Názory k článku Dvě banky končí s SMS, klienti musí přejít na autorizační aplikace. Ale přesto budou výjimky

Ahjo, zase nucení něčeho co člověk nemusí chtít používat. Sám je používám a docela mě to štve, protože mám víc než jednu banku, takže musím hlídat víc než jednu aplikaci... A nejhorší je, že některé banky mají "znovuaktivaci" toho svého klíče fakt komlikované. Například taková KB, pokud má člověk "záložní heslo" tak se aplikaci neobnoví v bankomatu ani přes telefon a jako poslušný pejsek musí naklusat na pobočku...

A kolikrát týdně tak tu aplikaci obnovujete?

Za 3 roky se mi to stalo 2x. Nejde tady o obnovení, ale o to, že místo 5 minut nějakého klikání musí trávit cestu na pobočku, tam musím čekat, následně se musím bavit s bankéřkou, která se mi snaží prodat úvěr aby splnila plán... Ale jenom tato procedura mě otravuje...

Pořád jsem nějak nepochopil, proč si tu aplikaci "obnovujete". Ale co, lidi mají různé úchylky...

Obnovovat ji nemusím, ale bez ní neudělám určité typy operací. Protože přes SMS nelze všechno autorizovat. Pak to je takový polovičatý účet....

Jeden důvod byl třeba ten, že mi po instalaci aktualizace telefon skončil v boot-loop takže reset dat a jsem bez aplikace. A telefon předtím umřel, takže zase bez aplikace. Ono je jednoduchý si myslet, že telefon je nesmrtelné zařízení. Zvláště když tyto aplikace se nedají z podstaty věci zálohovat

I kdyby to dělal jednou za dva roky, pořád by to třeba mě stálo na čase jednotky tisíc za každé obnovení. Jo, za tu dobu si udělám mnohem víc. Ale přesto bych dva tisíce za účet neplatil a na ulici je také nenajdu (a když najdete, seberete je).

SMS ale nejsou bezpečné. Mne překvapilo, že to ještě nějaké banky používají – myslel jsem si, že už se SMS pro autorizaci v bankovnictví používat nesmí.

Zároveň si myslím, že používání autorizační aplikace je pro drtivou většinu lidí mnohem pohodlnější, než SMS. Přehledně vidíte, co se má schválit a potvrdíte to otiskem prstu, PINem, nakreslením vzoru… Naproti v SMS máte všechny údaje v jednom textu, musíte je tam hledat, pak musíte opisovat kód zpátky do bankovnictví.

To, že je někde komplikovaná znovuaktivace klíče, je problém té banky, ne technologie jako takové.

"V některých případech je ale možné funkce mobilního bankovnictví zamknout a ponechat si aplikaci pouze na ověřování."

Bylo by prosím možné - např. v nějakém dalším článku, toto blíže rozvést. Tedy uvést všechny banky, kde je možné držet zabezpečovací aplikaci odděleně od samotného internetového bankovnictví, banky, které umožňují funkce mobilního bankovnictví zamknout - a jakým způsobem se to konkrétně provede atd.

Tak minimálně ČS, KB a RB mají aplikaci jenom na to přihlašování. Všechno má v názvu klíč. Na bankovnictví mají nějaké další aplikace.

Tak ty banky začnu postupně rušit.

Tak ty z toho budou úplně hotové ....

"... banky tak stále častěji musí řešit případy podvedených klientů, kteří si nechali vybrat účet, a ještě převod potvrdili SMSkou."
Jako že aplikací v mobilu by to už nepotvrdili?

"... autorizace je tím mnohem rychlejší i pohodlnější..."
A tím pádem i bezmyšlenkovitější, takže o to snadněji půjde z někoho takové potvrzení vylákat.

S Poznámkou šéfredaktora souhlasím až na to, že to není o "finanční gramotnosti", ale spíš o naivitě a o důvěře v (domnělé) autority, případně o aspoň povrchní (ne)znalosti "jak to funguje".

"... hlavní riziko přihlašování do internetového bankovnictví z mobilu spočívá v tom, že probíhá v rámci jednoho zařízení" a k tomu "...může být pořízení takového telefonu výdaj navíc. Bude se však jednat o investici do větší bezpečnosti..."
Takže shrnuto: Používání takového mobilu je rizikovější, proto si ho mám pořídit, protože je to investice do bezpečnosti.

