Elektronické bankovnictví v mobilu - je bezpečné?
Zdravím,
mám mobil s androidem a v něm spoustu nainstalovaných aplikací. Některé jsem stahoval z Google Play, ostatní jsou tak po různu postahované z netu. Nevím, jak je to s virama na mobilech, ale je fakt, že většina aplikací má spoustu oprávnění. Nemohou tedy, v kombinaci se zapnutým netem, odesílat někam citlivá data?
Myslím tím, když bych používal i aplikaci pro mobilní bankovnictví.
Napadlo mě, jestli by třeba pomohlo, kdybych si nainstaloval třeba Notroot Wirelles, který vybraným aplikacím zamezí přístup k netu. Kdybych tedy zablokoval přístup těm aplikacím, které nejsou z Google Play, jestli by to pomohlo.
Mám prostě strach, aby mi nějaká aplikace neodesílala bez mého vědomí někam přihlašovací údaje k mému účtu.
Doteď jsem účet obsluhoval pouze doma z PC, ale potřeboval bych využívat i mobil. Jen se trochu bojím. Poraďte, jak eliminovat možná nebezpečí.
Díky moc. Peťan
Internetové bankovnictví a bankovnictví v mobilu mají odlišné přihlašování. V internetovém bankovnictví si registruješ mobil - je to vazané na IMEI, tel.cislo apod. Při změně mobilu si jej musíš v internetovém bankovnictví znovu zaregistrovat.
Budu oponovat. Svůj mobil jsem nikdy nikam na banku neregistroval a normálně se přes něj, a přes mobilní aplikaci od banky, přihlašuji.
Co je to za banku? Všechny 3 banky, které jsem měl, vyžadovaly registraci mobilu v internetovém bankovnictví. Zhruba způsobem, kdy se v mobilní aplikaci něco vygenerovalo, to se zadalo do bankovnictví a tím msis spároval mobil, případně naopak - v bankovnictví sis vytvořil žádost o registraci nového mobilu a na základě ní jsi pak mobil spároval s bankovnictvím.
Taky to mám tak. Aplikace Era (stejné, co ČSOB, jen v červeném designu) a WP. Bylo potřeba to aktivovat, jinak by to nefungovalo.
GE Money Bank
GE money, FIO apod. jsou podobná pakáž. Systém poskládaný ze spousty vzájemně nespolupracujících aplikací, jak postupně skupovali jiné banky. Takže není divu, že mobilní bankovnictví je další samostatná aplikace
FIO to ma vazane na IMEI telefonu.
FIO byla první banka (tehdy ještě záložna), která měla internetové bankovnictví. Ostatní banky při vývoji koukaly na ně, jak to mají udělané. Podívej se někdy na úroveň IB FIO a třeba Komerční banky, možná se budeš divit a nebudeš plácat takovýhle voloviny.
Taky naprosto nechapu ten jeho komentar. FIO sice uz neni co bylo driv, ale v IB si drzi stale vysoky standard a jejich IB povazuju za jedno z nejlepsich. (Tim myslim tu novou verzi, ta stara verze byla taky dobra, ale uz proste neodpovidala dobe, bylo to takove az moc spartanske.)
u mbank stejne jako u tebe
Tak do toho bych nešel. Android ve mě nebudí důvěru.
Řekl bych, že nebezpečí je úplně stejné jako při přihlašování na počítači.
Ty máš v počítači Android ? Jak to může být stejné ?
Řekni mi, v čem je větší nebezpečí na Androidu
V podstatě problémy, které byly jsou kombinací nezodpovědného chování uživatele na PC a androidu.
Pokud útočník získá přihlašování do internetového bankovnictví a "donutí" uživatele nainstalovat nějakou aplikaci do mobilu, tak pak získá přístup k potvrzovacím SMS a může si dělat, co uzná za vhodné. Uživatel na mobilu to nezjistí, protože potvrzovací SMS z banky přijde, odešle se jinam a smaže se.
je děravý jak ementál.
A windows neni?
Android sam o sebe neni deravy, deravy je uzivatel :)
opakovaně odhalená díra v kódu MMS/SMS engine vedoucí ke kompletní kompromitaci mobilu mi připadně až děsivě velká. Opatchování nehrozí u 95% mobilů v provozu. Řeší to operátoři na SMS/MMS branách, což je jednoznačná kapitulace.
Suhlasim, ze nebezpecenstvo je dnes cca rovnake ako na PC.
