"telefonos appnál meg ugye nem így van a fentiek szerint, ott tárolódnak azonosításhoz való adatok"
TPM? Windows hello? Na ugyanez megvan a mobilban is, azaz az azonosító adat megfelelő azonosítás után lesz használható. A 2. faktor mobilos app esetén az az adott mobil device, illetve annak birtoklása, ami a bank felé regisztrálva van.
"Miközben az valamilyen exploiton keresztül megszerezhetővé válhat."
Ahogy a böngésződ memóriaterülete is támadható, session ellopható...