Podle mého názoru nejde o to, aby to bylo bezpečnější pro klienta, ale pro banku. Aby měla větší prostor pro manévrování v případě nějakého sporu.

Zdravím Vás,

máte pravdu. Ani autorizační aplikace neumí uživatele ochránit v případě, že ten naletí příběhu podvodníků, ve kterém potvrzení avíza v aplikaci nějak odůvodní. Nemyslím si, že je to horší než přeposlat SMSku. Vždy je to o tom, zda se uživatel zastaví a zamyslí, ale v tomto ohledu jde vlastně o rovnocenné riziko.

Já jsem uvažovala spíš tím směrem, že třeba ta appka od Monety vypadá, že počítá i s případy, kdy napadne telefon škodlivý kód. Ale je fakt, že aplikace od ostatních bank to umět nemusí a stále se tím neeliminuje ta lidská chyba, tedy potvrzení/pře­poslání něčeho bez rozmyslu, bez přečtení toho, co vlastně potvrzuji nebo přeposílám. Pochybuji ale, že někdy někdo vymyslí něco, co by takovým chybám uživatelů dovedlo účinně zabránit. Ten text v úvodu jsem ale upravila.

Díky za Vás názor a zdravím, Hájková

> Jako že aplikací v mobilu by to už nepotvrdili?
> A tím pádem i bezmyšlenkovitější, takže o to snadněji půjde z někoho takové potvrzení vylákat.

To záleží na scénáři. Často je to tak, že vám přes IM napíše někdo "známý" (ve skutečnosti útočník), že si omylem poslal na váš telefon potvrzovací kód a že mu ho máte přeposlat. Přeci jen, historka "nějak se potvrzení mojí transakce zobrazuje v tvém mobilním bankovníctví" je méně uvěřitelná.

Mám chytrý telefon i "hloupý" telefon. Je hezké platit pomocí QR kodu, ale to je tak všechno, kde vidím přínos chytrého mobilu v bankovnictví.
Jsem ITák, ale ne bezpečák, takže s rezervou. Nicméně považuji za bezpečnější SMSky mít na hloupém mobilu (nebo ještě lépe nechat si SMS poslat na pevnou, kde dojde ve formě faxu - Odorik.cz), než nějaké aplikace na plnohodnotném chytrém mobilu, což je víceméně mobilní počítač, kde každou chvíli se něco aktualizuje, instaluje. Je rozměrnější, takže ho člověk nemá u sebe tak často jako hloupý malý mobil.
Zatím je můj přístup ten, že banka, která ohlásí zpoplatnění nebo ukončení SMSek, prostě záhy dostane reakci ve formě žádosti mobility z jiné banky. Dostala to tak RB (a ta už nedávno ten poplatek za SMS zrušila), tak Moneta.
A když už nebude vyhnutí, prostě existuje možnost simulovat chytrý telefon na PC: https://www.root.cz/clanky/potrebuji-chytry-telefon-ale-nechci-ho-poustim-mobilni-aplikace-v-linuxu/

A čím víc tlačí, tím větší mám odpor, mimojiné z toho důvodu, že mobilní aplikace je čím dál víc reklamní portál bez možnosti vypnout reklamy, nabídky.

cituji : A čím víc tlačí, tím větší mám odpor, mimo jiné z toho důvodu, že mobilní aplikace je čím dál víc reklamní portál bez možnosti vypnout reklamy, nabídky. PŘESNĚ O TOHLE JDE nic víc v tom nevidím

> Jsem ITák, ale ne bezpečák, takže s rezervou. Nicméně považuji za bezpečnější SMSky...

Tak to považujete špatně. SMS jsou dost nebezpečné, mimo jiné proto, že se dají v nezabezpečené (a nezabezpečitelné) mobilní síti přesměrovat jinam. A můžete klidně mít ten nejhloupější telefon na světě.

> ... na plnohodnotném chytrém mobilu, což je víceméně mobilní počítač

Další typický omyl BFU. Mobilní OS (na rozdíl od běžných OS) mají systém práv a sandboxingu aplikací.

> ... prostě existuje možnost simulovat chytrý telefon na PC

Což je bezpečnostní hloupost srovnatelná s tím, že si necháte na ten počítač ty SMS přeposílat (někdo si tak liboval, jak je to pohodlné, že je nemusí opisovat).

