Vlákno názorů ke zprávičce Aplikace z Google Play kradla peníze uživatelů, policie vyšetřuje pět případů od Zdeno Sekerák - Asi tolko k bezpecnosti IB v mobile.
-
misch (neregistrovaný)
Nevím, školy nemám, ale co je na IB v mobilu principiálně špatně?
z článku: "... pachatel získal zejména přístupové údaje k internetovému bankovnictví a SMS zprávám uživatele ..."
A nebo jinak:
a) Jak může na nerootnutém telefonu cizí aplikace zjistit identifikátor, pod kterým se IB (např. eKonto) ohlašuje bankovnímu serveru? To není viditelná informace, nikde se nezadává, jak to ta aplikace zjistí?
b) Jak může na nerootnutém telefonu cizí aplikace zjistit, jaké heslo zadávám? To bych jí přece na Androidu musel nejdřív v "accessibility options" explicitně povolit čtení hesel, ne?
Ani to, že jde o jedno jediné zařízení, není z pohledu SMS špatně, protože pokud na nerootnutém mobilu *nedám* aplikaci možnost číst autorizační SMSky, tak se k nim prostě nedostane, nebo se pletu?
Prostě mi přijde, že se tu zaměňují zásadní uživatelské chyby ("jo, záznamník chce povolit přístup k SMS ... tak mu ho přidám") s implicitním předpokladem že IB na mobilu je špatné vždy a za všech okolností.
-
Obvykle to začíná zavirováním počítače. Tam se pak často provádí útok man-in-the-browser, kdy se na webu banky objeví informace „Musíte si nainstalovat naši super bezpečnostní aplikaci SecureBank“. Uživatel si ji nainstaluje, protože mu to přece bezpečně poradila banka.
Aplikace po něm při spuštění chce číst SMS a dělat pár dalších věcí, ale tak proč ne, že? Je to přece od banky. Povolit, povolit, super a teď jsem v bezpečí. V tu chvíli má útočník v rukou oba faktory – může si přečíst hesla na počítači (má tam virus) a když bude chtít udělat vlastní transakce, tak si odchytává SMS, vůbec je uživateli neukazuje a posílá si je k sobě. Útok dokonán.
-
xxx (neregistrovaný)
Tomu bych rozuměl a souhlasím že se to tak obvykle dělá, ale ve zprávičce se píše něco jiného: "aplikace obsahovala malware typu trojský kůň, na základě kterého pachatel získal zejména přístupové údaje k internetovému bankovnictví a SMS zprávám uživatele", tedy podle všeho oba dva faktory byly získany prostřednictvím té androidí aplikace. U SMS je to jednoduché, na to může mít aplikace oprávnění, ale u toho loginu a hesla mi to jasné není...
-
Filip JirsákStříbrný podporovatelNěkde psali, že vytvořil průhlednou vrstvu nad aplikací a dokázal pak odchytit události (asi psaní na klávesnici). Mám ale pocit, že novější Androidy už tohle mají ošetřené.
-
BobTheBuilderStříbrný podporovatelNo, takže trvá počáteční zásadní nedostatek informací. Pokud byla potřeba SMS a ten trojan v mobilu mu zároveň ukradl přihlašovací údaje, tak někdo používal přístup do banky přes web přímo z mobilu - a to je chyba uživatele.
Když chci do banky z mobilu, tak přes bankovní aplikaci: tam by sice trojan možná mohl taky přečíst přihlašovací údaje (odlišné od těch pro web!), možná i potvrzovací pin na aktivní operaci, ale tyhle údaje platí jen pro tu aplikaci a jen z toho zařízení, které uživatel předem schválil. A to ještě ta aplikace musí mít od uživatele povolené aktivní operace, to není ani zdaleka samozřejmé (*).
To by ten trojan musel do příslušné aplikace ten podvržený převod i zadat - to se mi zdá být poněkud jiný problém, než odposlechnout akce uživatele. Jde to vůbec technicky, na dálku ovládat aplikaci se vším všudy?
(*) k čemu by byla aplikace bez aktivních operací? V AirBank třeba jako ověřovací druhý kanál místo SMS. -
Filip JirsákStříbrný podporovatel
Předpokládáte rozumně se chovající bankovní aplikaci (používá nějaký klíč specifický pro danou instalaci, není to jen jiné GUI, které posílá příkazy stejně, jako webové bankovnictví) a zároveň rozumně se chovajícího uživatele (používá na mobilu tu rozumně se chovající aplikaci a ne webové internetové bankovnictví). Řekl bych, že se najde dost uživatelů, u kterých alespoň jedno z toho není pravda.
-
BobTheBuilderStříbrný podporovatel
No, není to jiné GUI - to by ani nedávalo smysl, a potvrzovalo by se pořád přes SMS,byla by to bezpečnostní díra jak vrata od stodoly.
Třeba v AirBank ta aplikace může zároveň dělat potvrzovací kanál (aby se vyhnuli SMS, doporučují to a při zřízení účtu, když klient chce, tak mu to i nastaví). A je to právě nutná kombinace souhlasu aplikace, ale jen z registrovaného zařízení, která slouží jako platné ověření, takže ani ukradení loginu/hesla pro tu aplikaci (odlišného od toho pro web) neotevře přístup do banky.
