Danske Bankin ja Nordean sovellukset kieltäytyvät toimimasta liikaa oikeuksia hamuavien tuntemattomista lähteistä asennettujen sovellusten rinnalla

[pulatunnus]

Integrity-rajapinta erottelee sovellukset sen mukaan, onko ne asennettu Play-kaupasta vai ei. Samsungin kauppa laskettaneen tässä ulkopuoliseksi, koska kuvauksesta ei ilmene, että sillä olisi erityisasema. Sen sijaan Samsungin tai muun valmistajan vakiona asentamat järjestelmäsovellukset lasketaan tunnetuiksi.

Eli pankin sovelluksen kehittäjät voisivat halutessaan luottaan siihen että jos sovellus on Play kaupasta saatavilla ja hyväksyttynä, mutta on sivuladattu. No sinänsä kai olisi aika tarpeetonta, käyttäjä voi sen käydä lataamassa Play kaupassa. Arkisin tilanne varmaan se kun vaihdetaan puhelinta ja siirretään sovellukset vanhasta puhelimesta uuteen.

Mutta Samsungilla täytyy sitten olla oma rajapinta sitä kautta asenneteuista sovelluksista, saako pankin sovellus sieltä tarkempaa tietoa, vai miten se varmistaa että asennettu oikeuksia käyttävä sovellus on nimenomaan Samsungin kaupasta asennettu. (koska sitä tietoa ei saa Googlen rajapinnoista)

 

[Agent_007]

Eli pankin sovelluksen kehittäjät voisivat halutessaan luottaan siihen että jos sovellus on Play kaupasta saatavilla ja hyväksyttynä, mutta on sivuladattu.

Tuohon ei voi luottaa. Eli sovelluksen tekijä voi tehdä sovelluksesta uuden/toisen version, ja allekirjoittaa sen samalla allekirjoituksella kuin mitä hän käyttää Google Playssä (oletuksella siis, että kyseessä on noita 2021 vuoden tai vanhempia allekirjoitusavaimia), jonka jälkeen hän voi jaella kahta eri asennuspakettia.

vai miten se varmistaa että asennettu oikeuksia käyttävä sovellus on nimenomaan Samsungin kaupasta asennettu. (koska sitä tietoa ei saa Googlen rajapinnoista)

Tuo aiemmassa viestissäni mainitsemani packageManager.getInstallSourceInfo on Androidiin sisäänrakennettuna, eli se ei vaadi Googlen verkkopalveluiden käyttämistä.

 

[pulatunnus]

Tuohon ei voi luottaa. Eli sovelluksen tekijä voi tehdä sovelluksesta uuden/toisen version, ja allekirjoittaa sen samalla allekirjoituksella kuin mitä hän käyttää Google Playssä (oletuksella siis, että kyseessä on noita 2021 vuoden tai vanhempia allekirjoitusavaimia), jonka jälkeen hän voi jaella kahta eri asennuspakettia.

Ok, eli oletin asiayhteydessä että nimenomaan tunnistaa jostain sormenjäjestä että on sama versio kuin hyväksytty.
No jos ei, niin pankki sovellus ei voi siihen luotaa.

Tuo aiemmassa viestissäni mainitsemani packageManager.getInstallSourceInfo on Androidiin sisäänrakennettuna, eli se ei vaadi Googlen verkkopalveluiden käyttämistä.

Sori tyhmäily. tipotellen vastauksia.

Eli tuolla saa tietää oikeuksia vaativat sovellukset ja sillä saa tiedon millä asennettu.
Ja pankki sovellus ensin tsekkaa listan oikeuksia vaativista sovelluksista jos lista, niin sitten tsekkaa millä asennettu. Jos on luotettu asentaja niin jatkaa toimintaa, jos ei ole luotettu asentaja niin ei jatka. (*

Ilmeisesti pystyy tsekkaan myös varmenteen, että asentaja on aito.

Mutta se mistä lähti liikkeelle niin ei ole alusta estettä sille että pankki voisi hyväksy vaikka sen F-droin jos sille luotettavat prosessit ja sillä olisi asiakas kunnassa kysyntää. Käytännössä Nordean markkina-alueella ei taida olla valmistajasta riippumattomia sovelluskauppoja joilla olisi kysyntää ja vielä prosessit kunnossa, tai pinkka kunnossa vauhdittaan sitä.

