Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 134
У меня USSD-сообщения поверх экрана блокировки не показываются. ЧЯДНТ? A4.1/S3.
У меня iOS, там вылезает сразу. Скажите, а как, в принципе, тогда на андроиде вы узнаете, что пришло USSD-сообщение? Оно где-то хранится по аналогии с SMS? Есть отдельный раздел в сообщениях и нотификации для него?
Нет, после разблокировки будет окошко, которое содержит USSD сообщение и кнопку ОК (dismiss). Т.е., это окно не всплывает поверх экрана блокировки (lg nexus).
Все же это не СМС, ответ приходит же лишь на ваш запрос, т.е. вы должны знать сами, что к вам USSD сообщение идет. Если по какой-то причине вам понадобилось быстро заблокировать телефон, оно не покажется и тот, кто у вас его отобрал и не узнает о нем.
Все же это не СМС, ответ приходит же лишь на ваш запрос, т.е. вы должны знать сами, что к вам USSD сообщение идет. Если по какой-то причине вам понадобилось быстро заблокировать телефон, оно не покажется и тот, кто у вас его отобрал и не узнает о нем.
Проблема в том, что запрос может быть инициирован, например, на Windows 8 в их клиенте. Но андроид в этом плане молодцы, да.
Уже нет. В 5.0 USSD вылазит поверх окна блокировки.
В зависимости от того, приложение это хулиганит, или просто оператор, будет либо попапик, либо приложение поймает вывод и обработает само.
Поверх лок-скрина вообще ничего не должно рисоваться.
Поверх лок-скрина вообще ничего не должно рисоваться.
Symbian^3 — отображается под экраном блокировки, даже подсветка не включается.
WP8 — появляется поверх экрана блокировки, подсветка включается.
WP8 — появляется поверх экрана блокировки, подсветка включается.
Так и не понял, если одноразовый пароль даже покажется на заблокированном телефоне, то все равно доступ к приложению будет закрыт блокировкой телефона…
А что вам мешает зайти в приложение со своего телефона (поставить себе)? Т. е. заходите на своем, а одноразовый пароль подглядываете на экране жертвы (он придет ей на телефон в виде USSD-сообщения).
В тексте написано, что USSD должен быть инициирован абонентом. Как поведёт себя система, если инициация произойдёт с левого номера? Куда придёт ответ и придёт ли?
«По правилам» должен быть инициирован абонентом (т. е. самим аппаратом, где стоит симка с его номером), а по факту инициируется любым банковским клиентом Тинькова (на телефоне, на планшете, приложением «восьмерки» на компе), а сообщение приходит на телефон владельца.
Инициация идёт не «с номера», а через интернет. Номер банку вообще никак не виден, и не может быть виден.
Приложение привязывается к телефону (в случае с ТКС)
А в случае Сбербанка и Ситибанка (как минимум) приложение привязывается еще и к ID сим-карты. То есть если вставить в телефон другую сим-карту (даже с тем же номером, перевыпущенную), работать приложение уже не будет.
К какому телефону, о чем вы? У меня их приложения стоят и на айпаде (в т. ч. айфоновская версия на айпаде), на восьмерке + вчера еще на андроиде коллеги проверяли — везде достаточно логин / пароль вбить (никакой привязки по номеру не происходит).
у меня даже после смены прошивки на смартфоне на стороннюю — приложение блокировалось и требовался звонок для разблокировки.
Так а при чем здесь смена прошивки? Мы же говорим не о переносе самого приложения куда-то в другое место, а вполне нормальную установку в другом месте (все коды-то приходят на основной телефон, у вас этих приложений может быть установлено штук 10 и все будут рабочими).
Ну поставить приложение на чужое устройство и авторизоваться под своим банковским аккаунтом — это я не знаю кем надо быть ) С точки зрения безопасности.
Да очень просто: у лучшего друга (которого тоже пригласил к Тинькову) уже стоит приложение. Допустим я ему доверяю (в том плане, что уверен, что у него не будет кейлоггера), но при этом почему разработчики за меня решают, что его устройство теперь вечно авторизировано для моего аккаунта и для входа будет достаточно лишь одного обычного пароля?
Понимаете о чем я? Здесь вопрос не про то, что я пользуюсь или не пользуюсь чужим устройством, а про то, что разработчики, утрируя, запоминают пароль (имеется в виду, больше не требуют двухфакторную авторизацию) на любом устройстве, где бы вы не зашли. Кто дал им такое право, решать за пользователя, какое устройство достоверное, а какое нет? Более того, не давать возможность убрать эту авторизацию просто выйдя из личного кабинета или даже полностью переустановив приложение.