Hlavan deviza bankingu je v tom, ze ochrana je ukazdej banky minimalne dvojzlozkova. Prva zlozka je klasika a je to username a password. Cez meno e heslo sa vo vacsina bank na ucet vsak nedostanete alebo nemozete spravit ziaden pohyb, cize mozete si ucet len prezerat.
Druha zloka byva najcastejsie zlozena z sms tokenu, ci tokenu z citacky (moze byt aj vo forme aplikacie na mobile), takze na to, aby utocnik mohol preniknut na vas ucet musi okrem mena a hesla mat pod kontrolou aj dodatocnu autorizaciu.
Bankove aplikacie od bank obsahuju casto uz obe zlozky v sebe, co casto byva este poistene registraciou mobilu, cize v novom mobile dana aplikacia nefunguje. Napriklad TB overuje novy mobil len cez citacku, ale nie citacku v mobile, ale musi sa pouzit hw citacka, kedze nejde prepinat medzi aplikaciami.
Nakolko cela komunikacia mezi aplikaciou a bankou prebieha sifrovane je velmi tazke sa dostat medzi ne a odchytit komunikaciu, a preto utocnici casto pouzivaju metody socialneho inzinierstava, cize prve prihlasenie "odklonia" na falosny server, kde sa dotycny pokusi prihlasit a tak ziskaju jeho prihlasovacie udaje. Odchytit udaje z citacky je este tazsie, ale daju s k tomu pouzit podobne metody.
Nakolko Android ma v sebe defaultne zakazane ine zdroje appiek ako je Obchod Play je skoro nemozne pre virus ziskat plnu kontrolu nad systemom bez rootnuteho telefonu.
Samozrejme to nehovorime o dierach v samotnom Androide, ktore sa prevalili v tomto roku, ale to by bolo na dlhsie;o).
A ako eleiminovat nebezpecenstvo? Mat zaplatany Android pokial sa da, nepouzivat cudzie zdroje len Obchod Play, obmedzit si limit na mobilny banking, pripadne zaviest dalsiu zlozku na autentifikaciu....napriklad pokial banka posiela sms tokeny nechat si ich posielat na hlupy telefon, ktory sa neda hacknut...atd atd. Moznosti je vela.
Problém u mobilu je právě ten, že v případě jeho kompromitace na něj chodí i ta druhá část, tj. token, tj. SMS. A mít dvě krabičky... to fakt není úplně ideální (sám to tak musím řešit z jiného důvodu a je to opruz)
Existují mobily na dvě simky
To sice ano, ale to právě vůbec neřeší tenhle problém. Pořád to bude v jednom zařízení.
No jo, no ale jestli někdo "musí" mít rootnutý Android a instalovat tam kdeco? Tam by bankovnictví provozoval jen bloud.
To se mylis, prave v rootnutem zarizeni si uzivatel muze bezpecnost radikalne zvysit, takze pak je bankovnictvi jeste bezpecnejsi.
No a nebo (to asi spíš) naprosto rozesrat. A neříkej, že ne.
Ano to je, ale jedna vec je odchytit meno a heslo a druha vec je presmerovat si sms komunikaciu. Co som videl riesili to zatial tak, ze si nechali sms preposlat od uzivatela na podvrhnutu stranku, takze asi tak jednoduche to zase nie je spravit to tak, aby si uzivatel nic nevsimol.
když máš v telefonu rootkit, pak si obsah SMS můžeš poslat přes net.
Existovaly aplikace, které vypadaly jako aplikace banky typu Bank security a tvrdily, že ti zvýší bezpečnost bankovnictví.
A pokud někdo dostane SMS ze svého bankovnictví a kód pošle někomu jinému, aniž si přečte, co platí a kolik, pak nemá právo mít bankovní účet.
To dostávali lidi do mailů, že je to nějaký TrustPort security a spořka že doporučuje to instalovat, ne?
Ale tak copak, ať má, přijde o vlastní peníze.
S tím souhlasím, proto bankovnictví v mobilu používám pouze pro kontrolu, jestli odešly platby nebo zůstatek atd. Nikdy přes to nic neplatím.
Takže se musíš přihlásit ke svému účtu abys viděl seznam transakcí. V tom případě už je jedno, jestli koukáš nebo platíš.
Nemusí to tak být, může mít třeba omezený limit plateb přes mobil na 0. Třeba u KB mám možnost si povolit mobilní platby jenom na konkrétní účty, které si nastavím ve webovém rozhraní.