(*
Siis haen sitä että pankkiohjelma saa luotettavan tiedon millä asentajalla ne oikeuksia vaatineet/saanet ohjelmat asennettu.
Onko jossain vaiheessa se on kadonnut että saa tiedon asennetuista paketeista.

 

[mahead]

Eli tuolla saa tietää oikeuksia vaativat sovellukset ja sillä saa tiedon millä asennettu.

Faktatietoa ei ole, joten joku voi korjata tarvittaessa. Olen kuitenkin kohtalaisen varma, ettei se Android jaa pankkisovellukselle mitään listaa asennetuista sovelluksista ja niiden allekirjoituksista tms., vaan se pankkisovellus kysyy puhelimelta että "Onko tämä puhelin luotettava kriteereillä X, Y ja Z", ja puhelin vastaa siihen kysymykseen joko "Kyllä" tai "Ei".

Pankkisovellus ei missään vaiheessa saa tietää mitään yksityiskohtia puhelimen muista sovelluksista.

 

[pulatunnus]

Faktatietoa ei ole, joten joku voi korjata tarvittaessa. Olen kuitenkin kohtalaisen varma, ettei se Android jaa pankkisovellukselle mitään listaa asennetuista sovelluksista ja niiden allekirjoituksista tms., vaan se pankkisovellus kysyy puhelimelta että "Onko tämä puhelin luotettava kriteereillä X, Y ja Z", ja puhelin vastaa siihen kysymykseen joko "Kyllä" tai "Ei".

Pankkisovellus ei missään vaiheessa saa tietää mitään yksityiskohtia puhelimen muista sovelluksista.

Vähän tipotellen tietoa tippuu.

No oleellista on että saa ainakin sen tiedon että millä asentajilla oikeuksia saaneet sovellukset on asennettu. ja nimenomaan sen että ne on sillä asennettu.

Aiemmin

Jos sovellus on julkaistu Play-kaupassa ja saanut sieltä accessibility-hyväksynnän, sovellusta ei ilmoiteta vaaratekijänä, vaikka sovellus olisi asennettu muualta kuin Play-kaupasta.

Eli tuollaisella rajapinnalla ei voi tsekata. jos se softa voi olla toiminnallisuudeltaan iha eri.

Kiitos vastauksista.

Tosin heruttelun sijaan, ehkä se vastauskin. Siis miten pankki ohjelma tarkistaa oikeuksia vaativan sovelluksen asentajan luettavasti. Ilman että siitä menee läpi Googlen Play kaupassa hyväksytyt, mutta muualta asennetut.

Se kerrottu että pankki sovellus ei saa tietoonsa mikä sovellus saa oikeuksia, saati että saisi siitä paketista jonkin sormenjäljen minkä voisi tarkistaa.

 

[leripe]

Asensit välissä kuitenkin Novan Play Kaupasta? Voisikohan se backupin tuominen aiheuttaa sen herjan ? Tai sitten Nordea laittaa herjan myös Play Kaupasta ladatusta sovelluksesta, jos on vaan liikaa oikeuksia.

Se on aina ollut asennettuna play kaupasta.
Noo se toimi backupin tuomisenkin jälkeen ja backup ei aktivoi tuota accessbility ominaisuutta kuitenkaan.

 

[Agent_007]

Pankkisovellus ei missään vaiheessa saa tietää mitään yksityiskohtia puhelimen muista sovelluksista.

Toisten sovellusten sisään ei tosiaan pääse (eli tiedostoja ei voi lukea, tai muistia skannata), mutta Android kyllä kertoo aika paljon tietoa muista sovelluksista (esim. tuo aiemmin mainittu Package Manager antaa ApplicationInfo:n ja PackageInfo:n) ja sovellukset voivat kutsua toisten sovellusten toimintoja (ja samalla saada listan noista tarjotuista toiminnoista).

How to start activity in another application?

