Aplikacja mobilna

Odpowiedz

Porozmawiajmy poważnie o bezpieczeństwie.

Dzień dobry.

 

Domyślam się, że osoba udzielająca się na forum nie ma odpowiedniej wiedzy, ale za pewne może skonsultować to z kim trzeba. Chodzi mi o to, że brakuje realnych i konkretnych informacji o tym jak zabezpieczać swoje konto.

 

Jedna z bardziej irytujących mnie porad - "Pobieraj aplikacje tylko z autoryzowanych sklepów" (informacja ze strony ING). To nie jest żadne zabezpieczenie, tym bardziej, że (także ze strony ING): "Pozornie niegroźna aplikacja pobrana z autoryzowanego sklepu, może stać się złośliwa po aktualizacji". I chyba nie muszę już tłumaczyć, dlaczego taka porada jest irytująca. Tak naprawdę nic nie wnosi w kwestii bezpieczeństwa, ponieważ przeciętny użytkownik nie ma najmniejszych szans aby weryfikować czy dana aplikacja jest bezpieczna. 

 

Równie dobrze można radzić klientom, aby produkty spożywcze kupowali tylko w pewnego źródła. Czyli z jakiego? Bo zdarzają się sytuacje, że np. wykryto pałeczki salmonelli i produkt jest wycofywany z półek. Klienci nie mają w domu laboratorium chemicznego aby to weryfikować.

 

Potrzebne są konkretne porady i konkretne rozwiązania. Aplikacja bankowa powinna być hermetyczna, izolowana od innych aplikacji, aby uniknąć takich ataków: https://niebezpiecznik.pl/post/jak-przestepcy-ukradli-10-000-pln-milosnikowi-kryptowalut-ciekawy-ata... 

 

Brakuje mi właśnie konkretnych rozwiązań zwiększających bezpieczeństwo. Przykłady...

  • Samsung dysponuje My Knox. Ale tam można instalować aplikacje tylko z ich sklepu, a ten nie został wymieniony w ING jako pewne źródło. W samym sklepie jak szukałem - też mi ING nie znalazło. Czyli ta technologia odpada w przypadku tego banku?
  • Xiaomi ma możliwość tworzenia drugiej przestrzeni. Aplikacje w jednej przestrzeni są odizolowane od drugiej - więc to rozwiązanie wydaje się odpowiednie. W drugiej przestrzeni przechowywane są pewne aplikacje finansowe, a w pierwszej można instalować "aplikacje z pewnego źródła bez ryzyka, że mogą one stać się złośliwe po aktualizacji". Ale czy to jedyna taka możliwość na rynku?
  • Android >=10 ma coś takiego jak Scoped Storage. Teoretycznie aplikacje są od siebie izolowane już na poziomie systemu. Ale czy na pewno? Czy to jest zabezpieczenie na miarę Knox, albo drugiej przestrzeni? Czy faktycznie od tego momentu zasadniczo nie trzeba przejmować się instalowanymi aplikacjami, o ile samemu nie udzieli się im szerszych uprawnień niż tych domyślnych wynikających ze Scoped Storage? Ponieważ są takie aplikacje, które jednak muszą wyrwać się poza swoją przestrzeń - np. menadżery plików, programy do backupów itp. i ta technologia pozostawia taką furtkę. 

 

Jedną z lepszych, konkretnych porad jakie znalazłem na Waszej stronie jest ta dotycząca limitów transakcyjnych. Niby oczywista sprawa, ale na pewno nie dla wszystkich - a jest to przykład konkretnego rozwiązania zwiększającego bezpieczeństwo. Porada o nieinstalowaniu aplikacji z niepewnego źródła w porównaniu z tą, to trochę tak jakby porównać sytuację, w której osobie pytającej o drogę podaje się "wejdź do autobusu linii 54 i wyjdź na 3 przystanku", albo "wszystkie drogi prowadzą do Rzymu, więc miej nadzieję".
Faktycznie ustawienie limitu transakcyjnego zestawionego z załączeniem informacji push powinno w znacznym stopniu zabezpieczyć środki na koncie. Raczej ryzykuje się do poziomu dziennego limitu, ponieważ nawet jeśli coś skutecznie wykona przelew, to informacja push powinna zaalarmować posiadacza rachunku i wymusić podjęcie określonych kroków zaradczych. 

