Názory k článku
Hackeři skrze NFC v mobilech klonovali platební karty Čechů a vybírali peníze z bankomatů

Chtělo by to trochu bližší popis, toto je plné novinářských zkratek. V odkázaném článku je popsáno, že podstrčená aplikace na straně klienta načetla (nekryptované) UID platební karty a vylákala PIN. Na straně hackera toto UID klonovala (k tomu je třeba rootnutý systém). A pak nějaká zkratka, že to stačilo k provádění plateb. Jako cože, že k autentizaci platební karty při placení stačí jen načíst UID, žádná kryptografie, certifikáty a tak?? Jako v dobách, kdy stačilo jen načíst konstantní informaci z magnetického proužku?

Vaše nářky mají jednu drobnou vadu – ten útok byl veden proti plastovým platebním kartám. Zaútočit takto na platební karty v mobilu by bylo obtížnější, pokud by to vůbec bylo možné.

Proč by se k tomu banky měly nějak stavět? Je hloupost klienta, že si stáhnul nějakou aplikaci. Nebo zde nějaké pochybení banky vidíte? A pokud ano, jaké?

Měl jsem představu, že v čipu karty je nějaký privátní klíč, který znemožňuje emulaci/klonování. Takhle je bezpečnost postavena jen na PINu.

Já si myslím, že bezpečné jsou, při dodržení jednoho pravidla: Nezadavejte platbu na stejném zařízení jako prijimate SMS. Tato chování ochrání proti všem útokům, kromě zcela cíleného, kdy má útočník přístup ke všem mým zařízením. A pravděpodobně kempuje před mým domem.

A klienti kterých tří tuzemských bank?

Mam telefon a PC.
1. Pokud jsem na PC nezadal žádnou platbu, tak na žádné SMS nereaguju.
2. Pokud se nechám přesvědčit k tomu, abych někomu sdělil obsah SMS, tak stejně bych mu potvrdil i něco v aplikaci.

Zabezpečené je to tím, že pro každou platbu potřebuji 2 zařízení. To okno, kdy bych teoreticky mohl dostat podvrženou SMS a zároveň na ni reagovat je velmi malé.

Útočník by musel mít kontrolu nad mobilem i nad PC.

To je jako tvrdit při dopravní nehodě, že jsem ji sice způsobil, ale nenesu odpovědnost, protože chybovat je lidské. Taky nesmysl, každý si za svoje chování zodpovídá sám. Takže za hloupost uživatelů ani banka odpovědnost nést rozhodně nemůže a vůbec neomlouvá, jestli je někdo omylný či nikoliv.

Ten třetí faktor (někdo jste) je stále ještě dost nespolehlivý, zejména v mobilním provedení. Na jedné straně můj služební iPhone usilovně odmítá můj načtený otisk či obličej, takže bych reálně ani nezaplatil, na druhé straně kolegovy děti jeho Android odemknou (nebo odemkly - už to je nějakou dobu, kdy to zkoušel) svým obličejem.
Takže stále existuje nemalé procento uživatelů, kteří prostě tento faktor použít nemohou.

Za mne je základem prostě oddělení kanálů: zařízení, na kterém zadáváte/ověřujete transakci nesmí být totožné s tím, na kterém to ověření provádíte, a nesmí sdílet stejnou datovou trasu.
(Což, mimochodem, prakticky vylučuje bankovnictví v mobilu v běžné podobě.)

mrkni na protokol NFC pay, řeší se hlavně zabezpečení přenosu, což je ok, ale už se neověřuje žádnými dalšími kryptografiemi samotná platba, prostě na straně zdroje je nějaký identifikátor a je na terminálu a bance, jestli to projde nebo ne. Neprokazuje se při přenosu nic víc.

Co je ale důležité říct, karty mají nastavené limity pro offline platby, u online plateb je poté na bance, jestli bude při platbě požadovat další ověření (např. v bankovní aplikaci, pin, přes sms, zavolá klientovi) nebo platbu rovnou zamítne. Tenhle systém musí banky prokazatelně udržovat dostatečně bezpečný, aby právě nedošlo k ukradení údajů, NFC platba je z tohoto pohledu velice nebezpečná, protože těch údajů, kteřé jsou k platbě potřeba je málo a nejsou moc zabezpečeny). Riziko ze zákona nese banka a nikoliv klient, pokud teda klient vědomě neporuší nějaká pravidla (jsem zvědavý jak to v tomhle případě budou banky vyhodnocovat).

Útočníci si schválně vybrali banky, které to mají v tomhle ohledu naprosto na háku. ČSOB jede na extrémně starých technologií a projekt upgradu zatím probíhá, RB na to kašle, ČS se potápí v nákladech na funkce a bezpečnostní věci dává na druhou kolej.

