Elektronické bankovnictví v mobilu - je bezpečné?
Zdravím,
mám mobil s androidem a v něm spoustu nainstalovaných aplikací. Některé jsem stahoval z Google Play, ostatní jsou tak po různu postahované z netu. Nevím, jak je to s virama na mobilech, ale je fakt, že většina aplikací má spoustu oprávnění. Nemohou tedy, v kombinaci se zapnutým netem, odesílat někam citlivá data?
Myslím tím, když bych používal i aplikaci pro mobilní bankovnictví.
Napadlo mě, jestli by třeba pomohlo, kdybych si nainstaloval třeba Notroot Wirelles, který vybraným aplikacím zamezí přístup k netu. Kdybych tedy zablokoval přístup těm aplikacím, které nejsou z Google Play, jestli by to pomohlo.
Mám prostě strach, aby mi nějaká aplikace neodesílala bez mého vědomí někam přihlašovací údaje k mému účtu.
Doteď jsem účet obsluhoval pouze doma z PC, ale potřeboval bych využívat i mobil. Jen se trochu bojím. Poraďte, jak eliminovat možná nebezpečí.
Díky moc. Peťan
Suhlasim, ze nebezpecenstvo je dnes cca rovnake ako na PC.
Hlavan deviza bankingu je v tom, ze ochrana je ukazdej banky minimalne dvojzlozkova. Prva zlozka je klasika a je to username a password. Cez meno e heslo sa vo vacsina bank na ucet vsak nedostanete alebo nemozete spravit ziaden pohyb, cize mozete si ucet len prezerat.
Druha zloka byva najcastejsie zlozena z sms tokenu, ci tokenu z citacky (moze byt aj vo forme aplikacie na mobile), takze na to, aby utocnik mohol preniknut na vas ucet musi okrem mena a hesla mat pod kontrolou aj dodatocnu autorizaciu.
Bankove aplikacie od bank obsahuju casto uz obe zlozky v sebe, co casto byva este poistene registraciou mobilu, cize v novom mobile dana aplikacia nefunguje. Napriklad TB overuje novy mobil len cez citacku, ale nie citacku v mobile, ale musi sa pouzit hw citacka, kedze nejde prepinat medzi aplikaciami.
Nakolko cela komunikacia mezi aplikaciou a bankou prebieha sifrovane je velmi tazke sa dostat medzi ne a odchytit komunikaciu, a preto utocnici casto pouzivaju metody socialneho inzinierstava, cize prve prihlasenie "odklonia" na falosny server, kde sa dotycny pokusi prihlasit a tak ziskaju jeho prihlasovacie udaje. Odchytit udaje z citacky je este tazsie, ale daju s k tomu pouzit podobne metody.
Nakolko Android ma v sebe defaultne zakazane ine zdroje appiek ako je Obchod Play je skoro nemozne pre virus ziskat plnu kontrolu nad systemom bez rootnuteho telefonu.
Samozrejme to nehovorime o dierach v samotnom Androide, ktore sa prevalili v tomto roku, ale to by bolo na dlhsie;o).
A ako eleiminovat nebezpecenstvo? Mat zaplatany Android pokial sa da, nepouzivat cudzie zdroje len Obchod Play, obmedzit si limit na mobilny banking, pripadne zaviest dalsiu zlozku na autentifikaciu....napriklad pokial banka posiela sms tokeny nechat si ich posielat na hlupy telefon, ktory sa neda hacknut...atd atd. Moznosti je vela.
Problém u mobilu je právě ten, že v případě jeho kompromitace na něj chodí i ta druhá část, tj. token, tj. SMS. A mít dvě krabičky... to fakt není úplně ideální (sám to tak musím řešit z jiného důvodu a je to opruz)
Existují mobily na dvě simky
To sice ano, ale to právě vůbec neřeší tenhle problém. Pořád to bude v jednom zařízení.
No jo, no ale jestli někdo "musí" mít rootnutý Android a instalovat tam kdeco? Tam by bankovnictví provozoval jen bloud.
To se mylis, prave v rootnutem zarizeni si uzivatel muze bezpecnost radikalne zvysit, takze pak je bankovnictvi jeste bezpecnejsi.
No a nebo (to asi spíš) naprosto rozesrat. A neříkej, že ne.
Zdravím.
