Il banking online è più sicuro su iOS rispetto a un computer desktop?

9

iOS di Apple offre un ambiente più sicuro per il commercio online (bancario o commerciale) rispetto a Windows o Mac OS X? Poiché l'unico software che può essere eseguito su iOS deve essere controllato da Apple, la probabilità di eseguire malware sul dispositivo è molto più bassa. E anche se il malware è in esecuzione sul dispositivo, presumo che non avrebbe le stesse funzionalità del malware desktop, come il keylogging.

Inoltre, iOS Safari non supporta plug-in che consentano un attacco man-in-the-browser. Ciò significa che l'installazione di malware drive-by attraverso vettori comuni come Java, Flash e Adobe Reader dovrebbe essere impossibile. Presenta un'interfaccia utente che indica chiaramente se una connessione è protetta o meno, e che l'interfaccia utente non può essere sovrascritta dal sito visualizzato.

Ipotesi

  • iPhone non è stato jailbroken.
  • La password è stata digitata con la tastiera su schermo.

Credito extra

  • L'uso di un gestore di password (come 1Password) migliora o riduce la sicurezza?
posta Nic 02.02.2013 - 07:08
fonte

4 risposte

7

Se si utilizza un dispositivo mobile IOS, il dispositivo è soggetto a numerosi attacchi come

  • Juice jacking
  • Un browser web che non mostra chiaramente lo stato HTTPS (iPhone)
  • Un browser web che non mostra l'URL ... abilitando il phishing (iPhone)
  • Browser Web che non supportano software di convalida SSL / TLS aggiuntivo come Convergence

Se devi utilizzare un dispositivo mobile, ti suggerisco di utilizzare un'applicazione dedicata, come suggerisce questo post . Inoltre, l'applicazione stessa potrebbe convalidare anche la chiave del certificato HTTPS (prevenendo gli attacchi MITM) o ancora meglio potrebbe usare mutuo auth TLS

(Quanto segue è simile alla risposta di @ Rory:)

La soluzione ideale è riformattare il PC e installare un sistema operativo virtuale per giochi, test, ecc. Quindi utilizzare lo standard PC per tutte le esigenze bancarie. Dal momento che la VM non può accedere al tuo PC (si spera che tu l'abbia configurato in questo modo) sarai al sicuro da phishing o altri attacchi. *

* Eccezione

    
risposta data 05.02.2013 - 23:33
fonte
6

Il modello di Apple walled garden e il modello di sicurezza iOS sono ottimi per proteggere l'host, ma le applicazioni Web richiedono molto più della sicurezza dell'host.

L'iOS-ification di Mac OS X ha portato l'opzione di consentire solo app firmate e controllate da Appstore e l'uso obbligatorio di sandboxing da marzo 2012 in poi.

Windows 8 sta seguendo lentamente lo stesso modello facendo in modo che la versione tablet (Windows RT) esegua solo il codice da Windows Store per impostazione predefinita. Ma la piattaforma è ancora giovane e fragile .

Sicurezza Apple Appstore:

  • Tassa d'iscrizione di $ 99.
  • Controlla la tua identità e utilizza l'applicazione del crimine.
  • Revisione del contenuto e analisi statica.
  • Il codice è firmato e non può essere modificato.
  • Il costo per lo sfruttamento è molto alto.
  • Molto alcune applicazioni antimalware sfuggono.

Sicurezza iOS di Apple:

  • Ci vogliono 6 mesi per scrivere un exploit.
  • La verifica dell'app è un rischio per mesi di lavoro su un exploit.
  • Gli exploit di iOS sono scritti da pochi gruppi.
  • Le patch di Apple sono veloci.
  • Viene utilizzata la firma del codice, le pagine di memoria sono firmate in fase di esecuzione e come DEP che protegge dal codice di iniezione.
  • La sandbox Seatbelt per iOS è molto buona.
  • Charlie Miller ha iniettato un nuovo codice in fase di esecuzione trovando una vulnerabilità ed è stato bannato dall'Appstore, quindi la vulnerabilità è stata riparata in 4 giorni.
  • È stato rilevato pochissimo uso di vulnerabilità.

La protezione dell'host non è sufficiente e non puoi fare affidamento su Apple per aiutare l'utente BE sicuro. Un host sicuro spinge gli aggressori ad attaccare i prossimi punti deboli come la comunicazione e l'utente in cui Apple può solo spingere l'utente verso la sicurezza. Esistono altri problemi per il commercio online:

  • Password deboli o prive di protezioni dell'account contro il reset e l'intercettazione.
  • Consapevolezza della sicurezza per cose come falsi certificati SSL o siti Web di phishing.
  • Vulnerabilità nei siti web commerciali che richiedono l'interazione dell'utente, come XSS, CSRF e Clickjacking.
risposta data 02.02.2013 - 09:02
fonte
3

Uno degli aspetti non ancora trattati in altre risposte è che la sicurezza mobile è ancora relativamente giovane, e rispetto ai sistemi operativi maturi è più difficile ottenere garanzie sulla funzionalità di sicurezza implementata.

Quindi attualmente è più semplice essere più sicuri su un sistema operativo desktop: gli strumenti sono ben noti, i tipi di attacco sono ben noti e l'implementazione di livelli di sicurezza è molto più semplice per l'utente finale.

Non utilizzerei ancora un'applicazione ios o Android per i servizi bancari online, ma utilizzo una VM sulla mia macchina desktop poiché posso controllarla e cancellarla dopo l'uso.

    
risposta data 02.02.2013 - 15:26
fonte
0

No

  1. iOS non è necessariamente più sicuro della versione jailbreak. Tuttavia, considera possibile che il jailbreak sia possibile che iOS deve avere almeno un exploit di sicurezza per sua natura.
  2. Una volta installati, molti exploit di sicurezza vengono spesso corretti dagli sviluppatori di jailbreak. Tuttavia, potresti non essere in grado di esaminare e / o comprendere il jailbreak stesso o eventuali patch che promettono di correggere gli exploit. Pertanto, potrebbe non essere possibile fidarsi del jailbreak.
  3. Quando si digita la password sullo schermo, ciascun tasto viene "ingrandito" o ingrandito al tocco dalla tastiera iOS nativa. Qualcuno o qualcosa (come una telecamera di sicurezza) potrebbe guardarti alle spalle per rubare la tua password.
  4. Un'adeguata sicurezza non sta solo proteggendo il client , ma l'intera catena di comunicazione e tutti i dispositivi ad esso associati. Ad esempio, se non stai comunicando tramite HTTPS, le informazioni potrebbero essere rubate durante il trasporto. Se la tua password non è archiviata in modo sicuro (come un cattivo sviluppatore che salva le password in chiaro), la tua password potrebbe anche essere trapelata se un database è mai compromesso.

Informazioni sulla selezione della password stessa: sono disponibili numerose discussioni online e disponibili all'indirizzo security.stackexchange.com . Ho trovato (e amo) questo: XKCD # 936: password complessa breve o passphrase lunga del dizionario?

    
risposta data 02.02.2013 - 11:28
fonte

Leggi altre domande sui tag