Nevytrácí. Mobilní bankovnictví je založeno na faktorech, že 1. něco máte (mobilní telefon, resp. klíč v něm bezpečně uložený) a 2. něco víte (PIN, heslo) nebo někdo jste (otisk prstu, rozpoznání obličeje).

Na ten první faktor jste zapomněl. Mobilní bankovnictví nefunguje tak, že vezmete libovolný mobil, do něj nainstalujete aplikaci a dáváte pokyny k platbě. Vždy musíte aplikaci aktivovat, což právě vytvoří klíč, který je uložen v bezpečné části mobilu a jednoznačně identifikuje tu aplikaci na daném zařízení. (Proto je instalace mobilního bankovnictví do nového mobilu „složitá“.)

celá řada bank zcela automaticky přidává bankovního identitu ke všem aktivním účtům - bez toho, aniž by zohledňovala, zdali daného jedince V ZIVOTE viděla na pobočce naživo s doklady..
Tohle máte něčím podložené? Podmínkou zřízení bankovní identity totiž bylo to, že identitu dotyčného musel někdy v minulosti ověřit pracovník banky. Pokud by to nějaká banka nedodržela, byl by to skutečně průšvih – ale je to dost silné tvrzení na to, abyste ho předkládal bez jakéhokoli důkazu.

Také mne to překvapilo. Napadlo mne, zda to není nějaká NFC emulace magnetického proužku (který je zase emulací vytlačených čísel a „žehličky“). Platby kartou mají různé úrovně zabezpečení – od neprimitivnější, kdy stačí znát číslo karty, k dalším, kdy je potřeba k číslu karty bezpečnostní kód a měsíc expirace, až po nejlepší, kde se (doufám) používá podepisování nějaké výzvy. No a způsob přenosu údajů je na té úrovni zabezpečení nezávislý. Magnetický proužek znamenal změnu způsobu přenosu údajů oproti opisování čísel z otisku na papíře, ale zabezpečení bylo pořád stejné – jen číslo karty. Vlastně by mne ani moc nepřekvapilo, kdyby i v tom NFC byly pořád podporované všechny starší způsoby zabezpečení, až po ten nejstarší – pouhý přenos čísla karty. Pak by stačilo to číslo karty přenést na magnetický proužek a vybírat s tím z bankomatů v místech, kde nic novějšího než magnetické proužky není. Ale jestli to tak doopravdy je, je to teda dost nebezpečné.

Nikoliv. U tech SMS v mobilu se hure kontroluje uz jen to, kdo vsechno (jake aplikace) k tem zpravam pristupuji - a rozhodne ne vsechny se s tim opravnenim k SMS musi navenek nejak projevovat. Rozhodne to nefunguje tak, ze by k tem zpravam mela exkluzivni pristup jen aplikace, co vam bezne ty zpravy ukazuje.

Zatimco u te "datove komunikace" se tohle hlida lip - kdyz krom jineho z te aplikace smerem k serveru mate zasifrovany kanal, do ktereho fakt nic okolo nevidi a videt nemuze. Jasne, asi by bylo lepsi, kdyby se tady pouzivaly otevrene standardy typu FIDO2, ale to je zas jina pisnicka.

no a teď trochu OFF TOPIC.. vyjma problémů s autorizací (či jak to nazvat) platebních karet, české banky totálně d-ojebaly důvěryhodnost majitele bankovního účtu. Není to nikterak neznáme - v okamžiku, kdy začaly nabízet "otevření účtu na dálku" - tak toho podvodníci zneužili a začali otevírat nejenom desítky účtů na cizí (naskenované) doklady, ale také bez návštěvy pobočky a ukázání platného dokladu jim banky poslaly debetní karty pro výběr z daných účtů v ATM.

Modus operandi byl jednoduchý:

a) rozhodit ve veřejném prostoru reklamy na půjčky " - odmítli vás v bance? U nás získáte půjčku hned"
b) podmínit získání půjčky od sociálně ekonomicky slabších jedinců zasláním skenu jejich ID dokladů
c) zažádat o otevření účtu na dálku - typicky Air Bank, ČSOB, Česká Spořítelna a FIO - do žádosti vložit tyto získané skeny a udat "nějakou" adresu, kde vás kurýr zastihne se smluvní dokumentací
d) kurýr se dostaví na udané místo - nemá povinnost po vás ZADAT DOKLAD TOTOZNOSTI - předá vám smluvni dokumenty od banky, počká, až je podepíšete a pak odjede
e) banka vám otevře účet..
f) BANKOVNI IDENTITA - celá řada bank zcela automaticky přidává bankovního identitu ke všem aktivním účtům - bez toho, aniž by zohledňovala, zdali daného jedince V ZIVOTE viděla na pobočce naživo s doklady..

