Názory k článku Jak bezpečně používat mobilní bankovnictví?

Vinu má stále předeším ten, kdo o problému dávno ví a přesto nic neudělá, tedy banky. Stačí zákazat zadávání transakcí z Androidu, který je z principu neopravitelný. Kdo by opravdu chtěl, tomu by banka za příplatek nabídla speciální hw token.

Čeká se jen na obrovský průšvih, kdy ztrátu způsobenou Androidy nepokryjí ostatní klienti. Pak to bance konečně dojde a ještě ty tokeny (cena 200 Kč max) bude ráda rozdávat.

Dovol mi, abych namířil tvoji pozornost k jednomu moudrému úsloví: "Když ti přijde, že jsou všichni ostatní blbci, tak je to nejspíš tím, že jsi blbec sám."

Samozřejmě nepoužívat největší softwarový odpad za posledních 25 let - Android. Tento produkt nevytvořila technologická (narozdíl od Apple nebo Microsoft), ale reklamní společnost. Cílem bylo jediné, zvýšit počet zobrazovaných reklam a zároveň nasbírat co nejvíce dat o zákaznících. Než začnete reagovat, že Apple a Microsoft to přece dělá také, tak zde jeden podstatný rozdíl. Apple a Microsoft stále prodává především produkty a služby, příjem z reklam je marginální, narozdíl od Google, pro kterého je to primární a zároveň jediný zdroj. Proto se zde musí tolik snažit, jde mu o přežití.

Android porušuje naprosto všechna pravidla bezpečnosti. Jsou v něm stovky chyb [1], které nikdo neopravuje. Co hůře, pokud už chybu někdo opraví, tak tato oprava není buď doručena včas na všechny přístroje nebo dokonce vůbec [2] (jak Apple tak Microsoft doručí opravy na všechna zařízení do 24 hodin od jejich vydání). Aby to bylo ještě horší, někteří výrobci o instalovaných aktualizacích záměrně lžou [3], takže ve skutečnosti žádná oprava nebyla instalována a zařízení je snadno napadnutelné. Některé modely jsou napadeny malware již z výroby a neodstraní jej ani uvedení do továrního nastavení. Ten "systém" je zkrátka z principu neopravitelný.

Zde mají ale svoji vinu i banky, které o všech těchto problémech předem ví, nicméně to nakonec zaplatí zodpovědní klienti.

Odkazy:
[1] https://www.cvedetails.com/top-50-products.php?year=2017
[2] https://twitter.com/SecX13/status/968225118517452800
[3] https://www.cnews.cz/android-chybejici-aktualizace-bezpecnost-srl-1200-zarizeni

Uvítal bych, kdyby downvoteři napsali, co je na mých informacích špatně a případně uvedli i nějaký odkaz na zdroj :-)

Protože nikoho nebaví krmit trolla.

Máte jeden web, ten odkazujete při každé zmínce o Androidu jako šílený, všechna argumentace už tady byla. Proč vám to máme opakovat pořád dokola?

https://www.cvedetails.com/ není ultimátní a úplný zdroj pro dokazování čehokoli. Velmi jednoduchý příklad:

Pro CVE-2018-8383 tam vůbec neexistuje záznam, přestože chyba existuje a postihuje jak MS tak Apple:
https://nvd.nist.gov/vuln/detail/CVE-2018-8383
https://www.cvedetails.com/cve/CVE-2018-8383/

Nemáte vůbec ponětí, kolik těch chyb je, jakého typu a jak dlouho trvá jejich odstranění. Kdybyste si zaplatit Flexera(Secunia) Advisories survey, pravděpodobně byste se rozbrečel nad tím, jakou statistiku mají MS i Apple v otázce ohlášených ale nezáplatovaných chyb. Je naprosto tristní.

Ale vy tady budete donekonečna okazovat cvedetais, přestože s tím neumíte pracovat, nevíte co to znamená, ale máte nějakou obsesi v nadávání Androidu. Takže ne, krmit trolla nikoho nebaví.

To byla reakce na [1], a ty další? ;-)

To znamená, že příště už tady nebudete spamovat s cvedetails? Oba víme, že budete.

To byla reakce taky na [2]. Jestliže podle politiky MS nebo Apple se chybě nepřiřadí CVE, pak nám tady vy, MS i Apple tvrdíte, že chyba neexistuje. Což je skutečně komické.

Jinak updaty čistého Androidu chodí stejně rychle jako IOS nebo WP. Pokud někdo používá Ťamťung a spol, kteří si řeknou 20k+ za telefon a neobtěžují se s aktualizacemi, je to problém Samsungu a zákazníka. Nikoliv problém Androidu. Ten si na rozdíl od IOS dokonce můžete sám zauditovat na věci typu NSA backdoory. U binárních sraček nemáte jak.