 

Tylko pytanie - czy to jest jedyna konkretna porada jaka może wyjść ze strony banku? Bo zasadniczo nawet poradę o instalacji programu antywirusowego trudno uznać za wartościową. Jasne, w jakimś stopniu minimalizuje ryzyko. Ale żaden program antywirusowy nie ma 100% skuteczności. 

 

Osobiście nie jestem nawet przekonany co do załączenia weryfikacji behawioralnej. ING nie tłumaczy dość jasno i  konkretnie czy warto. Znaczy są teksty, że tak - warto. Ale z drugiej strony jest informacja, że dzięki temu pewnych operacji nie trzeba autoryzować. Więc tutaj pojawiają się moje wątpliwości. Co jeżeli np. przelewy wykonuję zawsze z określonego urządzenia? Owszem, mam świadomość, że weryfikacja behawioralna obejmuje znacznie więcej elementów niż tylko ten jeden. Ale mam jednak obawy, że może to stanowić potencjalne ułatwienie dla specjalistów z ciemniej strony mocy. Oni też mogą zacząć używać oprogramowania, które monitoruje pewne określone zachowania użytkownika, a następnie implementują ten schemat w działanie aplikacji złośliwej. Więc z jednej strony wygodnie, ale z drugiej - nie dosyć jasno tłumaczycie na ile to jest bezpieczne.

 

Na pewno świetnym rozwiązaniem jest rozdzielenie urządzeń. To jest jedno z najlepszych zabezpieczeń, ponieważ nawet jeśli coś zhakuje aplikację, to kod autoryzacyjny przychodzi na zupełnie inne urządzenie i nie zostanie przechwycony (tu faktycznie pozostaje już tylko świadomość użytkownika). Tylko pytanie kto będzie chodzić z dwoma telefonami? Kiedyś były tokeny sprzętowe, ale banki się z tego wycofują rakiem. Między innymi z takiego powodu, że dotychczasowe rozwiązania nie spełniały wymogu "dynamicznego powiązania", czyli nie wyświetlały informacji o szczegółach transakcji. Taka informacja jest w smsie, ale... ten znów nie spełnia wymogów silnego uwierzytelnienia (czyli tego co klient wie, posiada, albo jakie ma cechy). Czyli smsy w tym względzie nie są wystarczająco bezpiecznie. I nie jest to jedynie mój wymysł - europejski nadzór bankowy już ogłosił, że nie są. W przypadku mobilnej aplikacji tego silnego uwierzytelnienia nie widzę. Aplikację mobilną mam bowiem na tym samym urządzeniu, na które przychodzi sms. No chyba, że ta weryfikacja behawioralna... ale tu wracamy do akapitu wyżej - brak dostatecznego wyjaśnienia co to jest. 
W tym kontekście zastanawiam się czy nie prościej byłoby izolować kartę sim i aplikacje z nią ściśle powiązane, jak np. smsy. Większość telefonów jest już dualsim. Posiadając dwie karty można instalować aplikację w telefonie, ale drugi numer umieścić w izolowanej przestrzeni. Wtedy smsy autoryzujący przychodziłby tak jakby na fizycznie inne urządzenie. Oczywiście takie zabezpieczenie chroniłoby jedynie przed złośliwym oprogramowaniem, które byłoby izolowane (i dla tego oprogramowania druga karta sim byłaby innym urządzeniem). Przy fizycznej utracie dostępu do urządzenia nie miałoby to żadnego znaczenia. Tutaj znowu lepszym rozwiązaniem byłoby jednak rozdzielenie tego na dwa różne urządzenia.

 

Aby jeszcze bardziej zobrazować o co mi chodzi. Można dziecku tłumaczyć, aby uważało przechodząc przez drogę, rozglądało się w prawo i lewo - i tak rodzice na pewno robią. Tyle, że mimo tych przestróg odpowiedzialny rodzic ma świadomość, że nie jest to wystarczające i dla bezpieczeństwa nie pozwala się dziecku bawić przy ulicy. Dziecko to dziecko, więc mimo przyswojenia sobie pewnych zasad może raz się zapomnieć i dojdzie do tragedii. I fajnie by było, gdyby banki podobnie podchodziły do tematu. 

Szkot
Zaprawiony analityk I
Zaprawiony analityk I icon
82
26
21-01-2016
Wiadomość 1 z 5 (5 465 wyświetleń)

Re.: Porozmawiajmy poważnie o bezpieczeństwie.

chciało Ci się tak pisać?