chápete, co je tohle za prů--er?? Dá se to připodobnit zčásti Maďarsku, které hodlá prodávat pasy do EU Schengenu Bělorusům a spol a tím totálně nabourat danou "spolehlivost"

a jak to vím? Protože jsem žel také naletěl před lety důvěře v tom, že by banky nikdy neotevřely účet někomu v CR, u něhož OSOBNE nezkontrolovaly doklady totožnosti - daná dáma si takto dle rozsudku Okresního soudu v Příbrami bez problémů v předchozích 3 letech otevřela cca 30 účtů u různých bank.. u Air Bank na různé doklady 10+ .. a tak bych mohl pokračovat..

TOTO je téma, které má rezonovovat v Poslanecké sněmovně a okamžitě zakázat aktivního používání účtu + karty DOKUD dotyčný na pobočce neukáže doklady .. ticho po pěšině i od CNB

U retezovky typicky nemusite nehodu zpusobit umyslne.
Take nekdy musite zpusobit nehodu kvuli zabraneni vyznamnych ztrat napr. na zivote.
Ne vzdy si za sve chovani muzete sam - zakon na to tez pamatuje.
Uvedomte si ze clovek neni stavovy automat.
Fascinuje mne vase prilis zjednodusene a bipolarni videni sveta.

v odkázaném článku ČSOB, spořka, raifka

neznalost protokolu neomlouvá. NFC pay řeší kryptografii pouze na přenosu, na straně zdroje je ale pořád jen nějaká identifikace, ta se přes platební terminál dostane do banky a z toho účtu se strhávají peníze.

V samotných bankovných přenosech obecně vůbec nefunguje kryptografie, je to založeno na důvěře jednotlivých stran a "jistotě", že každá strana klienta správně ověřila.

Humus. Je ale těžké někoho vůbec z bankovního sektoru přesvědčovat o opaku, snažím se o to dlouho a dlouho. Na druhou stranu je jedno, jestli z telefonu ukradneš uuid nebo privátní klíč, Android ve verzích v jakých je masivně nasazený prostě nemá k dispozici bezpečné uložiště a jeho bezpečnostní přístup k aplikací je také humus, ty aplikace si mohou až moc šahat do zelí a nelze to dobře odstínit.

Sen o tom, že telefon bude mít svůj neměnní privátní klíč a tím bude veškeré požadavky podepisovat a autorizovat je zatím jen sen. Dnes veškeré údaje, které jsou v telefonu (mluvím o Androidu a bankovních aplikacích/plat­bách) se do něho přenáší po síti a jsou v něm uloženy v původní podobě. Lze je X technikami získat, viz i tohle, ale velcí kluci si pak hrají na bezpečnost. Bankovní aplikace mají možnost si určit minimální výši standardů, které musí telefon podporovat, ale tady si pak odsekávají množství klientů, kteří takové nové zařízení mají a Android ani v nejnovější verzi to nemá dobře řešené.

Nepřehlédl. Útočník zkrátka využil pro přečtení karty přímo mobil oběti. Ale klidně ji mohl přečíst aplikací, která by se netvářila jako bankovní aplikace, ale třeba jako e-shop nebo vyhledávač dopravních spojení. Stejně tak by tu kartu mohl přečíst svým zařízením – třeba v platebním terminálu, v bankomatu.

Overovaci SMS coby druhy faktor rozhodne bezpecne nejsou a vyplyva to mj. z PCI DSS. Aneb banky se jen drzi bezpecnostnich standardu. Svuj byt ci dum si pred zlodeji asi take nezamykate dozickym zamkem, ze? ;-) Zhruba tak "bezpecne" ty SMS jsou... na prolomeni "ochrany" staci ohnuty drat.

Zrovna ty SMS... bych asi za nějak extra bezpečné nepovažoval (ale lepší, než nic).
PIN (jako takový) - a teď nepoučuji, tím méně Vás!, jen upřesňuji - by se nelišil od hesla; ten jen otevírá cestu k bezpečnému úložišti, kde teprve jsou uložené klíče. Stejně tak tu cestu může otevřít otisk prstu nebo rozpoznání tváře = tedy v tomto případě skutečně nejde o třetí faktor (něco být), ale o druhý (něco mít - tedy to úložiště a k němu přístup (ověřený přes něco znát nebo něčím být).
V tomto bodě by IMHO bylo mnohem lepší, než úložiště v telefonu/table­tu/počítači, použít nějaké externí: (USB/NFC) token, čipovou kartu, vhodný OTP generátor...
Dobrým řešením je (bylo by, bylo-li by) mít plnohodnotné bankovnictví v tabletu a přihlašovací aplikaci (bankovní klíč) v mobilu. Žel, to zatím (?) žádná z našich bank nenabízí a neumožňuje (?). ;o( Buď lze klíč použít pouze pro internetové bankovnictví, nebo rovnou přecházejí na appku typu vše v jednom.

