Názory k článku Jak bezpečně používat mobilní bankovnictví?
-
Také nechápu tuhle módu "jeden mobil na vše". Mám schválně jeden "hloupý" mobil s nulovým paušálem právě na příchozí hovory a příchozí SMS včetně autorizačních. Bonusem je, že vydrží týden na jedno nabití. K tomu mám "chytrý" mobil na Internet.
Bude muset dojít k více takovým případům - vždy se nějaký "vynoří" je kolem toho haló a pak zapadne, aby si lidi konečně uvědomili, že dvojfaktorová autorizace opravdu znamná 2 NEZÁVISLÉ kanály
-
P2010 (neregistrovaný)
Samozřejmě nepoužívat největší softwarový odpad za posledních 25 let - Android. Tento produkt nevytvořila technologická (narozdíl od Apple nebo Microsoft), ale reklamní společnost. Cílem bylo jediné, zvýšit počet zobrazovaných reklam a zároveň nasbírat co nejvíce dat o zákaznících. Než začnete reagovat, že Apple a Microsoft to přece dělá také, tak zde jeden podstatný rozdíl. Apple a Microsoft stále prodává především produkty a služby, příjem z reklam je marginální, narozdíl od Google, pro kterého je to primární a zároveň jediný zdroj. Proto se zde musí tolik snažit, jde mu o přežití.
Android porušuje naprosto všechna pravidla bezpečnosti. Jsou v něm stovky chyb [1], které nikdo neopravuje. Co hůře, pokud už chybu někdo opraví, tak tato oprava není buď doručena včas na všechny přístroje nebo dokonce vůbec [2] (jak Apple tak Microsoft doručí opravy na všechna zařízení do 24 hodin od jejich vydání). Aby to bylo ještě horší, někteří výrobci o instalovaných aktualizacích záměrně lžou [3], takže ve skutečnosti žádná oprava nebyla instalována a zařízení je snadno napadnutelné. Některé modely jsou napadeny malware již z výroby a neodstraní jej ani uvedení do továrního nastavení. Ten "systém" je zkrátka z principu neopravitelný.
Zde mají ale svoji vinu i banky, které o všech těchto problémech předem ví, nicméně to nakonec zaplatí zodpovědní klienti.
Odkazy:
[1] https://www.cvedetails.com/top-50-products.php?year=2017
[2] https://twitter.com/SecX13/status/968225118517452800
[3] https://www.cnews.cz/android-chybejici-aktualizace-bezpecnost-srl-1200-zarizeni -
qwertz (neregistrovaný)
Protože nikoho nebaví krmit trolla.
Máte jeden web, ten odkazujete při každé zmínce o Androidu jako šílený, všechna argumentace už tady byla. Proč vám to máme opakovat pořád dokola?
https://www.cvedetails.com/ není ultimátní a úplný zdroj pro dokazování čehokoli. Velmi jednoduchý příklad:
Pro CVE-2018-8383 tam vůbec neexistuje záznam, přestože chyba existuje a postihuje jak MS tak Apple:
https://nvd.nist.gov/vuln/detail/CVE-2018-8383
https://www.cvedetails.com/cve/CVE-2018-8383/Nemáte vůbec ponětí, kolik těch chyb je, jakého typu a jak dlouho trvá jejich odstranění. Kdybyste si zaplatit Flexera(Secunia) Advisories survey, pravděpodobně byste se rozbrečel nad tím, jakou statistiku mají MS i Apple v otázce ohlášených ale nezáplatovaných chyb. Je naprosto tristní.
Ale vy tady budete donekonečna okazovat cvedetais, přestože s tím neumíte pracovat, nevíte co to znamená, ale máte nějakou obsesi v nadávání Androidu. Takže ne, krmit trolla nikoho nebaví.
-
qwertz (neregistrovaný)
To znamená, že příště už tady nebudete spamovat s cvedetails? Oba víme, že budete.
To byla reakce taky na [2]. Jestliže podle politiky MS nebo Apple se chybě nepřiřadí CVE, pak nám tady vy, MS i Apple tvrdíte, že chyba neexistuje. Což je skutečně komické.
Jinak updaty čistého Androidu chodí stejně rychle jako IOS nebo WP. Pokud někdo používá Ťamťung a spol, kteří si řeknou 20k+ za telefon a neobtěžují se s aktualizacemi, je to problém Samsungu a zákazníka. Nikoliv problém Androidu. Ten si na rozdíl od IOS dokonce můžete sám zauditovat na věci typu NSA backdoory. U binárních sraček nemáte jak.
