VLASTIS: A v cem vnimas rozdil proti zadani kodu ze sms nebo kalkulacky? Ze ma uzivatel vetsi prilezitost odhalit, ze je strankapodvrzena?

STARDAY: to je fakt, ale stejne mi to neprijde ok

VLASTIS: Ne. Tvrdim, ze SMS jako 2fa nejsou bezpecne a lze to dolozit radou prikladu.

TYCHOVRAHE: a tvrdis mi, ze prijdu do o2 a dostanu cislo andyho babise?

ADM: ale jo, v pripade ztraty sim nebo potreby nove z jineho duvodu ti operator cislo bez problemu prenese na novou

TYCHOVRAHE: ale ten "SIM port"u nas snad operatori neprovadeji, nebo ano?
zni to dost bizardne, ze by ti operator premapoval cislo na jinou SIM (ktera nejakou historii a cislo ma, muze byt od jineho operatora, apod)

TYCHOVRAHE: ale pro tento utok potrebujes znat ID sim, ne?

HARALD: Staci uzivatele dostat na falesne stranky. a mam temer 100% sanci ze mi potvrdi moje zalogovani.

VLASTIS: Na SMS neni fakt nic bezpecnyho - to je snad nejhorsi 2FA co muze byt.
“The Most Expensive Lesson Of My Life: Details of SIM port hack” by Sean Coonce https://link.medium.com/madEn9YqXW

VLASTIS: Nemělo by být. Co jsem koukal na standardy autorizace a autentizace, tak KB klíč zachovává dvoufaktorovou autorizaci, čili je na podobné úrovni jako autorizace certifikátem.

V čem konkrétně vidíš security fail? Jak bys vedl útok?

overeni funguje Tak, ze na strance mojebanka zadam uzivatelske jmeno a v mobilu tapnu pripojit

VLASTIS: oproti uvereni certifikatem ± sms je to o dva rady horsi

KOC256: v podstate se pouze potvrzuje sesna na mobilu. pokud BFU podvrhnu falesnou mojibanku, Kam mi uxivatel zada svuj ucet, ktery hned zadam do regulerniho bankovnictvi. Tak ma hodne malou sanci poznat, ze potvrzuje cizi pozadavek.

VLASTIS:
rozepis se :)

ahoj,
resil jste nekdo nebezpecnost overovani pomoci KB Klic aplikace?
jsem jedinej, komu to prijde jako security fail jak krava?

diky

PISTA1: ted uz to jde

ATAN: bezproblémů

Funguje vam IB CSOB? Uz nejakou dobu se tam nemuzu prihlasit. Jen se toci hodiny s "prihlasuji".

GHOSTSTALKER:
jak to funguje, kdyz mam mobil off (nemam data mimo EU). V TUR jsem to mel zapnute ale penize jsem v klidu vybral...

dobry rady dik.