Problém je, že jak na jedné straně ty banky stále zlepšují zabezpečení, zároveň tím snižují uživatelský komfort. Klientům je v podstatě jedno, jak moc neprůstřelné to je, stačí, když se to snadno používá a moc to neotravuje.
Což přesně vede k rozmachu all-in-one aplikací, které uživatele přesvědčí, že o bezpečnost je postaráno - a ti pak s tímto falešným pocitem bezpečí klidně udělají absolutní hloupost.

28. 8. 2024, 19:35 editováno autorem komentáře

Není pravda. Pokud jste do dopravní nehody zatažen úmyslně, máte prostor k obraně. Viz úmyslné vybrždění versus nedodržení vzdálenosti za vozidlem.

To je těžké.. když dneska každý druhý je tak LINY VYTAHNOUT plast z peněženky.. platit telefonem je přeci tak coooool.. !

těm lidem to nikdy nevysvětlíte, že nejlepší zabezpečení je NIKDY. NIKDY: NIKDY si nestahovat žádné bankovní aplikace. . nepoužívat žádný mobilní banking .. žádné Google Pay, Apple pay.. NIC! .. pokaždé bude nějaký hacker o kus napřed, než "oni, co by konzumní spotřebitelé". . (co jen stěží ví, co vůbec znamená zkratka NFC)

Proto nenosím kartu v peněžence. A jak to tak čtu, přestanu ji u sebe nosit úplně, protože fyzickou kartou už jsem stejně neplatil několik let.

Shodněme se na tom, že ty faktory jsou dva. ;o)
Nicméně: PIN není použit jako něco znát vůči bance, ale pouze pro přístup k úložišti klíčů, které prokazují ono něco mít (= registrovaný telefon). Totéž platí i pro otisk prstu či rozpoznání tváře.
Že to banka uzná za druhý faktor je jen z toho důvodu, že věří té aplikaci (neboť ta je její, tu má pod kontrolou) a systému/mobilu (že to nefláká a neleží to někde v souboru na disku).
O fous lepší je to tam, kde pro přihlášení do banky potřebujete ještě heslo - pak má banka dva plnohodnotné faktory.
Jediný důvod, proč je u větších transakcí požadován PIN, a nestačí otisk prstu či scan obličeje, je ten, že až tak moc této mobilové biometrii ta banka zas nevěří. (Jak vysoká ta důvěra je, když ji převýší napsání třeba jen čtyřmístného čísla, posuďte sám.)

Jak ta snaha o uživatelskou přívětivost postupuje, lze pozorovat například na podmínkách k tomu elektronickému bankovnictví: kdysi tam opravdu bývalo důsledně uvedeno, že je nutné použít dvě zařízení - dnes vám banka naservíruje all-in-one aplikaci jako výchozí či v podstatě jedinou možnost (Spořitelna, Partners...).

PIN musíte znát - ale bankovní aplikace ho obvykle nezná a neověřuje
Vtipné, jak tu někdo píše moudra a přitom žádnou takovou apku nikdy nepoužil, jinak by tu nenapsal takový totální nesmysl...

Pokud tomu zdrojovému článku (zběžný pohled) a problematice správně rozumím, nejde o to, že by se dal z telefonu přes NFC naklonovat čip platební karty a tím klonem pak libovolně platit a vybírat. Je ale možné v reálném čase přes internet mezi telefony přemostit komunikaci platební karty s terminálem - máte-li kartu fyzicky přiloženou k telefonu s příslušným softwarem, druhý propojený telefon můžete na jiném místě přiložit k platebnímu terminálu, komunikaci od terminálu přeposílat na fyzickou kartu u prvního telefonu a odpovědi karty zase zpět do terminálu - z pohledu terminálu to bude vypadat stejně jako přiložení fyzické karty, protože ta fyzická karta skutečně provede korektně všechny potřebné kryptografické operace... jen to díky internetovému přemostění neproběhne na vzdálenost centimetrů, ale třeba stovek km.

zajímalo by mne, jak se k tomu postavily banky ...

Dopravní nehoda až na velmi řídké výjimky nastává nechtěně. Podvod je naopak chtěný (ze strany pachatele).

Plus tu kartu není potřeba ani přikládat úmyslně. Furt se mi stává, že to čte kartu, když telefon položím na peněženku. Několikrát do týdne.