Robite z toho strasiaka. To by musel ten telefon byt tak zmeneny ze utocnik by vedel zachytit sms bez toho aby user vedel ze mu dosla SMS. povedal by som ze to neni tak jednoduche, ani moc pravdepodobne ak clovek neinstali tonu debilit s pravami na sms.
Jakakoliv debilita ma pravo na SMS. Jako nejlepší příklad messenger od FB. Ten má právo SMS číst, měnit, mazat, ... A kromě SMS má právo snad na všem včetně ovlaádání videa a mikrofonu bez vědomí uživatele, vytváření a navazování síťových připojení atd.
Tak ale to neni vir. User by si musel nainstalit nejaku debilitu vir s pravanmi na SMS :) A este k tomu aj dalsi vir ktory by odchytaval zadavany login na banking. Teoreticky to mozne je, prakticky dost nepravdepodobne.
Jak jsem psal, v normalnich mobilnich bankovnictvych nezadavas prihlasovaci udaje do internetoveho bankovnictvi. Obvykle zadavas jen heslo, ktere je internetoveho bankovnictvi odlisne a bez tveho mobilu utocnikovi k nicemu neni.
A pochybuju, ze by byl nejakym programem schopny simulovat komunikaci mobilniho bankovnictvi s bankou.
Ked mas v mobilnom ine prihlasovanie jak "naostro", tak to je samozrejme idealne.
Je to naprosto bezpečné (samozřejmě pro normálního uživatele a ne pro idiota), to je ale i na PC, aneb antivirus mě ochrání.
To si dnes ale jedol srandovne ranajky
:)
jj, blahoslaveni chudí duchem..
Zalezi co je to po ruznu, pokud se jedna o nejake ty cracknute hry, tak ty urcite nebezpeci predstavuji.
Ano, mohou.
Aplikaci neznam, ale bez root pristupu nemuzes na urovni systemu zakazat jakekoli jine aplikaci pristup k netu a pokud to aplikace resi nejak jinak, urcite to nebude 100% spolehlive.
Pokud mozno neinstalovat aplikace mimo Google Play a kdyz uz, tak jen popularni a tedy proverene aplikace, rozhodne ne cracknute.
Z Google Play instalovat aplikace s vetsim poctem uzivatelu s dobrym hodnocenim, ktere jsou zase nejakym zpusobem aspon trosicku proverene.
Nekdy muze byt dobre si poridit root pristup. Zde je ale velky vykricnik, ze je treba vedet co delam. S root pristupem opatrne, urcite povolovat root jen na dotaz, cimz zamezis ziskani rootu aplikaci, ktera ho nepotrebuje. Existuji aplikace na systemove omezeni pristupu k internetu (aplikacni firewall). Existuji aplikace na zamezeni prav, ktere aplikaci nechces dat a nepotrebuje je (typicky cteni SMS).
Zalezi take na bance, viz. jiz zde zminena registrace telefonu k danemu uctu.
Ja sam sice pouzivam mobilni aplikace jen na prohlizeni uctu, neposilam prikazy, to delam vzdy z domova z PC, ale na druhou stranu vylozene bych se toho nebal, kdybych tu potrebu mel, tak jako nejdulezitejsi krok povazuju tu instalaci aplikaci vyhradne pres Google Play.
Antivir nebo nejake bezpecnostni reseni na Androidu nema smysl pouzivat, nicemu nezabrani, pokud tomu neudelas pritrz ty sam jako uzivatel, to jest napriklad to, ze mas povoleno instalovat aplikace z neznamych zdroju teda mimo Google Play.
Aby bezpecnostni reseni melo smysl, musi mit root pristup. Samozrejme neznam zadneho uzivatele s rootem, ktery by si nejake bezpecnostni reseni (pro frkuliny) instaloval, clovek s rootem uz tomu musi rozumet a pak zvoli aplikace typu Droidwall a Xprivacy, pricemz druha jmenovana neni vubec trivialni na instalaci do Androidu.
Zdravím.
Předně, bankovnictví v mobilu není a nebude nikdy příliš bezpečné. Nejde to, nikdy to nebude tak bezpečné, jako na stolním pc.
Na druhé straně, bankovnictví v mobilu se běžně používá a "zatím dobrý".
Všechna data z nerootnutého mobilu může číst a někam odesílat kdeco a také to běžně dělá, je jedno zda jde o aplikace od výrobce mobilu, z google play, nebo odjinud.