>> ... prostě existuje možnost simulovat chytrý telefon na PC

> Což je bezpečnostní hloupost srovnatelná s tím, že si necháte na ten počítač ty >SMS přeposílat (někdo si tak liboval, jak je to pohodlné, že je nemusí opisovat).

no, tak se podívejme na návod, který vyšel před pár dny na sesterském webu root.cz, kde se přesně ta blbost řeší. Chápu emulaci Androidu pro testovací účely a vývoj, popřípadě pro nějaké hokusy pokusy ale ne proto abych na něj instaloval Google klíč, KB klíč. Divím se, že je to schopný někdo střízlivý navrhnout.

https://www.root.cz/clanky/potrebuji-chytry-telefon-ale-nechci-ho-poustim-mobilni-aplikace-v-linuxu/

Ano, o tom článku vím.

Budu rád za odkaz či vysvětlení, co přesně myslíte tím "přesměrovat jinam".
To, že SMS nejsou bezpečné vím. Nicméně bezpečnost není jen technická, ale i uživatelská. Pokud banka či bezpečák není BFU schopen vysvětlit, proč zavádí další/vyšší bezpečnost, je celá vyšší technická bezpečnost často vynulována uživatelem. A banka to nebyla schopna vysvětlit ani mně - jen obecná prohlášení.

Když se zavedly SMS k heslu, bylo to kvůli vyšší bezpečnosti, nicméně o to víc lidé si ty hesla ukládají, takže výsledná bezpečnost je možná horší než bez SMS ("pomohlo" to lidem, co měli heslo "heslo").

Já neříkám, že je to chytrá věc - já jen říkám, kam mě asi donutí banky zajít, když mě budou vnucovat mobilní bankovnictví současným stylem. Jsem si právě vědom toho, že pak celá ta vyšší bezpečnost bude pryč. Nemíním na mobilu vyťukávat cokoliv obsáhlejšího včetně příkazu k úhradě, hesla. A otisk prstu je z mého pohledu nebezpečný, mimojiné proto, že fyzickým násilím je ukradnutelný.
I kdyby mobilní telefon měl lepší OS (v což doufám a není mezi námi o tom sporu), stejně je to prostě víceuživatelské zařízení, ke kterému se tak mnoho lidí chová. A lepší OS lze obejít, rootováním, neoficiálními instalatory (protože krom bezpečnosti bohužel tyhle systémy už chtějí mluvit i do mnoha jiných věcích), takže nevěřím, jsem skeptický, že lepšímu OS mohu jakkoliv na takové úrovni důvěřovat.

Přesměrování: Jednoduše - mobilnímu operátorovi přijde zpráva od jiného operátora "tvůj mobil se zaroamoval ke mě, posílej mi jeho zprávy a hovory". Autentičnost takového požadavku přitom nejde jednoduše ověřit (by design). Nějaké základy např.: https://www.techtarget.com/whatis/definition/SS7-attack

> Pokud banka či bezpečák není BFU schopen vysvětlit...

Počítačová bezpečnost je velmi komplexní obor a už vůbec nelze do detailu rozumět všemu, co používáte. Úplně stačí, pokud tomu bude rozumět z uživatelského hlediska - co dělat a co nedělat.

> Když se zavedly SMS k heslu, bylo to kvůli vyšší bezpečnosti, nicméně o to víc lidé si ty hesla ukládají

Zdroj tvrzení, že tohle spolu souvisí?

> Jsem si právě vědom toho, že pak celá ta vyšší bezpečnost bude pryč.

Proč?

> Nemíním na mobilu vyťukávat cokoliv obsáhlejšího...

Však to právě nemusíte. Mobilní klíč je mnohem pohodlnější, než opisování kódu ze SMS.

> A otisk prstu je z mého pohledu nebezpečný, mimojiné proto, že fyzickým násilím je ukradnutelný.

Fyzickým násilím vás donutím k tomu, abyste mi ty peníze poslal přímo, proč bych se zdržoval s nějakým otiskem? A samotný otisk je k ničemu - je to jen "vstupenka" k podpisu spárovaným privátním klíčem. Potřebujete k tomu ještě ten mobil. Samozřejmě se teoreticky dá nějak "nepozorovaně" získat otisk, vyrobit falešný prst, ukrást mobil, ... ale to je dost nepraktický způsob útoku.

> A lepší OS lze obejít, rootováním...

