Shrnutí zabezpečení mobilního bankovnictví

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 7.5.2013
Hodnocení/Hlasovalo: 0/0

Dnešní trošku neobvyklou „novinkou“ je výcuc z článku shrnujícího bezpečnost mobilního bankovnictví v současné době. Vyšel na blogu Petra Dvořáka sice již 8. dubna, avšak jistě stojí za povšimnutí. Mobilní bankovnictví je po tom internetovém na velkém vzestupu a určitě stojí za to, zamyslet se nad tím jak funguje a jaké výhody/nevýhody plynou z jeho používání ať už z hlediska bezpečnosti, či komfortu. Jistě se hodí podotknout, že autor pracuje ve společnosti, zabývající se vývojem mobilních aplikací i pro celkem významné společnosti (http://www.inmite.eu/en/apps). První část je zaměřená na autentizaci. Autor zde popisuje 3 základní možnosti, jak je možné obecně v nějakém systému autentizovat uživatele - trefně to přirovnává k větám: 1. „Něco vím.“ (PIN, heslo,...) 2. „Něco mám.“ (certifikát, telefon,...) 3. „Něco jsem.“ (otisk prstu, analýza duhovky,...) Ve světě mobilů se využívájí prevážně první dva faktory a vývojáři mobilních aplikací stojí před úkolem správně je implementovat. Přitom se musí vypořádat s přenosností zařízení, velmi častým online připojením a třeba také různými sítěmi wifi s různě důslednými zabezpečeními. Mobilní telefon samotný je brán nejčastěji jako 2. faktor autentizace, také proto je v současné době prakticky vyloučeno prohlásit útok nějakého sofistikovaného programu za nemožný. Podle autora však ještě nenastal ten pravý boom mobilního malware. U většiny bank je mobilní bankovnictví aktivováno pomocí internetového bankovnictví - dojde k výměně klíčů a náš telefon se spojí s účtem v bance. Až se zvýší hrozba mobilního malware, začne se využívat třeba TrustZone na ARM procesorech (http://www.arm.com/products/processors/technologies/trustzone.php) či čipy s technologií SecureID (http://en.wikipedia.org/wiki/SecurID). Druhá část je věnovaná SMSkám v mobilním bankovnictví. Podle autora hloupost. Pokud je totiž již na mobilu zabydlený malware, může si libovolně „číst“ příchozí zprávy (např. v Androidu to může dělat libovolná aplikace bez speciálních práv), nebo měnit ty odchozí (třeba upravovat formuláře těsně před odesláním). Důležitou součástí mobilního bankovnictví jsou také hesla, tedy v našem rozvržení první faktor. Jako příklad je zde uváděn systém, využívající Raiffeisenbank: - PIN uložený v mobilu slouží k lokálnímu „odemčení úložiště“ dlouhých klíčů, které jsou vytvářeny náhodně při aktivaci, neposílá se ani do banky. - Při odšifrování lokálního klíče se do banky posílá požadavek na kontrolu, zda je správný. To probíhá přes HTTPS a navíc ani neposíláte pravý klíč, jen jeho derivát. - Po několika neúspěšných přihlášeních vám banka účet zablokuje. Pokud útočník zruší druhý ochranný faktor (ukradne vám telefon), musí prolomit onen PIN. Má několik možností - sociální inženýrství, odpozorování hesla (zajímavé video, např. o strojové analýze odrazu v brýlích a jiných možnostech - http://www.ted.com/talks/avi_rubin_all_your_devices_can_be_hacked.html?embed=true), bruteforce (celkem vtipné, když vezmeme v úvahu max. délku 9 znaků, ale pouze 5 pokusů) a útok „dolováním hesla“ z paměti zařízení (prováděné třeba vykutáleným „opravářem“). Snahou aplikace je vždy to, aby se PIN v paměti vyskytoval co nejméně to jde. Napomáhá se tomu např. implementací šifrované klávesnice či speciálními moduly, které se starají o nemožnost přečtení ani právě otevřeného klíče. Ani limit 2 min na odlášení aplikace, která je na pozadí (platí pro Mobilní eKonto) se podle autora článku nezdá býti dlouhá. Pádným argumentem je (ne)pravděpodobnost, že se útočník trefí do tohoto času a ve srovnání s uživatelovým pohodlím je to jistě cena přijatelná. Pro aktivní operace jsou vyžadována hesla a při určitém časovém limitu je sezení ukončeno ať se nám to líbí, či ne. V závěru je tedy celkem rozumné podotknout, že mobilní bankovnictví je v současné době zabezpečné dostatečně, podobně jako bankovnictví na desktopu.