Banky, bankovnictví, bankovní operace

AILAS --- --- 17:28:51 5.1.2015

PATRIKCHRZ: Nemůže ji modifikovat žádná stažená aplikace to je nesmysl.
Proto jsem ve svém prvním postu psal o důvěře v mobilní systém - na iOSu například ani čtení SMS aplikacemi nejsou povolené. Natož modifikace. Píšeš nesmysly a doměnky.

PISKVOR --- --- 14:20:32 5.1.2015

PATRIKCHRZ: Počkej, to mi vysvětli. Zatím všechny mobilní OS, se kterejma jsem se setkal, mají aplikace navzájem izolované, a komunikující pouze přes rozhraní, na kterém se musí dohodnout *obě* aplikace. Rozhodně se nemůže stát, že jedna aplikace jen tak mýrnix dýrnix modifikuje jinou - to už by samo o sobě muselo být zneužití nějaké bezpečnostní díry. This is not your grandfather's Windows 95.

Jinak ta druhá věc, čtení příchozích SMS, to *je* u bankovní aplikace bezpečnostní díra jako prase, která jakoukoli snahu o dvoufaktorovou autentizaci po nezávislém kanálu sráží zpátky na "znalost jména a hesla stačí."

A za třetí, ten článek, který linkuješ, píše o zneužití _desktopového_ _browseru_ (ne aplikace. Ne na mobilu. Prohlížeče. V počítači.), kde "jsi schopen odhalit podezřelé chování" - tak chceš ten koláč mít, nebo ho sníst? Snažíš se medle argumentovat na obě strany zároveň.

PATRIKCHRZ --- --- 14:09:45 5.1.2015

3 odpovědi -5

AILAS: problém je, že zatímco aplikace od banky asi bude OK, může ji modifikovat jakákoliv jiná stažená aplikace. Nemusí jít zrovna o takový "epic fail" jako "stažení akutalizace" http://finexpert.e15.cz/fio-banka-a-phishing-v-praxi-aktualni-zkusenost, ale třeba i "nevinná hra". Zkrátka při ovládání přes browser jsem schopen odhalit podezřelé chování, kdežto v případě aplikace, která si sama dokáže načíst příchozí SMS a provést tak úkon bez toho, aniž by si toho klient vůbec všiml to považuji za zvýšené riziko.

IB Air Bank jsem zkoušel v Opeře mini a nefungovalo.

VANEK --- --- 21:29:58 4.1.2015

ADAMM: http://novaplus.nova.cz/porad/televizni-noviny/video/3717-televizni-noviny-4-1-2015/ od 04:13, bizarní zmatlanina ("ke krádežím identity dochází zejména na Liberecku a Jablonecku"), někdo odpoví kamarádčinu hacklému účtu, jak se jmenovala matka za svobodna, a promptně přijde o přístup do mailu, kde má přihlašovací data k bance nebo co (na závěr jedna věta, jak policie řeší případ, kdy někomu takhle začli FB a "vyluxovali bankovní účet").
Ale ten tvůj případ s přeposíláním a fake PayU už k pár velkým škodám vedl; teď nevím, jak přesně, buď to nechá i nainstalovat "cosiDefender" do smartphonu, nebo to jen předstírá odesílání drobné částky a SMS ve skutečnosti autorizuje velkou jinam.

ADAMM --- --- 20:03:28 4.1.2015

1 odpověď

Nekoukal jste někdo na dnešní televizní noviny na Nově? teď za mnou dorazil táta, panika v očích, že jde přes FB hacknout internetový bankovnictví... imho je o ten článek, co už linkoval id DOBYTEK, respektive - zde je to popsané o dost lépe:

Přes Facebook tahají z lidí peníze – Novinky.cz
http://www.novinky.cz/internet-a-pc/bezpecnost/349191-pres-facebook-tahaji-z-lidi-penize.html

čili někdo "hackne" FB účet a napíše kontaktům, ať pošlou drobnou částku, navede do formuláře, kde sbírá přihlašovací jméno a heslo do IB (dotyčný se pokusí přihlásit, ale nepovede se mu to, protože to samozřejmě nic nedělá, jen sbírá ty údaje). pro provedení transakce ale potřebuje ještě sms, takže před převodem napíše dotyčnému na FB něco jako "blbne mi mobil, nechám si to poslat k tobě, přepošli mi to".

no Nově to ovšem určitě udělali jako totální gangsterku a půlku věcí zapomněli říct, tipuju...

ADM --- --- 18:22:10 4.1.2015

DYNK: ja jen rikam, ze soucasne mobilni bankovni aplikace jsou v porovnani s modelem browser na PC + sms kod (nejlepe z hloupeho mobilu) z hlediska zabezpeceni proste na nizsi urovni, ale je to logicky a prirozeny vyvoj a bude jeste dlouho trvat, nez se objevi realne zpusoby napadnuti. dalsi vyvoj smerem k lepsimu zabezpeceni by mely umoznit az nove hardwarove funkce mobilnich chipsetu

MRTVY_KENNY --- --- 18:12:05 4.1.2015

KOC256: u mbank to sviti doslova porad (to zlute). ale tohle me otravuje min, nez nejake zpravy, ktere bych mel cist a mazat..

