Je smartbanking bezpečnější než internetbanking?
| 4.3.2013 | Miroslav Čermák | |
 Pokud hovoříme o
smartbankingu, máme na mysli přístup klienta
banky ke svému účtu prostřednictvím
nativní aplikace, kterou si nainstaloval do svého
smartphonu nebo tabletu s operačním systémem
Google Android nebo Apple iOS, které jsou
momentálně
nejrozšířenější. V
případě internetbankingu pak máme na mysli
přístup klienta k bankovnímu účtu
prostřednictvím webové aplikace v
prohlížeči internetu, jako je například Internet
Explorer nebo Google Chrome.
Bezpečnost je
závislá na prostředí, ve
kterém se aplikace spouští
Budeme předpokládat, že nativní i
webová aplikace je stejně bezpečná, tj.
neobsahuje žádné známé
zranitelnosti a komunikace s bankou probíhá přes
HTTPS. Z tohoto pohledu je pak bezpečnost závislá
především na prostředí, ve
kterém se aplikace spouští.
Dále budeme předpokládat, že klientem banky je
osoba, která je pouhým uživatelem a
která bezpečnost příliš
neřeší a nerozumí jí.
V následující tabulce je zachyceno, co
především ovlivňuje, zda se do daného
zařízení dostane malware.
| Faktor |
Internetbanking |
Smartbanking |
| Privilegovaný účet |
Hodně klientů je přihlášeno na
počítači pod účtem administrator. |
Root nebo jailbreak není na smartphonech až
tak častý jev. |
| Výhradní
správa |
Desktop
je často sdílený s ostatními kolegy
nebo rodinnými příslušníky. |
Smartphone
má většinou každý svůj a nepůjčuje ho.
|
| Aktuální verze |
Neaktuální verze
operačního systému, prohlížeče a
dalších aplikací jako je JAVA, Flash,
Acrobat zvyšují riziko nákazy. |
Neaktuální verze
operačního systému a
dalších aplikací nemají
dopad na bezpečnost samotné aplikace. |
| Antivirus |
Aktuální verze antivirové ochrany je nutná, neboť
dokáže detekovat škodlivý
kód uložený na webu a
přílohách pošty. |
Antivirus
není zpravidla nutný, protože nedokáže
spolehlivě detekovat
trojské koně, přes které se malware na
této platformě šíří.
|
Na desktopu malware stažený při
surfování zcela ovládne
prohlížeč internetu. Na smartphonu si však
malware musí uživatel sám nainstalovat,
nejčastěji jako trojského koně spolu s nějakou
aplikací, ale ten nemůže ovládnout jinou
aplikaci, neboť běží v sandboxu.
Můžete namítnout, že se příliš
spoléhá na sandbox a že na daném
zařízení není proveden jailbreak nebo
root. To je sice pravda, ale vězte, že většina uživatelů
nemá na svém smartphonu proveden jailbreak nebo
root, zatímco na desktopu je většina uživatelů
přihlášena pod účtem s
administrátorskými právy.
Potvrzení
jiným kanálem, tzv. out-of-band, je
zárukou vysoké bezpečnosti
Situace však není tak dramatická,
neboť pro provedení transakce v internetovém
bankovnictví je zpravidla vyžadován mTAN (mobile
Transaction Account Number), který je
zasílán jako SMS na mobilní telefon
uživatele, tedy pokud nepoužívá čipovou kartu.
Transakce je tak potvrzena jiným kanálem
(out-of-band), což je velice bezpečný způsob, za
předpokladu, že uživatelův přístroj není
kompromitován a že si uživatel pořádně přečte, co
je v SMS uvedeno, a kód bezmyšlenkovitě
neopíše.
Koncept
potvrzování transakce
opsáním kódu z SMS je dlouhodobě
neudržitelný
V případě smartbankingu se SMS
neposílá, protože by došla
nejspíš na daný telefon a stejně jako
uživatel by ji mohl odchytit a použít malware, pokud by byl
smartphone, respektive jeho operační systém,
kompromitován, a malware by ho zcela ovládnul. Je
zřejmé, že absence out-of-band autorizace transakce je pro
mnohé klienty nepřijatelná, ovšem
koncept potvrzování transakce
opsáním kódu z SMS zprávy
je dlouhodobě neudržitelný a útoky na klienty
bank toto jen potvrzují.
Otázkou tak nadále zůstává,
jakým způsobem transakce potvrzovat a zda by to neměl
být v obou případech hardwarový token
fungující na principu challenge response. U
internetbankingu dříve a u smartbankingu později, podle toho,
jak se bude situace v kyberprostoru vyvíjet.
Samozřejmě dál platí, že kdo dodržuje
základní bezpečnostní pravidla, tak se
nemusí příliš obávat, že by
mu někdo vykradl účet. Přesto se
domníváme, že smartbanking je za jinak
stejných podmínek
bezpečnější. A co si myslíte vy?
Článek v originální verzi naleznete v
odkazu ZDE.
všechny články | |
Dále v rubrice
všechny články v rubrice
|