To vas ale neohrani proti vsem moznym problemum. Pripady, kdy utocnik ty overovaci SMS do druheho zarizeni z obeti vymamil tu uz take byly. A staci na to treba phisingovy email, jehoz obsahu uverite, ani neni potreba vylozene napadat vsechna zarizeni.

A v realu u tech SMS si ani nemuzete byt jisty ani tim, ze odesilatel je ten, za koho se vydava, ze? ;-) Nebo jak overite, ze SMS z cisla 699799899 skutecne odesla z toho cisla a odesilatel neni podvrzeny? Uroven ochrany uz jen tady je podobne mrzka, jako u emailu.

Spousta "kdyby", ktere ale predpokladaji fakt uvedomeleho uzivatele - a to proste ne kazdy je. Navic ty aplikace muzou resit i dalsi overeni pritomnosti - treba scanem (meniciho se) QR kodu z monitoru, kde se prihlasujete. A to uz se bude oc*rav*t dost komplikovane, ze?

Tak ten aplikacni PIN je proste udelany tak, ze prostredky systemu ani jine podobne "pomucky" (aka treba password manager) pouzit proste nejde. Plus je to doplneno treba o to, ze po nekolika chybnych pokusech se s PINem ta aplikace zablokuje a je treba provest novou aktivaci. A treba u te biometriky - kdyz provedete zmenu (treba toho otisku) v systemu, musite to v te aplikaci znovupotvrdit. Aneb hromada zdanlivych detailu, ktere nevnimate, nebo vnimat nechcete... snazite se o nejake jakoze "zkratky", ale ono cele to reseni je proste komplexnejsi - zatimco vy to pojimate tak, ze do te aplikace muzete libovolne dlouho busit do chvile, nez se nekam konecne dostanete. Ale tak ty aplikace v mobilu proste nefunguji. Aneb v tomhle obstoji i ten ctyrmistny PIN - protoze tady vy proste prehlizite to, ze tech pokusu mate treba jen tolik, co mate prstu na ruce. A nekdy ani to ne.

je dost bank na českém trhu, které fungují i bez potvrzovacích SMS či jejich zpoplatnění.. a i kdyby měla SMS stát 5 Kč.. kolik plateb uděláte měsíčně? 50 ? .. hlavně, že "každý druhý" si kupuje mobil za dvacet táců..

To jsem se také domníval, ale asi ne. To by podvodník musel být dlouhou dobu v pohotovosti u terminálu nebo bankomatu, aby vystihl okamžik, kdy oběť drží kartu u telefonu. To by bylo dost nápadné.

Když je řeč o Air Bank, tak tam jsem si účet před pár lety založil a byť to šlo udělat na dálku, tak pro aktivaci toho účtu jsem musel buď zajít osobně na pobočku se dvěma doklady totožnosti (občanka, řidičák), anebo ještě šlo poslat z nějaké jiné banky 1 Kč z účtu na moje jméno pro ověření. Ale rozhodně se banka nespokojila jenom s naskenovanými doklady.

Když způsobíš nehodu, tak ji prostě způsobíš a vina je na tobě. A pokud k nehodě dojde a ty si jenom účastníkem bez vlastního zavinění, tak ji naopak nezpůsobíš a je tedy zbytečné to řešit, ty bipolární vidění světa.

to ale není přece pravda, ne vždy, když způsobíš nehodu je vina na tobě, vždyť to zákon sám řeší ve spoustě paragrafů a ty tady tvrdíš, že to tak není? Řídíš?

Firmware karet a klice lze updatovat do jiste miry updatem z bankomatu nebo terminalu. Tato zarizeni vas pozadaji o vlozeni/kontaktni platbu pokud je to nutne. Nektere mene vypatlane banky dokonce upoxorni klienty predem.
Samozrejme kdyz hw nestaci, vycerpal se counter operaci nebo je nekde dira v implementaci smart cipu je treba vymenut kartu. Stejne se to deje cyklicky.

28. 8. 2024, 12:37 editováno autorem komentáře

Proto používám radši platební kartu v mobilu, protože i tam lze offline platbu autorizovat a k provedení platby nestačí jen mít čtečku dostatečně blízko u karty.

Njn, ale když se SMS nahradí datovou komunikaci, tak se z toho vytrácí ta "faktorovitost". Už to není něco, co přišlo nezávislým kanálem.

Druhý faktor. Používá se buď heslo/PIN nebo obličej/otisk. Moje banka to má tak, že pro menší operace jí stačí otisk, pro větší vyžaduje PIN. Takže pokud někdo nemůže použít „někdo jste“, pořád může použít silnější „něco znáte“.

