Tři banky ruší SMS. Kartou v e-shopu už nezaplatíte bez aplikace

Právě Huawei mobil mám, aplikace mojí banky v něm funguje, akorát občas má hemzy, že potřebuje pro běh Google Mobile Services. Zjevně nepotřebuje, vše funguje. Appka na App Galery není, musíte ji stáhnout z depozitářů nebo přezrcadlit z jiného mobilu

Tedy poucny clanek. Paradoxne jsem na nej narazil diky tomu ze se pokousim najit, jak se obejit bez mobilniho telefonu! Se zrusenim 3g siti totiz pro me pomalu prestava mit vlastnictvi simkarty smysl a uvedomil sem si, ze jsem hnan institucemi do cim dal tesnejsiho kouta Jak je videt, nutnost verifikace z mobilu neni jen zlovule bank, jak jsem si myslel, ale instituci, pro jejichz predstavitele je vyhazovani prostredku za nepotrebnosti dennim chlebem. Rozdil je v tom, ze pokazde to mam platit ja!

Nevíte někdo jak je to možné obejít? Opravdu si nehodlám na svůj (služební) telefon instalovat nedůvěryhodnou aplikaci. Zkoušel někdo třeba emulovat Android na PC?

Ach jo. Telefon mám s originální instalací, root fakt nechci. Instalace z Google play je fakt blbost, vždyť s nimi sdílíme fakticky osobní údaje! A vůbec člověk nemá možnost ovlivnit práva aplikace, ani Google play, ani aoo banky jako takové. Vůbec netuším, jak se bude zacházet s mými přihlašovacími údaji, a heslem do app. K čemu bude komu přístup k SMS kódu, když se do internetového bankovnictví hladím z notebooku na domácí WiFi, kde kontroluji přístup a mám ji zvnějšku neviditelnou?

U plateb kartou na Internetu je požadavek na nutnost mít "chytrý" telefon (který nemám a nechci) sice lumpárna, ale díky tomu, že mám účty u několika bank, mi to zatím tolik nevadí, protože mohu využít jiné karty, pro něž toto opatření (zatím) neplatí (a snad ani nikdy ani platit nebude). Za mnohem větší lumpárnu, kterou bych v hovoru vyjádřil spíše velkou částí svého bohatého slovníku vulgarit, ovšem považuji nehorázný akt Raiffensenbank, která zpoplatnila veškeré aktivační SMS zprávy včetně přístupových k účtům, takže tvrzení, že nabízí bezplatné účty "se vším všudy" se tím stalo pouhou prachsprostou lží: bez použití aplikace v "chytrém MT" lze kromě příjmu plateb provádět na účtu skutečně zdarma vlastně jen ty operace, k nimž lze využít bankomatů a bankovních karet.

Spíš bych to viděl tak, že většina jejich zákazníků smartphone má a používá, většinu se jim už podařilo přesvědčit i k používání smartphone aplikace aspoň k potvrzování, takže by pro ně samozřejmě bylo pohodlnější, kdyby k tomu donutili i ten zbytek. A u těch tří zřejmě usoudili, že už překročili kritickou hranici, kdy se jim vyplatí těch pár "neposlušných" prostě hodit přes palubu, protože nepřijdou o tolik klientů, aby je to nějak významně trápilo. Doufám, že se pletou, už proto, že pokud by se ukázalo, že mají pravdu, mohly by je brzy další banky následovat.
Další problém vidím v tom, že třeba Air Bank se dušuje, že se to týká jen potvrzování internetových plateb a přihlašování do internetbankingu půjde i nadále pomocí SMS, ale když se zeptáte, jak dlouho to tak vydrží, otázku "přehlédnou". Stejně tak když se zeptáte, jak to bude třeba s autentizací pro bankovní identitu, kterou se chystají v nejbližší době spustit. V poslední reakci už zašli tak daleko, že na konkrétní dotazy a námitky reagovali jen bezduchým kompilátem nic neříkajících obecných frází okopírovaných z tiskových prohlášení.

To jsem na tom podobně - já mám Nokii 3109 Classic.

Jinak bych tohle celé popsal jednou větou asi takto: Banky nás nutí do používání "chytrých" telefonů, protože pro příjem SMS jsou nebezpečnější.

Můj telefon nepotřebuji mít "rootnutý", nepotřebuji řešit instalaci z "apek" z jakýchkoli zdrojů a že by se tam dostal nějaký malware, je krajně nepravděpodobné. Konkrétně je to Nokia 2323 Classic.

Jak platíte tedy na internetu? Pomocí SMS kódu? Který vám přijde na telefon, který je podle vás "nevhodný pro přístup do banky", tj. rootnutý, s povolenou instalací z jiných zdrojů, tzn. telefon, který je jako dělaný pro malware, který autentizační SMS přepošle útočníkovi? Tak hodně štěstí, já si radši nainstaluju na placení apku, je to jednodušší a bezpečnější.

