Je smartbanking bezpečnější než internetbanking?
Cílem tohoto příspěvku je zamyslet se nad tím, zda je smartbanking bezpečnější než internetbanking.
Pokud hovoříme o smartbankingu, máme na mysli přístup klienta banky ke svému účtu prostřednictvím nativní aplikace, kterou si nainstaloval do svého smartphonu nebo tabletu s operačním systémem Google Android nebo Apple iOS, které jsou momentálně nejrozšířenější. V případě internetbankingu pak máme na mysli přístup klienta k bankovnímu účtu prostřednictvím webové aplikace v prohlížeči internetu jako je IE, FF nebo Chrome.
Budeme předpokládat, že nativní i webová aplikace je stejně bezpečná, tj. neobsahuje žádné známé zranitelnosti a komunikace s bankou probíhá přes HTTPS. Z tohoto pohledu je pak bezpečnost závislá především na prostředí, ve kterém se aplikace spouští. Dále budeme předpokládat, že klientem banky je osoba, která je pouhým uživatelem, a která bezpečnost příliš neřeší a nerozumí ji.
V následující tabulce je zachyceno, co především ovlivňuje, zda se do daného zařízení dostane malware.
Faktor | Internetbanking | Smartbanking |
Privilegovaný účet | Hodně klientů je přihlášeno na počítači pod účtem administrator. | Root nebo jailbreak není na smartphonech až tak častý jev. |
Výhradní správa | Desktop je často sdílený s ostatními kolegy nebo rodinnými příslušníky. | Smartphone má většinou každý svůj a nepůjčuje ho. |
Aktuální verze | Neaktuální verze OS, prohlížeče a dalších aplikací jako je JAVA, Flash, Acrobat zvyšují riziko nákazy. | Neaktuální verze OS a dalších aplikací nemají dopad na bezpečnost samotné aplikace. |
Antivirus | Aktuální verze antivirové ochrany je nutná, neboť dokáže detekovat škodlivý kód uložený na webu a přílohách pošty. | Antivirus není zpravidla nutný, protože nedokáže spolehlivě detekovat trojské koně, přes které se malware na této platformě šíří. |
Na desktopu malware stažený při surfování zcela ovládne prohlížeč internetu. Na smartphonu si však malware musí uživatel sám nainstalovat, nejčastěji jako trojského koně spolu s nějakou aplikací, ale ten nemůže ovládnout jinou aplikaci, neboť běží v sandboxu.
Můžete namítnout, že se příliš spoléhá na sandbox, a že na daném zařízení není poveden jailbreak nebo root. To je sice pravda, ale vězte, že většina uživatelů nemá na svém smartphonu proveden jailbreak nebo root, zatímco na desktopu je většina uživatelů přihlášena pod účtem s administrátorskými právy.
Situace však není tak dramatická, neboť pro provedení transakce v internetovém bankovnictví je zpravidla vyžadován mTAN (mobile Transaction Account Number), který je zasílán jako SMS na mobilní telefon uživatele, tedy pokud nepoužívá čipovou kartu. Transakce je tak potvrzena jiným kanálem (out-of-band), což je velice bezpečný způsob, za předpokladu, že uživatelův přístroj není kompromitován a že si uživatel pořádně přečte, co je v SMS uvedeno, a kód bezmyšlenkovitě neopíše.
V případě smartbankingu se SMS neposílá, protože by došla nejspíš na daný telefon a stejně jako uživatel by ji mohl odchytit a použít malware, pokud by byl smartphone resp. jeho OS kompromitován a malware by ho zcela ovládnul. Je zřejmé, že absence out-of-band autorizace transakce je pro mnohé klienty nepřijatelná, ovšem koncept potvrzování transakce opsáním kódu z SMS zprávy je dlouhodobě neudržitelný, a útoky na klienty bank toto jen potvrzují.
Otázkou tak nadále zůstává, jakým způsobem transakce potvrzovat, a zda by to neměl být v obou případech hardwarový token fungující na principu challenge response. U internetbankingu dříve a u smartbankingu později, podle toho jak se bude situace v kyberprostoru vyvíjet.
Závěr: Samozřejmě dál platí, že kdo dodržuje základní bezpečnostní pravidla, tak se nemusí příliš obávat, že by mu někdo vykradl účet. Přesto se domníváme, že smartbanking je za jinak stejných podmínek bezpečnější. A co si myslíte vy?
Štítky: internetbanking, smartbanking
K článku “Je smartbanking bezpečnější než internetbanking?” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.