Za mne je základem prostě oddělení kanálů
Za vás možná, ale dvoufaktorová autentizace znamená dva faktory, tedy to, co jsem popsal – nevyžaduje, aby to byla dvě zařízení nebo dvě datové trasy (například proto, že to nejde ověřit).

Osobně považuju bankovnictví v mobilu za podstatně bezpečnější, než se přihlašovat na počítači a k tomu zadávat kód z nešifrované SMS – což by splnilo váš požadavek na dvě zařízení. (Možná by to sdílelo datovou trasu – třeba když byste měl pevné připojení od O2 a také mobilní tarif od O2. Ale předpokládám, že až tak vážně jste to s tím sdílením datových tras nebral.)

Nejprve se budeme muset shodnout v počtu faktorů. První faktor je klíč aplikace bezpečně uložený v telefonu – ten prokazuje, že něco máte (telefon). Tento klíč se registruje v bance při aktivaci mobilního bankovnictví.

Druhý faktor je heslo/PIN k internetovému bankovnictví – tím prokazujete, že něco víte. Pro usnadnění přístupu může být heslo/PIN nahrazeno třeba otiskem prstu nebo rozpoznáním obličeje – tedy prokázáním, že někdo jste. Pořád je to druhý faktor, protože heslo/PIN se v takovém případě nepoužívá. Tedy jeden druhý faktor je nahrazen jiným druhým faktorem.

Třetí faktor se běžně pro přístup do banky nepoužívá.

Pro mne se tedy uživatelský komfort zvyšuje. Dříve jsem musel údaje o platbě (číslo účtu, variabilní symbol, částku) naťukat do externího tokenu („kalkulátoru“), ten vypočítal jednorázové heslo a to jsem musel opsat zase zpět do internetového bankovnictví. Později jsem musel jít v mobilu do SIM toolkitu, zadat PIN pro dešifrování SMS, zkontrolovat platební údaje a opsat jednorázové heslo do internetového bankovnictví. Bylo to o něco málo komfortnější, než ta kalkulačka, ale ne o moc (dokud SIM toolkit v mobilech nějak rozumně fungoval). Dneska nemusím nikam nic opisovat, jenom (u plateb vyhodnocených jako málo rizikové) podržím prst na čtečce otisků na telefonu, u rizikovějších plateb místo toho zadám PIN. Komfort je nesrovnatelně větší, bezpečnost stejná, jako u toho kalkulátoru, a vyšší než u šifrované SMS (protože ta závisela na tom, jak pečlivě jsem porovnal očekávané platební údaje s těmi v SMS).

Je správně, že se spolu s bezpečností řeší i uživatelská přívětivost. Protože když se to neřeší, jde do háje i bezpečnost – protože když je to nepohodlné, lidé to různě obcházejí.

Pletete si heslo/PIN k bankovní aplikaci s přístupem do systému. To jsou dvě odlišné věci. Já celou dobu píšu o heslu/PINu, které používá bankovní aplikace a systém o nich nic neví.

PIN (nebo heslo) je „něco znát“. „Něco mít“ se týká telefonu, konkrétně klíče uloženého v TPM. Banka aplikaci pod kontrolou samozřejmě nemá, protože ta aplikace běží na vašem zařízení pod vaším operačním systémem.

kdysi tam opravdu bývalo důsledně uvedeno, že je nutné použít dvě zařízení
Jak už jsem psal, na počtu zařízení vůbec nezáleží, důležitý je počet a síla autentizačních faktorů. Že se zlepšuje uživatelská přívětivost je v pořádku. Bezpečnost se tím nesnížila, spíš naopak.

No, mozna byste se nemusel tak stydet a mohl zacit byt konkretni, jmenovat.... abstraktni plky o tom, ze "nektere" aplikace nemaji svuj vlastni PIN jsou samy o sobe tak trosku... bezcenne.

takovýhle cílený útok je těžko hloupost klienta, je v rukou bank tohle ovlivnit, dokonce to musí dělat i ze zákona. Nelze bezpečnost stavět na tom, že se nikdy nenecháš zmást.

Ani ty nejsi neomylný a velice snadno se můžeš na podobné scamy nechat nachytat. Testy, které pravidelně děláme u firem jsou jasným důkazem, že se nachytávají všechny typy lidí, není to o vzdělání, penězích, sebevědomí, inteligenci, prostě lidé neumí být 100 % pozorní vždy a třeba v případě mobilů nelze ani často ověřit doménu, s kterou komunikuje, prohlížeče to schovávají, aplikace nezobrazují vůbec a těžko bude mít běžný uživatel MitM proxy a dozorovat provoz.