I have application A defined as below: <application android:icon="@drawable/icon" android:label="@string/app_name"> <activity android:name="com.example.MyExampleActivity"

stackoverflow.com

 

[mahead]

Toisten sovellusten sisään ei tosiaan pääse (eli tiedostoja ei voi lukea, tai muistia skannata), mutta Android kyllä kertoo aika paljon tietoa muista sovelluksista (esim. tuo aiemmin mainittu Package Manager antaa ApplicationInfo:n ja PackageInfo:n) ja sovellukset voivat kutsua toisten sovellusten toimintoja (ja samalla saada listan noista tarjotuista toiminnoista).

Kiitos, seison korjattuna.

 

[leripe]

Asensit välissä kuitenkin Novan Play Kaupasta? Voisikohan se backupin tuominen aiheuttaa sen herjan ? Tai sitten Nordea laittaa herjan myös Play Kaupasta ladatusta sovelluksesta, jos on vaan liikaa oikeuksia.

Noo kokeilin ensiki poistaa nordean sovelluksem ja asentaa takaisin. Ei auttanut.
Reinstall nova launcher ja backup palautus sekä accessibility päälle. Nordean sovellus ei herjaa.
Vaikea sanoa mikä tuon tunnistuksen tuhoaa.

 

[Sommite]

Toisten sovellusten sisään ei tosiaan pääse (eli tiedostoja ei voi lukea, tai muistia skannata), mutta Android kyllä kertoo aika paljon tietoa muista sovelluksista (esim. tuo aiemmin mainittu Package Manager antaa ApplicationInfo:n ja PackageInfo:n) ja sovellukset voivat kutsua toisten sovellusten toimintoja (ja samalla saada listan noista tarjotuista toiminnoista).

Tätä on rajoitettu Android 11:stä alkaen, eli muiden pakettien näkyvyyteen pitää olla peruste: tietyt paketit näkyvät automaattisesti, toiset saa näkymään pyynnöstä, esim. luettelemalla tarvittavat paketit nimeltä tai toteutetun intentin mukaan, ja erityisestä syystä voi saada oikeuden nähdä kaikki asennetut paketit, jos on vaikka järjestelmänhallintasovellus.

 

[Teura]

Olen aina ihmetellyt tätä pankkien sekoilua sovellustensa kanssa, että miksi noita pitää rajoittaa.
Minä kirjoitan tätäkin viestiä Windows-koneeltani, jonne minulla on täydet admin-oikeudet ja asennettuna ties mitä, ja silti pääsen kaikkiin verkkopankkeihin tekemään aivan mitä haluan ilman että kukaan valittaa mitään. Puhelimessa? Kaikki sovellukset ovat uhkia joiden takia pitää estää täysin pääsy minnekään, vaikka puhelimet ovat (ainakin käsittääkseni) yhä ympäristöinä huomattavasti turvallisempia kuin peruskäyttäjän Windows-asennus.

 

[pulatunnus]

Olen aina ihmetellyt tätä pankkien sekoilua sovellustensa kanssa, että miksi noita pitää rajoittaa.
Minä kirjoitan tätäkin viestiä Windows-koneeltani, jonne minulla on täydet admin-oikeudet ja asennettuna ties mitä, ja silti pääsen kaikkiin verkkopankkeihin tekemään aivan mitä haluan ilman että kukaan valittaa mitään. Puhelimessa? Kaikki sovellukset ovat uhkia joiden takia pitää estää täysin pääsy minnekään, vaikka puhelimet ovat (ainakin käsittääkseni) yhä ympäristöinä huomattavasti turvallisempia kuin peruskäyttäjän Windows-asennus.

Jos selainpohjaista ei tarvitsisi niin pankit sen varmaan sulkisi. Se on ihan riski, ja jatkuvasti tapahtuu, se on hinta mikä kannattaa maksaa.

Se että joudutaan sietään selain pohjaisissa tappioita, niin ei vähennä tarvetta muualla vähentää riskejä, varsinkin jos niiden torjumisella on pieni hinta.

Monella pankin asiakkaalla se mobiili on osa sen selainpohjaisen käyttön turvallisuutta, tunnistukset, vahvistukset jne. Eli sen mobiilin tilkitseminen lisää sen työpöydän turvallisuutta.

