Podczas tegorocznej konferencji Mobilna Bankowo┼Ť─ç 2022, kt├│ra odby┼éa si─Ö 30.03.2022 w Pozna┼ä Congress Center, mogli┼Ťmy wys┼éucha─ç wiele interesuj─ůcych prezentacji na temat najnowszych zabezpiecze┼ä i rozwi─ůza┼ä bankowych. Nasz─ů uwag─Ö przyku┼éa prelekcja Rady Bezpiecze┼ästwa Bankowo┼Ťci Internetowej i Mobilnej.

RBBIiM to cia┼éo doradcze, kt├│rego jednym z cel├│w dzia┼éania jest opracowywanie standard├│w w zakresie zapobiegania i ograniczania negatywnych skutk├│w dla instytucji bankowych i ich klient├│w. Rada zajmuje si─Ö publikacj─ů wytycznych i zalece┼ä dla aplikacji bankowych, aby zapewni─ç bezpiecze┼ästwo klientom na poziomie systemu bankowego, a tak┼╝e ich fizycznych urz─ůdze┼ä.

Konferencja Mobilna Bankowo┼Ť─ç 2022 - Pozna┼ä Congress Center

W trakcie konferencji us┼éyszeli┼Ťmy zapowiedzi nowych rozwi─ůza┼ä dla tw├│rc├│w aplikacji bankowych ze strony RBBIiM.

Potwierdzanie przelew├│w za pomoc─ů reCAPTCHY

Jedn─ů z wytycznych Rady jest jeszcze silniejsza integracja aplikacji mobilnych z us┼éugami Google na telefonach ze systemem Android. Dzi─Öki temu u┼╝ytkownicy systemu Android mog─ů spa─ç spokojnie i nie ba─ç si─Ö o swoje ci─Ö┼╝ko zarobione pieni─ůdze. Takie us┼éugi jak Google SafetyNet dbaj─ů o to, aby u┼╝ytkownicy mogli bezpiecznie korzysta─ç ze swoich aplikacji. Rada rekomenduje tw├│rcom aplikacji bankowych wprowadzanie nowego mechanizmu potwierdzaj─ůcego zlecanie przelew├│w, kt├│ry b─Ödzie oparty o dobrze znan─ů technologi─Ö Google reCAPTCHA:

Przyk┼éad zatwierdzania przelewu za po┼Ťrednictwem Google reCAPTCHA zaprezentowany przez RBBIiM

Urz─ůdzenia z prawami administratora i bez us┼éug Google

Jak pokaza┼éy ostatnie konfrontacje u┼╝ytkownik├│w z bankiem mBank, posiadanie konta administratora czy brak us┼éug Google na kupionym urz─ůdzeniu jest ┼║r├│d┼éem wielu zagro┼╝e┼ä!

Komunikat doceniaj─ůcy wyj─ůtkowo┼Ť─ç klienta mBanku korzystaj─ůcego z systemu bez us┼éug Google

W jedn─ů┬áz takich konfrontacji byli┼Ťmy zaanga┼╝owani osobi┼Ťcie na Twitterze:

Oto lista konkretnych względów bezpieczeństwa, na jakie powołał się mBank w dyskusji z użytkownikami:

List─Ö t─Ö opracowali┼Ťmy na podstawie naszych pyta┼ä, komentarzy internaut├│w i wnikliwych technicznych odpowiedzi ze strony banku na Twitterze. Dyskusja ta mia┼éa miejsce w w─ůtku, w kt├│rym rozmawiali┼Ťmy z mBankiem o wzgl─Ödach bezpiecze┼ästwa, na kt├│re powo┼éuje si─Ö mBank przy blokowaniu ┼Ťwiadomym u┼╝ytkownikom mo┼╝liwo┼Ť─ç korzystania z biometrii na telefonach bez us┼éug Google.

Spraw─Ö t─Ö poruszyli┼Ťmy podczas konferencji, kt├│ra sta┼éa si─Ö jednym z temat├│w przewodnich panelu dyskusyjnego.

Rada pochwali┼éa starania instytucji bankowych, aby ka┼╝dy klient banku korzystaj─ůcy z mobilnego oprogramowania z prawami administratora lub takiego pozbawionego us┼éug Google, nie m├│g┼é korzysta─ç z us┼éug bankowych ÔÇö w trosce o jego bezpiecze┼ästwo.