Mě potvrzení v aplikaci tedy nevadí. Radši všude platím kartou, hotovost u sebe už vůbec nenosím. Hlavně díky Equa bank, když potřebuju mohu vybrat kdekoliv, takže mě to nijak netíží.

U té první varianty je také dobré si uvědomit, že je navíc dost zásadní rozdíl, jestli je útočník schopen SMS jen odposlechnout, nebo navíc i zabránit tomu, aby ji dostal i ten správný telefon. Pokud totiž majitel dostane potvrzovací kód, přestože žádnou transakci nezadával, je to pro něj okamžité varování, že něco není v pořádku.

Můžete rozvést "útok na SMS potvrzení"?
Je to odchycená SMS "po cestě" - tedy přijde mi na mobil, ale získá ji i útočník?
Je to získání obsahu SMS z mobilu prostřednictvím aplikace, kterou útočník nějak dostane na můj mobil?
Nebo přesvědčení uživatele, aby sám sdělil útočníkovy obsah SMS?
Nebo ještě něco jiného?

Jen pro upřesnění, všechny způsoby jsou možné, ale tady nejde o to, co je možné, ale co se používá (má pro útočníka smysl / vyplatí se mu). Napadnout lze vše, ale nemá smysl, aby útočník vynaložil mnoho času a tisíce dolarů, jen aby se dostal k mým pár stovkám.

Tolik teorie. A teď realita: Přes vaše rozumbradování jsou úspěšné útoky na PC + SMS potvrzení poměrně běžné (dokonce i v našich končinách se nějaké povedly). Zato úspěšné útoky na mobilní aplikaci velmi řídké a úspěšný útok na aplikaci používající ochranu biometrikou (TPM modulem) jsem snad nezaznamenal. Maximálně přes social engineering, aby si uživatel spároval s bankou útočníkem podvrženou aplikaci, ale nevím o tom, že by byly nějak úspěšné.

Než se rozepisovat o tom, co je lepší, bezpečnější nebo jednoduší, by možná bylo užitečnější uvést, jak kdo a v které bance provádí např. jednorázový příkaz k úhradě, nebo platbu kartou v nějakém eshopu. Kromě toho, že se to bude lišit u každé banky, bude to nejspíš odlišné u stejné banky pro různé lidi. Jinak složité to bude mít ten, kde vše dělá z mobilu a jinak ten, kdo k tomu používá PC.

Nevím, jak to vypadá při použití mobilu (s androidem), ale hádám, že pro takové uživatele se toho moc nezmění. V diskuzi to pak podle mne jsou ti, kteří ostatní označují za vidláky nebo za jedince žijící v minulém tisíciletí a vidí v těchto změnách pokrok.

Naopak my, kteří používáme PC a mobil jen na SMS, budeme nejspíš ti, kterým vadí, jak nám to banky komplikují a zdůvodňují to naší bezpečností. Ti, kteří preferují nebo začnou preferovat hotovost. Zkrátka ti, kteří na tyto nepříjemné změny nadáváme.

Po dalších diskusích tedy přidám.: Zpochybňuje se tu přístup do banky z PC, že je ještě nebezpečnější. Z PC se ovšem do banky nedostanete bez ověření jinou cestou, tedy např. SMS kódem z telefonu. Pokud tedy nemám propojen mobil s PC (ani synchronizací), je takový přístup nejbezpečnější. Hacker neovládne současně obě zařízení. Chcete-li ale celý přístup do banky dělat na jednom zařízení, je to rozhodně špatně! Přístup se tak může dostat snáze pod kontrolu útočníka.

Používat češtinu nemá žádnou logiku. Je složitá a mluví jí málo lidí. Zkuste třeba čínštinu nebo hindštinu. A nebo angličtinu - ta je jednodušší a mluví jí mnohem více lidí.

Především mám i jiné důvody, proč nechci smartphone, ale fungovala by na tom ta aplikace vůbec? Co jsem o tom četl, bankovní aplikace se typicky odmítají spustit byť i jen na rootnutém OS, natož na úplně alternativním.

No fakt diskuse na urovni roku 1995 a ne 2021. Proboha lidi, vyndejte si konecne uz hlavu z pr.. le!

A proč nezkusíte AOSP + F-droid?

Tvrzení, že (closed source) Windows máte lépe pod kontrolou než (opensource) Android, byť zatížený neprůhlednou nadstavbou od Googlu, nemá žádnou logiku.
Ani jeden z těch systémů není dostatečně transparentní, v případně Windows je to jen ještě horší.