Quanto sono sicure / sicure le applicazioni bancarie sui telefoni Android?

Domanda interessante. In breve, direi che è sicuro almeno come il tuo laptop / desktop sono al sicuro.

Spiegazione: i sistemi operativi mobili sono molto più avanzati nella loro architettura di sicurezza rispetto al buon vecchio sistema operativo Windows.

Detto questo dipende molto dal tuo dispositivo, dal tuo sistema operativo e da come lo usi.

Ad esempio i dispositivi che considero sicuri senza alcuna esitazione sono i dispositivi iOS senza sincronizzazione e i dispositivi Android Nexus. Direi che la maggior parte di questi sono molto più sicuri della maggior parte dei PC.

Se esegui il root / jailbreak del tuo dispositivo, aumenti notevolmente il rischio dal momento che stai infrangendo i meccanismi di difesa del sistema operativo.

Se consenti l'installazione di applicazioni da fonti non attendibili, aumenti il rischio

Se il tuo dispositivo non è un dispositivo di fascia alta che riceve gli aggiornamenti in modo tempestivo, hai un rischio maggiore (ecco perché i dispositivi Nexus sono i più sicuri tra i dispositivi Android)

Se ti connetti per aprire reti pubbliche WiFi, aumenti il rischio.

Inoltre, consiglierei di utilizzare la tastiera predefinita e non quella di terze parti. Non perché penso che la tastiera di terze parti sul mercato sia maliziosa (Apple e Google eseguono controlli di sicurezza sui loro mercati) ma perché potrebbero registrare i tuoi input per scopi "buoni" come il completamento delle parole - ma non puoi essere sicuro che lo stiano facendo un modo sicuro che impedirà la fuoriuscita di password che sa dove ...

Una rapida ricerca su Internet mostra che la maggior parte delle app bancarie ha qualche tipo di difetto. Anche se la maggior parte dei tester ha testato solo l'app stessa e non i server oi servizi di back-end (questo avrebbe bisogno dell'approvazione della banca), anche qui scoprono che alcune misure di sicurezza di base non sono state applicate. Alcuni esempi sono rivolti alle versioni precedenti di Android in cui le autorizzazioni non sono necessarie, il debug abilitato a sinistra, l'app accetta qualsiasi certificato SSL o non accetta nemmeno l'autenticazione a 2 fattori.

Detto questo, dipende anche da quale app bancaria stai usando, le banche più grandi tendono a fare meglio con questo dato che per lo più sviluppano le app inhouse e continuano a svilupparle. Dove le banche più piccole "comprano" un'app da sviluppatori di terze parti e non continueranno a svilupparla attivamente.

Molti sistemi bancari utilizzano una sorta di conferma aggiuntiva per le transazioni, ovvero la banca può inviare un codice di conferma al cellulare. Anche se il software dannoso sul tuo desktop provasse a inviare il tuo denaro a qualcun altro, non ha accesso ai messaggi di testo sul tuo cellulare. Tuttavia, lo stesso tipo di software può avere accesso a entrambi i tuoi messaggi bancari e di testo con i codici di conferma.

Qualsiasi sistema può essere compromesso se non utilizzato con attenzione. Come altri hanno già detto, se il telefono è rootato e sono installate app che contengono exploit quindi esiste il rischio che le informazioni vengano catturate dalle varie interfacce sul dispositivo perché il dispositivo stesso non può più essere considerato "affidabile".

Alcune app possono contenere malware e virus come app gratuite per torcia che stavano rubando password . Inoltre, se un'applicazione come DroidStealth può nascondersi, anche altre app possono.

Detto questo ci sono problemi di fondo con molti degli schemi di crittografia implementati per cose come OpenSSL . Si tratta in realtà di come vengono scritte le applicazioni per la tua banca, chi le ha scritte e in che misura è bloccato il tuo dispositivo.

Altri fattori di rischio dipendono dalla rete. Proprio come un telefono può essere compromesso, una torre cellulare o un punto di accesso Wi-Fi possono essere entrambi compromessi per consentire a qualcuno di iniettare i propri certificati e decifrare le informazioni intermedie. Dato che stai utilizzando un'app, a seconda del livello di controllo che l'app esegue per un determinato certificato, è possibile che possa credere che si stia connettendo al server della banca quando si connette realmente a qualcos'altro.

Anche se esiste un livello di "sicurezza" nei confronti dei dispositivi mobili e ciò che consentono e non consentono, c'è anche un livello di rischio perché l'utente finale non ha modo di sapere quale livello sono i certificati finali senza setacciamento dei pacchetti (più complesso su cellulare). Leggi tutti gli exploit più recenti per le app che utilizzi e aggiusta di conseguenza.

Altri pensieri

Se lo si guarda dal punto di vista della banca, se si tratta di una grande banca, probabilmente hanno un team di sviluppatori che lavora sull'app in ogni momento. È un incubo PR se hanno un'app che consente alle persone di rubare denaro dalla banca. Probabilmente aggiorneranno gli aggiornamenti mensilmente, se non settimanalmente. Ti diranno cosa è stato corretto. Detto questo, non possono controllare il tuo dispositivo o tuo sistema operativo. Leggi il contratto di licenza per l'utente finale per il software scaricato dalla tua banca. In esso, dichiareranno chiaramente di cosa sono e non sono responsabili. Se non sono responsabili per qualcosa in base a quel documento, allora c'è la possibilità che non possano programmarlo nella loro codifica, semplicemente perché non sono legalmente responsabili. Mentre potrebbe essere nel loro migliore interesse dal punto di vista sociale, in alcune circostanze le banche sono state autorizzate a spostare il rischio in termini di responsabilità nei confronti dei rischi online. Le banche ottengono finanziamenti dai governi e sono protette da quei diversi governi in certe eventi quindi dipende dalla tua regione. Per questo motivo sono anche tenuti per legge ad avere un ragionevole livello di sicurezza per tutto ciò che producono e danno ai loro clienti all'interno di determinate giurisdizioni.

