Podczas tegorocznej konferencji Mobilna Bankowość 2022, która odbyła się 30.03.2022 w Poznań Congress Center, mogliśmy wysłuchać wiele interesujących prezentacji na temat najnowszych zabezpieczeń i rozwiązań bankowych. Naszą uwagę przykuła prelekcja Rady Bezpieczeństwa Bankowości Internetowej i Mobilnej.

RBBIiM to ciało doradcze, którego jednym z celów działania jest opracowywanie standardów w zakresie zapobiegania i ograniczania negatywnych skutków dla instytucji bankowych i ich klientów. Rada zajmuje się publikacją wytycznych i zaleceń dla aplikacji bankowych, aby zapewnić bezpieczeństwo klientom na poziomie systemu bankowego, a także ich fizycznych urządzeń.

Konferencja Mobilna Bankowość 2022 - Poznań Congress Center

W trakcie konferencji usłyszeliśmy zapowiedzi nowych rozwiązań dla twórców aplikacji bankowych ze strony RBBIiM.

Potwierdzanie przelewów za pomocą reCAPTCHY

Jedną z wytycznych Rady jest jeszcze silniejsza integracja aplikacji mobilnych z usługami Google na telefonach ze systemem Android. Dzięki temu użytkownicy systemu Android mogą spać spokojnie i nie bać się o swoje ciężko zarobione pieniądze. Takie usługi jak Google SafetyNet dbają o to, aby użytkownicy mogli bezpiecznie korzystać ze swoich aplikacji. Rada rekomenduje twórcom aplikacji bankowych wprowadzanie nowego mechanizmu potwierdzającego zlecanie przelewów, który będzie oparty o dobrze znaną technologię Google reCAPTCHA:

Przykład zatwierdzania przelewu za pośrednictwem Google reCAPTCHA zaprezentowany przez RBBIiM

Urządzenia z prawami administratora i bez usług Google

Jak pokazały ostatnie konfrontacje użytkowników z bankiem mBank, posiadanie konta administratora czy brak usług Google na kupionym urządzeniu jest źródłem wielu zagrożeń!

Komunikat doceniający wyjątkowość klienta mBanku korzystającego z systemu bez usług Google

W jedną z takich konfrontacji byliśmy zaangażowani osobiście na Twitterze:

Oto lista konkretnych względów bezpieczeństwa, na jakie powołał się mBank w dyskusji z użytkownikami:

Listę tę opracowaliśmy na podstawie naszych pytań, komentarzy internautów i wnikliwych technicznych odpowiedzi ze strony banku na Twitterze. Dyskusja ta miała miejsce w wątku, w którym rozmawialiśmy z mBankiem o względach bezpieczeństwa, na które powołuje się mBank przy blokowaniu świadomym użytkownikom możliwość korzystania z biometrii na telefonach bez usług Google.

Sprawę tę poruszyliśmy podczas konferencji, która stała się jednym z tematów przewodnich panelu dyskusyjnego.

Rada pochwaliła starania instytucji bankowych, aby każdy klient banku korzystający z mobilnego oprogramowania z prawami administratora lub takiego pozbawionego usług Google, nie mógł korzystać z usług bankowych — w trosce o jego bezpieczeństwo.

Desktopowe systemy operacyjne z prawami administratora również niebezpieczne

Podczas panelu dyskusyjnego konferencji, Rada zajęła swoje stanowisko w sprawie alarmów wszczętych w social mediach i wydała wytyczne sięgające także poza system Android. Tym samym Rada rekomenduje, aby pilnie ograniczyć dostęp użytkownikom korzystającym z internetowych aplikacji bankowych na systemach desktopowych, na których istnieje dostęp do konta administratora. W wywiadzie z nami rzecznik prasowy Rady Janina Szeląg tłumaczy:

W trosce o najlepszą jakość usług i bezpieczeństwo klientów aplikacji bankowych, każdy bank musi w trybie natychmiastowym wyłączyć wsparcie dla urządzeń posiadających prawa administratora, wliczając w to także desktopowe systemy operacyjne. Począwszy od najbardziej popularnego systemu  – Windows. (...) Instytucje bankowe powinny pamiętać o użytkownikach innych systemów, takich jak: MacOS, czy Linux. Musimy traktować użytkowników wszystkich systemów operacyjnych jednakowo, tzn. każdy użytkownik winien być traktowany sprawiedliwie...

— Janina Szeląg, rzecznik prasowy RBBIiM

Postanowiliśmy zweryfikować, czy użytkownicy Windowsa, którzy nie posiadają prawa administratora, mogą obecnie korzystać z bankowości internetowej. Udało nam się odszukać komputer z Windowsem XP, na którym nie ma dostępu do konta administratora i z radością stwierdzamy, że np. strona mBanku działa na nim bez przeszkód! 😊

Internet Explorer 7 w systemie Windows XP, strona mBanku działa! Niemniej jednak nie obyło się bez problemów z dostosowaniem współczesnego interfejsu do niższych rozdzielczości. Brak dostępu do konta administratora czyni ten system nadzwyczaj bezpiecznym.

Przez brak uprawnień administratora, mogliśmy jedynie uruchomić Internet Explorer, parę preinstalowanych gierek i Winampa w wersji portable pochodzącego z renomowanej, przyjaznej komputerom bez konta administratora strony www.winpenpack.com.

Ten artykuł ma charakter satyryczny (wesołego Prima Aprilis!), niestety część artykułu opisana na temat aplikacji mobilnej mBank jest prawdziwa...

Teraz na poważnie

W naszej ocenie użytkownicy nie powinni być karani (w formie ograniczania usług) za instalowanie oprogramowania innego niż to dostarczone przez producenta urządzenia – nawet jeżeli jest tak bezpieczne i zaufane, jak LineageOS czy GrapheneOS. Systemy te nie posiadają usług Google, czyniąc telefon wolnym od skryptów śledzących. Wiele mobilnych aplikacji bankowych sprawdza przy uruchamianiu, czy na urządzeniu są skrypty Google, czy nie. Przy wykryciu braku skryptów Google, zakładają, że system urządzenia był modyfikowany i wyłączają niektóre użyteczne funkcje. Niestety obserwując „rozwój technologii”, obawiamy się, że wkrótce świadoma instalacja innego systemu operacyjnego, czy sam fakt posiadania uprawnień administratora na komputerze, będą powodowały podobne negatywne konsekwencje. Jest już tak w przypadku smartfonów, więc czemu nie miałoby tak być dla innych urządzeń? Wiele razy przekonaliśmy się, że nasze żarty okazywały się prawdą...

Internet. Czas działać! 🇺🇦 (@midline@101010.pl)
Ech, kiedyś żartowaliśmy, że niedługo na Windowsie będą reklamy wyświetlane obok plików w folderze... Uważajcie na nasze żarty, bo bywają prorocze! /kuba https://www.bleepingcomputer.com/news/microsoft/microsoft-is-testing-ads-in-the-windows-11-file-explorer/
101010.plInternet. Czas działać! 🇺🇦 midline@101010.pl
Przykład naszego żartu, który stał się prawdą.

Przytoczone względy bezpieczeństwa do dnia dzisiejszego pozostają niewyjaśnione.