Odpověď na názor

Nesmyslně jste se zaměřil na fyzický útok, a ještě k tomu předpokládáte tupého útočníka a bezchybně implementovanou bankovní aplikaci (což je typicky nějaký marketingový bloat s ochranou proti reverzování aby to hlavně nikdo nemohl pentestovat) - co třeba znamená ten pin z bodu 3, je možné ho offline bruteforcovat?

Vzdálené vyhackování je mnohem pravděpodobnější.

V nedávné diskuzi jsem si tu stěžoval na bankovní SMS a že všichni tlačí aplikace a že to nechci, a že banky mají dávat tokeny, a jako příklad jsem dával Bitcoin Trezor. A někdo (myslím že pan Jirsák :) mi navrhoval, že si mám koupit nejlevnější smartphone, který stojí jen o trochu víc než ten token (což je teda způsobené jenom tím jaké náklady banka absorbuje), a použít ho v podstatě jako ten token, a že to je druhý faktor, tak bude přece v pohodě že nejlevnější smartphone bude nějaký crap s děravým androidem a malwarem, adwarem a spywarem od výrobce (a navíc nemá TPM, i kdybychom mu věřili, a už vůbec ne FaceID). No a teď to tady vidíte.