C'è qualche motivo per impedire alle app di girare su telefoni con root, se offri anche un'interfaccia web?

2

Alcune banche impediscono alle loro app di essere eseguite su telefoni con root, per presunti "motivi di sicurezza".

Tuttavia, di solito puoi comunque utilizzare i loro servizi dall'interfaccia web.

Utilizzo dello stesso telefono, con le stesse funzionalità.

Inoltre, l'interfaccia web può, di nuovo, essere accessibile da qualsiasi computer desktop, dove ogni applicazione ha molto più libertà rispetto a quelle sui telefoni cellulari.

Quindi, in queste circostanze , rende qualsiasi senso evitare che tali app vengano eseguite, oppure è solo ignoranza / superstizione / nome-it?

Notare : in circostanze diverse , potrebbe avere senso. Se, ad esempio, l'interfaccia web ha meno funzioni rispetto all'app o richiede più autenticazioni o altro.

Questa domanda, tuttavia, è solo su situazioni in cui le loro funzionalità e autenticazioni sono più o meno le stesse.

Esempio:

You’ll no longer be able to use our Mobile Banking app if we think the device you’re using has been jailbroken or rooted.

Jailbreaking and rooting, removes safeguards from your phone which can leave your device vulnerable to fraudulent attacks.

You’ll still be able to access Mobile Banking through your mobile browser – visit {site} from your mobile phone and sign in.

ATTENZIONE! Questo non è uno sfogo. Se non sei soddisfatto della politica della tua banca, passa a una banca diversa, è facile.

Questa è semplicemente una domanda genuina, cioè mi chiedo se c'è qualcosa che mi manca.

Se pensi che sia una sfuriata, significa che non ho scritto abbastanza bene, o che non hai letto abbastanza attentamente, o una combinazione di entrambi. Ma stai sicuro che non è destinato a essere.

    
posta Sìrohol 12.10.2016 - 18:27
fonte

2 risposte

2

Un telefono rooted può consentire all'utente di installare servizi in grado di leggere i dati privati di altre app. Molte app di servizi bancari online si affidano all'archiviazione privata delle app per il loro sistema di accesso semplice. (ad esempio PIN o impronta digitale a 4 cifre)

Se la banca non può fare affidamento sull'archivio privato dell'app, è necessaria un'autenticazione più approfondita (vale a dire password completa e possibile domanda di sicurezza), come si vedrebbe normalmente nell'interfaccia basata sul Web.

Inoltre, l'app potrebbe archiviare ulteriori informazioni nella cache nell'archivio privato dell'app per una migliore esperienza utente, sapendo che lo spazio di archiviazione privato dell'app è più sicuro del browser localStorage .

Se la memoria privata dell'app è compromessa, non è possibile fare affidamento su tali ipotesi.

Personalmente, penso che questo sia un po 'eccessivo per la banca. È davvero fastidioso per gli utenti esperti di tecnologia che stanno attenti all'installazione di app compatibili con root.

Forse alcuni utenti (non esperti di tecnologia) (che non comprendono il rischio di dispositivi rooted) ne trarranno beneficio. Il rischio di dirottare il tuo conto bancario online è piuttosto serio.

La maggior parte dei (possibili) rischi legati all'uso di un telefono rooted (ad esempio screen-scrapers e keylogger) si applicano ancora quando si utilizza la versione online del browser.

    
risposta data 12.10.2016 - 19:07
fonte
1

Le app native installate come pacchetto sugli smartphone potrebbero avere una differenza significativa dalla loro interfaccia web. A volte possono parlare con un'API diversa per ottenere il contenuto. Per rendere più fluido l'utilizzo dell'applicazione, è possibile che vengano memorizzati nella cache alcuni dati.

Come hai detto, i rischi di cui sopra sono applicabili anche alle applicazioni web in esecuzione su una macchina portatile. La principale preoccupazione qui potrebbe riguardare l'implementazione SSL. In un'applicazione Web, le applicazioni si basano sull'archivio certificati del browser. D'altro canto, i dispositivi Android fanno affidamento sull'archivio delle credenziali di fiducia del dispositivo mobile. Le applicazioni Android utilizzano inoltre una funzionalità di sicurezza aggiuntiva - Blocco SSL - per ignorare le credenziali di fiducia del dispositivo e affidarsi alle proprie credenziali di sicurezza personalizzate. Ciò idealmente salverebbe l'utente da un attacco MITM anche se uno dei certificati nel dispositivo è compromesso. Tuttavia, i telefoni radicati possono essere utilizzati per aggirare il blocco SSL. Così il malware che si esegue su un telefono rooted avrà pieno accesso a la tua comunicazione HTTPS anche se la tua applicazione bancaria utilizza il blocco SSL. L'avvertenza bancaria deve essere un modo per evitare rischi da quella prospettiva.

    
risposta data 12.10.2016 - 19:26
fonte

Leggi altre domande sui tag