Předně, bankovnictví v mobilu není a nebude nikdy příliš bezpečné. Nejde to, nikdy to nebude tak bezpečné, jako na stolním pc.
Na druhé straně, bankovnictví v mobilu se běžně používá a "zatím dobrý".
Všechna data z nerootnutého mobilu může číst a někam odesílat kdeco a také to běžně dělá, je jedno zda jde o aplikace od výrobce mobilu, z google play, nebo odjinud.
Nějaký firewal, je jich v nabídce více i pro nerootnuté mobily, bezpečnost zvýší, stejně tak ji zvýší instalace dobrého antiviru (doporučuji avast), a používání aplikací pouze z google play, ty nebývají zavirované příliš často.
Dobrá je i aplikace permission manager.
Zabezpečení je nejlepší přes sms zprávu, zasílanou ovšem na jiný mobil, nebo pinem ale jednorázovým, generovaným pinovým generátorem (ale tahle možnost se asi momentálně nikde nenabízí).
Stejně to ale bezpečné nebude.
Rootnutí se musí umět a musí se s tím potom umět zacházet, aby to k něčemu bylo. Laikovi nedoporučuji.
Pokud možno neupgradujte mobil na vyšší verze androidu než je 4.x, když už máte verzi 5, tak naopak upgradujte na nejnovější varianty. Řada 4.x by měla být na tom se soukromím (teda, ehm, jheo zbytky) o něco méně špatně, než řada 5.
to snad nemůžeš myslet vážně, že doporučuješ antivir na android?
Pročpak ne
.
Protoze antivir na Androidu bezpecnost nezvysuje, alespon primarne ne.
Jiste antivir muze uzivatele informovat a tak sekundarne prispet k vyssi bezpecnosti, ten Avast neznam, ale je to urcite mozne a pokud je navrzen dobre a nebere systemove prostredky, tak z tohoto ohledu nemam nic proti. Ale je tu jedno ALE! Uzivatele jsou casto zvyknuty, ze za ne bezpecnost resi antivir a tak misto aby zpravy antiviru sledovali a brali je vazne, nebudou se bezpecnosti zabyvat v domneni, ze to je prace antiviru a ve vysledku mohou zplakat nad vydelkem. Takze to jestli bezpecnost zvysi nebo naopak snizi je s velkym otaznikem.
Co se tyka firewallu bez rootu, tak ten nemuze fungovat na systemovem zaklade, ale pouze jako nejaka nadstavba a tudiz je odstrelitelny, pak je take otazka, zda bezpecnost zvysi nebo uzivatele naopak ukoleba ke snizeni pozornosti a ve vysledku to vyjde hur nez bez firewallu.
Tim teda nerozporuju tvuj podnet k instalaci antiviru a neroot firewallu, ale spise rikam POZOR ne vzdy to musi byt ku prospechu veci.
Zakladem kazdopadne je nemit povolene instalace z cizich zdroju mimo GP, coz tazatel ma.
Souhlasím s tím, co jsi doplnil.
Na antivir se nedá, zejména na androidu spoléhat a kdo to dělá, chybuje. A non root firewall ... jak píšeš. Platí ovšem, že to oboje je lepší nežli nic.
I když, nemít povolené instalace z cizích zdrojů, hmm, za základ bezpečnosti bych to taky nepovažoval. Ale jistě za jeden z kroků k aspoň nějaké míře bezpečnosti. Tam zas riskuješ že vznikne domněnka, že aplikace z google play jsou vždy bezpečné a to taky není pravda - a viz co jsi psal o spoléhání na antivir nebo firewall. Uživatel si bude myslet, že google ručí za jeho bezpečnost a bude na to spoléhat a ...
ano s tim zase musim souhlasit ja, i na Google Play muze nebezpecna aplikace proniknout a Google za nic neruci, nicmene tech pripadu, kdy se na Google Play objevila zavadna aplikace neni mnoho, kazdopadne jak uz tu pisi jini, prvni musi byt v pripade IB v mobilu banka, ta musi provest zakladni zabezpeceni, kterym minimalizuje moznosti zneuziti a pokud to uzivatel doplni svou opatrnosti a nebude do mobilu instalovat kde co, sance na zneuziti jsou mizive.
Na bankovnictví je nejlepší "blbej" mobil, do toho Ti nikdo nevleze.
Svatá pravda, ale dá se to ještě někde dnes realizovat?