Proto právě na rootnutých mobilech mobilní bankovnictví odmítá fungovat. A je to něco, co děláte vy jako majitel telefonu, takže to máte pod kontrolou.

Ad přesměrování SMS - problém operátorů a jejich odpovědnosti za škody.

ad souvislost - příčinná souvislost se špatně dokazuje, takže i kdybych dohledal výzkum, bude napadnutelný. Nicméně odpovídá to obecně chování lidí, přílišná složitost, zvláště ta nevysvětlená, vyvolává reakci ve zjednodušování. Čím delší jsou podmínky, tím méně je klienti čtou. Čím větší složitost, tím jasně klesá stupeň obezřetnosti na jeden krok, člověk má omezené množství pozornosti, které musí věnovat mnoha věcem (a osobně si myslím i absolutně, v součtu).

ad mobilní klíč je pohodlnější, pokud akceptujete další věci jako otisk prstů apod.

ad fyzické násilí, rychleji mi seberete otisk prstů než donutíte něco vykonat, říct. Ať už více lidmi mě zalehnete a násilím přiložíte prst nebo prostým useknutím prstu (málokteré běžné používané čidlo má detekci pulsu a i ty se dají obejít).

Bance je prd do toho, jestli a proč používám rootnutý telefon nebo ne.
Ale mě není jedno, když mi aplikace SmartBanka po aktualizaci drze oznámí, že nově bude s pomocí software třetí strany sbírat a uchovávat data o provozu zařízení, všech nainstalovaných aplikacích, včetně použité IP adresy a to i v případě, kdy bankovní aplikace není spuštěná.
Nikde není zmíněno jaký software třetí strany Vám do telefonu instaluje, proč ty data chce sbírat, ani jak dloho je bude uchovávat. A bez uděleni oprávnění se odmítne spustit - tak taková aplikace nemá v mém telefonu co dělat.

A už jste to odklonění SMS viděl jinde než na hackerské konferenci? Zase zůstaňme nohama na zemi.
25 let ty SMSky stačily a dnes jsou nebezpečné.
Ten chytrý mobil je mnohem nebezpečnější, protože si do něj půlka uživatelů stahuje co je napadne bez rozmyslu, kliká na všechno co jim vyskočí apod.
Banky to tlačí pouze a jen kvůli získávání informací o Vás jako uživateli s cílem tlačit cílenou reklamu. Mají miliardové zisky a pořád je jim to málo

Další typický omyl BFU. Mobilní OS (na rozdíl od běžných OS) mají systém práv a sandboxingu aplikací.

To mají i některé běžné OS. Sorry, ale prakticky plnohodnotný počítač to prostě je. Zvlášť, pokud ho máte odemknutý. Čili to není nepoužitelný bazmek.

> ... prostě existuje možnost simulovat chytrý telefon na PC
Což je bezpečnostní hloupost srovnatelná s tím, že si necháte na ten počítač ty SMS přeposílat (někdo si tak liboval, jak je to pohodlné, že je nemusí opisovat).

Jakože si má žena coby uživatelka tlačítkového telefonu kvůli něčí obsesi kupovat desetrkát komplikovanější smartphone, o který navíc naprosto nestojí? Tak jo, opravdu prozákaznická banka.

Také jsem se částečně živil jako ITík a pokud mi někdo tvrdí, že chytrý telefon s aplikací je bezpečnější, než "hloupý" tlačítkový telefon a SMSky, tak mi nezbývá, než se shovívavě pousmát. Pro uživatele chytrých telefonů je samozřejmě aplikace bezpečnější než SMSky, o tom žádná. Ale proč nutí i ty, co o to nestojí, mít chytrý telefon a být neustále online? Od jedné banky, už jsem z tohoto důvodu odešel. Problém ale bude v tom, že ti "chytráci" jsou nejspíš domluvení a co nevidět nebude kam přejít :-(.

Smějete se akorát vlastní hlouposti. Viz výše, SMS se dá ukrást i když máte ten nejhloupější telefon vypnutý a zamčený v trezoru.

Hloupy jste vy. SMS se da ukrast , ale je nulova pravdepodobnost, ze to udela ten samej utocnik... ;-)

Takové útoky se reálně dějí, vy nulová pravděpodobnosti.

Já provozuju některé bankovní aplikace v Memu - https://www.memuplay.com/
a docela to jde, jen některé obzvláště "bezpečné" aplikace v to nejedou. Např. RB, Equa, Moneta, asi mBank a ČSOB nedávno poslala výhružnou SMS, že od 17.10. mi přestane fungovat.

