Mi chiedevo se questo potesse essere un problema di sicurezza per le applicazioni bancarie e, in caso affermativo, perché? Quali sono i rischi se lo consenti?
Mi chiedevo se questo potesse essere un problema di sicurezza per le applicazioni bancarie e, in caso affermativo, perché? Quali sono i rischi se lo consenti?
Dovresti controllare solo ciò che può importare. La localizzazione è sempre disattivata sul mio smartphone, a meno che I non la utilizzi effettivamente. Non voglio davvero nasconderlo, ma non riesco a capire perché un servizio bancario possa essere interessato a questo. E so che un'inchiesta legale lo otterrebbe immediatamente dal mio operatore. Lo stesso se uso un accesso WiFi (pubblico o no). Presumo che anche la mia banca lo sappia, quindi non lo sanno, ma sanno che potrebbero ottenerlo se un attacco venisse da lì.
Le cose sono diverse quando usi Tor o altri ben noti (*) proxy che sono usati per privacy , perché ora anche le richieste legali non riescono a trovare facilmente da dove proviene la connessione, ma possono persino . Quindi IMHO non sarei né deluso né sorpreso se la mia banca rifiutasse tutti gli accessi a Tor o richiedesse almeno un strong secondo fattore di autenticazione (né una domanda segreta ...) per motivi di sicurezza. Dopotutto non sono mai entrato in una banca con una maschera, e mi aspetterei che non mi facciano entrare.
Quindi rifiuta gli accessi a Tor se vuoi, ma per favore non concentrarti troppo sulla geo-localizzazione per un servizio bancario. Ciò che importa qui è di autenticare i client non dove sono. Tutto ciò che può impedire l'identificazione del punto di accesso è sospetto, ma semplicemente non dare la localizzazione non lo è.
(*) Non tutti i proxy sono uguali. Non rifiutare i proxy aziendali, ad esempio ...
Stai parlando di falsificare i servizi di localizzazione in un browser o su un dispositivo mobile o di connetterti tramite una VPN per sembrare una falsificazione della geolocalizzazione basata su IP?
Personalmente ... se la mia banca ha chiesto l'accesso ai dati di geolocalizzazione dal mio telefono per qualcosa di diverso dal trovare una filiale o un bancomat, probabilmente non userei quella banca. Per quanto riguarda i controlli di geolocalizzazione IP ... userei quei dati per aggiungere peso al rilevamento delle frodi.
Se ci sono abbastanza fattori per suggerire che la richiesta non è da parte del cliente, quindi bloccare come potenziale frode. Ma la posizione attuale probabilmente non dovrebbe essere sufficiente, perché le persone viaggiano. Si sono improvvisamente spostati da un paese all'altro più velocemente di quanto si potesse viaggiare in aereo? Sono collegati da due paesi contemporaneamente? L'agente utente della connessione è diverso da quello che normalmente usa?
Sommare tutte queste piccole cose e impostare una soglia in cui si verificherà un'azione di blocco. Se vuoi un esempio di come questo sarebbe strutturato, i sistemi anti-spam e-mail sono un ottimo esempio da guardare. Non c'è un solo fattore per decidere se l'e-mail è spam ... è un sistema di controlli diversi che funzionano insieme l'un l'altro.
Se i servizi VPN sono una preoccupazione ... aggiungili come fattore nel sistema. Ma molte persone si connetteranno a una VPN per le banche se sono su WiFi pubblico. Non penso che da sola sarebbe una ragione legittima per bloccare una richiesta. Probabilmente avrei impostato il sistema per regolare il peso del fattore in base al fatto che l'utente normalmente utilizzi o meno una VPN.
Le persone malintenzionate che tentano di violare l'applicazione probabilmente simuleranno la loro posizione e nasconderanno il loro IP pubblico tramite VPN, Tor e / o proxy. Non bloccare gli utenti fingendo la loro posizione potrebbe esporre ai loro tentativi
D'altra parte, fingere la posizione è di solito qualcosa che un utente preoccupato della sua privacy farebbe.
Si noti inoltre che questo tipo di controlli è reso client lato dell'applicazione, quindi un individuo malintenzionato con una conoscenza sufficiente nella reverse engineering può ignorare quel tipo di filtri, mentre un utente legittimo probabilmente non lo farà
Dovresti bilanciare ciò che preferisci, bloccare possibili aggressori e possibilmente utenti legittimi fingendo la loro posizione o esporre la tua applicazione a quegli aggressori
Leggi altre domande sui tag mobile geolocation appsec