Vlákno názorů k článku Česká spořitelna končí s George klíčem. Jak budete nově potvrzovat transakce? od xls - Takže si to shrneme: všechny vaše peníze ve...

Takže si to shrneme: všechny vaše peníze ve spořitelně budou záviset na jediné aplikaci, která bude fungovat on-line na totálně děravém operačním systému telefonu (většinou Adroid). Až vám účet vykradou, tak vám spořka řekne, že si za to můžete sami, protože jste si nezajistili bezpečnost telefonu (kterou vám nikdo nezajistí ani u nových supertelefonů, které dostávají bezpečnostní aktualizace, nemluvě o nějaké obstarožním čínském šmejdu).
A to se vyplatí!

Zase tak špatně to není. To samé by jste mohl říct o Windows a ten používají taky skoro všichni a lidstvo stále nevyhnulo...

26. 10. 2023, 05:56 editováno autorem komentáře

Jasně, ale kvůli potencionálním problémům s bezpečností jen na počítači se tu zavedl ten druhý faktor. Útočník musel mít pod kontrolou jak počítač, tak mobil. Teď mu stačí jen ten mobil.

Pointa je v tom, že pod tím vaším jednoduchým pojmem "kontrola" se skrývá mnoho možností, které mají pro útočníka velmi různou užitečnost a náročnost získání.

A získat tak velkou kontrolu nad mobilem, abyste mohl ovládat aplikaci mobilního bankovnictví, to je setsakra těžká věc. Tak těžká, že jsem nezaznamenal popsaný úspěšný útok tímto vektorem. Zato úspěšných útoků, kdy útočník ovládne počítač a překoná SMS autentikaci (buď ovládnutím mobilu, nebo získáním SMS z by design špatně zabezpečené telefonní sítě) je docela dost.

Zaznamal jsem i pokusy o podstrčení falešné mobilní aplikace banky a přesvědčení uživatele, aby si ji spároval místo té pravé. Už to, že se útočníci namáhají takovou aplikací tvořit a ladit, reverse-engineerovat komunikaci, ... spíš, než by se snažili ovládnout aplikaci originální ukazuje, jak těžké takové ovládnutí je. Čímž neříkám, že se to nikdy nikde nestalo, jen že je to velmi těžké a vzácné.

Mimochodem, v té dvoufaktorové autentikaci máte taky hokej, jako většina lidí. I mobilní bankovnictví používá dvoufaktorovu autentizací. Musíte mít ten mobil (faktor vlastnictví) a buď se prokázat biometrikou (faktor "co jsem"), nebo PIN kódem (faktor "co znám").

Takze si to shrneme. Mas stolety kram a budes zde ventilovat tvoji paranoiu. Doporucuji chodit na pobocku zadavat papirove prikazy a budes mit klid...

Zas takový krám nemám, nedávno se to aktualizovalo na Android 14. Paranoiu nemám, ale zase přijít o své peníze kvůli nějakým zcestným představám banky taky nechci.

Ale ty zcestné představy tu má někdo úplně jiný, než banka :-D

Nejde o staleté krámy, mám aktuálně A12, protože tam výrobce ukončil podporu a když koukám na nové telefony co se prodávají tak je to bída :( Ale je pravda jsem náročnější uživatel, který nechce dát za telefon 30...

Podobné obavy byly hlavni motiv, proč jsem si před lety, když vyšly z módy Nokie, pořídil iPhone a ne Android telefon. Mohu říci, že jsem s rozhodnutím naprosto spokojen.

Takže prakticky jako u všech ostatních bank. Co tam máš dál?

U všech naštěstí ne.

Dobrý den, ještě jsme nezaznamenali žádný případ zneužití účtu, ve kterém by nehrála hlavní roli nedbalost klienta. Zcela na rovinu říkáme, že klient je nejslabším článkem celého problému. Ke zneužití účtu dochází kvůli sdílení bezpečnostních údajů, kódů a potvrzování transakcí, které klient osobně neprovádí, nikoli kvůli prolomení zabezpečení aplikace.

Tak holt penízky vyberte a šup s nimi pod martačku. Tam budou uloženy naprosto bezpečně...:)