Vlákno názorů k článku George klíč končí, bankovnictví George Česko už v emulaci nespustíte od Jan Hrach - Je George jen klíč (tj. druhý faktor --...
-
Jan HrachStříbrný podporovatelJe George jen klíč (tj. druhý faktor -- útočník by musel kompromitovat mobil i počítač), nebo plnohodnotné bankovnictví, což některé banky dělají (tj. útočníkovi stačí kompromitovat mobil)?
Nejspíš to první, za což je nutno Spořitelnu pochválit. Ve druhém případě je pak riziko provozovat nějaký starý/levný telefon s pochybnou verzí Androidu (řešení navržené na konci článku).
Pak jsou ještě různé hry na kočku a myš, kdy se snažíte před aplikací tyhle věci skrýt. Populární je třeba kontrola, že zařízení není rootnuté; do extrému pak jde Moneta, která skenuje ostatní nainstalované aplikace, a odmítne se spustit, pokud najde nainstalovaný TeamViewer, AnyDesk a spol. (jste správce, který uvedené aplikace používá pro dohled nad systémy, o které se stará? smolík). Nerozumím bohužel vůbec Androidu ani nevím kde se tyhle věci naučit (neznáte nějaký návod „Android pro linuxové experty“?), na normálním Linuxu by se tohle řešilo třeba pomocí LD_PRELOAD a trasování syscallů. Tipec všemu ovšem zatne vynucená vzdálená atestace. Výsledkem podle mě bude, že se vývojáři těchto aplikací postupně naučí přenášet bezpečnost na klienta (ve smyslu ověřování hesel v klientské aplikaci a protokol je pak děravý), a jakmile se někomu podaří atestaci prolomit (třeba nějakým hardwarovým hackem typu modifikace RAM za běhu po té co byl natažený ověřený systém), tak bude Bůh.
-
Ano, díval jsem se na Fio Smartbanking a s ním bych problémy neměl. Ale ruku na srdce, jen proto, že jsem v současné době nucen vlastnit chytré zařízení, nemám důvod měnit banku. Se službami České spořitelny jako s celkem jsem velmi spokojen, komunikace s bankéři mi plně vyhovuje a služby pokrývají veškeré mé potřeby. Samozřejmě vše se může změnit, za rok mi končí fixace u hypotéky a ani této bance se nevyhýbají změny zaměstnanců. Může přijít nové vedení, objeví se mladý perspektivní študák, který např. jako svojí diplomovou práci vytvoří aplikaci ála Datovka v souladu s bezpečnostní politikou banky, George Česko nebo jeho následovník se objeví v repozitáři F-Droid, případně nás čeká jiná veselá změna zcela zakrývající internetové bankovnictví. Takže za mě spokojenost, přeci jen jsem zvyklý dívat se na svět pozitivníma vočima.
-
L.Stříbrný podporovatel
Jak "nestojí vůbec nic"? Krom udržování infrastruktury musí platit nejméne ~1 CZK za SMS. A cena je nastavená tak, aby lidi motivovala přejít na bezpečnější řešení.
-
A to beres kde ze se plati 1Kc za sms? I jako franta z ulice dostanu neomezeny sms za kilo (ne-li za min) mesicne. Jako firma mam takovych simek nekolik set. Neplati se za ne nic. Op chce svych XkKc mesicne a je mu uplne volny jestli tech SMS poslu mililon nebo deset.
Jen pokud tech SMS budu posilat ty mililony, tak mi reknou at to posilam pres SMS gw a ne pres simky. Mam simky ktery odesilaji 30k mesicne. Nikomu to nevadi.
Kolik milionu (v tech milionech SMS) asi tak rocne stoji script generujici rekneme 50 znaku per sms? Aha ... nic. Nula je zcela presna aproximace.
Banky naopak chteji aby jejich zakaznici pouzivali reseni ktere je bezpecnostne radove nikoli o fous, horsi.
-
L.Stříbrný podporovatel
Tak se podívej do obchodních podmínek, co to přesně znamená "neomezené".
Jestli ti operátor toleruje dlouhodobě 30k za měsíc, tak máš štěstí, ale na to banka spoléhat nemůže.
Řádově horší než SMS? To je "žádné zabezpečení", ne? :-D
-
DannyStříbrný podporovatelTak si to zkuste :-) U ruzovek to byl nedavno "problem" i s deseti tisicema zprav. A to neslo o zadny hromadny spam, ale zpravy posilane na par urcenych cisel v ramci firmy.
-
Jan HrachStříbrný podporovatel
Kdyby měly banky problém s cenou SMS, tak neposílají SMS za bagatelní částky. Například mBank posílá SMS kvůli 3D secure i když si kupuju lístek na vlak za 50 Kč nebo platím pár korun převodem. Fio to má rozumně, asi do 1000 Kč od posledního ověření se neověřuje.
-
Mám dojem, že to mbank nějak vyladil. Už se mi několikrát stalo, že jsem platil nějakou prkotinu online a chvíli potom něco dražšího (ze stejného prohlížeče a ip) a u té druhé částky ověření nechtěl nikdo.
Když jsme u té mBanky, tak třeba v mateřském polsku je možné mít samostatnou aplikaci jako klíč, ale v Česku musí mít člověk celé bankovnictví. -
Česká spořitelna nahrazuje aplikaci George klíč, která sloužila jen k autentizaci internetového či mobilního bankovnictví novou aplikací George Česko, ta obě tyto funkcionality slučuje. Jedná se tedy o monolit a běžný uživatel, který jde cestou maximálního pohodlí, většinou využije právě toto aktuální mobilní bankovnictví. Takový je dnešní trend a nejspíše podobnou cestou půjdou i další banky.
V současné době využívám starší přístroj Sony se systémem Android 9, jedná se o standardní aktualizovaný systém s některými přidanými aplikacemi od této společnosti. Vzhledem k tomu, že minimální požadavek pro dnešní George Česko představuje Android 8.1, neobávám se jej využívat. Vzhledem k situaci jsem si bankovnictví nastavil tak, že při jakémkoliv pohybu na účtu mi dojde na e-mail notifikace, takže jsem přihlašování omezil na minimum, pouze na počítači a fyzický přístroj využívám jen pro autentizaci, nic víc.
Pro různé experimenty doporučuji stáhnout apk soubor s aplikací např. ze serveru aptoide.com, není problém jej rozbalit a prozkoumat. Osobně vzhledem k povaze aplikace zůstanu uživatelem a pokud mi starší telefon doslouží, přejdu na nový (mám rád ty odolnější, takže jsem si původně vyhlédl DooGee S51 s Andoidem 12 v ceně okolo 3 000 Kč).
-
Aha, tak tady se omlouvám za nesprávnou informaci, nedávno mi telefon aktualizace nabídl, ale jednalo se jen o jejich interní aplikace. Takže zatím budu opatrný a přejdu na novější přístroj, třeba jej dostanu jako dárek, je možné, že z tohoto důvodu bude dosavadní podpora Androidu 8 a 9 brzy ze strany banky ukončena.
