Biztonságos bankolás erre dedikált EOL mobilon?

Android

Több kiemelt partnerünk használ EoL mobilokat/tableteket kritikus rendszereken. Rendszeresen copy-pastelünk egy fejezetet a biztonsági kockázatokról. Ők meg legyintenek, hogy eddig sem történt ilyen incidens. 

Tény, hogy a feladatra fejlesztett alkalmazáson kívül mást nem lehet telepíteni, elindítani ezeken. 

Felmerül a kérdés, lehet- biztonságosan bankolni EoL mobilokon ha semmi más app nincs rajtuk? 

Előnyök: 

- Fizikailag szinte lehetetlen hozzáférni a bankos mobilhoz, mert mindig otthon van. 

- Más appok nincsenek rajta, így nem publikált sebezhetőséggel ebből az irányból nem támadható. Egy mobilra pedig máig a legjobb trójai faló egy ártatlannak gondolt applikáció telepítése. 

- Külön lehet választani egy másik mobilra 3DS ellenőrzést pl OTP bankos applikáció és a ténylegesen napi vásárlásoknál használt bankos applikációt pl Revolut. Mindkét bankos mobil állandóan otthon van és természetesen emberi jóváhagyással kell minden Revolutos pénzfeltöltést engedélyezni. Automata revolut egyenlegtöltésről szó sem lehet!

- Így csak a Revolut kártyákon levő pénz van kockázatnak kitéve, a nagy pénz biztonságban van az OTP számlán ami szinte soha sincs használva másra mint Revolut töltésre, és néha nagy összegű tranzakciókra.

- Használaton kívül teljesen kikapcsolhatóak ezek a bankos mobilok. Márpedig nincs biztonságosabb egy kikapcsolt számítógépnél, mobilnál!  

Hátrányok: 

- Körülményes, de hát ilyen világban élünk.

- EoL mobilok, két új dedikált mobillal még jobb lenne, de itt a kérdés az úgyis fiókba került, egyébként teljesen jó EoL mobilok hasznosítása. 

  • 1374 megtekintés

( p2pking | 2023. 10. 29., v – 15:39 )

Ezt csinalom. Most kezdtek el rinyalni a dolgok, hogy regi.

A folyamatos "ujitastol" ki van a tokom, semmire nem valo, csak penz kihuzasara a zsebedbol.

Every single person is a fool, insane, a failure, or a bad person to at least ten people.

Nem szoktam nepperkedni a lecserélt mobilokkal, ezért mindig van kéznél ilyen több is. LineageOS-sel  frissen lehet tartani az Androidot rajtuk akár egy évtizedig is, csak jól kell mobilt választani. Viszont pont a bankos appok azok, amik nem szeretik az alternatív Android rendszereket. Speciel a Revolut épp működik LineageOS-sel, csak az ujjlenyomat ellenőrzés nem. Bankos appok egy része viszont csak gyári rendszereken hajlandó működni, ezért általános megoldás nem lehet a LineageOS. 

Ha OTP-s vagy már tiltogatni a magisk appot is az indulás előtt, mert különben:

"Nem engedélyezett tevékenységet észleltünk az OTP Mobilbank használata során" 

Taskerrel például rá lehet venni, hogy az OTP app indulásakor:

Run Shell : pm disable hidden.magisk.appname
Wait 5
Run Shell : pm enable hidden.magisk.appname

Érdekes ha 5 másodpercig tiltva van a magisk app akkor már nincs "Nem engedélyezett tevékenység", gondolom azzal kezd a szemétdomb, hogy összeszedi a telepített alkalmazások listáját (semmi köze egy bank mobil appjának hozzá amúgy :)) és ez alapján lesz "nem engedélyezett tevékenység". :P

FYI: LOS-t hasznalok ih8sn -nel, igy gond nelkul megy a GPay, Revolut, Wise, OTP, Curve, Raiffeisen, Yettel, Telekom, stb minden feature-rel, ujjlenyomattal. Eddig semmi problemam nem volt, az OTA sem okoz gondot. OP6T

Persze a STRONG_INTEGRITY nincs meg, de azt egyetlen hasznalt appom sem koveteli.

( hory v | 2023. 10. 29., v – 19:24 )

Szerkesztve: 2023. 10. 29., v – 19:26

Olyan nincs, hogy "nincs masik app rajta". Gyarilag jon minden android egy valag szarral, meg az AOSP is telis tele van fosva mindennel (gondolj csak a gallery/calculator/...).

