• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    HARALDBanky, bankovnictví, bankovní operace
    NAVARA
    NAVARA --- ---
    +1
    PATRIKCHRZ: OperaMini je ten prohlížeč, co veškerý jeho obsah - včetně privátních dat - protejká přes servery opery, kde ho analyzují, cachují a komprimují, aby ti ho mohli efektivně poslat - a ty se bojíš, že ti nějaká aplikace bude upravovat na zakázku vyvinutou aplikaci pro AirBank?

    Navíc podle toho co píšeš o SMS, modifikací aplikací navzájem,... - mobilní aplikace nebudou tvoje parketa, skutečně to takhle nefunguje (a aby mohlo, musel byt udělat zatraceně hodně bot najednou).
    AILAS
    AILAS --- ---
    PISKVOR: Soudruzi se přeci nemýlí :-)
    PISKVOR
    PISKVOR --- ---
    1 odpověď+2
    AILAS: ...a i na tom proklínaným Androidu jim tohle privilegium musíš naprosto explicitně povolit. Ale psali to v Rud... ééé, na Novinkách, tak je to Pravda Pravdoucí, přece :D
    AILAS
    AILAS --- ---
    1 odpověď+1
    PATRIKCHRZ: Nemůže ji modifikovat žádná stažená aplikace to je nesmysl.
    Proto jsem ve svém prvním postu psal o důvěře v mobilní systém - na iOSu například ani čtení SMS aplikacemi nejsou povolené. Natož modifikace. Píšeš nesmysly a doměnky.
    PISKVOR
    PISKVOR --- ---
    +2
    PATRIKCHRZ: Počkej, to mi vysvětli. Zatím všechny mobilní OS, se kterejma jsem se setkal, mají aplikace navzájem izolované, a komunikující pouze přes rozhraní, na kterém se musí dohodnout *obě* aplikace. Rozhodně se nemůže stát, že jedna aplikace jen tak mýrnix dýrnix modifikuje jinou - to už by samo o sobě muselo být zneužití nějaké bezpečnostní díry. This is not your grandfather's Windows 95.

    Jinak ta druhá věc, čtení příchozích SMS, to *je* u bankovní aplikace bezpečnostní díra jako prase, která jakoukoli snahu o dvoufaktorovou autentizaci po nezávislém kanálu sráží zpátky na "znalost jména a hesla stačí."

    A za třetí, ten článek, který linkuješ, píše o zneužití _desktopového_ _browseru_ (ne aplikace. Ne na mobilu. Prohlížeče. V počítači.), kde "jsi schopen odhalit podezřelé chování" - tak chceš ten koláč mít, nebo ho sníst? Snažíš se medle argumentovat na obě strany zároveň.
    PATRIKCHRZ
    PATRIKCHRZ --- ---
    3 odpovědi-5
    AILAS: problém je, že zatímco aplikace od banky asi bude OK, může ji modifikovat jakákoliv jiná stažená aplikace. Nemusí jít zrovna o takový "epic fail" jako "stažení akutalizace" http://finexpert.e15.cz/fio-banka-a-phishing-v-praxi-aktualni-zkusenost, ale třeba i "nevinná hra". Zkrátka při ovládání přes browser jsem schopen odhalit podezřelé chování, kdežto v případě aplikace, která si sama dokáže načíst příchozí SMS a provést tak úkon bez toho, aniž by si toho klient vůbec všiml to považuji za zvýšené riziko.

    IB Air Bank jsem zkoušel v Opeře mini a nefungovalo.
    VANEK
    VANEK --- ---
    ADAMM: http://novaplus.nova.cz/porad/televizni-noviny/video/3717-televizni-noviny-4-1-2015/ od 04:13, bizarní zmatlanina ("ke krádežím identity dochází zejména na Liberecku a Jablonecku"), někdo odpoví kamarádčinu hacklému účtu, jak se jmenovala matka za svobodna, a promptně přijde o přístup do mailu, kde má přihlašovací data k bance nebo co (na závěr jedna věta, jak policie řeší případ, kdy někomu takhle začli FB a "vyluxovali bankovní účet").
    Ale ten tvůj případ s přeposíláním a fake PayU už k pár velkým škodám vedl; teď nevím, jak přesně, buď to nechá i nainstalovat "cosiDefender" do smartphonu, nebo to jen předstírá odesílání drobné částky a SMS ve skutečnosti autorizuje velkou jinam.
    ADAMM
    ADAMM --- ---
    1 odpověď
    Nekoukal jste někdo na dnešní televizní noviny na Nově? teď za mnou dorazil táta, panika v očích, že jde přes FB hacknout internetový bankovnictví... imho je o ten článek, co už linkoval id DOBYTEK, respektive - zde je to popsané o dost lépe:

    Přes Facebook tahají z lidí peníze – Novinky.cz
    http://www.novinky.cz/internet-a-pc/bezpecnost/349191-pres-facebook-tahaji-z-lidi-penize.html

    čili někdo "hackne" FB účet a napíše kontaktům, ať pošlou drobnou částku, navede do formuláře, kde sbírá přihlašovací jméno a heslo do IB (dotyčný se pokusí přihlásit, ale nepovede se mu to, protože to samozřejmě nic nedělá, jen sbírá ty údaje). pro provedení transakce ale potřebuje ještě sms, takže před převodem napíše dotyčnému na FB něco jako "blbne mi mobil, nechám si to poslat k tobě, přepošli mi to".