Nějaký firewal, je jich v nabídce více i pro nerootnuté mobily, bezpečnost zvýší, stejně tak ji zvýší instalace dobrého antiviru (doporučuji avast), a používání aplikací pouze z google play, ty nebývají zavirované příliš často.
Dobrá je i aplikace permission manager.
Zabezpečení je nejlepší přes sms zprávu, zasílanou ovšem na jiný mobil, nebo pinem ale jednorázovým, generovaným pinovým generátorem (ale tahle možnost se asi momentálně nikde nenabízí).
Stejně to ale bezpečné nebude.
Rootnutí se musí umět a musí se s tím potom umět zacházet, aby to k něčemu bylo. Laikovi nedoporučuji.
Pokud možno neupgradujte mobil na vyšší verze androidu než je 4.x, když už máte verzi 5, tak naopak upgradujte na nejnovější varianty. Řada 4.x by měla být na tom se soukromím (teda, ehm, jheo zbytky) o něco méně špatně, než řada 5.
to snad nemůžeš myslet vážně, že doporučuješ antivir na android?
Pročpak ne
.
Ale bez vtípků:
jde o to, udělat pro zabezpečení možné maximum. Antivir, přesto jak málo užitečný na androidu je, není neužitečný. Mezi "málo užitečný" a "zbytečný" je rozdíl.
Ten který jsem doporučil celkem skoro neujídá systémové prostředky, neobsahuje příliš mnoho nadbytečných funkcí a má kvalitní databázi.
To je celé.
Antivir na androidu je naprosto zbytečný, ale nebudu ti kazit tvé iluze a nainstaluj si tam třeba 3.
Ale jóó,i malý vodotrysk je užitečný nejen v hodinkách.
Protoze antivir na Androidu bezpecnost nezvysuje, alespon primarne ne.
Jiste antivir muze uzivatele informovat a tak sekundarne prispet k vyssi bezpecnosti, ten Avast neznam, ale je to urcite mozne a pokud je navrzen dobre a nebere systemove prostredky, tak z tohoto ohledu nemam nic proti. Ale je tu jedno ALE! Uzivatele jsou casto zvyknuty, ze za ne bezpecnost resi antivir a tak misto aby zpravy antiviru sledovali a brali je vazne, nebudou se bezpecnosti zabyvat v domneni, ze to je prace antiviru a ve vysledku mohou zplakat nad vydelkem. Takze to jestli bezpecnost zvysi nebo naopak snizi je s velkym otaznikem.
Co se tyka firewallu bez rootu, tak ten nemuze fungovat na systemovem zaklade, ale pouze jako nejaka nadstavba a tudiz je odstrelitelny, pak je take otazka, zda bezpecnost zvysi nebo uzivatele naopak ukoleba ke snizeni pozornosti a ve vysledku to vyjde hur nez bez firewallu.
Tim teda nerozporuju tvuj podnet k instalaci antiviru a neroot firewallu, ale spise rikam POZOR ne vzdy to musi byt ku prospechu veci.
Zakladem kazdopadne je nemit povolene instalace z cizich zdroju mimo GP, coz tazatel ma.
Souhlasím s tím, co jsi doplnil.
Na antivir se nedá, zejména na androidu spoléhat a kdo to dělá, chybuje. A non root firewall ... jak píšeš. Platí ovšem, že to oboje je lepší nežli nic.
I když, nemít povolené instalace z cizích zdrojů, hmm, za základ bezpečnosti bych to taky nepovažoval. Ale jistě za jeden z kroků k aspoň nějaké míře bezpečnosti. Tam zas riskuješ že vznikne domněnka, že aplikace z google play jsou vždy bezpečné a to taky není pravda - a viz co jsi psal o spoléhání na antivir nebo firewall. Uživatel si bude myslet, že google ručí za jeho bezpečnost a bude na to spoléhat a ...
ano s tim zase musim souhlasit ja, i na Google Play muze nebezpecna aplikace proniknout a Google za nic neruci, nicmene tech pripadu, kdy se na Google Play objevila zavadna aplikace neni mnoho, kazdopadne jak uz tu pisi jini, prvni musi byt v pripade IB v mobilu banka, ta musi provest zakladni zabezpeceni, kterym minimalizuje moznosti zneuziti a pokud to uzivatel doplni svou opatrnosti a nebude do mobilu instalovat kde co, sance na zneuziti jsou mizive.
Na bankovnictví je nejlepší "blbej" mobil, do toho Ti nikdo nevleze.
Svatá pravda, ale dá se to ještě někde dnes realizovat?