Kdo má statisíce na běžném účtu, tak je o krůček k tomu blíže, aby o ně přišel. Já tam nechávám pouze tak měsíční výdaje a ostatní je alespoň na spořících účtech, jestli je to tak lépe zabezpečeno? Pokud možno, tak nechávám banky zasílat zprávy o jakýchkoli pohybech na účtech. I když jsem tu transakci provedl já, tak mi nevadí, že si o jejím provedení nechám zaslat ještě e-mail, protože z měsíčního výpisu už je pro mě dlouho a ani tak dlouho snad neschovávám všechny účtenky, když jsou třeba jen za jídlo. K platbě přes internet používám jen jednu kartu nebo limit na ostatních kartách po zaplacení zboží vrátím na minimum.

Nic jako rozumně bezpečné mobilní bankovnictví neexistuje, přestože vám v PR bank budou tvrdit pravá opak. Je smutné, kam až zdegenerovala bezpečnost "internetbankingu" a je zcela ostudné, že banky na tuto hru přistoupily. Protože kdo nemá mobilní bankovnictví, toho převálcuje konkurence, která ho má. Ovce bezpečnost nezajímá.

Byly doby, kdy platbu bylo potřeba potvrdit autentizačním kalkulátorem. Bezpečné, ale nepraktické. Pak přišly SMS, nově potvrzovací aplikace do mobilu. říká se tomu dvoufaktorová autentizace a potvrzení nezávislým klíčem. Útočníkovi nestačí úspěšně napadnou váš počítač, protože bez druhého nezávislého kanálu (mobilu) nezmůže vůbec nic. Smartbanking nic takového nemá. Jedno zařízení, jeden kanál, stačí jedna podvodná aplikace a je konec.

Až vám zase někdo z banky bude tvrdit nesmysly o bezpečnosti Smartbankingu, zeptejte se ho na 2FA.

S normálním OS a jeho dodavatelem je bezpečnost relativně dostatečná. Kolik podobných úspěšných útoků bylo na iOS nebo Windows Phone / 10 Mobile? Samozřejmě žádný.

S tou aplikací to bylo podle dostupných informací tak, že dodavatel cílené reklamy, který si neúspěšně hraje na dodavatele technologií, jaksi zapomněl otestovat aktualizaci (dříve neškodné) aplikace a tím to celé vzniklo. Co ale chcete od "systému", kde lze nepozorovaně překrýt jednu aplikaci druhou.

Nakonec rozumný článek, jsem v podstatě stejného názoru jako autor.

Bohužel je ale faktem, že nehledě na nemožnost zajištění bezpečného mobilu banky ztrácejí soudnost a tlačí čím dál tím víc na používání mobilního bankovnictví, podepisovacích aplikací v mobilu na úkor sms, různých systémů "jednoduššího" placení mobilem atd. Všechno to jsou přitom metody, které nezávislý kanál kompromitují. To jejich jednání absolutně nechápu.

Co je na tom nepochopitelneho? Banky uz dneska proste nechteji byt vazene a duveryhodne instituce, ale jakysi cirkus pro dusevne slabsi, kterym vnuti spoustu nesmyslu pochybne kvality.

Hlavní problém je u uživatelů, protože těm je nějaká bezpečnost u zádele. Ono celkově IT gramotnost v populaci je na nule.
A když to některým chcete vysvětlit? Nezájem, přece se nebudu nic učit a nenechám se omezovat.
Takže fakticky dobře jim tak.

Ano, toto je špatně, ale minulost a stará varianta. Od určité verze Androidu (snad 6) je zaveden systém, že aplikace by se měla ptát na práva až v momentě co je potřebuje a ne při instalaci. A musí počítat s tím, že právo nedostane a neměla by zhavarovat. Ale takto se musí apliakce naprogramovat a většina co používám to tak dělá.

Navíc od určité verze to Andorid umí omezovat (minimálně 7 co si pamatuji) - je to i v článku!

Ale pořád je to odpovědnost i uživatele. Pokud jsem hledal nějakou aplikaci a ta chtěla více práv, tak sem ji neinstaloval a našel si jinou s rozumným požadavkem na práva. Už z principu nemám důvěru aplikaci co chce víc než má.

To co Patrik říká, jsem popsal před léty a poukázal na možnost vestavět do jednoho přístroje dva - jeden z nich, oddělený, čistý, nenapadnutelný - výhradně na choulostivé sdílení bankovních dat, druhý na vše ostatní. Mohl by být ještě třetí - na další, nebankovní zneužitelné operace. Ve společném tělese, se společným displejem, ale odděleným software.
VUT Brno - hoši z kyberbezpečnosti zájem neprojevili, nebyl to jejich nápad. Stejně tak lidé z OB. Patentováno to není. Tak spěchejte s tím.
JV

Nápad to nie je zlý, ale pre bežných zákazníkov príliš ťažko psychicky uchopiteľný.

Tých všetkých 10 geekov, čo by to kúpili, vývoj a výrobu nezaplatí.

1. koupit si APPLE
2. dále není co řešit...

jelikož obě aplikace prý ukazují reklamy, považuji je za malware.

PS: je nějak možné vyléčit aplikaci, aby nezobrazovala reklamy? má nějaké rozhraní googlu nebo si každá appka řeší spamování reklama, kradení (v ČR drahýchú dat a) zneužívání výkonu CPU na vykreslování reklam sama?

existuje něco jako aplikační fw pro android?