La maggior parte delle applicazioni mobili bancarie viene installata su quasi tutti gli smartphone come i dispositivi mobili basati su Android.
Ma per essere sicuri e per eseguire operazioni crittografiche, presumo che debbano conservare alcuni dati segreti in una memoria sicura come Secure Element (SE).
Ma non tutti i telefoni cellulari hanno SE in esso.
Quindi, in che modo queste applicazioni mobili bancarie mantengono i loro dati segreti al sicuro?
È necessario distinguere tra l'app Simple banking in cui è possibile eseguire una sorta di gestione account e applicazione di pagamento.
Banking App si basano sui servizi web, quindi tutti gli elementi di sicurezza si basano solo sulla sicurezza della comunicazione tra l'app e il server e su quale meccanismo di autenticazione si sta utilizzando (ad es. autenticazione a due fattori)
App di pagamento creazione di pagamento senza contatto con il tuo telefono.
Android offre due possibilità:
Soluzione basata su hardware: basato su hardware si basano su elementi di sicurezza attualmente ci sono tre tipi di elementi di sicurezza:
Poiché questa implementazione è hardware, può essere considerata sicura.
Da Android 4.4, Android ha introdotto l'emulazione della scheda host (HCE), per dare la possibilità di emulare una tessera di plastica e tutti gli scambi di dati senza contatto. Android offre sicurezza di base, quindi un altro livello di sicurezza è obbligatorio come cryptographie di whitebox, Altre funzionalità come l'autenticazione di dispositivi e utenti.
Entrambe le soluzioni si basano su un altro meccanismo chiamato Tokenizzazione, quindi i dati del titolare della carta non verranno mai utilizzati tra l'app e i terminali.
In base alla mia esperienza, le app mobili bancarie richiedono l'inserimento di un PIN per accedere a qualcosa di più del saldo di un paio di account. Quindi se vuoi aggiungere un nuovo beneficiario, devi rispondere ad alcune domande di sicurezza.
Quindi, senza aver decompilato un'app di mobile banking, presumo che l'app abbia alcune informazioni di autenticazione crittografate usando il PIN. Quindi, anche se una persona cattiva è stata in grado di ottenere una copia di tutti i dati sul disco appartenente all'app, avrebbe comunque bisogno del PIN per utilizzarlo. Questo è simile al livello di sicurezza della tua carta bancaria. Meglio perché non riesci a sfogliare un telefono, come puoi con una carta bancaria.
Anche se una persona cattiva si impossessa del tuo telefono e PIN, sarà necessario conoscere le risposte alle tue domande di sicurezza (che saranno archiviate / elaborate) sui server delle banche; per aggiungersi come beneficiario.
Inoltre, il sistema operativo Android (e iOS) non consente a un'app di accedere ai dati privati di un'altra app. Per condividere i dati tra le app devi salvarlo nel filesystem dell'area condivisa o utilizzare una delle altre API approvate (ad esempio, copia incolla)
Ciò di cui gli Elementi Protetti ti proteggono è un sistema operativo compromesso (su cui si basano gli altri livelli di fiducia.) Nel caso di un'app bancaria il rischio di una persona cattiva che compromette il sistema operativo sul tuo telefono, per registrare l'accesso il PIN, e copiare le credenziali crittografate e indovinare le domande di sicurezza, è davvero dannatamente basso! Meno del rischio che qualcuno rubi la tua carta bancaria e il PIN.