Vlákno názorů k článku Bezpečnost mobilního eKonta Raiffeisenbank podrobně od sarsonj - V clanku se pise, jak se uzasne zachazi...
-
V clanku se pise, jak se uzasne zachazi s PIN po aplikacni strance. Nicmene - samotna klavesnice na zadani PINu je stale stejna. Tj. jednoduchy logger obrazovky / tapovani na klavesnici a PIN je doma.
Z clanku je jasne, ze banking RB je opravdu bezpecnejsi, nez u konkurence. Nicmene ta bezpecnost neni vyssi radove ani podle me nasobne. Kazda bezpecnost je tak silna, jak silny je jeji nejslabsi clanek. I u napr. FIO, ktere mam ja, je potreba pro pridani noveho zarizeni ono zarizeni sparovat, tj. prihlasovani pres mobil je oddelene od prihlasovani pres web. Tj. na cizim mobilu se nikdo do bankovnictvi FIO s mymi prihlasovacimi udaji nedostane.
Pri realnem pokusu o napadeni / zneuziti formou ukradeni telefonu je pak podle me napadeni RB uctu dotycneho jednodussi - je snazsi okoukat stale stejny ciselny PIN ktery se zadava na velke ciselne klavesnici nez heslo do FIO, ktery se zadava na plne klavesnici a ma pravidla pro pouziti velkeho pismene / nepismeneho znaku.
-
fermi (neregistrovaný)
Inu, tohle http://www.fio.cz/docs/cz/aktivace_iOS.PNG a tohle http://www.fio.cz/docs/cz/Fio_IB_Globalni_nastaveni_SB_potvrdit_zarizeni.PNG vypada, ze druhym faktorem u FIO je proste UDID resp. IMEI. Fiiiioooo...
Pokud je to tak, potom je prakticke srovnani bezpecnosti takove komedie s klicem ulozenym treba v keychain pod iOS vtip (bez ohledu na PIN/heslo). Byl to vtip?
A co ta nutnost porovnat nebo snad dokonce opsat (brrr) kompletni UDID v podani bezneho uzivatele? To byl druhej vtip, ze jo ;-)
A nakonec, to se mobilni zarizeni u FIO fakt registruje jen zadanim jmena a hesla pro web (do webu)? Uz dost, clovece, to by bylo moc vtipu najednou! :-)
-
Vsak taky rikam, ze RB ma vyssi bezpecnost. Ale ne radove. Napr. takove kreditni karty maji bezpecnost radove nizsi a presto to funguje. Moje pripominka byla ohledne bezpecnosti pri ukradeni mobilu / jednodussi vysledovani PIN na daleko jenodussi klavesnici u RB.
Do FIO bankingu se zadny UDID neprepisuje, zarizeni se prida automaticky a nasledne potvrdi ve webovem rozhrani autorizacnim kodem poslanym SMS.
-
fermi (neregistrovaný)
Ten scenar je hodne specificky utok, kdy zlodejem je nekdo z blizkeho okoli. Takovy typek ma ale sanci dostat se na kobylku i "komplexnimu" heslu. Treba docasnym podhozenim sveho vlastniho mobilu s falesnou apkou. V kazdem pade tu jde o nejakou osobni hygienu pri zadavani PIN/hesla. Napad pro RB: Do dialogu pro vlozeni PIN napsat tucne: "Nezadavejte PIN, pokud je v okoli zevl!" A mozna jeste rovnou do maleho ramecku pustit signal z predni kamery a-la zrcatko na bankomatu. Jdu jim to napsat ;-)
Jinak ale ukradeni mobilu dopada mnohem hur pro FIO. Napriklad UDID (fakt je to ten druhej faktor?) mi piskne i zamceny iPhone jako seriove cislo na USB. Staci ten ulovek pripojit k Linuxu a vypalit oblibene "sudo lsusb -v" (si to zkuste). Takze prvni faktor na iOS padne, sotva mam ten mobil v ruce. Navic ho muzu klidne rychle vratit a pak zevlovat heslo. Dusledek - obet je naprosto spokojena, asi jako jelen v okularu zamerovace. Fiiiioooo :-))) Bum.
Ze by na tom IMEI Androidu bylo nejak lepe? Asi ne, co...
Furt mi to ale nejak nesedi. Skutecne je druhym faktorem ve FIO UDID/IMEI, nebo je to jen identifikator toho zarizeni? Tohle se prece nemuze pustit do sveta. Fiiihaaaa ;-)
-
V dobe kdy jsem si to API debugoval (asi pred pul rokem) to tak opradu bylo - UDID tam behalo press SSL v XML zprave. Tehdy tam jeste meli chybu, ze se neoveroval certifikat, takze sel udelat krasne MitM attack. To uz je nejakou dobu opravene. Mozna ze zmenili i tu komunikaci, takze to co pisi bylo opravdu aktualni pred pul rokem.
Co presne tam maji ted jsem nezkoumal, ale cisty UDID to urcite neni.
-
Co je tam na iOS, nevím, ale na Androidu to je IMEI, nebo unikátní číslo zařízení. Pokud aplikaci spustíte na mobilu, nelze dokončit přihlášení, dokud dané zařízení neaktivujete na desktopu.
Přihlášení do desktopového IB je sice jednofaktorové, ale autorizace změn je dvoufaktorová: Na autorizaci každého příkazu na Desktopu potřebujete Java aplikaci, a heslo k jejímu podepisovacímu klíči.
Na mobilu je autorizace změn dokonce třífaktorová: unikátní id zařízení, heslo do bankovnictví (odlišné od hesla na desktopu), autorizační PIN.
Na desktopu by stačil schopný keylogger, ale na mobilu ne. Útočník by musel získat plnou kontrolu nad mobilem, aby spustil bankovní aplikaci přímo na napadeném mobilu. Při krádeži mobilu, dokonce i s přihlášeným bankovnictvím, zase nebude útočník znát autorizační PIN. Navíc i aplikaci samotnou lze nastavit tak, že se po zatřesení mobilem odhlásí.
ČLÁNKY DO MAILU