    no Nově to ovšem určitě udělali jako totální gangsterku a půlku věcí zapomněli říct, tipuju...
    ADM
    ADM --- ---
    DYNK: ja jen rikam, ze soucasne mobilni bankovni aplikace jsou v porovnani s modelem browser na PC + sms kod (nejlepe z hloupeho mobilu) z hlediska zabezpeceni proste na nizsi urovni, ale je to logicky a prirozeny vyvoj a bude jeste dlouho trvat, nez se objevi realne zpusoby napadnuti. dalsi vyvoj smerem k lepsimu zabezpeceni by mely umoznit az nove hardwarove funkce mobilnich chipsetu
    MRTVY_KENNY
    MRTVY_KENNY --- ---
    +1
    KOC256: u mbank to sviti doslova porad (to zlute). ale tohle me otravuje min, nez nejake zpravy, ktere bych mel cist a mazat..

    DYNK
    DYNK --- ---
    1 odpověď+1
    ADM: a co je potom bezpecny? Kdyz nekdo sfalsuje obcanku a podpisovej vzor, tak je clovek taky nahranej. Da se podle tve teorie zadat transakce nejakym bezpecnym zpusobem?
    ADM
    ADM --- ---
    NAVARA: jasne, ale na to jsem nereagoval. v prohlizeci na mobilu na rozdil od aplikace na mobilu ale potrebujes potvrzovat smskou stejne jako kdyz transakci provadis na PC a potvrzujes kodem z sms mobilu (a uz tady netvrdim ze smskou na ten stejny mobil, ale rozdil tam je).

    treba ma 2 mobily a chce do bankovnictvi pres mobilni prohlizec, coz v takovem pripade bude vzdy bezpecnejsi nez pres mobilni aplikaci
    NAVARA
    NAVARA --- ---
    1 odpověď
    ADM: je to mimo

    prohlížeč na mobilu je aplikace jako každá jiná a může být stejným způsobem napadena - "že se do IB nedostanu na prohlížeči v mobilu" - narozdíl od aplikace malé lokální banky, bude hack na takový prohlížeč již existovat
    ADM
    ADM --- ---
    2 odpovědi-1
    AILAS: vubec to neni mimo, mimo je tvuj argument jak to ma banka udelany u sebe, to je jen jejich problem, uzivatel resi pouze bezpecnost sveho zpusobu interakce s bankou. pokud mam aplikaci bezici na neduveryhodnem OS (a myslim tim android, windows, iphone apod.) nelze z principu zajistit 100% bezpecnost te aplikace bez pouziti externiho kanalu kterym te banka informuje o transakci kterou hodlas zadat. kdyz ti tu aplikaci nekdo hackne, jakkoli slozite to zatim je, a provede za tebe nejakou transakci tak pak bankce neprokazes zes to neprovedl ty
    NAVARA
    NAVARA --- ---
    +1
    DOBYTEK: nepíšou jaká banka, takže těžko říct
    DOBYTEK
    DOBYTEK --- ---
    1 odpověď
    Jak je tohle možné? Copak přihlášení do IB nevyžaduje potvrzovací sms nebo potvrzeni přes token?
    AILAS
    AILAS --- ---
    2 odpovědi
    PATRIKCHRZ: "Aplikaci nechci" je úplně mimo z mnoha důvodů a korunu jsi tomu dal že chceš používat browser.. Spíš bych se obával o platformu a OS než o samotnou bankovní mobilní aplikaci. Když totiž nevěříš aplikaci, nevěříš bance. A tam je mnoho, světe div se, aplikací a po různu pospojovaných nehledě na všechny operátory a administrátory a dalších asi milion bezpečnostních rizik. Mobilní aplikace bych řekl že je to poslední. Navíc je to jediné místo kde bezpečnost může ovlivnit sám uživatel.
    NAVARA
    NAVARA --- ---
    PATRIKCHRZ: Na androidu není s prohlížečem problém, vyzkoušeno když jsem neměl aktivovanou aplikaci :) Browser je taky aplikace, takže...
    ZBYNEK
    ZBYNEK --- ---
    +2
    PATRIKCHRZ: AirBank jede v mobilním prohlížeči (Firefox) úplně v pohodě.
    U FIO mě štve, že musím pomocí SMS potvrzovat i převody mezi vlastními účty :-/
    PATRIKCHRZ
    PATRIKCHRZ --- ---
    3 odpovědi
    AILAS: u AirBank mi vadí, že se do IB nedostanu na prohlížeči v mobilu (aplikaci nechci, za prvé mám BlackBerry a za druhé považuji aplikace za potenciální bezpečnostní riziko, člověk nikdy neví, co ta aplikace vlastně provádí).
    Já za nejlepší považuji FIO, i když teď připravují nové IB a tam nejspíše budu mít s přístupem přes mobil rovněž problém. Nechápu, co je to za módu, že banky musí jít směrem "tlustých" bankovnictví i když Air je v tomto už celkem extrém.
    Kliknutím sem můžete změnit nastavení reklam