalkulačka. Ale nemá se cenu bavit o cenové politice, protože by mohla být u každé banky jiná a tak nevíme kolik by stála jiná varianta.
A třeba mě by kalkulačka stačila, když mám v průměru 1 až 2 platby měsíčně. Nemám problém to pak zadat.Ano, to je problém slepice a vejce. Lidé to nechtějí, protože o takové variantě neví a nikdo jim nevysvětlil výhody. Ale těžko soudit.
Zajímalo by mne, kolik lidí by si zvolilo nějakou variantu kalkulačky pokud by ji nějaká banka nabízela a vysvětlovala výhody.Přece jenom jsme více jak 10 let jinde než v době kdy ČS kalkulačky rušila.
ČLÁNKY DO MAILU