Potvrzování v aplikaci je pěkné, pokud si nepořídíte nový telefon. A zaregistrovat si změnu a zprovoznit aplikaci je, jak jsem zjistil, bez potvrzení SMS velmi obtížné.

WTF?
Normální postup:
- nainstaluju aplikaci do nového telefonu
- v bankovnictví nový telefon označím jako oprávněný k aktivním operacím (to smí být jen jeden)
- potvrzení provedu ještě nesmazaným starým telefonem
A hotovo. Žádná SMS, návštěva banky, nic. Od tohoto okamžiku je důvěryhodným zařízením nový telefon.

Idealisto...
Na začátku dovolené blbě šlápnu v lese, zahučím ze svahu, roztrhnu si bundu, z té vyletí telefon a při pádu praskne display (reálná zkušenost).
Normální postup - vyndám SIM kartu, vezmu synátorovi na chvíli jeho telefon, přihlásím se do eshopu, objednám novou bundu, zaplatím kartou, přijde mi ověřovací SMSka. Za dva dny vyzvednu balík s novou bundou a týden chodím s dětmi na výlety i v dešti.

Nový postup - nemám autorizovaný telefon s tou správnou mobilní aplikací, nekoupím náhradní bundu, sedím na chalupě a mám peška....

Lepší postup: Ten samý den si dojedu někam do krámu, kde si tu bundu vyzkouším a koupím, a nebudu muset dva dny čekat na kurýra, až mně z eshopu přiveze něco, co na mně bude viset jako na hastrošovi nebo mně naopak bude malé.

jak to bude dělat babička, když nemá hen ten chytrý telefon?

Myslí také někdo na tyto starší lidi?
Jak si asi vyřídí nějaký klíč?

telefon je především na telefonování, nikoliv na apky pro banky aj blbosti

není žádnou povinností mít chytrý telefon, znám i mladé lidi, kteří mají starý tlačítkový, na volání a pár sms, toto stačí.

Že nás stále někdo někam tlačí je věc jiná

Ještě před měsícem (kdy o tom psaly Peníze.cz) mluvila Moneta jinak, pokud jde o výjimku pro tlačítkové telefony... https://www.penize.cz/osobni-ucty/433673-konec-prihlaseni-pres-sms-hlasi-moneta-vyjimky-pro-tlacitkove-telefony-zustanou

No to už dnes není pravda. Takže mně v listopadu čeká přesun všech účtů (mých i manželčiných) z Moneta Bank do FIO, kde mám dva podnikatelské a jsem naprosto spokojen. Jen mně štve export všech trvaláků, když už to tak krásně fungovalo.

Tak hodně štěstí. Sám mám u FIO účty a stále je aktivně používám, má důvěra v jejich zabezpečení je ovšem zničena. Oni totiž pro ověření prohlížeče používají cookies na které ne vždy dosáhnou.
Příklad? Jeden z mých NTB. Omylem jsem si nastavil prohlížeč jako důvěryhodný a pokud to chci zrušit FIO tvrdí že OK ale ta důvěryhodnost tam stále visí, protože nedokážou to cookie smazat. Následky? Do účtu se dostanete pomocí jména a hesla, druhým faktorem se autentikovat nemusíte. Řešení ze strany banky? My s tím nic neuděláme, musíte si smazat cookies nebo nám notebook přineste.
No ale co když je ukradený? "My s tím nic neuděláme musíte nám ho nejdřív přinést".

Škoda že s takovým případem nechtějí mít nic ani média která se na cyberbezpečnost orientují, ani ČNB to nezajímá (myslel jsem si, že dohléží též na bezpečnost komunikace bank ale hrubě jsem se mýlil).

Tak pro klid uživatelů FIO budu doufat, že se sice chovali prasácky v komunikaci se mnou (ani náznak pochybení, neschopnost či spíš neochota bavit se na vyšší úrovni než klientský pracovník na přepážce), ale že na pozadí už pilně implementují korektní zabezpečení. Buďme ovšem realisté - nejspíš jsem naivní........

> ... nedokážou to cookie smazat.

