A DÁP alkalmazás a neki bemutatott QR-kódot tudja ellenőrizni, az meg egy MITM támadó esetén is valid lesz, hiszen a támadó "elbábozza" a bank felé, hogy ő az ügyfél böngészője, a bank felől érkező választ meg kvázi egy-az-egyben odatolja a megtámadott ügyfél böngészőjének.
A QR-kód alapján az ügyfél hitelesítése történik meg a bank felé - azt nem látom, hogy a szolgáltatót mi hitelesíti az ügyfél felé? Mert ugye pont az a gond, hogy a mexivtadpontakarmipontnu/randomstring jellegű URL-en lévő fake oldal szépen elt udja játszani az egyik irányba a böngészőt, a másik irányba meg a szervert...