Odpowiedz
0 Lajków
johnmakaron
Doradca z ambicjami II
Doradca z ambicjami II icon
32
12
12-11-2020
Wiadomość 2 z 5 (5 406 wyświetleń)

Re.: Porozmawiajmy poważnie o bezpieczeństwie.

Nie, przyłożyli mi broń do głowy.

 

Ja rozumiem, że teraz takie czasy, że tekst dłuższy od smsa jest dla wielu ponad siły (dla niektórych nawet krótki sms to za dużo - i nie czytają czego dotyczy otrzymany w smsie kod i gdzie robią przelew). Dla mnie ważniejsze jest jednak aby nie stracić oszczędności na które pracowałem nieporównywalnie dłużej niż pisałem ten tekst.

Odpowiedz
0 Lajków
Szkot
Zaprawiony analityk I
Zaprawiony analityk I icon
82
26
21-01-2016
Wiadomość 3 z 5 (5 395 wyświetleń)

Re.: Porozmawiajmy poważnie o bezpieczeństwie.

Jeszcze może dopytam w kontekście tych limitów. Aczkolwiek mam wątpliwości, czy bank odpowie - może społeczność ma jakieś doświadczenia.

Ustawiam limit powiedzmy 500 zł dziennie. Jakie są możliwe scenariusze w takim przypadku?
1. Złodziej próbuje dokonać przelewu na całą kwotę jaka jest na koncie - oczywiście mu się to nie udaje. Czy ja dostanę pusha o nieudanej próbie, czy nie? Bo jeśli tak to w ogóle rewelka - z konta nie zdąży nic uciec. Ale mam obawy, że to może zostać zablokowane (historia z linku jaki podałem pokazuje, że złośliwa aplikacja jest w stanie przechwycić powiadomienie).
2. Złodziej zmienia limit - ktoś może kojarzy takie przypadki? Teoretycznie to też trzeba autoryzować kodem z smsa. Ale znowu - skoro w przykładzie jaki podałem aplikacja przechwyciła smsa, to pewnie i takiego ze zmianą limitu może. Więc to by była lipa.

Czyli najpewniejszą metodą wydaje się izolacja aplikacji. Tylko w jaki sposób? Ktoś? Coś? Są tu w ogóle osoby, które ogarniają nieco bardziej temat bezpieczeństwa?
Odpowiedz
0 Lajków
Szkot
Zaprawiony analityk I
Zaprawiony analityk I icon
82
26
21-01-2016
Wiadomość 4 z 5 (5 377 wyświetleń)

Re.: Porozmawiajmy poważnie o bezpieczeństwie.

Dorzucę jeszcze ciekawy artykuł, w którym właśnie ujęto konkretniejsze porady dotyczące bezpieczeństwa.

 

https://niebezpiecznik.pl/post/5-rzeczy-ktore-warto-ustawic-na-swoim-koncie-w-banku-aby-bylo-bezpiec... 

 

Zastanawiam się jak specjaliści z banku odnoszą się do porady dotyczącej zmiany metody autoryzacji z smsa na aplikację bankową. O tym wspominałem wcześniej pisząc o niebezpiecznych smsach i ten artykuł to potwierdza. Tylko nie wiem czy w ING można to przestawić i czy faktycznie specjaliści banku to zalecają. Nie można bowiem takiej podpowiedzi znaleźć na stronie banku.

Odpowiedz
0 Lajków
Szkot
Zaprawiony analityk I
Zaprawiony analityk I icon
82
26
21-01-2016
Wiadomość 5 z 5 (5 298 wyświetleń)
Ostatnie wpisy na forum
Re.: Kredyt hipoteczny - czas oczekiwania na decyzję

Trzymam kciuki za pozytywną i szybką decyzję dla Ciebie 🙂

28-03-2024
Re.: Kredyt hipoteczny - czas oczekiwania na decyzję

Gratuluję i bardzo dziękuje za informację Emotikon: Szczęśliwy

28-03-2024
Re: Kupno biletów przez CarPlay - czy to żart

Niestety całe ING, tam gdzie nie trzeba to wielce dbają bezpieczeństwo, tak jak z tym CarPlay wymagającym odblokowania tel, albo jak aktywujesz U2F w aplikacji to każde uruchomienie aplikacji wymaga p

...

28-03-2024
Najbardziej pomocni użytkownicy