Tady ale není řeč o pachateli, nýbrž o omylnosti.

to, že se nechá někdo cíleně nachytat považuješ za jeho chybu? Aj jéje, rád bych tě někdy potkal a ukázal ti jak takové sofistikované útoky mohou vypadat, že běžné zařízení ti nedávají dostatek nástrojů jak tomu zabránit. Však i při analýze musíme trávit hodiny hledáním a sledování a cíleně něco hledáme, naopak nachytat se může kdykoliv, 24 hodin denně i v období kdy nemáš plnou pozornost, když jsi nemocný, ve stresu. Naopak řídit můžeš jen, když k tomu jsi způsobilí a ještě když řídíš pracovně, musíš mít povinný odpočinek.

Doporučení tipu neklikejte na neznámé odkazy (většina odkazů je neznámých, od toho jsou), neklikejte na reklamy (jejich vnucování všude možné a neschopnost přesně zavírat overlay tomu moc nepomáhá), nenavštěvujte nebezpečné stránky (jak poznám nebezpečnou stránku?), neinstalujte aplikace mimo oficiální obchody (nelze vždy poznat, že se vlastně do mobilu aplikace instaluje, i v oficiálních obchodem jsou ty špatné) jsou k ničemu.

Dokud může útočník podvrhnout rozhraní tak, že nelze na první a ani druhý pohled poznat, že je podvrhnuté, je něco špatně. Stejně tak dokud útočník může zcizit pouze číslo karty a tím platit, je něco špatně na straně banky a ne na tvé straně.

Myslel jsem si, že důvodem k pravidelné výměně platebních karet je vypršení nějakého certifikátu uvnitř. Že ta karta každou transakci podepíše a někde v karetní společnosti nebo bance se kontroluje platnost podpisu. A vono prd. Kdo toto vymyslel a kterou část těla při tom používal?

Domníval jsem se, že to podpisování transakcí se děje i při NFC komunikaci.

asi vám uniklo TOTO:

Poté měly přiložit svou platební kartu na zadní stranu svého chytrého telefonu, dokud škodlivá aplikace kartu nerozpoznala.

- proč by lidi přikládali PLASTOVOU kartu na zadní tělo mobilu - kdyby v něm nepoužívali žádnou mobilní aplikaci?? - to bylo to stěžejní, co jste opětovně přehlédl

Kdyby bankomaty neměly věčně rozbíté NFC obvykle v tu nejnevhodnější chvíli, taky bych ji dávno nenosil.

Takl to si myslíte velmi špatně.

Právě že vůbec. Pokud máte kartu v peněžence u telefonu, tak stačí vyvolat přečtení platební karty jednorázově a hned zaplatit.
Teoreticky lze zkusit jestli telefon přes NFC čte nějakou kartu a pokud ano, tak okamžitě udělat aktivní platbu. Žádný čekání kvůli jedné kartě.

Takových napadených telefonů může mít útočník víc a prostě pustí na všech test na přítomnost karty a která se chytí, tak vzápětí zaplatí.

29. 8. 2024, 21:46 editováno autorem komentáře

Chápu to úplně stejně. Dle obrázku v článklu a videa je vidět, že je to čistý relay útok - čili prodloužení dosahu kartu přes síť.

To znamená, infikovaný telefon oběti čte kartu oběti a přeposílá tuto informaci útočníkovi na jeho telefon s NFC,

A taky tam chybí bod že na nový účet je třeba poslat alespoň korunu z jiného účtu vedeného na stejné jméno. Alespoň u všech co jsem si na dálku otevíral to tak bylo.

RB, ČSOB, ČS, snad to není tajné, ale vím to i z veřejných a ne jen interních zdrojů.

a realita je úplně někde jinde. Čip na platební kartě toho je schopný, pravidelná výměna je umělé omezení, které snižuje riziko úniku karty a funguje jako takový dodatečný poplatek kartovým asociacím od bank (banka za karty musí platit, když ti je dává často zdarma).

Problém je, že čipem se dneska už moc neplatí (zasunutí karty do čtečky). Dříve se platilo magnetickým pruhem, tam prostě bylo jen číslo karty. RFID je opět jen číslo karty. Dnes se hodně platí bezdrátově přes NFC, tam se opět přenáší jen číslo karty, ochrana je zaměřena primárně na samotný přenos, který se šifruje a podepisuje (v rámci možností), ale už ne na samotný identifikátor, který je prostě jako konstanta. Takhle přesně fungují i platby přes NFC na mobilu, mobil pošle číslo karty.

Bezpečnost NFC plateb není založená na uchránění tajemství (ta mobilní, ne MV a použití čipu v platební kartě), ale na ochraně přenosu samotného a pokročilých dynamických filterech na straně banky, která si může vyžádat dodatečné ověření. Tomu odpovídají i nízké nastavené limity při platbě, ty ale už neplatí v případě využití nějakého brány uprostřed (Apple pay, Google pay či jiné).

