Názory k článku
Aplikace z Google Play kradla peníze uživatelů, policie vyšetřuje pět případů
-
IPl (neregistrovaný)
Byla jen otázka času, kdy debilitu mobilního bankovnictví někdo využije.
Pokud máte počítač, přijde Vám kód na ověřeni bankovní transakce na Váš mobilní telefon.
Kdysi, když s internetovým bankovnictvím Česká spořitelna začínala a mobily nebyly rozšířené, jsme doma měli generátor hesel pro ověření transakce.
No mobilní matlalové chtějí mít všechno v jednom ...
Možná časem bude mobil umět i řídit auto, pochopitelně se stejnými nechtěnými důsledky. -
Nox (neregistrovaný)
Ja si pamatuji, ze kdysi, pred snad 10-15 lety u CS stacilo jmeno a heslo a dalsi overeni zadne. Pak prisly SMS, coz dnesni smartphony vyrusily.
Jen by me zajimalo, zda vubec Google nejak kontroluje, co vsechno pridava do Google Play. Mam pocit, ze ve snaze mit co nejvic aplikaci zadnou konrolu nedela a tak se tam dostane cokoliv. Staci se podivat, co ktere aplikace vyzaduji za opravneni. -
rws (neregistrovaný)
Google uz tusim u nekterych aplikaci ukazuje neco jako "zkontrolovano" , ale samozrejme to nestaci. Problem je, ze kazde nouma dneska muze "naprogramovat" aplikaci pro Android. Podle toho to pak vypada, kdyz clovek neco hleda, tak najde X ruznych aplikaci pro jednu vec a kazda neco neumi. Misto, aby se tihle hlupacci dali dohromady a udelali jednu poradnou aplikaci, tak si kazdej bastli svoje - NIH syndrom. A kdyz si tihle hlupaci neco pro android pisou, tak nechteji hledat, jak se presne udela pozadavek na konkretni prava, ale proste pouziji copy&paste a zkopiruji nejakou sablonu, ve ktere je pozadavek na vsechny prava.
-
> Možná časem bude mobil umět i řídit auto, pochopitelně se stejnými nechtěnými důsledky.
Stačí aplikace co doveze majitele z hospody bezpečně domů....a po nocích potají taxikaří když majitel spí. To se samozřejmě nelíbí aplikaci na snížení spotřeby, která se hádá s aplikací na zvýšení výkonu. Taxikařící aplikace nakonec nakecá šetřící aplikaci že je baterie v háji, čímž ji vyřadí.
Už se na to těším! -
Kdysi, když s internetovým bankovnictvím Česká spořitelna začínala a mobily nebyly rozšířené, jsme doma měli generátor hesel pro ověření transakce.
s tim prisla Expandia banka drive, pred 20lety ;-) mel sem od nich "kalkulacku" na generovani kodu, pozdeji aplikaci sifrovanejch sprav v simtoolkit, pak to koupila RB a zacla pouzivat normalni SMS... -
BobTheBuilderStříbrný podporovatelJo, to jsem ze Spořky měl taky, a bylo to prakticky nepoužitelné - zadat příkaz do prohlížeče a pak ho ještě částečně opsat do kalkulátoru, kde ani nebylo vidět celé číslo účtu, jak měl malý displej.
SMS byly vysvobození a kupodivu, navzdory hacknutelnosti SS7, k tomu nějak nedochází.
Jo, kdybych byl Warren Buffet, tak bych to asi dělal jinak. -
Petr Neni (neregistrovaný)
Tak ono nemusis ani hackovat ss7, pokud jsi na te same vezi jako obet. V praxi sledujes den dva traffic na nejake vezi a vidis ktere telefonni cisla dostavaji textovky z banky. Pak tech moznosti jak se dostat k uctu uzivatele je bambilion. V dobe ledove jsme jezdili rano po Praze a sledovali traffic ve vzduchu se zajimavymi pohyby.
-
misch (neregistrovaný)
Nevím, školy nemám, ale co je na IB v mobilu principiálně špatně?
z článku: "... pachatel získal zejména přístupové údaje k internetovému bankovnictví a SMS zprávám uživatele ..."