To by jsi měl zvládnout v pohodě v tom prohlížeči přes Developer Tools (pokud je to Chrome / Edge? / FireFox). Ale není to nic, co by udělal BFU, to souhlas.

tak to samozřejmě. Ale jak jsi správně podotknul to není nic pro BFU, je přeci třeba počítat s tím, že zařízení je ukradeno. Mě fascinuje, že příklad: zjistím, že v zařízení mám registrovaný prohlížeč jako důvěryhodný, z IB mi to nejde odregistrovat ačkoliv tam na to je dialog který se tváří že to odregistroval což není pravda, pak mi NTB někdo ukradne a pokud získá jméno a heslo tak proti mé vůli obejde druhý faktor autentikace....

Ohledně bezpečnosti mi přijde, že jsou 2 druhy.

1) bezpečnost technologická - např. odchytávání SMS. To jsou věci teoreticky možné i prakticky předvedené, ale podle mne jsou v masovém měřítku využívány minimálně, pokud vůbec, protože náklady převažují zisky. Možná najdou uplatnění v případě cíleného útoku na konkrétní osobu / účet / instituci.

2) bezpečnost lidská - tj. že lze veliké množství lidí ukecat / zmanipulovat téměř ke všemu. Od jednoduchých mailů typu "Váš účet byl zablokován, klikněte zde." po telefonáty "Volá vám bankéř / policie / příbuzný". Tyto útoky podle mne jednoznačně převažují a proti nim žádná chytrá aplikace nebo chytrý telefon nepomůže. To člověk musí být chytrý, ne jeho telefon.

Další věc je úhle pohledu. Odpůrci SMS se na to dívají tak, že mají jedno zařízení, svůj "chytrý" telefon, kde dělají vše: přijímají SMS, používají bankovnictví (ať už v internetovém prohlížeči nebo v bankovní aplikaci). Do takového přístroje se jim může lehce dostat prográmek, který bude odchytávat SMS a přeposílat je dál nebo s nima jinak nakládat.

Naopak příznivci SMS mají normální telefon jen na telefonování na ty SMS. Tam se jim prakticky nemá jak zákeřná aplikace dostat, nehledě na to, že pro takové telefony nejspíš ani běžně neexistují. Ti se do banky hlásí přes prohlížeč v počítači a pomocí SMS z takového telefonu. Z tohoto pohledu jsou normální telefonu určitě bezpečnější a hlavně jednodušší na ovládání.

SMS nejsou problém. Problém je člověk. Mně samotnému to rozum nebere :-))
https://www.novinky.cz/clanek/krimi-falesny-banker-pripravil-seniora-na-jesenicku-o-temer-300-tisic-korun-40411419

TOTP je dobré na přihlášení, ale pro podepisování příkazů se nehodí, protože nezaručuje, co podepisujete.

Útočník může váš příkaz modifikovat tak, že místo tisícovky manželce pošlete celý zůstatek účtu jemu a s TOTP to při podpisu nezjistíte (údaje, co vidíte na obrazovce, mohou být upraveny, aby odpovídaly původnímu příkazu).

Pro zajímavost, náročnost bankovních aplikací na mým androidu (z toho žádnou nelze přesunout na sd kartu):

Creditas - 187MB
Fio - 136 MB
Moneta - 221 MB
UCB - 147 MB
Mbank - 142 MB
Hello - 37 MB

U starších mobilů je půlka interní paměti zabitá jen několika těmito molochy.

Raifka už má dlouho vše v jedné mobilní aplikaci, která navíc umí asi téměř vše jako internetové bankovnictví.

Vývojář aplikací pro Android a iOS podal následující doporučení:

Používat autorizační SMS na hloupém mobilu a současně na SIM zablokovat roaming. V české síti nelze vnitrostátním roamingem přesměrovat SMS. A zablokování roamingu u operátora neumožňovalo přesměrování SMS. Podmínkou je mít takový telefon trvale zapnutý, aby se zamezilo použití klonované SIM.

Pro platby, když jste fyzicky v zahraničí, používat platební karty. Ne proto, že by byly bezpečnější, ale proto, že jsou pojištěné a banka umí neoprávněnou platbu vrátit.

