BankDroid START

https://play.google.com/store/apps/details?id=bankdroid.start&feature=s…

Vajon ez hogyan kommunikál a banki rendszerekkel? Mit szólnak hozzá a bankok? A CIB-et már megkérdeztem mailben.

Update A CIB válaszolt, és nem meglepő módon annyit szólt hozzá, hogy csak az általuk hosztolt megoldásokat használjam.

( GerzSonka | 2012. 05. 07., h – 12:22 )

Nem sokkal a kipróbálás után dobott egy hibaüzenetet egy JSON objektummal, szóval szerintem valami bank által biztosított API-n keresztül. (AXA legalábbis)
Persze ha válasz jön a mailedre, akkor: subscribe. :)
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods 

Get dropbox account now!

( ggtamas | 2012. 05. 07., h – 12:47 )

Mivel azt írják, az OTP-s login "az internet bank változásai miatt most átmenetileg nem működik", szerintem az konkrétan GET/POST-tal és HTML-parsolással. De a Wireshark szívesen megmondja a frankót annak, akinek van Androidos telefonja.

Egy applet általában nem füstjelekkel kommunikál a szerverrel, hanem többnyire HTTP(S) csatornán, mert ez megy át leginkább a tűzfalakon és proxy szervereken... a CIB applet zárt protokollját is vissza _lehet_ fejteni, nem ez lenne az első visszafejtett protokoll a világtörténelemben. :)

Az adott alkalmazás azt a niche-t használja ki, hogy kevés bank adott ki eddig natív mobiltelefon klienst, a kliensek pedig megbíznak az alkalmazásban, mert az a Market-en van... jogilag eléggé vékony a legális és nem legális között a vonal.
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Ha én bank lennék, és valaki visszafejtené a protokollomat, majd elkezdene terjeszteni egy alkalmazást amivel a saját ügyfeleim a saját szolgáltatásomat azon keresztül használnák a hivatalos megoldás helyett, olyant csapnék a kedves dev/kiadó tarkójára jogi úton, hogy fél percig nem kapna levegőt.

--
http://neurogadget.com/

Én nem látom jelét annak, hogy ilyet tett volna. Mind a 2 magyar banknak van böngészőn át kezelhető felülete.
Írt egy cél böngészőt. Mondja rá valaki, hogy nem az, hiszen böngészők által használt protokollt használ. Beállított valami hihető user agentet, hogy működjön( sztem ez az egyetlen pont amibe beleköthetnek). Erre sem lenne rákényszerülve, ha a bankok szóba állnának vele.
Persze megbízni benne az más kérdés.

vagy megmezed a "forrasat": progi felrak, apk kiszed telobol, at lehet konvertalni akar *.jar-ba, vagy smali forras fajlokka (ezt kicsit nehez olvasni). jarbol meg lehet javat csinalni (ezt se leanyalom, de egy jobb java koder siman megertheti)

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( _Franko_ v | 2012. 05. 07., h – 13:56 )

Alapvetően nem az az érdekes, hogy hogy kommunikál a banki rendszerekkel (mert ugye HTTPS csatornán HTTP protokollon szépen fel lehet dolgozni a választ és küldeni egy megfelelő POST kérést), hanem az, hogy egy nem a bank által digitálisan aláírt/hitelesített alkalmazás esetén mi és/vagy ki garantálja, hogy nem kerülnek lementésre a beírt azonosítók...
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Akkor nem hasznalom.

Egyebkent itt az a gond, hogy az, hogy a Marketen fenn van, az a Google altal kialott implicit bizonyitvany, hogy ez nem malware. Pedig volt mar a Marketen malware.

Ettol meg a velemenyem nem valtozik, hogy egy ilyen cucc hasznalataert csakis a felhasznalot terheli a felelosseg.

Persze ha kiderul hogy ez is malware, akkor (buntetojogi) felelossegre vonhato a Google, a keszito, stb. jogrendszertol fuggoen.

"Akkor nem hasznalom."

És ha feltöltöm a Market-re ugyanazt a binárist, az mit változtat egy program működésén? :)

"Egyebkent itt az a gond, hogy az, hogy a Marketen fenn van, az a Google altal kialott implicit bizonyitvany, hogy ez nem malware. Pedig volt mar a Marketen malware."

Olvastad Te egyátalán a Market jogi hátterét és a felelősségeket?

"Ettol meg a velemenyem nem valtozik, hogy egy ilyen cucc hasznalataert csakis a felhasznalot terheli a felelosseg."