Mimochodem, kdyby do toho "zlá EU" nešťourala a nepřiskřípla křídla bankám, tak by nechali všechnu odpovědnost na držitelých karet, viz první podmínky naší spořky (a vlastně celé Erste), když zavedli bezkontaktní platby, humus.

Z technického hlediska to není pěkné a zabezpečené.

v kombinaci s Androidem máš tu nejmenší ochranu karty co jde, spoléhat se můžeš už jen na banku, že ty podvodné transakce správně identifikuje.

Platba přes EMV (bezkontaktní karta) může být chráněna pinem nebo dokonce i nutným potvrzením v bankovní aplikaci, škoda že české banky prostě tohle jako službu nenabízí a pouze to mají jako jeden z málo používaných druhých faktorů.

Jak by nějaká podvodná transakce mohla vzniknout? Abych mohl mobilem bezkontaktně zaplatit, musím ho mít odemčený. Vyšší částky musím potvrdit otiskem prstu. Kdyby chtěl, můžu si to nastavit i tak, že musím každou platbu potvrdit otiskem prstu.

Plastová karta je naproti tomu pro bezkontaktní platby odemčená pořád, jenom vyšší částky (nebo jiné transakce, které vyhodnotí banka jako podezřelé) musím potvrdit PINem.

Magneticky prouzek je aspon u EMC uz temer cely zasifrovany. Klice se typicky nahravaji uz do cipu ktery je uz uvnitr magneticke hlavy ktera cte prouzek. Prekvapko. Uz magneticke cteci hlavy jsou schopny kryptografie. Ted si nevzpomenu jestli symetricke ci asymetricke dalsi level je hcmko v terminalu.
Kde ty lonske snehy jsou. Dneska magreader maji snad terminaly jen kvuli amexkam.

tak ono je jedno, jestli je symetrická nebo asymetrická, když se všechna data přenášejí z pásku do čtečky a ta musí mít klíče, pořád to lze klonovat a tajemství je vniveč, EMC neEMC.

"nepoužívat žádný mobilní banking " jó ..akorát nás k tomu banky nutí ..viz. zpoplatnění ověřovacích SMS a nainstalujte si (jak já říkám) "smrt banking", jinak budete platit holoto! :-/

Ten čtyřmístný PIN pochopitelně nemůžete lámat hrubou silou! (Taky jsem nikde nepsal, ze do te aplikace muzete libovolne dlouho busit do chvile, nez se nekam konecne dostanete.)
Ale prostě čtyřmístné číslo je špatné zabezpečení - už protože není takový problém je někomu odpozorovat pohledem přes rameno.
(Na některých telefonech jej lze i nahradit gestem na obrazovce - a pak obvykle stačí sledovat tu umaštěnou stopu na displayi.)

Ono tohle zabezpečení (PIN/gesto/otis­k...) obvykle vůbec nepatří k aplikaci - ta jen požádá systém o zpřístupnění bezpečného úložiště (TPM...) a počká, co se stane. (Proto někdy při změně musíte udělat změnu i v aplikaci.)

Nepletu - některá bankovnictví (a podobné aplikace) to opravdu řeší tak, že zavolají systém: ověř mi....
Ostatně, sám o kus vedle píšete, že banka aplikaci pod kontrolou samozřejmě nemá, protože ta aplikace běží na vašem zařízení pod vaším operačním systémem.. Tohle je jen jedna z variant, jak ta aplikace může fungovat - a popravdě často mnohem lepší, než aby si takové věci ta aplikace dělala sama.
Takže: jsou aplikace, kde můžete mít rozdílný PIN do bankovnictví a do mobilu, ale i takové, kde je použit pouze jeden.
(A aby to nebylo moc jednoduché, tak také může být další PIN k potvrzování transakcí, který se může od předchozích uvedených lišit třebas i délkou. Typicky jsem se potkával s šestimístným podepisovacím a čtyřmístným mobilovým.)

PIN musíte znát - ale bankovní aplikace ho obvykle nezná a neověřuje - prostě požádá o přístup k TPM (úložišti tajemství...) a systém se postará. Spoléhá na to, že ten systém se chová, jak má.
Banka má pod kontrolou to, jak ne naprogramovaná ta aplikace - nikoliv to, o co se stará systém. (A proto ty appky odmítají fungovat na rootnutém systému.)

Že nějaký PIN v té aplikaci zadáváte opravdu nemusí znamenat, že ta aplikace ho zná. ;o)

Jsem v klidu. ,,Blbý" telefon bez O. S. a kartu jen k výběru hotovosti v bankomatech.