STARDAY: vždy záleží na tom, jak je daný systém propracovaný. SMS může být jen jednoduchá "Vaši transkaci potvrďte kódem 12345" nebo "převátíte 5000 na účet 12345/0710", stejně tak i ty kalkulačky, do některých se musí zadávat číslo účtu a částka, takže podvržená stránka nepomůže (nepotvrdí to převod jiné částky nebo na jiný účet). Na druhou stranu je to docela opruz.

Kalkulačka (jako opravdu externí zařízení) je, myslím si, co se bezpečnosti týče nepřekonaná, pokud je systém nastaven tak, že pro vygenerování kódu se musí zadat důležité parametry platby (částka a cílový účet). Naproti tomu SMS může být napadena už po cestě (odchycena, unesena), případně v telefonu (závadná aplikace skryje, že na telefon nějaká sms došla a přepošle ji na pozadí jinam - tímto způsobem došlo k vykradení účtu třeba u FIO - https://finexpert.e15.cz/fio-banka-a-phishing-v-praxi-aktualni-zkusenost. Majitel účtu si instaloval závadnou aplikaci z podvrženého zdroje, která následně přeposílala autorizační SMSky jinam.

VLASTIS: A v cem vnimas rozdil proti zadani kodu ze sms nebo kalkulacky? Ze ma uzivatel vetsi prilezitost odhalit, ze je strankapodvrzena?

STARDAY: to je fakt, ale stejne mi to neprijde ok

VLASTIS: Ne. Tvrdim, ze SMS jako 2fa nejsou bezpecne a lze to dolozit radou prikladu.

TYCHOVRAHE: a tvrdis mi, ze prijdu do o2 a dostanu cislo andyho babise?

ADM: ale jo, v pripade ztraty sim nebo potreby nove z jineho duvodu ti operator cislo bez problemu prenese na novou

TYCHOVRAHE: ale ten "SIM port"u nas snad operatori neprovadeji, nebo ano?
zni to dost bizardne, ze by ti operator premapoval cislo na jinou SIM (ktera nejakou historii a cislo ma, muze byt od jineho operatora, apod)

TYCHOVRAHE: ale pro tento utok potrebujes znat ID sim, ne?

HARALD: Staci uzivatele dostat na falesne stranky. a mam temer 100% sanci ze mi potvrdi moje zalogovani.

VLASTIS: Na SMS neni fakt nic bezpecnyho - to je snad nejhorsi 2FA co muze byt.
“The Most Expensive Lesson Of My Life: Details of SIM port hack” by Sean Coonce https://link.medium.com/madEn9YqXW

VLASTIS: Nemělo by být. Co jsem koukal na standardy autorizace a autentizace, tak KB klíč zachovává dvoufaktorovou autorizaci, čili je na podobné úrovni jako autorizace certifikátem.

V čem konkrétně vidíš security fail? Jak bys vedl útok?

overeni funguje Tak, ze na strance mojebanka zadam uzivatelske jmeno a v mobilu tapnu pripojit

VLASTIS: oproti uvereni certifikatem ± sms je to o dva rady horsi

KOC256: v podstate se pouze potvrzuje sesna na mobilu. pokud BFU podvrhnu falesnou mojibanku, Kam mi uxivatel zada svuj ucet, ktery hned zadam do regulerniho bankovnictvi. Tak ma hodne malou sanci poznat, ze potvrzuje cizi pozadavek.

VLASTIS:
rozepis se :)

ahoj,
resil jste nekdo nebezpecnost overovani pomoci KB Klic aplikace?
jsem jedinej, komu to prijde jako security fail jak krava?

diky

PISTA1: ted uz to jde

ATAN: bezproblémů

Funguje vam IB CSOB? Uz nejakou dobu se tam nemuzu prihlasit. Jen se toci hodiny s "prihlasuji".

GHOSTSTALKER:
jak to funguje, kdyz mam mobil off (nemam data mimo EU). V TUR jsem to mel zapnute ale penize jsem v klidu vybral...