 

[ROG]

Onko raportoitu Suomessa yhtää tapausta jossa rahat olisi viety, ilman että käyttäjä itse hyväksyy siirron? Toki S-Pankin buginen verkkopankki poislukien.

 

[pulatunnus]

Onko raportoitu Suomessa yhtää tapausta jossa rahat olisi viety, ilman että käyttäjä itse hyväksyy siirron? Toki S-Pankin buginen verkkopankki poislukien.

On.

Spoileri

Siis pankkien verkkopankeista, enemmän ja vähemmän isoja summia, varmaan ihan kokonaan putsauksiakin.
Sitten päälle ne missä uhria itseään on harhautettu hyväksymään siirto, tai jopa harhautettu tekemään koko siirto
Kaikki ei ole ylittäneet uutiskynnystä, harva uhri haluaa uutisoitavan tapaustaan, ja kaikki ei muutakautta päädy toimittajien eteen ja siitä vielä jullkaisuun

 

[ROG]

On.

Spoileri

Siis pankkien verkkopankeista, enemmän ja vähemmän isoja summia, varmaan ihan kokonaan putsauksiakin.
Sitten päälle ne missä uhria itseään on harhautettu hyväksymään siirto, tai jopa harhautettu tekemään koko siirto
Kaikki ei ole ylittäneet uutiskynnystä, harva uhri haluaa uutisoitavan tapaustaan, ja kaikki ei muutakautta päädy toimittajien eteen ja siitä vielä jullkaisuun

No annatko linkin tälläiseen tapaukseen. Raportoimisella tarkoitan että on tuotu julkisuuteen, en johonkin pankin omaan intraan.

 

[pulatunnus]

No annatko linkin tälläiseen tapaukseen. Raportoimisella tarkoitan että on tuotu julkisuuteen, en johonkin pankin omaan intraan.

Pitäisi varmaan googlettaa.

Mutta menetelmät siis tyyliin, saatu haltuun käyttäjätunnus ja avain listat, se ihan se syy miksi niistä pyritty luopuun.
Isoa julkisuutta on saaneet varoittava tapaus missä uhria harhauttamalla saatu itselle mobilitunnistamiseen tarvittavat jutut.
Saatu haltuun uhrin mobiililaite tarvittavilla pääsykoodeilla.
Jos mennään kauemmaksi niin sitten lisää

Jos muistan niin täytyy jossain välissä googlettaa

 

[Grez]

Olen aina ihmetellyt tätä pankkien sekoilua sovellustensa kanssa, että miksi noita pitää rajoittaa.
Minä kirjoitan tätäkin viestiä Windows-koneeltani, jonne minulla on täydet admin-oikeudet ja asennettuna ties mitä, ja silti pääsen kaikkiin verkkopankkeihin tekemään aivan mitä haluan ilman että kukaan valittaa mitään. Puhelimessa? Kaikki sovellukset ovat uhkia joiden takia pitää estää täysin pääsy minnekään, vaikka puhelimet ovat (ainakin käsittääkseni) yhä ympäristöinä huomattavasti turvallisempia kuin peruskäyttäjän Windows-asennus.

Nykyisinhän nuo pankkien mobiiliapit toimivat myös tunnuslaitteena. Pankit eivät tarjoa tunnistuslaitteena toimimista Windows-koneille. En tosin tiedä saisiko sen kikkailtua asentamalla vaikka android-emulaattorin.

 

[Leatherman]

Sain muuten kierrettyä ainakin Danske Bankin rajoituksen MacroDroidilla. Todennäköisesti toimii Nordeallakin mutta en nyt jaksanut testata sitä. Tein automaation, joka poistaa sideloadatun sovelluksen oikeudet esteettömyyspalveluihin, kun mobiilipankki avataan. Vastaavasti oikeudet menee takaisin päälle, kun mobiilipankki suljetaan. Välillä joutuu avaamaan mobiilipankin kahteen kertaan, kun MacroDroid ei ehdi muuttaa asetuksia mutta testailujen mukaan vähintään toisella avaamiskerralla kerralla onnistuu.