A samsung browser is system app volt, amin keresztul a legutobbi root-RCE tortent.

A webview komponenst elvileg app-kent update-eli a play store automatikusan, ha az update be van kapcsolva. Amugy barmely (akar banki) app nyit egy 8 eves webview-t, es mar lehet is gond.

A masik nagy bokkeno, hogy amikor azt mondjak, hogy "csak bankolasra hasznalom", akkor 1. abban mindig ott van a "becsszo! tenyleg!", hogyne, persze. 2. amikor a user azt mondja, hogy "csak bankolasra hasznalom", abba persze belerti azt is, hogy amig kigoogle-zza a reszvenyarfolyamokat meg ilyenek...

tl;dr: a trojai/malware ellen ved a dedikalt EoL mobil, de az ellen sima oktatas is, sot, az alapos oktatast semmikepp sem uszod meg. 0-dat RCE/root ellen viszont sokkal kevesbe, mint egy rendes mobil.

IMHO ha tenyleg secure akarsz lenni, akkor egy regi laptopra egy alap, full OSS linux-al jarsz legjobban, amit csak erre hasznalsz (... + persze oktatas, hogy _tenyleg_ csak erre).

"Olyan nincs, hogy "nincs masik app rajta". Gyarilag jon minden android egy valag szarral, meg az AOSP is telis tele van fosva mindennel (gondolj csak a gallery/calculator/...)."

Céges lezárt androidokon még egy calculator sincs mellette, webview valóban van. De most privát használat a téma. A bankos appok többsége is használja. Az pedig csak a bankos szerverhez kapcsolódik. Ha a támadó el is tudja téríteni ezt a kapcsolatot még mindig kell egy tanúsítványt is lopnia. Ez már olyan komoly incidens amiről tájékoztatnia kell az ügyfeleit a banknak.
Illetve valóban updateli a webviewt EoL után is a play. 

"A masik nagy bokkeno, hogy amikor azt mondjak, hogy "csak bankolasra hasznalom", akkor 1. abban mindig ott van a "becsszo! tenyleg!", hogyne, persze. 2. amikor a user azt mondja, hogy "csak bankolasra hasznalom", abba persze belerti azt is, hogy amig kigoogle-zza a reszvenyarfolyamokat meg ilyenek..."

Nem, nincs ilyen szitu! Csak egy bank app az egyik mobilon és a másik banki app a másik mobilon. Használaton kívül meg ki vannak kapcsolva. 

"0-dat RCE/root ellen viszont sokkal kevesbe, mint egy rendes mobil."

Ez így van, de ha nincs böngészés, nincs app telepítgetés még mindig védettebb a mobil mint egy friss, de mindenre is használt mobil. Legalábbis ez most a hipozézis. Egy up2date mobilon minden app, ami mindig nálad van nagyobb kockázat, mert: ha fizikailag megszerzik, vagy kártékony app kerül a banki appok mellé máris nagyobb biztonsági kockázat mint a páncéélba zárt EoL mobilok, ráadásul azok is egymástól szeparálva. 

"IMHO ha tenyleg secure akarsz lenni, akkor egy regi laptopra egy alap, full OSS linux-al jarsz legjobban, amit csak erre hasznalsz (... + persze oktatas, hogy _tenyleg_ csak erre)."

Ezzel maximálisan egyet is értenék. A probléma, hogy a sok banki appnak nincs ugyanolyan funkcionalitású webes változata mint mobilos. Az elmúlt időben elég sok bankos incidens történt amiben up2date de mindenre is használt mobilok benne voltak, ill még szintén up2date okosórák is.
A full OSS ott bukik sajnos, hogy még ha van is fullos webbank a mobilapp mellett, szinte biztosan csak Chrome böngészőn fog működni, Chromiumon már nem. 

Úgy néz ki hogy egyes bankonál a mobil banki app kezd lenni az elsődleges felület. Fiataloknál ez az alap, idősebbeknél pedig több ügyintéző is készségesen mindent beállít (még a PIN kódot és képernyőzárat is) a kuncsaft mobilján, mondván milyen egyszerű is ez az egész. 
Tehát vannak bankok ahol a webes felületbe már nem fejlesztenek mindent le, csak a mobilos appba.
Ilyen esetben talán egy Android-x86 alapú rendszer jöhetne szóba annak aki PC-n bankolna.
--
Légy derűs, tégy mindent örömmel!