-
P2010 (neregistrovaný)
[2] je o tom, že naprostá většina výrobců, kromě Google, nedoručuje aktualizace včas (do 24 hodin od vydání) nebo dokonce vůbec. Vzhledem k tomu, že jde o majoritní množinu existujících Android zařízení asi víte, jaké to má důsedky. O velmi krátké podpoře (často ani ne dva roky) nemluvě.
A [3] je o tom, že opět velké množství výrobců záměrně lže o provedených aktualizacích, což opět jev, který na solidní platformě od Apple nebo Microsoft nenajdete.
Takže i když můžete rozporovat počet ne/opravených chyb [1], další skutečnosti jsou stále natolik závažné a předem známé, že označení "odpad" je stále velmi mírné. Zváště proto, že ze strany Google je naprosto nulová ochota tento stav zlepšit.
Skutečnost že nějaké jedno promile pokročilých uživatelů si dokáže tyto naprosto fatální nedostatky samo napravit neřeší problém celku.
-
qwertz (neregistrovaný)
To že OEM výrobci ignorují aktualizace ale nikdo nerozporuje. Chcete-li se vyjadřovat k Androidu, musíte říct, kterému. AOSP, Google telefony a rychle roustoucí počet Adnorid One telefonů mají aktualizace zcela standardní.
Aha. Takže když Samsung "lže" o instalované aktualizaci, je to "odpad". Ale když Apple "lže" že chyba neexistuje ( a nepřidělí cve), je to vlastně super :-) Děkujeme za vysvětlení.
IOS a WP trpí naprosto stejnými problémy jako Google Android, bez ohledu na to, jak moc na růžovo si to malujete. Podle mě není dostatečně důvěryhodná žádná platforma, kromě auditovatelné AOSP (což je ovšem systém, který na telefonech v prodeji není)
-
P2010 (neregistrovaný)
Ale v tom je celý problém. Pokud je mechanismus aktualizací špatný, což v tomto případě je, a dodavatel o tom dlouhodobě ví a neprojevuje žádnou snahu o zlepšení, tak co si o tom myslet. Přitom řešení je plno, například odebrání licence OEM, který na aktualizace kašle. Jenže tady stále chybí zájem to řešit, který u reklamní společnosti nikdy nebude, dokud to neovlivní zobrazování reklam.
Nejen Samsung, ale podle [3] prakticky všichni s vyjímkou dvou (hw podřadných) Google přístrojů. A to je trochu málo. Ano, Apple se chová v případě zveřejňování chyb jako Microsoft před 15 lety, stále ale netvrdí, že instaloval neexistující aktualizace. To už je poněkud příliš.
iOS a WP naštěstí neumožňuje žádné výrazné modifikace, takže systém je všude stejný a pod kontrolou. Důvěryhodnost začíná u dodavatele a tam je Google s jeho byznys modelem založeným výhradně na získáváni dat uživatelů k následnému prodeji cílené reklamy partnerem značně problematickým. Což neustále i potvrzuje.
-
P2010 (neregistrovaný)
A ještě poslední odkaz Google admits Android wasn’t designed to be safe
Teď kdyby si to přečetl ještě někdo v bance :-)
-
BĚŽNÝ ÚČET (neregistrovaný)
Kdo má statisíce na běžném účtu, tak je o krůček k tomu blíže, aby o ně přišel. Já tam nechávám pouze tak měsíční výdaje a ostatní je alespoň na spořících účtech, jestli je to tak lépe zabezpečeno? Pokud možno, tak nechávám banky zasílat zprávy o jakýchkoli pohybech na účtech. I když jsem tu transakci provedl já, tak mi nevadí, že si o jejím provedení nechám zaslat ještě e-mail, protože z měsíčního výpisu už je pro mě dlouho a ani tak dlouho snad neschovávám všechny účtenky, když jsou třeba jen za jídlo. K platbě přes internet používám jen jednu kartu nebo limit na ostatních kartách po zaplacení zboží vrátím na minimum.