Android 15 ja Nordealla ei auttanut vaikka uudelleen availi, mutta tämä alla toimii.
Shortcutin voi luoda kun painaa kotinäyttöä pohjassa -> widget -> Macrodroid Shortcut (huom älä ota widgettejä, vaan shortcut) -> valitse sille Nordean kuvake.
Ja jos pitää hyppää pois hetkellisesti ohjelmasta ja tulla takaisin, niin voi aukasta uudelleen työpöydältä kuvakkeen ja Nordea jatkaa siitä mihin viimeks jäit.

 

[FlyingAntero]

Android 15 ja Nordealla ei auttanut vaikka uudelleen availi, mutta tämä alla toimii.
Shortcutin voi luoda kun painaa kotinäyttöä pohjassa -> widget -> Macrodroid Shortcut (huom älä ota widgettejä, vaan shortcut) -> valitse sille Nordean kuvake.
Ja jos pitää hyppää pois hetkellisesti ohjelmasta ja tulla takaisin, niin voi aukasta uudelleen työpöydältä kuvakkeen ja Nordea jatkaa siitä mihin viimeks jäit.

Mietin tuohon jotain viive ratkaisua aiemmin mutta en jaksanut alkaa hieromaan, kun vaikutti toimivan itsellä vähintään toiselle kokeilulla. Mutta tuo vaikuttaa varsin näppärältä fiksiltä. Editoin sinun viestin minun aiemman viestin kylkeen, niin löytyy parempi ratkaisu ketjua lukeville .

 

[takomo]

Tämä on vähän niin ja näin. Rajoitusten kiertäminen on harrastusmielessä toki ihan kiva ja suotavakin juttu, mutta jos puhutaan tietoturvasta mm. juuri salasana- tai pankkisovellusten kohdalla, niin ei siellä ole varaa antaa yhtään löysiä ropelihatttujen puuhasteluille.

On tässä kuitenkin kysymys siitä, että kuka on isäntänä talossa. Oikeus päättää siitä, mitä puhelimella tekee ja mitä sinne asentelee on puhelimen omistajalla. Isännän roolin ottaminen ei kuulu millekään palveluntuottajalle vaan palvelut on tuotettava sen mukaan, että alustalla voi olla mitä hyvänsä. Jos alusta on riskipitoinen, pitää rajoittaa toiminnallisuutta, esim. maksujen suuruutta.

Yli 100 000 euron kiinteistön osto onnistui S-Pankin mobiiliappsilla syöttämällä nelinumeroinen pin-koodi rootatulla puhelimella. Mitään muuta ei tarvinnut rahojen pois antamiseen. Tämä oli 2020-luvulla.

Ei tarvitse kuin kurkkia olan yli näytön lukituskoodi. Monesti sama lukituskoodi on käytössä myös pankkisovelluksessa, koska ihmisillä on rajallinen kyky muistaa eri pin-koodeja. Jos koodin onnistuu näkemään, tarvitsee vain saada laite näpistettyä ja rahat ovat mennyttä.

Ehkäpä tässä kenkä oikeasti puristaa siitä, että ei ole ollut maailman älykkäin asia tuoda ihmisten pankkiasiointia niin epävakaaseen ympäristöön kuin matkapuhelin. Pienet juoksevat arkimaksut ja saldontarkistukset, joo, mutta se, että yhdellä pin-koodilla pystyy tekemään monen kuukauden tuloja vastaavia tai suurempia siirtoja, on minusta vastuutonta. Eihän tällaisiin pankkeihin voi luottaa.

Ainakin itse arvostaisin sitä, että esim. vuoden nettotulojen kokoluokkaa olevat siirrot pitäisi tehdä fyysisesti konttorissa.

 

[Grez]

On tässä kuitenkin kysymys siitä, että kuka on isäntänä talossa. Oikeus päättää siitä, mitä puhelimella tekee ja mitä sinne asentelee on puhelimen omistajalla. Isännän roolin ottaminen ei kuulu millekään palveluntuottajalle vaan palvelut on tuotettava sen mukaan, että alustalla voi olla mitä hyvänsä. Jos alusta on riskipitoinen, pitää rajoittaa toiminnallisuutta, esim. maksujen suuruutta.

No juuri noinhan nuo tekevätkin. Eli rajoittaa toimintaansa (ei anna tehdä mitään), jos kokee ympäristön liian riskipitoiseksi.

