Vlákno názorů k článku Útoky typu SIM swap nepolevují, převzetí čísla je cestou k identitě od amadeus25 - Toto vravim uz vyse 10 rokov odkedy sa...
-
Toto vravim uz vyse 10 rokov odkedy sa zacala pouzivat 2FA cez SMS, ze je to nebezpecne. Vtedy som bol pokladany za konspiratora ale aj vtedy sa uz dal prevziat telefon (cez OS) a samotna SMS je iba slabo sifrovana a tym padom obist 2FA. Radsej pouzivam pristup ala secureID, kde je na casovej baze vypocitavane pristupove cislo a ziadna komunikacia nie je potrebna.
-
J ouda (neregistrovaný)
Ale ano, souhlasím, SecurID je úplně někde jinde (teda pokud RSAčku neutečou špatně zabezpečené seedy a najednou se jich nemuí pár stovek rychle měnit jako onehdá), ještě lépe něco na bázi eKlíče blahé paměti.
Jenže lidi jsou pohodlní a chtějí mít vše v jednom tak jsme kde jsme.Za sebe mám dilema, slabin SMS jsem si vědom (i když mám firemní, kde klasický sim swap je vyloučený), šifrování do mobilu zase tak špatné jak bývalo už dávno není, ale spíš limity IB mám takové že by se podobný útok nevyplatil.
Co se týče "bezpečných" bankovních autentizačních aplikací běžících na notoricky zavšivených mobilech, nějak se mi nechce věřit jejich bezpečnosti, a zvlášť s jejich rostoucím užitím si myslím že jde o primární cíl kyberzločinců. (že existuje něco jako secure enclave tuším, jen ho beru jako překážku sice důstojnou, ale určitě ne neproniknutelnou nebo neobejitelnou. Navíc nevím o ničem, co by bránilo pro útočníka implementaci "proxy k secure enclave" v rámci kompromitovanému systému) -
Smazaný profil
Takže zavšivený mobil a SMS je teda OK? Nebo to chápu špatně?
Mobil můžete mít zavšivený mnoha věcmi a různě, ale ta autentizační aplikace je pořád lepší .1. úplně obejdete sms swap útoky a možnosti odchytu po cestě
2. i na vlastním telefonu je ta aplikace lepší. Jeden příklad.
Každá aplikace běží odděleně. Pokud si stáhnete jen pochybnou aplikaci a dáte ji omylem práva na čtení SMSek, tak je hotovo. Ale tato pochybná aplikace už nedokáže číst info z bankovní ověřovací aplikace.
Samozřejmě je to celeé složitější, ale ten benefit už i tady je.Navíc zaleží na vás jaký telefon si koupíte a jak se chováte. Telefony s aktualizacemi a podporou již existují.
9. 4. 2021, 21:24 editováno autorem komentáře
-
J ouda (neregistrovaný)
Ano, celá konstrukce platí, dokud je OS telefonu jako takový bezpečný a izolace aplikací funguje tak jak bylo zamýšleno (pomiňme pár detailů.)
Jakmile se Vám dostane do rukou 0-day exploit (nic levného, jestli se nepletu bavíme se o stovkách kilodolarů na černém trhu u remote exploitable, ale evidentně dostupné), tak se celá konstrukce sesype jako domeček z karet a můžete být hodně rád když budete v té dávce, kdy si toho už v bance všimli z fraudu že se děje něco většího a zarazili transakci včas. Přitom škálování útoku cena/počet napadených je proti SMS mnohem plošší (v podstatě hranicí je zůstat pod fraud detekcí dost dlouho, versus lineární náročnost individuálního útoku nejspíš po SS7 nebo sim-swapem, úspěšné odchycení SMS ze vzduchu a dešifrování než vyprši session bych si s dovolením nechal předvést na kterékoli síti u nás).
Plus k tomu drobný detail - u mobilního bankovnictví jde o jediný faktor, pokud někdo používá tu zatracovanou SMS, tak je to jen druhý faktor od něčeho dalšího (certifikát, dnes bohužel i heslo), což útok taky trochu komplikuje. -
L.Stříbrný podporovatel
Pokud tam neprobíhá žádná komunikace, tak neautorizujete obsah transakce, ale jen "chci provést nějakou transakci", což je slabší variata, než obvyklá.
Pokud tedy neopisujete do tokenu data transakce ručně.
-
To u nás mala nejaký čas Tatrabanka. Do offline čítačky sa zasunula normálna čipová platobná karta. Na čítačke sa zadalo cieľové číslo účtu a suma transakcie. Zašifrovalo sa to kľúčom z čipovej platobnej karty. Čítačka na displeji vypísala kód, ktorým sa transakcia v IB na počítači podpísala.
https://zaujimavosti.net/wp-content/uploads/citacka-tatrabanka.jpg
Bezpečné ale neskutočne otravné, zákazníci začali kvôli tomu aj meniť banku. Neskôr to zmenili na mobilnú aplikáciu. -
L.Stříbrný podporovatel
On ale o QR kódu nic nepsal. Psal o klíči na základě času, tedy například klasický RSA token.