A nebo jinak:
a) Jak může na nerootnutém telefonu cizí aplikace zjistit identifikátor, pod kterým se IB (např. eKonto) ohlašuje bankovnímu serveru? To není viditelná informace, nikde se nezadává, jak to ta aplikace zjistí?
b) Jak může na nerootnutém telefonu cizí aplikace zjistit, jaké heslo zadávám? To bych jí přece na Androidu musel nejdřív v "accessibility options" explicitně povolit čtení hesel, ne?
Ani to, že jde o jedno jediné zařízení, není z pohledu SMS špatně, protože pokud na nerootnutém mobilu *nedám* aplikaci možnost číst autorizační SMSky, tak se k nim prostě nedostane, nebo se pletu?
Prostě mi přijde, že se tu zaměňují zásadní uživatelské chyby ("jo, záznamník chce povolit přístup k SMS ... tak mu ho přidám") s implicitním předpokladem že IB na mobilu je špatné vždy a za všech okolností.
-
Obvykle to začíná zavirováním počítače. Tam se pak často provádí útok man-in-the-browser, kdy se na webu banky objeví informace „Musíte si nainstalovat naši super bezpečnostní aplikaci SecureBank“. Uživatel si ji nainstaluje, protože mu to přece bezpečně poradila banka.
Aplikace po něm při spuštění chce číst SMS a dělat pár dalších věcí, ale tak proč ne, že? Je to přece od banky. Povolit, povolit, super a teď jsem v bezpečí. V tu chvíli má útočník v rukou oba faktory – může si přečíst hesla na počítači (má tam virus) a když bude chtít udělat vlastní transakce, tak si odchytává SMS, vůbec je uživateli neukazuje a posílá si je k sobě. Útok dokonán.
-
xxx (neregistrovaný)
Tomu bych rozuměl a souhlasím že se to tak obvykle dělá, ale ve zprávičce se píše něco jiného: "aplikace obsahovala malware typu trojský kůň, na základě kterého pachatel získal zejména přístupové údaje k internetovému bankovnictví a SMS zprávám uživatele", tedy podle všeho oba dva faktory byly získany prostřednictvím té androidí aplikace. U SMS je to jednoduché, na to může mít aplikace oprávnění, ale u toho loginu a hesla mi to jasné není...
-
Filip JirsákStříbrný podporovatelNěkde psali, že vytvořil průhlednou vrstvu nad aplikací a dokázal pak odchytit události (asi psaní na klávesnici). Mám ale pocit, že novější Androidy už tohle mají ošetřené.
-
BobTheBuilderStříbrný podporovatel
No, takže trvá počáteční zásadní nedostatek informací. Pokud byla potřeba SMS a ten trojan v mobilu mu zároveň ukradl přihlašovací údaje, tak někdo používal přístup do banky přes web přímo z mobilu - a to je chyba uživatele.
Když chci do banky z mobilu, tak přes bankovní aplikaci: tam by sice trojan možná mohl taky přečíst přihlašovací údaje (odlišné od těch pro web!), možná i potvrzovací pin na aktivní operaci, ale tyhle údaje platí jen pro tu aplikaci a jen z toho zařízení, které uživatel předem schválil. A to ještě ta aplikace musí mít od uživatele povolené aktivní operace, to není ani zdaleka samozřejmé (*).
To by ten trojan musel do příslušné aplikace ten podvržený převod i zadat - to se mi zdá být poněkud jiný problém, než odposlechnout akce uživatele. Jde to vůbec technicky, na dálku ovládat aplikaci se vším všudy?
(*) k čemu by byla aplikace bez aktivních operací? V AirBank třeba jako ověřovací druhý kanál místo SMS. -
Filip JirsákStříbrný podporovatel
Předpokládáte rozumně se chovající bankovní aplikaci (používá nějaký klíč specifický pro danou instalaci, není to jen jiné GUI, které posílá příkazy stejně, jako webové bankovnictví) a zároveň rozumně se chovajícího uživatele (používá na mobilu tu rozumně se chovající aplikaci a ne webové internetové bankovnictví). Řekl bych, že se najde dost uživatelů, u kterých alespoň jedno z toho není pravda.
-
BobTheBuilderStříbrný podporovatel
No, není to jiné GUI - to by ani nedávalo smysl, a potvrzovalo by se pořád přes SMS,byla by to bezpečnostní díra jak vrata od stodoly.