Ainakin itse arvostaisin sitä, että esim. vuoden nettotulojen kokoluokkaa olevat siirrot pitäisi tehdä fyysisesti konttorissa.

Eikös se juuri näin toimikin? Ainakin itseltäni on aina verkkopankkia avattaessa kysytty toimenpiderajat jotka saa tehdä verkkopankissa. Tämä siis melkein 10 eri suomalaisen pankin kokemuksella.

 

[Lämpöpumppu]

Ehkäpä tässä kenkä oikeasti puristaa siitä, että ei ole ollut maailman älykkäin asia tuoda ihmisten pankkiasiointia niin epävakaaseen ympäristöön kuin matkapuhelin. Pienet juoksevat arkimaksut ja saldontarkistukset, joo, mutta se, että yhdellä pin-koodilla pystyy tekemään monen kuukauden tuloja vastaavia tai suurempia siirtoja, on minusta vastuutonta. Eihän tällaisiin pankkeihin voi luottaa.

Ainakin itse arvostaisin sitä, että esim. vuoden nettotulojen kokoluokkaa olevat siirrot pitäisi tehdä fyysisesti konttorissa.

Minä pidän pankin omaa mobiilisovellusta biometrisellä tunnistuksella huomattavasti luotettavampana kuin selainpohjaista verkkopankkia. Mikko Hyppönenkin sanoi kirjassaan, ettei siirtelisi isompia summia, esimerkiksi yrityksen varoja, samalla tietokoneella kuin millä hoidetaan päivittäiset internetselailut ja suositteli yrityksille raha-asioiden hoitamiseen täysin erillään olevan tietokoneen, jota ei käytetä iltapäivälehtien selailuun ynnä muuhun viihdekäyttöön. Mobiilipankkia hän sen sijaan piti turvallisena vaihtoehtona. Itse en tietoturvasta ymmärrä sen syvällisemmin, mutta voisin väittää Mikkon ymmärtävän meitä kaikkia paremmin.

Ymmärrän toki riskit siinä kohtaa, kun käytetään samaa pin-koodia sekä puhelimen lukituksen avaamiseen että pankkisovellukseen. Mutta biometrinen tunnistus on onneksi tehty pin-koodia helpommaksi vaihtoehdoksi, joten pin-koodia harva varmaan käyttää edes päivittäin ja riski sen vuotamiselle julkisella paikalla on pienentynyt merkittävästi.

 

[takomo]

No juuri noinhan nuo tekevätkin. Eli rajoittaa toimintaansa (ei anna tehdä mitään), jos kokee ympäristön liian riskipitoiseksi.

Niin, eli rupeaa isännöimään talossa: jos et poista sitä, tätä ja tuota, palvelu ei toimi ollenkaan.

Minä pidän pankin omaa mobiilisovellusta biometrisellä tunnistuksella huomattavasti luotettavampana kuin selainpohjaista verkkopankkia. Mikko Hyppönenkin sanoi kirjassaan, ettei siirtelisi isompia summia, esimerkiksi yrityksen varoja, samalla tietokoneella kuin millä hoidetaan päivittäiset internetselailut ja suositteli yrityksille raha-asioiden hoitamiseen täysin erillään olevan tietokoneen, jota ei käytetä iltapäivälehtien selailuun ynnä muuhun viihdekäyttöön. Mobiilipankkia hän sen sijaan piti turvallisena vaihtoehtona. Itse en tietoturvasta ymmärrä sen syvällisemmin, mutta voisin väittää Mikkon ymmärtävän meitä kaikkia paremmin.

Jos haluaa parantaa työpöytä-pankin turvallisuutta, ei ole kovin iso asia asentaa pankkiasiointia ja muuta tärkeää varten virtuaalikone, vaikka joku kevyt Linux-distro. Vaikka näin ei tekisi, erillistä tunnuslukulaitetta on haastava murtaa.