To samozřejmě nic nemění na tom, že ten trojan je malér a kdo ho měl, tak by si měl změnit hesla. -
S nahráváním hovorů v androidu bývá často problém. Android nemusí chtít k nahrávání aplikace pustit. Je možné že z toho důvodu vyžadovala aplikace qrecorder root přístup, nebo nějaké zvláštní privilegia. Tedy zneužití pak bylo snadnější, než u jiných běžných aplikací.
Zarážející je také nízký počet dokonaných podvodů. Pravděpodobně to bylo možné provést jen za určité kombinace a konstelace, která není úplně běžná.Pravda ale je, že provádět z mobilu transakce větších částek nelze moc doporučovat. Mělo by se k tomu přistupovat jako k riziku. Spoléhat se na to, že někdo neheckne často roky neaktualizovaný android na vašem telefonu (výrobce už to vzdal), není zrovna vidina bezpečných plateb.
-
Yokotashi (neregistrovaný)
IB v mobilu je upkne v pohode, stejne, jako IB v internetove kavarne. Pokud mate autentizacni kalkulator, kterym autentizujete transakce jednorazovym heslem.
Problem je pouze v tom, ze lidi v bankach nejak nezajima bezpecnost a tak resi autentizaci idiotskymi SMS, ktere jdou odchytit, u kterych jde ziskat nahradni SIM od operatora a ktere - v pripade IB v telefonu - skonci v tom samem zarizeni, kde bezi to IB, takze jsou jeste vic k nicemu, nez normalne.
Jedina banka o ktere vim, ze nabizi nejaky autentizacni token je Unicredit. Jejich bankovnictvi je dost priserne, ale lepsi nez SMS bullshit.
-
jouda (neregistrovaný)
To nema smysl vysvetlovat, nekteri lidi nepochopi, ze bezpecnost neni jen absolutne nedobytny trezor, ale treba i (technicky naprosto nebezpecna) bezkontaktni karta, kde bezpecnost funguje na faktu ze limit 500 je pro banku naprosto marginalni riziko, a pripadnem vetsim zneuziti se vzdy da vynutit PIN.
Trosku problem je, kdyz se internetove bankovnictvi overuje SMSkou do stejneho mobilu ve kterem bezi, a nema primerene limity transakci nebo rozumnou detekci podezreleho chovani. To ze "neco" z takoveho bankovnictvi posle milion na naprosto neznamy ucet bez dalsiho overeni je jednoznacne chyba banky.
-
Yokotashi (neregistrovaný)
Ve svete, ve kterem ta banka tu zcela marginalni castku bez kecu okamzite vyplati s resenim problemu porad clovek stravi nejaky cas, ktery mu nikdo nezaplati. Ale rekneme, ze ten cas bude snesitelny.
V Ceske republice to vypada takto:
https://liberec.idnes.cz/platba-se-strhla-vicekrat-platba-kartou-naup-albert-fx9-/liberec-zpravy.aspx?c=A161216_113625_liberec-zpravy_tmTo mate jako pri hadce o neopravnenou pokutu s mobulnim operatorem: http://dfens-cz.com/uvazek-neskoncil-stredovek-trva-jsme-banda-beze-cti-a-ty-nejsi-obet-prva/ nakonec z nich dostanete zruseni pokuty, ale stravite s tim tolik casu, ze byste i s minimalni mzdou vydelali dvakrat vic.
Dokud nemam 100% jistotu, ze problem bude vyresen do peti minut, tak povazuji riziko nebezpecne autentizace za neakceptovatelne.
Bezkontaktnost karty lze zrusit vrtackou.
-
L. (neregistrovaný)
Jakým prapodivným mentálním postupem jsi se dostal ke kartám, když se tu bavíme o IB? Ale jo, možná to někdo udělá a bude z toho článek. Něco jako "Mentálně slabší muž s bezdrátovým terminálem odcizil pár desítkám lidí po pětistovce, ale protože terminály jsou na jméno, tak ho policie rychle dopadla a teď si posedí pár let v chládku."
-
Majkl (neregistrovaný)
Tu kravinu s náhodným vytahováním financí skrze platební karty všichni opakujou od začátku, kdy se bezkontaktní platební karty začaly ve velkém nasazovat.
Neslyšel jsem zatím ještě o jediném případu a i kdyby k tomu někdy došlo (byť zmínění o tom mluví jako kdyby to bylo na denním pořádku), tak se o té platbě za 500 během chvilky dozvím (jakákoliv platba / blokace mi přijde jako notifikace do telefonu).
Ale tipuju že si to pár let ještě číst budu pod každým článkem, který se tématu bezkontaktních karet / mobilního bankovnictví věnuje.
-
Majkl (neregistrovaný)
Můžete mi dát nějaké příklady, toho co jste zmiňoval, když si tu tak volně odbíháte od tématu a pak zase nazpět, jak se vám hodí?
" ... a az nekdo probehme metrem a stahne si petikilo od kazdyho mamlase s bezkontaktni kartou ... tak tu zase bude dalsi clanek."
Mě už fakt nebaví si číst pod každým článkem, který byť jen vzdáleně souvisí s platebními kartami, tuhle kravinu, kterou z nějakého důvodu určitá skupina lidí opakuje jak zaseklá gramofonová deska.
-
jouda (neregistrovaný)
Zasadni uzivatelska chyba neexistuje, jen zasadni chyba v security designu.
To je jako tahat elektriku po byte neizolovejma dratama - to, ze si na ne nekdo sahne a zabije ho to taky neni zasadni chyba uzivatele, ale toho kretena, ktery nechal zive casti dostupne lidem bez kvalifikace.
