Tyto mobilní aplikace mají svoji odvrácenou stránku. Budu posílat telefon do servisu pro výmenu baterie. Bude jim to trvat cca týden. Po dobu toho týdne se pořádně v nějakých bankách vůbec nestanu ke svým financím. Nehledě na to, že servis chce abych posílal telefon v "továrním nastavení". Takže ty aplikace budu muset přenést do nějakého jiného.... Mám doma náhradní křáp, který má prehistorickou verzi Androidu, na kterou některé aplikace bank vůbec nedostanu a například KB má platnost kódu pro výměnu zařízení pouze 3 dny. Takže mě minimálně v případě KB a KB klíče mě čeká návstěva pobočky...
Nedokážu si moc představit, že bych dal do servisu telefon se spárovanou aplikací pro mobilní bankovnictví. Ale asi jsem holt paranoidní, protože mne děsí už ten nápad Air Bank, že ke spárování aplikace by mělo stačit ověření snímkem obličeje, a to bez možnosti "opt out", protože když si tam žádný nenahraju, tak použijí fotku z občanky. Zajímavé je, že na přímý dotaz mi tvrdili, že když si tam žádný nenahraju, tak to tímhle způsobem spárovat nepůjde...
Zajímalo by mne, kolik úspěšně vykradených účtů bylo přes smrtfoun a kolik přes normální telefon. K tomu ještě počty (poměr) jednotlivých typů telefonů, aby šly ty první výsledky přepočítat "na hlavu" (tedy na telefon).
Myslím si (ale třeba se pletu), že přes 99 % "napadených" SMS nebylo jejich odchycením po cestě, ale až v zařízení a to budou téměř 100% smrtfouny.
Být na stejné BTS je už dost cílený útok (byť možný). Praktičtější je ale napadnout nějakého operátora, nebo si vytvořit vlastního a pak ostatní operátory přesvědčit, že se k vám konkrétní telefon zaroamoval a budete dostávat jeho SMSky. To není nijak zabezpečené, leda snad heuristicky, když se (domácímu) operátorovi zaroamuje najednou víc telefonů k nějakému exotickému opetárorovi, tak to může spustit alarm.
Můžete mít ten nejhloupější telefon, vypnutý zamknutý sedmi zámky v trezoru hluboko pod zemí a stejně je vám to proti tomuhle útoku h*** platné.
Ono je to obávám se ještě daleko horší: banky reagují pomalu, často mají SMS "prodrátovanou" skrz celý svůj systém.
Co je tedy horší než SMS autorizace? To že si nainstaluji mobilní klíč, ale nedojde mi, že jsem:
a) si SMS nezakázal jako alternativní metodu
b) že banka neumí SMS zakázat
Z bank které umí zlikvidovat SMS tak namátkou FIO, ČSOB, myslím i Raifka (byť tam myslím musím fyzicky na pobočku), Moneta teď od 1.dubna likviduje SMSsky natvrdo úplně - čest a sláva jak se k tomu postavili čelem (horší je že alternativní metodu třeba offline QR kódy nemají, takže abyste se dostali jakýmkoli způsobem do monety musíte mít telefon s bankovní aplikací a být striktně online - testoval jsem to. Ale snad to do budoucna změní)....
Díky autorovi za článek, super pomoc, šáhnu po něm až ztratím telefon :-)
Ahoj Patriku,
tak zrovna od Tebe bych tento názor nečekal :-).
Každá bezpečnost má svou stinno stránku, a to zpravidla v komfortu uživatelů. SMS je sice otravné opisovat, ale nejspíš se shodneme že to je minoritní diskomfort a pak převládají stálé výhody.
Bohužel SMS jsou postupně rušeny a budou brzo zrušeny úplně. SMS je ve spojení s chytrým telefonem nebezpečná "pro uživatele" a v podstatě není možné 100% zajistit, aby mi nebyla z telefonu odcizena.
Ještě proč píšu "pro uživatele": domnívám se, že vše ostatní krom SMS ukradené z mobilu jako klient ustojím - tj. různým způsobem napadený operátor, napadená aplikace banky aj.
Bohužel jedinou rozumnou volbou v této chvíli je aplikace banky ve vašem chytrém telefonu.
Zase tak zlaté to není. SMS není bezpečná a obecně se nedoporučuje používat jako druhý faktor.
Zjednodušme problém na 2 oblasti:
1. přenos SMS
Vlastní přenos není zabezpečený. SMSka se musí nějak od banky předat operátorovi. Toto předání může a nemusí být zabezpečeno. Dále se tato SMS nějak přesouvá v systémech operátora a tady to někdo může číst.
Dále existují určité slabiny v protokolech mezi operátory a SMS lze přesměrovat.
I vlastní přenos mezi BTS a mobilem za určitých okolností může být napadnutelný.
Nehledě na útoky typu nové SIMky pro útočníka s vaším číslem.
Takže pokud nemáte přímou vazbu banka <-> mobil, tak je toto vektor útoku.
Touto přímou vazbou může být mobilní aplikace banky či např. bankovní SMSky. Ty ale banky zrušily.
2. mobilní zařízení
Tady je více problematický tzv. chytrý telefon. A opět je tu více variant, např.
- napadnutí neaktualizované zařízení
- instalace pofidérních aplikací
- ignorace poskytnutých oprávnění určitým aplikacím
Obecně přečíst kód ze SMS na chytrém mobilu je snadnější než to samé udělat z mobilní aplikace.
Tady má "hloupý" telefon určitou výhodu. ale pozor. Něco co vypadá jako hloupý telefon, může dnes mít také OS a určitou možnost aplikací.
Bohužel banky ruší jiné možnosti bezpečného ověření jako kalkulačky, bankovní SMSky a jediné co se snaží tlačit jsou
jejich aplikace.
Nedávno jsem poslouchal nějaký rozhovor s člověkem z bankovní asociace a policistou, kde se bavili o dnešních útocích,
phisingu apod. Vše směřovalo k chybám uživatele a že si nekontrolují linky apod. Alibismus.
Ale, že by nějaká banka implementovala přihlašování pomocí FIDO2 tokenů, které efektivně tomuto brání jsem neviděl a neslyšel.
A toto by možná stálo za nějakou regulaci.
Chápu že aplikace jsou trend a bezpečná varianta. Ale ne každý má chytrý mobil.
Myslím, že FIDO2 token přihlášení a autorizace přes SMS by mohla být dobrá varianta k aplikacím a určitě lepší než jen čisté SMS.
Jen doplním, že FIDO2 tokeny nejsou řešení, ale zlepšení stavu a to hlavně při použití SMS.
Čemu FIOD2 tokeny brání:
- phisingu (pokud kliknete na špatný odkaz, nebude to fungovat)
- pokud někomu dáte své přihlašovací údaje (nepřihlásí se za vás a jinde)
Ale nebrání situaci, kdy někdo napadne váš počítač a může s ním manipulovat. Např. vaše zadaná transakce je skrytě pozměněna a pak vás zachrání ověření na mobilu. A tady SMSka může selhat, viz. výše,
Ale toto je méně pravděpodobný scénář než ostatní.
I když FIDO2 neřeší vše, stále je to výrazné zlepšení hlavně pro SMS.