In molti casi l'utente finale può essere protetto se non usa le app, perché se una transazione avviene tramite l'app, anche se non è il comportamento del cliente, la banca non ha modo di verificare che la transazione sia fraudolenta se l'account della persona è autenticato sul proprio dispositivo mobile. Significando per la banca se ti assomiglia perché hanno tutte le credenziali e il tuo account è autenticato dal tuo dispositivo, allora probabilmente sei tu, quindi qualsiasi cosa "tu" sei responsabile, se il "tu" sei veramente tu . Se si tratta di un seme, vincono perché hanno più denaro.

Se utilizzi un computer desktop, potrebbe essere più facile dimostrare che non hai trasferito tutti i tuoi soldi perché ci sono dei registri. È inoltre possibile limitare l'accesso alla macchina e persino configurare una macchina designata per le transazioni sensibili. Inoltre su un computer desktop è possibile installare software che contribuirà a proteggere il sistema da virus e malware. Assicurati di aggiornare qualsiasi dispositivo o computer alle versioni più recenti aggiornate poiché le versioni di sicurezza si verificano abbastanza spesso al giorno d'oggi.

In ogni caso, potresti voler esaminare l'installazione di software sul tuo dispositivo che cerchi exploit come rootkit, malware e virus. Anche se questa non è una soluzione per programmazione scadente, cattive abitudini o uso improprio, potrebbe mitigare i rischi. Potresti anche voler cercare un dispositivo più sicuro se si tratta di un problema personale.

I telefoni Android soffriranno sempre di "hack" e dovrebbero essere (a meno che non si rotoli la propria ROM sicura e si occupino dei fornitori che l'installano) considerati dispositivi "non sicuri" o "non ideali".

Se sei vigile e proteggi il tuo dispositivo; tenerlo aggiornato; vai a pochi siti web; e non installare alcuna app di cui non si è certi sicuri si potrebbe considerare un dispositivo moderatamente sicuro per fare operazioni bancarie. Di solito ho un dispositivo pad che viene utilizzato esclusivamente SOLO per applicazioni sicure (banche, siti PII, ecc.). Altrimenti non faccio nient'altro con quel pad.

Tutto ciò detto, il settore bancario è un ambiente di transazione rifiutato. Se un hacker ottiene l'accesso al tuo account, mentre sarà un problema temporaneo per te e può avere dei danni collaterali, ci sono zero transazioni finanziarie elettroniche che non vengono ripudiate. Quindi a parte i problemi, alla fine non sarai tu a pagare - sarà un povero mulo che è stato usato per convertire i soldi da elettronico a fisico e muli da qualche altra parte (tutti quei "lavori da casa", lasciami depositare un po 'di soldi nelle truffe del tuo account).

Direi che i telefoni Android più vecchi (2.3 e 4.0) e tutti i telefoni iOS sono estremamente pericolosi. Questi vecchi telefoni non ricevono patch di sicurezza. Non è necessario un exploit di 0 giorni se il sistema operativo non è stato aggiornato in 3 o 5 anni. Le perdite di Snowden includevano un piccolo bocconcino: il 100% dei dispositivi iOS è crackabile.

Per mitigare i rischi, installo applicazioni bancarie sul mio tablet, che non esce mai di casa e non si connette mai a una rete pubblica. In questo modo, anche se Android non è sicuro, non ci sono molte opportunità di attacco.

Tutti coloro che eseguono l'hacking su Comcast possono ancora incidere con facilità sul mio tablet e sul conto bancario, ma almeno c'è un primo passaggio che è necessario.

Non è facile garantire la sicurezza se non ti fidi del sistema operativo. Non installo molto sul mio tablet o lo uso per la navigazione web casuale. Quindi è fondamentalmente un dispositivo isolato e fisicamente sicuro.

Windows 7/8 / 8.1 sarà massicciamente più sicuro di Android dal momento che ottengono ancora aggiornamenti di sicurezza da Microsoft, Android è un casino completo per la sicurezza, ci sono alcuni problemi.

1 - google non supporta Android per molto tempo, un recente exploit che hanno annunciato non è stato patchato in 4.3 e più vecchio, 4.3 non aveva nemmeno 12 mesi quando lo hanno annunciato. Microsoft nel frattempo ha supportato XP per oltre 10 anni.

2 - anche se la patch di google, gli utenti sono in balia dei loro vettori, e gli operatori tendono a non supportare i vecchi telefoni a lungo in quanto vogliono vendere nuovi telefoni.

3 - Le app possono solo memorizzare dati in posti limitati e le app bancarie sono costruite per la convivenza, quindi un codice di autenticazione di login verrà memorizzato nella cache del dispositivo, mentre sugli elementi certian di Windows viene anche memorizzato nella cache, il meccanismo di Windows è generalmente più sicuro. La prova di ciò è che nella mia app bancaria, se rileva che il telefono è radicato (che è) non ti consente di utilizzare l'app ma ti consente comunque di accedere tramite il browser sul telefono, il che dimostra che la banca stessa si fida del login del browser più della app.