Toinen asia sitten on tuo biometrinen tunnistus: onko se oikeasti pomminvarma (no ei varmasti ole) vai luodaanko sillä illuusiota turvallisuudesta. Kyse on lähinnä kilpajuoksusta menetelmien kehittäjien ja sen murtajien kesken. On suuri riski, jos pitää luotettavana menetelmää, joka murtuu käytännössä helposti. Montako eri tapaa onkaan keksitty esim. sormenjälkitunnistuksen korkkaamiseen? Esim:

5 Ways Hackers Bypass Fingerprint Scanners (How to Protect Yourself)

Are fingerprint readers safe and secure? Think again! Learn how fingerprint scanners can be hacked and bypassed.

www.makeuseof.com

Here’s how long it takes new BrutePrint attack to unlock 10 different smartphones

BrutePrint requires just $15 of equipment and a little amount of time with a phone.

arstechnica.com

Fingerprint authentication is surprisingly easy to bypass - researchers find critical vulnerabilities in Windows Hello

Hackers crack top 3 Windows fingerprint access laptops

www.techradar.com

Ymmärrän toki riskit siinä kohtaa, kun käytetään samaa pin-koodia sekä puhelimen lukituksen avaamiseen että pankkisovellukseen. Mutta biometrinen tunnistus on onneksi tehty pin-koodia helpommaksi vaihtoehdoksi, joten pin-koodia harva varmaan käyttää edes päivittäin ja riski sen vuotamiselle julkisella paikalla on pienentynyt merkittävästi.

Ihminen ei onneksi jätä sormenjälkiään arjessa mihinkään ja jos ne sattuisivatkin vuotamaan, niin nehän on helppo vaihtaa ... eiku? Tässä on sekin puoli, että mitä kevyemmin näitä käytetään tunnistautumiseen, sitä enemmän näistä on elektronisia kopioita varastettavaksi eri tietojärjestelmissä.

 

[Lämpöpumppu]

Jos haluaa parantaa työpöytä-pankin turvallisuutta, ei ole kovin iso asia asentaa pankkiasiointia ja muuta tärkeää varten virtuaalikone, vaikka joku kevyt Linux-distro. Vaikka näin ei tekisi, erillistä tunnuslukulaitetta on haastava murtaa.

Toinen asia sitten on tuo biometrinen tunnistus: onko se oikeasti pomminvarma (no ei varmasti ole) vai luodaanko sillä illuusiota turvallisuudesta. Kyse on lähinnä kilpajuoksusta menetelmien kehittäjien ja sen murtajien kesken. On suuri riski, jos pitää luotettavana menetelmää, joka murtuu käytännössä helposti. Montako eri tapaa onkaan keksitty esim. sormenjälkitunnistuksen korkkaamiseen? Esim:

5 Ways Hackers Bypass Fingerprint Scanners (How to Protect Yourself)

Are fingerprint readers safe and secure? Think again! Learn how fingerprint scanners can be hacked and bypassed.

www.makeuseof.com

Here’s how long it takes new BrutePrint attack to unlock 10 different smartphones

BrutePrint requires just $15 of equipment and a little amount of time with a phone.

arstechnica.com

Fingerprint authentication is surprisingly easy to bypass - researchers find critical vulnerabilities in Windows Hello

Hackers crack top 3 Windows fingerprint access laptops

www.techradar.com

Ihminen ei onneksi jätä sormenjälkiään arjessa mihinkään ja jos ne sattuisivatkin vuotamaan, niin nehän on helppo vaihtaa ... eiku? Tässä on sekin puoli, että mitä kevyemmin näitä käytetään tunnistautumiseen, sitä enemmän näistä on elektronisia kopioita varastettavaksi eri tietojärjestelmissä.

Nyt kuitenkin puhutaan kokonaiskuvasta. Ei ihmiset osaa/tajua asennella mitään virtuaalikoneita pankkiasiointia varten ja hädin tuskin tietävät mikä on Linux. Tunnuslukulaite on ihan hyvä, vaikka onko niitä muilla kuin Nordealla edes käytössä? Monet pankit käyttävät sitä tunnuslukulistaa.