Ha a támadó el is tudja téríteni ezt a kapcsolatot még mindig kell egy tanúsítványt is lopnia.

ebben ne bizz. a legtobb app az android beepitett certificate-jeire epit, es ha az elteritheto, akkor meg is vagy.

bank nem tud semmirol, mert egy masik alairast keszit az o neveben.

pontosan ez tortent legutobb, amikor a diginotar -t meghekkeltek.

de ezt most hagyjuk, mert ezek mar teljesen mas vizek. csak tartsd eszben, hogy az ssl/tls is tamadhato.

 

A probléma, hogy a sok banki appnak nincs ugyanolyan funkcionalitású webes változata mint mobilos.

chromebook-okon van android is, play store meg minden. hogy biztonsagos-e, jo kerdes. szerintem ezen a szinten mar elerted a gyakorlati maximumot; elmletileg meg mehetsz tovabb, de mar kerdeses, hogy egy adott extra tenyleg javit-e a biztonsagon, vagy csak bemeseled magadnak :D

Nem tudom hogy ugyanarról beszélünk-e, de az összes biztonságkritikus app használja a certificate pinning technikát, magyarul összenézi az alkalmazásba égetett cert-et a kapottal,

és csak akkor indít kommunkációt, ha ezek megegyeznek.

[edit]

és igen, a diginotar-nál a CA-t nyomták fel, és pont a certificate pinning védett ez ellen.

https://slate.com/technology/2016/12/how-the-2011-hack-of-diginotar-cha…

"So to make sure that no other certificates were being issued for its domain, Google “pinned” its own valid certificates to its browser, Chrome, and didn’t accept any others, even if they had been issued by trusted vendors like DigiNotar. So on Aug. 27, when alibo tried to log into his Gmail account through Chrome and was redirected to the site signed by the rogue certificate, his browser knew something was wrong. It blocked the webpage, prompting alibo’s post on the Gmail Help Forum and the unraveling of the entire incident—and DigiNotar itself.

"Olyan nincs, hogy "nincs masik app rajta". Gyarilag jon minden android egy valag szarral, meg az AOSP is telis tele van fosva mindennel (gondolj csak a gallery/calculator/...)."

 

Az AOSP-nél ezeket az appokat "gallery/calculator/..." simán ki lehet törölni a ROM-ból, baromi egyszerűen. Mármint a telepítése előtt is, de akár utána is a TWRP-vel. Csináltam már ilyet néhányszor.

( gelei v | 2023. 10. 30., h – 08:58 )

Egy darabig gondolkodtam ilyesmiben, vegul ket dolog miatt hagytam a fenebe:

1. Rajottem, hogy igazabol ilyen peremfeltetelek mellett felesleges a mobilbank app. Ha hardened kornyezetet akarsz, akkor sokkal egyszerubb a netbankot hasznalni, ahhoz olyan kornyezetet epitesz, amit akarsz. Onnantol meg onfegyelem kerdese, hogy masik eszkozon is hasznalod-e.

2. Tulajdonkeppen ertelme sincs, mert nem ugy lopjak el a penzed, hogy valami szupertitkos 0day-jel felnyomjak a mobilt, hanem beszopatjak az atlag usert valami kamu oldallal, a tuloldalon meg a scammer real-time probalja digitalizalni a kartyadat Google/Apple Pay-ben a kapott adatokkal.

Az összes ilyenre a megoldás az lehetne ha a bankok sokkal szigorúbb policy-t alkalmaznának, zero trust jellegű hozzáállással (engedélyezni a bankban, erős ügyfélazonosítás mellett tudj dolgokat). Egy gyönyörű (rossz) példa erre az OTP: alapban nincs tranzakciós limit a számlára, tehát ha van rajta 100 millió forint, akkor simán el lehet utalni. Mi baj lehet belőle. Erről természetesen nem értesítik az ügyfelet, hogy egyébként van arra lehetőség hogy a számlára napi limitet állíts be (mondjuk X millió forintot), csak ezt a bankfiókban tudod személyesen megtenni (ami egyébként számomra pont megnyugtató).