Třeba v AirBank ta aplikace může zároveň dělat potvrzovací kanál (aby se vyhnuli SMS, doporučují to a při zřízení účtu, když klient chce, tak mu to i nastaví). A je to právě nutná kombinace souhlasu aplikace, ale jen z registrovaného zařízení, která slouží jako platné ověření, takže ani ukradení loginu/hesla pro tu aplikaci (odlišného od toho pro web) neotevře přístup do banky.
To samozřejmě nic nemění na tom, že ten trojan je malér a kdo ho měl, tak by si měl změnit hesla. -
S nahráváním hovorů v androidu bývá často problém. Android nemusí chtít k nahrávání aplikace pustit. Je možné že z toho důvodu vyžadovala aplikace qrecorder root přístup, nebo nějaké zvláštní privilegia. Tedy zneužití pak bylo snadnější, než u jiných běžných aplikací.
Zarážející je také nízký počet dokonaných podvodů. Pravděpodobně to bylo možné provést jen za určité kombinace a konstelace, která není úplně běžná.Pravda ale je, že provádět z mobilu transakce větších částek nelze moc doporučovat. Mělo by se k tomu přistupovat jako k riziku. Spoléhat se na to, že někdo neheckne často roky neaktualizovaný android na vašem telefonu (výrobce už to vzdal), není zrovna vidina bezpečných plateb.
-
Yokotashi (neregistrovaný)
IB v mobilu je upkne v pohode, stejne, jako IB v internetove kavarne. Pokud mate autentizacni kalkulator, kterym autentizujete transakce jednorazovym heslem.
Problem je pouze v tom, ze lidi v bankach nejak nezajima bezpecnost a tak resi autentizaci idiotskymi SMS, ktere jdou odchytit, u kterych jde ziskat nahradni SIM od operatora a ktere - v pripade IB v telefonu - skonci v tom samem zarizeni, kde bezi to IB, takze jsou jeste vic k nicemu, nez normalne.
Jedina banka o ktere vim, ze nabizi nejaky autentizacni token je Unicredit. Jejich bankovnictvi je dost priserne, ale lepsi nez SMS bullshit.
-
jouda (neregistrovaný)
To nema smysl vysvetlovat, nekteri lidi nepochopi, ze bezpecnost neni jen absolutne nedobytny trezor, ale treba i (technicky naprosto nebezpecna) bezkontaktni karta, kde bezpecnost funguje na faktu ze limit 500 je pro banku naprosto marginalni riziko, a pripadnem vetsim zneuziti se vzdy da vynutit PIN.
Trosku problem je, kdyz se internetove bankovnictvi overuje SMSkou do stejneho mobilu ve kterem bezi, a nema primerene limity transakci nebo rozumnou detekci podezreleho chovani. To ze "neco" z takoveho bankovnictvi posle milion na naprosto neznamy ucet bez dalsiho overeni je jednoznacne chyba banky.
-
Yokotashi (neregistrovaný)
Ve svete, ve kterem ta banka tu zcela marginalni castku bez kecu okamzite vyplati s resenim problemu porad clovek stravi nejaky cas, ktery mu nikdo nezaplati. Ale rekneme, ze ten cas bude snesitelny.
V Ceske republice to vypada takto:
https://liberec.idnes.cz/platba-se-strhla-vicekrat-platba-kartou-naup-albert-fx9-/liberec-zpravy.aspx?c=A161216_113625_liberec-zpravy_tmTo mate jako pri hadce o neopravnenou pokutu s mobulnim operatorem: http://dfens-cz.com/uvazek-neskoncil-stredovek-trva-jsme-banda-beze-cti-a-ty-nejsi-obet-prva/ nakonec z nich dostanete zruseni pokuty, ale stravite s tim tolik casu, ze byste i s minimalni mzdou vydelali dvakrat vic.
Dokud nemam 100% jistotu, ze problem bude vyresen do peti minut, tak povazuji riziko nebezpecne autentizace za neakceptovatelne.
Bezkontaktnost karty lze zrusit vrtackou.
-
L. (neregistrovaný)
Jakým prapodivným mentálním postupem jsi se dostal ke kartám, když se tu bavíme o IB? Ale jo, možná to někdo udělá a bude z toho článek. Něco jako "Mentálně slabší muž s bezdrátovým terminálem odcizil pár desítkám lidí po pětistovce, ale protože terminály jsou na jméno, tak ho policie rychle dopadla a teď si posedí pár let v chládku."