DYNK --- --- 17:52:22 4.1.2015

1 odpověď +1

ADM: a co je potom bezpecny? Kdyz nekdo sfalsuje obcanku a podpisovej vzor, tak je clovek taky nahranej. Da se podle tve teorie zadat transakce nejakym bezpecnym zpusobem?

ADM --- --- 17:50:04 4.1.2015

NAVARA: jasne, ale na to jsem nereagoval. v prohlizeci na mobilu na rozdil od aplikace na mobilu ale potrebujes potvrzovat smskou stejne jako kdyz transakci provadis na PC a potvrzujes kodem z sms mobilu (a uz tady netvrdim ze smskou na ten stejny mobil, ale rozdil tam je).

treba ma 2 mobily a chce do bankovnictvi pres mobilni prohlizec, coz v takovem pripade bude vzdy bezpecnejsi nez pres mobilni aplikaci

NAVARA --- --- 17:42:47 4.1.2015

1 odpověď

ADM: je to mimo

prohlížeč na mobilu je aplikace jako každá jiná a může být stejným způsobem napadena - "že se do IB nedostanu na prohlížeči v mobilu" - narozdíl od aplikace malé lokální banky, bude hack na takový prohlížeč již existovat

ADM --- --- 17:23:02 4.1.2015

2 odpovědi -1

AILAS: vubec to neni mimo, mimo je tvuj argument jak to ma banka udelany u sebe, to je jen jejich problem, uzivatel resi pouze bezpecnost sveho zpusobu interakce s bankou. pokud mam aplikaci bezici na neduveryhodnem OS (a myslim tim android, windows, iphone apod.) nelze z principu zajistit 100% bezpecnost te aplikace bez pouziti externiho kanalu kterym te banka informuje o transakci kterou hodlas zadat. kdyz ti tu aplikaci nekdo hackne, jakkoli slozite to zatim je, a provede za tebe nejakou transakci tak pak bankce neprokazes zes to neprovedl ty

NAVARA --- --- 14:06:14 4.1.2015

DOBYTEK: nepíšou jaká banka, takže těžko říct

DOBYTEK --- --- 13:45:42 4.1.2015

1 odpověď

Jak je tohle možné? Copak přihlášení do IB nevyžaduje potvrzovací sms nebo potvrzeni přes token?

AILAS --- --- 13:30:40 4.1.2015

2 odpovědi

PATRIKCHRZ: "Aplikaci nechci" je úplně mimo z mnoha důvodů a korunu jsi tomu dal že chceš používat browser.. Spíš bych se obával o platformu a OS než o samotnou bankovní mobilní aplikaci. Když totiž nevěříš aplikaci, nevěříš bance. A tam je mnoho, světe div se, aplikací a po různu pospojovaných nehledě na všechny operátory a administrátory a dalších asi milion bezpečnostních rizik. Mobilní aplikace bych řekl že je to poslední. Navíc je to jediné místo kde bezpečnost může ovlivnit sám uživatel.

NAVARA --- --- 10:27:13 4.1.2015

PATRIKCHRZ: Na androidu není s prohlížečem problém, vyzkoušeno když jsem neměl aktivovanou aplikaci :) Browser je taky aplikace, takže...

ZBYNEK --- --- 10:07:10 4.1.2015

PATRIKCHRZ: AirBank jede v mobilním prohlížeči (Firefox) úplně v pohodě.
U FIO mě štve, že musím pomocí SMS potvrzovat i převody mezi vlastními účty :-/

PATRIKCHRZ --- --- 6:09:41 4.1.2015

3 odpovědi

AILAS: u AirBank mi vadí, že se do IB nedostanu na prohlížeči v mobilu (aplikaci nechci, za prvé mám BlackBerry a za druhé považuji aplikace za potenciální bezpečnostní riziko, člověk nikdy neví, co ta aplikace vlastně provádí).
Já za nejlepší považuji FIO, i když teď připravují nové IB a tam nejspíše budu mít s přístupem přes mobil rovněž problém. Nechápu, co je to za módu, že banky musí jít směrem "tlustých" bankovnictví i když Air je v tomto už celkem extrém.

KOC256 --- --- 22:50:44 3.1.2015

1 odpověď

NAVARA: No nevim ze by mi to nekde tak svitilo do oci. Mbank sice posilala maily ale nesvitilo mi to tam porad.

NAVARA --- --- 20:39:05 3.1.2015

2 odpovědi +3

KOC256: a liší se to moc od ostatních? u ČSOB mi taky dole svíti předschválené limity - snad jedině FIO to nemělo (a to jen nejspíš protože jsem tam tak dlouho, že jsem nepodepsal potřebné souhlasy pro automatické skórování :o)

KOC256 --- --- 20:35:51 3.1.2015

1 odpověď

AILAS:
Na AIRu mě sere že mi tam pořád vnucují půjčku, kterou prostě využít nechci. Chápu že tio je ten jejich business ale prostě mě to nezajímá...

Kliknutím sem můžete změnit nastavení reklam

přezdívka
heslo

pamatuj si mě
registrace
ztracené heslo?