Desktopowe systemy operacyjne z prawami administratora r├│wnie┼╝ niebezpieczne

Podczas panelu dyskusyjnego konferencji, Rada zaj─Ö┼éa swoje stanowisko w sprawie alarm├│w wszcz─Ötych w social mediach i wyda┼éa wytyczne si─Ögaj─ůce tak┼╝e poza system Android. Tym samym Rada rekomenduje, aby pilnie ograniczy─ç dost─Öp u┼╝ytkownikom korzystaj─ůcym z internetowych aplikacji bankowych na systemach desktopowych, na kt├│rych istnieje dost─Öp do konta administratora. W wywiadzie z nami rzecznik prasowy Rady Janina Szel─ůg t┼éumaczy:

W trosce o najlepsz─ů jako┼Ť─ç us┼éug i bezpiecze┼ästwo klient├│w aplikacji bankowych, ka┼╝dy bank musi w trybie natychmiastowym wy┼é─ůczy─ç wsparcie dla urz─ůdze┼ä posiadaj─ůcych prawa administratora, wliczaj─ůc w to tak┼╝e desktopowe systemy operacyjne. Pocz─ůwszy od najbardziej popularnego systemu ┬áÔÇô Windows. (...) Instytucje bankowe powinny pami─Öta─ç o u┼╝ytkownikach innych system├│w, takich jak: MacOS, czy Linux. Musimy traktowa─ç u┼╝ytkownik├│w wszystkich system├│w operacyjnych jednakowo, tzn. ka┼╝dy u┼╝ytkownik winien by─ç traktowany sprawiedliwie...

ÔÇö Janina Szel─ůg, rzecznik prasowy RBBIiM

Postanowili┼Ťmy zweryfikowa─ç, czy u┼╝ytkownicy Windowsa, kt├│rzy nie posiadaj─ů prawa administratora, mog─ů obecnie korzysta─ç z bankowo┼Ťci internetowej. Uda┼éo nam si─Ö odszuka─ç komputer z Windowsem XP, na kt├│rym nie ma dost─Öpu do konta administratora i z rado┼Ťci─ů stwierdzamy, ┼╝e np. strona mBanku dzia┼éa na nim bez przeszk├│d! ­čśŐ

Internet Explorer 7 w systemie Windows XP, strona mBanku dzia┼éa! Niemniej jednak nie oby┼éo si─Ö bez problem├│w z dostosowaniem wsp├│┼éczesnego interfejsu do ni┼╝szych rozdzielczo┼Ťci. Brak dost─Öpu do konta administratora czyni ten system nadzwyczaj bezpiecznym.

Przez brak uprawnie┼ä administratora, mogli┼Ťmy jedynie uruchomi─ç Internet Explorer, par─Ö preinstalowanych┬ágierek i Winampa w wersji portable pochodz─ůcego z renomowanej, przyjaznej komputerom bez konta administratora strony www.winpenpack.com.


Ten artyku┼é ma charakter satyryczny (weso┼éego Prima Aprilis!), niestety cz─Ö┼Ť─ç artyku┼éu opisana na temat aplikacji mobilnej mBank jest prawdziwa...

Teraz na powa┼╝nie

W naszej ocenie u┼╝ytkownicy nie powinni by─ç karani (w formie ograniczania us┼éug) za instalowanie oprogramowania innego ni┼╝ to dostarczone przez producenta urz─ůdzenia ÔÇô nawet je┼╝eli jest tak bezpieczne i zaufane, jak LineageOS czy GrapheneOS. Systemy te nie posiadaj─ů us┼éug Google, czyni─ůc telefon wolnym od skrypt├│w ┼Ťledz─ůcych. Wiele mobilnych aplikacji bankowych sprawdza przy uruchamianiu, czy na urz─ůdzeniu s─ů skrypty Google, czy nie. Przy wykryciu braku skrypt├│w Google, zak┼éadaj─ů, ┼╝e system urz─ůdzenia by┼é modyfikowany i wy┼é─ůczaj─ů niekt├│re u┼╝yteczne funkcje. Niestety obserwuj─ůc ÔÇ×rozw├│j technologiiÔÇŁ, obawiamy si─Ö, ┼╝e wkr├│tce ┼Ťwiadoma instalacja innego systemu operacyjnego, czy sam fakt posiadania uprawnie┼ä administratora na komputerze, b─Öd─ů powodowa┼éy podobne negatywne konsekwencje. Jest ju┼╝ tak w przypadku smartfon├│w, wi─Öc czemu nie mia┼éoby tak by─ç dla innych urz─ůdze┼ä? Wiele razy przekonali┼Ťmy si─Ö, ┼╝e nasze ┼╝arty okazywa┼éy si─Ö┬áprawd─ů...

Internet. Czas dzia┼éa─ç! ­čç║­čçŽ (@midline@101010.pl)
Ech, kiedy┼Ť ┼╝artowali┼Ťmy, ┼╝e nied┼éugo na Windowsie b─Öd─ů reklamy wy┼Ťwietlane obok plik├│w w folderze... Uwa┼╝ajcie na nasze ┼╝arty, bo bywaj─ů prorocze! /kuba https://www.bleepingcomputer.com/news/microsoft/microsoft-is-testing-ads-in-the-windows-11-file-explorer/
Przyk┼éad naszego ┼╝artu, kt├│ry sta┼é si─Ö prawd─ů.

Przytoczone wzgl─Ödy bezpiecze┼ästwa do dnia dzisiejszego pozostaj─ů niewyja┼Ťnione.