Pont erről beszélek: nem a bank adta ki az alkalmazást (az jó kérdés, hogy miért nem), a felhasználót terheli a felelősség, a felhasználónak pedig fogalma nincs arról, hogy amit telepít az egy jóindulatú vagy egy rosszindulatú program.

"Persze ha kiderul hogy ez is malware, akkor (buntetojogi) felelossegre vonhato a Google, a keszito, stb. jogrendszertol fuggoen."

A Google nem. Semmi köze hozzá. A készítő esetleg, de ha lopott hitelkártyával regisztrálta magát a Market-re egy kreált Google account-al, akkor fújhatod a jogi procedurát és futhatsz a pénzed után.
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

En is errol beszelek, csak maskepp: a biztonsag csak egy illuzio, a jozan eszet semmifele technologia nem helyettesiti. Ezert a malware terjedeset legjobban a felhasznalok kepzesevel leheh legjobban megelozni.

A joghoz nem ertek, Androidot nem hasznalok igy a Market felteteleit sem olvastam, csak gondoltam, hatha ez egy utolso biztonsagi halo. Ebben tevedtem. De nem is ez volt a fo mondanivalom.

Szerintem boven egyetertunk a lenyegben :)

"mi és/vagy ki garantálja, hogy nem kerülnek lementésre a beírt azonosítók"
A nyílt forráskód nekem elég. Átnéztem nagyjából, ha paranoid lennék, akkor tesztelgethetem, és csinálhatok abból APK-t. Nem találtam ilyen dologra utaló nyomot, de mivel az SMS másik telefonra érkezik, így elég nehéz a bankos adataimmal anélkül visszaélni, hogy tudjak róla.
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods 

Get dropbox account now!

( Zokomov | 2012. 05. 07., h – 16:40 )

Minden vágyam, hogy ismeretlen third party-ra bízhassam a banki adataimat, az SMS key capture is nagyon szimpatikus szolgáltatásuknak látszik.

Azért szeretjük ezt a XXI. századot, régen legalább a bankig el kellett menni símaszkban vagy legalább valakinek kést szorítani a hátába ha pénzt akartál rabolni, most ezt az egészet már bárhonnan megteheted.

Ismerve az Android platform biztonságosságát még csak az sem biztos, hogy a BankDroid alkalmazás készítője fog kirabolni, bárki megteheti aki hozzáfér az eszközeidhez / sebezhetőséget talál a szoftvereidben, hálózatodon

( pch v | 2012. 05. 07., h – 21:53 )

Nem értem ezt a nagy hypet.
Minden bankkal működik a GIRO rendszer. sima xml be kell küldeni a cuccokat amire jön szépen a válasz xmlbe. Nekem a számlázóm az összes bankkal így kommunikál, és sose volt még gond. Automatikusan egyenlíti ki a számlákat és terhel jóváír. Mivel a GIRO de facto szabvány, így mindegyik bank elfogadja.

Bár mindezt úgy írom nem láttam a progit.

A raiffeisennek van saját progija (froidra)

pch
--
http://www.buster.hu "A" számlázó
--

Nyilván a hype alapja az, hogy közbeiktatsz egy réteget, aminek nem lehet meggyőződni a biztonságosságáról.

Ez olyan mintha a banki ügyeimet ismeretlen személyeket felkérve, azoknak a bankkártyámat és PIN kódomat átadva intézném.

Még szerencse, hogy a banki biztonság is az egekben lehet, főleg a CIB-nél ahol jelszót is plain text-ben tárolhatnak (az ügyintéző meg képes mondani a jelszavadat), a Windows XP alapú publikus termináljaik meg cachelik a session-t és újra kell indítani őket a cache törléséhez, meg aztán még ott van ez is: https://cib.hu/elerhetosegek/online_ugyfelszolgalat/index

( hrgy84 | 2012. 05. 08., k – 19:58 )

Sracok, BankDroid egy magyar emberke, az androidportal.hu -n aktiv tag, meg lehet ot kerdezni ezekrol. Felesleges azon reszelni, hogy ki mit hogy es miert.
Ezen felul minden BankDroid-os alkalmazas opensource termek. Tessek elolvasni a forrasat, es megnezni, kuld-e valakinek valahova valamit. Ha jo jo, ha nem nem.
Az Androidtol nem feltek, hogy az SMS-eket feltolti a felhobe? Vagy az mindegy, mert a Google joceg?
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal