Banka použitelná s alternativní Android ROM

[Miroslav Šilhavý]

Podle mně je tedy SMS v případě PC-webbanka a SMS jako klíč bezpečnější, než mít jen mobilní appku která je bankovnictví i klíč zároveň. Bude jistě mnohem složitější kompromitovat dvě zařízení, tedy PC a Mobil, než jen Mobil.

A to právě není. SMS se dá kompromitovat velmi snadně, např. přístupem aplikace k obsahu SMS, nebo i odkoukáním přes rameno, nebo odposlechem ve starších GSM sítích, nebo reaktivací SIM karty (na to stačí firemní SIM karta, nebo přesvědčit operátora o výměně SIM), na samotné SMS bráně kterou banka využívá... SMS je prostě prakticky nezabezpečený kanál od místa vzniku až do místa přijetí. Proti tomu je bankovní aplikace, která využívá uživatelsky nepřístupné bezpečnostní mechanismy mobilního telefonu, nabízí telemterické ověření, mnohonásobně bezpečnějším mechanismem. Spíš se divím, že SMS ověřování bankám takovou dobu procházelo, protože přicházelo po tzv. SMS Toolikitu (nevím, jestli ten pojem ještě pamatujete), který byl zabezpečený. Jen byl nepohodlný, protože se poprvé musel aktivovat na pobočce. Teprve nyní se od SMS znovu vracíme k bezpečnějším metodám.

[Reklama]

[bmn]

Aplikace Fio funguje bez gapps a root ji nevadí, alespoň v režimu "pouze autorizace".

[Lu Kash]

Pouzivam sestaveni lineage od microg (lineage.microg.org) na FP4 a funguje mi Fio, Revolut, Wise a ZEN.COM.

[kate]

pouzivam AirBank, sice nemam alternativni ROM, ale stock Fairphone OS na FP5, ale mam root pres Magisk, v nem doplnek MagiskHide a AirBank v DennyList, myslim ze neprochazajici SafetyNet tomu nevadil, ale pro NFC platby (coz neresi AirBank app, ale Google Wallet a/nebo GMS) to mam poresene pres Magisk doplnek "Play Integrity Fix"

Mohu potvrdit, Airbank s rootem i bez MagiskHide jen vyhodí varování že by zařízení mohlo být kompromitované, a dá se pro příště skrýt.

[uwe.filter]

@Šťur: Můžeš kouknout do vedlejšího vlákna o internetovém bankovnictví, možná tam najdeš nějaké užitečné informace, i když mělo původně jiné zaměření.

[Reklama]

[Tonda]

Na jednom zařízení mám LineageOS bez rootu. Play Integrity API check selhává v položce "MEETS_DEVICE_INTEGRITY" a kvůli tomu nejde dát do Google Wallet platební karta pro placení mobilem. Ale AirBank funguje.

Pro rozchození Google Wallet jsem paradoxně musel nainstalovat root (Magisk) a modul Play Integrity Fix. A následně aby neprudila Airbank kvůli rootu, tak modul Shamiko pro jeho skrytí před vybranými aplikacemi.

[Šťur]

Výborně, v podobné rady z vlastních zkušeností jsem doufal. Díky!

[𝑾𝑰𝑭𝑻]

Mně třeba v bezpečnostní analýze Fio mobilní aplikace hlásí, že tam mám jednu neověřenou aplikaci - Bluetooth. Na oficiálním nerootnutém Honoru 10.
Jeden čas (říjen 2023) mi dokonce telefon hlásil "Zdá se, že Google je infikována. Doporučujeme okamžitou odinstalaci." Asi se zrovna číňan nějak rozkmotřil z amíkem. Po čase to ustalo (nic jsem neodinstalovával).

Jinak tohle téma mě do budoucna zajímá taky. Míval jsem kdysi rootnuté telefony (v dobách Androidu tak 6-8), ale aplikace držkovaly (hlavně Revolut se zcela odmítal rozjet, tak jsem ho zrušil, než jsem si opatřil nový telefon) a Google Pay nefungovalo samozřejmě vůbec.

[jjrsk]

A to právě není. SMS se dá kompromitovat velmi snadně, např.

To je ale zvast co? Tak doloz alespon jeden pripad.