Důvod:
veškerý kód, který se dostane do paměti mobilu v systému Android, lze přečíst jinou aplikací a je technicky nemožné tomu zabránit. Je to z důvodu, že zabezpečení Androidu je hardwarově nedostatečné a dobří programátoři jej umějí obejít.
V případě iOS je situace složitější, nicméně ani iOS není bez chyb a ve světě existuje pár skupin excelentních programátorů, které umí zabezpečení iOS prolomit. Ale pokud nejste prezident korporace, nebo vývojář hypersonických zbraní, tak vám iPhone nejspíše nenapadnou, protože náklady na napadení jsou příliš vysoké k poměru k zisku.
A do nákladů se počítá jak vytvoření aplikace, která telefon napadne, tak i hledání nových bezpečnostních děr, protože s každým dalším napadeným telefonem roste pravděpodobnost odhalení toho, že byla využita nějaká neošetřená bezpečnostní slabina, případně, že existují zadní vrátka (ve skutečnosti více zadních vrátek), které využívá přímo sama společnost Apple.

Pokud nevěříte, tak si spočítejte, kolik existuje antivirů pro iOS. Já zatím vždycky spočítal nulu.

Asi nejbezpečnější autorizace vzdáleného přístupu do banky je přes HW token s úrovni zabezpečení vysoká. Možností je více, jednou z nich je například eObčanka a čtečka s hw klávesnici (tu vyrábí např. fy. Gemalto).

veškerý kód, který se dostane do paměti mobilu v systému Android, lze přečíst jinou aplikací a je technicky nemožné tomu zabránit.
O tomhle silně pochybuji, že by tohle platilo obecně u aktualizované verze Androidu na nějakém normálním zařízení (např. telefon od renomovaného výrobce).

Navíc ty podepisovací aplikace používají k podepisování požadavku klíč uložené v bezpečné části paměti, kam se nedostane ani aplikace ani OS. Tam jenom přijde požadavek na podpis dat a jejich podpis zajistí HW. K napadení autorizační aplikace by tedy nestačilo umět číst její paměť, ale bylo by potřeba umět jí podstrčit data k podpisu, tedy do té paměti i zapisovat.

Pořád může SMS uniknout od operátora nebo z mobilní sítě - problém je v tom, že prostě chodí nezabezpečené a jsou tak designované. Všechny tyhle věci jsou jen rovnáky na velký ohýbák.

Abych si přečetl kód aplikace, na to nepotřebuju složitě hackovat Android, stačí si stáhnout APK balíček. A je mi to stejně celkem k ničemu.

Reálně jsou prostě úspěšné útoky na potvrzení mobilní aplikací naprosto výjimečné a to je to podstatné.

U těch HW tokenů je problém, že typicky nevidíte, co podepisujete (podobný problém, jako např. s Google Authenticatorem, co jsem rozebíral nahoře). Aby byla tahle metoda bezpečnější, než podpis mobilem, tak by musela mít displej, který by zobrazoval podepisovaný payload a AFAIK takovouhle integraci zatím nikdo nemá.

Samozřejmě je to všechno bohapustá lež - vůbec nejde o bezpečnost, ale jen a jen prachy. Protože za SMS musí banka platit providerovi, zatímco její vlastní aplikace ji stojí pořád stejně, tedy samotná autorizace vůbec nic. Nota bene pak Moneta, jejíž nevzhledné a nevalně udělané nové internetové bankovnictví zejména v noci generuje SMS často i s půlhodinovým zpožděním, přičemž k jeho zadání poskytuje směšné dvě minuty, takže už jen opakované marné pokusy nebohých klientů se přihlásit musí banku na pořád dokola zasílaných SMS vyjít opravdu docela draho.

Neoddiskutovatelným faktem je, že relativně nejbezpečnějším způsobem obsluhy účtu pořád je privátní stolní počítač (k němuž zaručeně nemá přístup nikdo jiný než vy) + hloupý nebo off-line mobil, arci pokud požíváte výhradně uložený link nebo RoboForm a NIKDY pro přístup k účtu neklikáte jako debil na odkaz v mailu či na webové stránce. Inteligentnější homebankingy jako třeba AirBank nebo Fio ostatně ani neposílají přihlašovací SMS, pokud se logujete stále ze stejného PC, IP a browseru.
O tohle poměrné bezpečí tedy budou uživatelé Monety připraveni; přiznám se, že mou škodolibost by pobavilo, kdyby jim tu jejich slavnou apku někdo hacknul...

Tak uděláme Monetě papá.

U Max Banky jdou proti proudu. Tam nabízí obojí způsob i když si aktivujete potvrzení pomocí aplikace . Hned jak zavedou okamžité platby přejdu k nim jako k hlavní bance.