Biometrinen tunnistus ei ole pomminvarma ja kuten noista mainitsemistasi linkeistä huomaa, niin valmistajien välillä on eroja. iPhonen sormenjälkilukija vaikutti olevan varsin varma verrattuna noihin muihin. Kasvojen skannaus tosin taitaa nykyään olla vielä varmempi iPhonella. Oleellista on myös isossa kuvassa tarkastella, kuinka nuo kiinalaiset puhelinvalmistajat huonompien biometristen tunnistusten kanssa ovat varsinkin länsimaissa aika pienen joukon niche-harrastelua. Myydymmät valmistajat tarjoavat usein varsin varmatoimiset biometriset tunnisteet, varsinkin iPhone. Mutta tietenkin kaikki on murrettavissa. Kyse on vain siitä, mikä on kokonaiskuvassa turvallisin menetelmä. Todennäköisemmin joku afrikkalainen hakkeri varastaa sun tililtä rahat toiselta puolelta maailmaa tietokoneen haavoittuvuuden kautta, kuin kopioi sormen jälkesi paikallisen baarin vessan hanasta.

 

[takomo]

Kyse on vain siitä, mikä on kokonaiskuvassa turvallisin menetelmä.

Yksi osa kokonaisturvallisuutta on pääsyn rajaaminen. "Joka paikassa" mukana kulkeva puhelin on tässä minusta väärä vastaus. Se olisi parempi, jos puhelinkin edellyttäisi tunnuslukulaitteen tai edes -listan käyttämistä, niin että pelkällä puhelimella ei pystyisi tekemään mitään tärkeää. Toisena ääripäänä on fyysinen asiointi pankkikonttorissa pankin aukioloaikoina. Työpöytäpankki on näiden välissä. Sinne ei pääse ilman erillistä kirjautumisvälinettä.

Todennäköisemmin joku afrikkalainen hakkeri varastaa sun tililtä rahat toiselta puolelta maailmaa tietokoneen haavoittuvuuden kautta, kuin kopioi sormen jälkesi paikallisen baarin vessan hanasta.

Viimeaikaisiin murtoihin on kyllä vahvasti liittynyt mobiilipankki, tavalla tai toisella. Onko tietokoneen haavoittuvuuksien kautta todella tehty merkittäviä pankkimurtoja (Suomessa)?

 

[Lämpöpumppu]

Yksi osa kokonaisturvallisuutta on pääsyn rajaaminen. "Joka paikassa" mukana kulkeva puhelin on tässä minusta väärä vastaus. Se olisi parempi, jos puhelinkin edellyttäisi tunnuslukulaitteen tai edes -listan käyttämistä, niin että pelkällä puhelimella ei pystyisi tekemään mitään tärkeää. Toisena ääripäänä on fyysinen asiointi pankkikonttorissa pankin aukioloaikoina. Työpöytäpankki on näiden välissä. Sinne ei pääse ilman erillistä kirjautumisvälinettä.

Viimeaikaisiin murtoihin on kyllä vahvasti liittynyt mobiilipankki, tavalla tai toisella. Onko tietokoneen haavoittuvuuksien kautta todella tehty merkittäviä pankkimurtoja (Suomessa)?

Käsittääkseni viimeaikaisiin murtoihin on liittynyt verkkopankki (joka käsittää myös mobiilipankin). Itsellä ei ole kompetenssia olla tietoturvassa asiantuntijana, mutta oma järki ja myös Internet-kirjan vahvistamana pidän Pankin mobiilisovelluspohjaista verkkopankkia varmempana kuin selainpohjaista verkkopankkia. Selainversio verkkopankista on mun järjen mukaan haavoittuvampi kuin sovelluspohjainen verkkopankki. "Avoimet" tietokoneet ja selaimet ovat lähtökohtaisesti haavoittuvampia. Puhelin kyllä kulkee mukana joka paikkaan, mutta yksikään hyökkäys (Suomessa) ei taida olla tehty siten, että se puhelimen mukana oleminen itsessään olisi aiheuttanut ryöstön.

 

[Aaltoliike]

Mielestäni kannattaa ottaa mukaan keskusteluun myös se fakta, että Suomessa on täysin laillista poliisin pakottaa se sormi tunnistimeen väkisin. Sama juttu kasvojen tunnistuksen kanssa. Salasanaakin voi toki pakottaa jakoavaimen avulla kertomaan, mutta siihen ei ole laillisesti keinoa.