Dnešní trošku neobvyklou „novinkou“ je výcuc z článku shrnujícího bezpečnost mobilního bankovnictví v současné době. Vyšel na blogu Petra Dvořáka sice již 8. dubna, avšak jistě stojí za povšimnutí. Mobilní bankovnictví je po tom internetovém na velkém vzestupu a určitě stojí za to, zamyslet se nad tím jak funguje a jaké výhody/nevýhody plynou z jeho používání ať už z hlediska bezpečnosti, či komfortu. Jistě se hodí podotknout, že autor pracuje ve společnosti, zabývající se vývojem mobilních aplikací i pro celkem významné společnosti ([link]).
První část je zaměřená na autentizaci. Autor zde popisuje 3 základní možnosti, jak je možné obecně v nějakém systému autentizovat uživatele - trefně to přirovnává k větám:
1. „Něco vím.“ (PIN, heslo,...)
2. „Něco mám.“ (certifikát, telefon,...)
3. „Něco jsem.“ (otisk prstu, analýza duhovky,...)
Ve světě mobilů se využívájí prevážně první dva faktory a vývojáři mobilních aplikací stojí před úkolem správně je implementovat. Přitom se musí vypořádat s přenosností zařízení, velmi častým online připojením a třeba také různými sítěmi wifi s různě důslednými zabezpečeními.
Mobilní telefon samotný je brán nejčastěji jako 2. faktor autentizace, také proto je v současné době prakticky vyloučeno prohlásit útok nějakého sofistikovaného programu za nemožný. Podle autora však ještě nenastal ten pravý boom mobilního malware. U většiny bank je mobilní bankovnictví aktivováno pomocí internetového bankovnictví - dojde k výměně klíčů a náš telefon se spojí s účtem v bance. Až se zvýší hrozba mobilního malware, začne se využívat třeba TrustZone na ARM procesorech ([link]) či čipy s technologií SecureID ([link]).
Druhá část je věnovaná SMSkám v mobilním bankovnictví. Podle autora hloupost. Pokud je totiž již na mobilu zabydlený malware, může si libovolně „číst“ příchozí zprávy (např. v Androidu to může dělat libovolná aplikace bez speciálních práv), nebo měnit ty odchozí (třeba upravovat formuláře těsně před odesláním).
Důležitou součástí mobilního bankovnictví jsou také hesla, tedy v našem rozvržení první faktor. Jako příklad je zde uváděn systém, využívající Raiffeisenbank:
- PIN uložený v mobilu slouží k lokálnímu „odemčení úložiště“ dlouhých klíčů, které jsou vytvářeny náhodně při aktivaci, neposílá se ani do banky.
- Při odšifrování lokálního klíče se do banky posílá požadavek na kontrolu, zda je správný. To probíhá přes HTTPS a navíc ani neposíláte pravý klíč, jen jeho derivát.
- Po několika neúspěšných přihlášeních vám banka účet zablokuje.
Pokud útočník zruší druhý ochranný faktor (ukradne vám telefon), musí prolomit onen PIN. Má několik možností - sociální inženýrství, odpozorování hesla (zajímavé video, např. o strojové analýze odrazu v brýlích a jiných možnostech - [link]), bruteforce (celkem vtipné, když vezmeme v úvahu max. délku 9 znaků, ale pouze 5 pokusů) a útok „dolováním hesla“ z paměti zařízení (prováděné třeba vykutáleným „opravářem“). Snahou aplikace je vždy to, aby se PIN v paměti vyskytoval co nejméně to jde. Napomáhá se tomu např. implementací šifrované klávesnice či speciálními moduly, které se starají o nemožnost přečtení ani právě otevřeného klíče.
Ani limit 2 min na odlášení aplikace, která je na pozadí (platí pro Mobilní eKonto) se podle autora článku nezdá býti dlouhá. Pádným argumentem je (ne)pravděpodobnost, že se útočník trefí do tohoto času a ve srovnání s uživatelovým pohodlím je to jistě cena přijatelná.
Pro aktivní operace jsou vyžadována hesla a při určitém časovém limitu je sezení ukončeno ať se nám to líbí, či ne.
V závěru je tedy celkem rozumné podotknout, že mobilní bankovnictví je v současné době zabezpečné dostatečně, podobně jako bankovnictví na desktopu. |