Je to totiz presne naopak. Aby ses dostal k mym penezum, musis se dostat nejen k memu telefonu, ale jeste taky k memu pocitaci, a ani to ti stacit nebude, protoze jeste musis ziskat muj login ... Tu sms si klidne necham vyhlasit obecnim rozhlasem zcela verejne.

Kdyz ti ja seberu na vaclavaku tvuj mobil, vyluxuju ti vsechny ucty co v nem mas. A pak ti s klidem ten mobil strcim zpet do kapsy, takze to zjistis az ti pristi mesic zacnou chodit upominky ze se ti nezaplatil najem.

Pricemz vubec nevim, proc bych mel sebou tahat zcela libovolnej kram s pristupem k uctum. Nic takovyho nepotrebuju, a normalne u sebe nenosim ani kartu, protoze ani tu nepotrebuju. Takze kdyz me nekdo okrade, bude me mnohem vic vadit reseni dokladu, nez tech par stovek.

[Tonda]

Na jednom zařízení mám LineageOS bez rootu. Play Integrity API check selhává v položce "MEETS_DEVICE_INTEGRITY" a kvůli tomu nejde dát do Google Wallet platební karta pro placení mobilem. Ale AirBank funguje.

Pro rozchození Google Wallet jsem paradoxně musel nainstalovat root (Magisk) a modul Play Integrity Fix. A následně aby neprudila Airbank kvůli rootu, tak modul Shamiko pro jeho skrytí před vybranými aplikacemi.

Abych to ještě upřesnil Lineage OS bez rootu mám na Redmi 7A kde je originál Android 10, chtěl jsem to zkusit a taky získat víc místa ve flash. Telefon, kde mám Lineage OS s Magiskem a uvedenými moduly je Samsung S7 edge je to neoficiální sestavení, přímo na webu Lineage OS Samsung S7 není podporován, tam byl originál Android 8 a chtěl jsem rozchodit placení, které na Androidu 8 přestalo fungovat, proto jsem blbnul s tím Magiskem. V obou případech se jedná o Lineage OS 20 (Android 13)

Ovšem Samsung A52 má podle GSMArena mít Android 11, upgradable to Android 14, One UI 6.1, takže tam bych problémy způsobené neaktuálností androidu ještě několik let nečekal, jako svůj Hlavní telefon má Honor 20 kde je Android 10 a nepociťuji, že by mě to nějak omezovalo.

[Tonda]

Kdyz ti ja seberu na vaclavaku tvuj mobil, vyluxuju ti vsechny ucty co v nem mas. A pak ti s klidem ten mobil strcim zpet do kapsy, takze to zjistis az ti pristi mesic zacnou chodit upominky ze se ti nezaplatil najem.

Vyluxuješ jak aniž bys mi taky uříznul palec nebo ze mě vymlátil PIN?

[XXX_Sam_XXX]

Jedina cesta je internetove bankovnictvi a HW token.

Pokud banka tlaci aplikaci a nepodporuji HW token -> vyhodit, odejit, dat jim vedet ze jsou 100let za opicema.

To ze tlaci banky ty posahany mobilni aplikace je samozrejme kvuly rozkazu z vedeni jejich korporace.
Cim dal casteji tim budou tlacit produkty lidem na mobily a samozrejme data o pouzivani telefonu se taky hodi.

[Zopper]

A to právě není. SMS se dá kompromitovat velmi snadně, např.

To je ale zvast co? Tak doloz alespon jeden pripad.

Jako třeba tenhle útok na německé banky už v 2017?

The attackers then used SS7 to intercept and redirect mTANs - mobile transaction authentication numbers sent by banks in Germany to authorise transfers out of accounts - to their own phones.

[martyd420]

Jedina cesta je internetove bankovnictvi a HW token.

Které banky to podporují? (a podporuje současně více aktivních tokenů pro podepisování?) Tohle by mi asi pomohlo, chystám se opustit airbank a podepisování tokenem by byl fajn bonus.

[coran21]

Používám Lineage OS 20 s MicroG a fungují: Fio, mBank, Raiffeisen (naposledy jsem zkoušel před pár měsíci, teď už nepoužívám), Partners Banka a ČSOB. ČSOB ani Partners banka ze začátku nefungovali, tak jsem jim dal hodnocení s jednou hvězdičkou spolu s komentářem, že pokud si někdo rootne telefon, tak ví co dělá a měli by nechat rozhodování na uživateli a po pár měsících už fungovali normálně. (Možná se nás sešlo více, možná to byla jenom náhoda).