-
Majkl (neregistrovaný)
Tu kravinu s náhodným vytahováním financí skrze platební karty všichni opakujou od začátku, kdy se bezkontaktní platební karty začaly ve velkém nasazovat.
Neslyšel jsem zatím ještě o jediném případu a i kdyby k tomu někdy došlo (byť zmínění o tom mluví jako kdyby to bylo na denním pořádku), tak se o té platbě za 500 během chvilky dozvím (jakákoliv platba / blokace mi přijde jako notifikace do telefonu).
Ale tipuju že si to pár let ještě číst budu pod každým článkem, který se tématu bezkontaktních karet / mobilního bankovnictví věnuje.
-
Majkl (neregistrovaný)
Můžete mi dát nějaké příklady, toho co jste zmiňoval, když si tu tak volně odbíháte od tématu a pak zase nazpět, jak se vám hodí?
" ... a az nekdo probehme metrem a stahne si petikilo od kazdyho mamlase s bezkontaktni kartou ... tak tu zase bude dalsi clanek."
Mě už fakt nebaví si číst pod každým článkem, který byť jen vzdáleně souvisí s platebními kartami, tuhle kravinu, kterou z nějakého důvodu určitá skupina lidí opakuje jak zaseklá gramofonová deska.
-
jouda (neregistrovaný)
Zasadni uzivatelska chyba neexistuje, jen zasadni chyba v security designu.
To je jako tahat elektriku po byte neizolovejma dratama - to, ze si na ne nekdo sahne a zabije ho to taky neni zasadni chyba uzivatele, ale toho kretena, ktery nechal zive casti dostupne lidem bez kvalifikace. -
Docela by mě zajímalo, jestli někdo nemá technický popis, co se v té appce vlastně dělo, resp. jakým způsobem ten přístup do ebankingu získávala.
Že četla autorizační SMS, to je celkem jasné (zde pak moc nechápu, jak je mohla číst i simtoolkitem šifrované SMSky v rajfce, viz https://mobil.idnes.cz/nahravac-hovoru-qrecorder-muze-byt-zavirovany-fr0-/mob_tech.aspx?c=A180925_105023_mob_tech_jm, když ty se k běžné SMS aplikaci na androidu vůbec nedostanou).
Jak ale třeba vůbec získala přihlašovací jméno a heslo dotyčného? To smí na androidu overlay appka bez dalších oprávnění zjišťovat, jaká vstupní pole se pod ní nachází a co obsahují?
Atd.
Prostě bych se rád dozvěděl, jaký byl ten mechanismus útoku, jestli se o tom dá někde něco dočíst? -
j (neregistrovaný)
lol ... ty ses probudil ze zimniho spanku? simtoolkit na spouste androidu nefunguje, na jabcich vubec, a rb ho prestala podporovat. Protoze se jaksi k ty sms nedostane nikdo.
A vazne netreba zjistovat co mas kde za policka ... staci sledovat kam lezes na web, a kdyz vlezes na adresu banky, tak co zadas jako prvni dva udaje? Pripadne kdyz spustis appku?
-
JF (neregistrovaný)
Já si taky myslím, že je poněkud podezřelé, že prozatím všechna prohlášení o oné infikované aplikaci pocházejí pouze od lidí z ESET. No a ke všemu to nejsou žádné technické popisy, ale spíš PR vyjádření. Zatím jsem nezaznamenal žádný fundovaný názor od nezávislého odborníka. Kromě toho v článcích neustále pletou internetové a mobilní bankovnictví, což je velký rozdíl.
-
Pepa (neregistrovaný)
Přijde mi to dost divný. Mám účet u tří bank, ke všem mám v mobilu aplikaci a všechny fungují tak, že se to musí nejdřív v IB na počítači povolit, napárovat s konkrétním zařízením, nastavit heslo pro spuštění a pin pro ověření transakce. Všechny měly ve výchozím stavu nastavený limit v jednotkách tisíc, případně pouze povolený převod mezi vlastními účty. I kdyby teda útočník získal heslo (které je jiné než do IB) a pin, tak je mu to stejně k ničemu, protože by k tomu ještě potřeboval na dálku kompletně ovládnout můj telefon tak, aby si mohl spustit bankovní aplikaci a ovládat ji. I tak by si přišel maximálně na pár tisícovek.
Jde tedy zase o lidskou blbost, kdy oběť lezla do banky z mobilu přes web.
ČLÁNKY DO MAILU