-
mobilní bankovnictví je z principu nebezpečné (neregistrovaný)
Nic jako rozumně bezpečné mobilní bankovnictví neexistuje, přestože vám v PR bank budou tvrdit pravá opak. Je smutné, kam až zdegenerovala bezpečnost "internetbankingu" a je zcela ostudné, že banky na tuto hru přistoupily. Protože kdo nemá mobilní bankovnictví, toho převálcuje konkurence, která ho má. Ovce bezpečnost nezajímá.
Byly doby, kdy platbu bylo potřeba potvrdit autentizačním kalkulátorem. Bezpečné, ale nepraktické. Pak přišly SMS, nově potvrzovací aplikace do mobilu. říká se tomu dvoufaktorová autentizace a potvrzení nezávislým klíčem. Útočníkovi nestačí úspěšně napadnou váš počítač, protože bez druhého nezávislého kanálu (mobilu) nezmůže vůbec nic. Smartbanking nic takového nemá. Jedno zařízení, jeden kanál, stačí jedna podvodná aplikace a je konec.
Až vám zase někdo z banky bude tvrdit nesmysly o bezpečnosti Smartbankingu, zeptejte se ho na 2FA.
-
P2010 (neregistrovaný)
S normálním OS a jeho dodavatelem je bezpečnost relativně dostatečná. Kolik podobných úspěšných útoků bylo na iOS nebo Windows Phone / 10 Mobile? Samozřejmě žádný.
S tou aplikací to bylo podle dostupných informací tak, že dodavatel cílené reklamy, který si neúspěšně hraje na dodavatele technologií, jaksi zapomněl otestovat aktualizaci (dříve neškodné) aplikace a tím to celé vzniklo. Co ale chcete od "systému", kde lze nepozorovaně překrýt jednu aplikaci druhou.
-
xls (neregistrovaný)
Nakonec rozumný článek, jsem v podstatě stejného názoru jako autor.
Bohužel je ale faktem, že nehledě na nemožnost zajištění bezpečného mobilu banky ztrácejí soudnost a tlačí čím dál tím víc na používání mobilního bankovnictví, podepisovacích aplikací v mobilu na úkor sms, různých systémů "jednoduššího" placení mobilem atd. Všechno to jsou přitom metody, které nezávislý kanál kompromitují. To jejich jednání absolutně nechápu.
-
Já vidím hlavní problém ve špatně zvolené filosofii Androidu, kdy uživatel musí povolit všechna požadovaná oprávnění, jinak aplikaci nenainstaluje. Já bych chtěl povolovat každé oprávnění zvlášť, přičemž instalovaná aplikace by měla zdůvodnit, k čemu je potřebuje, a jaká její vlastnost nebude fungovat, pokud je neudělím.
-
bmann (neregistrovaný)
Ano, toto je špatně, ale minulost a stará varianta. Od určité verze Androidu (snad 6) je zaveden systém, že aplikace by se měla ptát na práva až v momentě co je potřebuje a ne při instalaci. A musí počítat s tím, že právo nedostane a neměla by zhavarovat. Ale takto se musí apliakce naprogramovat a většina co používám to tak dělá.
Navíc od určité verze to Andorid umí omezovat (minimálně 7 co si pamatuji) - je to i v článku!
Ale pořád je to odpovědnost i uživatele. Pokud jsem hledal nějakou aplikaci a ta chtěla více práv, tak sem ji neinstaloval a našel si jinou s rozumným požadavkem na práva. Už z principu nemám důvěru aplikaci co chce víc než má.
-
Jiří (neregistrovaný)
To co Patrik říká, jsem popsal před léty a poukázal na možnost vestavět do jednoho přístroje dva - jeden z nich, oddělený, čistý, nenapadnutelný - výhradně na choulostivé sdílení bankovních dat, druhý na vše ostatní. Mohl by být ještě třetí - na další, nebankovní zneužitelné operace. Ve společném tělese, se společným displejem, ale odděleným software.
VUT Brno - hoši z kyberbezpečnosti zájem neprojevili, nebyl to jejich nápad. Stejně tak lidé z OB. Patentováno to není. Tak spěchejte s tím.
JV -
ne reklama (neregistrovaný)
jelikož obě aplikace prý ukazují reklamy, považuji je za malware.
PS: je nějak možné vyléčit aplikaci, aby nezobrazovala reklamy? má nějaké rozhraní googlu nebo si každá appka řeší spamování reklama, kradení (v ČR drahýchú dat a) zneužívání výkonu CPU na vykreslování reklam sama?
existuje něco jako aplikační fw pro android?
ČLÁNKY DO MAILU