Представьте, что вы поставили в gmail двухфакторную авторизацию, а он переставал бы ее требовать на любом устройстве, где вы бы хоть раз зашли (при чем запоминало это устройство не в куках, которые можно почистить, а, например, по мак-адресу компьютера). Это же огромный косяк и ненужная дыра — смысл в такой «двухфакторной аутентификации»?
Понимаете о чем я? Здесь вопрос не про то, что я пользуюсь или не пользуюсь чужим устройством, а про то, что разработчики, утрируя, запоминают пароль (имеется в виду, больше не требуют двухфакторную авторизацию) на любом устройстве, где бы вы не зашли. Кто дал им такое право, решать за пользователя, какое устройство достоверное, а какое нет? Более того, не давать возможность убрать эту авторизацию просто выйдя из личного кабинета или даже полностью переустановив приложение.
Представьте, что вы поставили в gmail двухфакторную авторизацию, а он переставал бы ее требовать на любом устройстве, где вы бы хоть раз зашли (при чем запоминало это устройство не в куках, которые можно почистить, а, например, по мак-адресу компьютера). Это же огромный косяк и ненужная дыра — смысл в такой «двухфакторной аутентификации»?
Эээ, после входа в android с двухфакторной авторизацией у меня gmail, никогда больше не спрашивает пароль, и в iphone тоже. Хотя да поменять аккаунт можно.
И вот лично мне нафиг не надо, на моем телефоне каждый раз вбивать пароль в банк клиент, если это не транзакция конечно.И мне нафиг не нужно, что бы кто то другой на моем телефон смог входить в банк клиент под своим логином, и мне на чужом телефоне это тоже не надо (если приспичит, я браузером могу воспользоваться) и я почему то уверен что таких как я 99,9% и я поддерживаю разработчиков.
И вот лично мне нафиг не надо, на моем телефоне каждый раз вбивать пароль в банк клиент, если это не транзакция конечно.И мне нафиг не нужно, что бы кто то другой на моем телефон смог входить в банк клиент под своим логином, и мне на чужом телефоне это тоже не надо (если приспичит, я браузером могу воспользоваться) и я почему то уверен что таких как я 99,9% и я поддерживаю разработчиков.
Т. е. если вы продадите свой телефон, вас устроит, что там по-прежнему можно будет зайти в ваш личный кабинет без дополнительной авторизации, даже если вы все удалите с телефона?
Ну и конечно, если вас не устраивает подобное поведение, у вас всегда были и есть 2 варианта:
1. Задать код для быстрого входа.
2. Отключить в онлайн-банке двухфакторную авторизацию.
В обоих случаях «второй» пароль вас больше спрашивать не будут. Ограничивать же других более сознательных пользователей, делая «кривую» реализацию паттерна, не нужно.
Ну и конечно, если вас не устраивает подобное поведение, у вас всегда были и есть 2 варианта:
1. Задать код для быстрого входа.
2. Отключить в онлайн-банке двухфакторную авторизацию.
В обоих случаях «второй» пароль вас больше спрашивать не будут. Ограничивать же других более сознательных пользователей, делая «кривую» реализацию паттерна, не нужно.
1. Если вы продаете телефон и не сбрасываете все на заводские настройки, то не рассказывайте мне о безопасности пожалуйста… :)
2. И с чего вы взяли, что после смены симки, у вас не банк клиент не спросит пароль? Или вы телефон вместе с симкой продаете (тогда смотри пункт 1)
3. Ну и если после сброса настроек, и удаления с телефона и установки банк клиента, он ен спросит пароль, ну тогда да, дыра.
2. И с чего вы взяли, что после смены симки, у вас не банк клиент не спросит пароль? Или вы телефон вместе с симкой продаете (тогда смотри пункт 1)
3. Ну и если после сброса настроек, и удаления с телефона и установки банк клиента, он ен спросит пароль, ну тогда да, дыра.
нет, как раз при установке на новом месте оно запуститься не должно.
после смены прошивки на стороннюю и установки приложения оно определило телефон как новый.
после смены прошивки на стороннюю и установки приложения оно определило телефон как новый.
В этом и смысл, зашли на своем телефоне (пароль 2-го раунда аутентификации увидели на экране жертвы), потом со своего же телефона делаете, например, внешний перевод. Одноразовый пароль для перевода аналогично подглядываете на экране заблокированного мобильника жертвы (она даже не узнает, что ей эти пароли приходили, т. к. USSD нигде на телефоне не сохранятся).
Мне кажется, это всё слишком параноидально и маловероятно. Чтобы кто-то подсунул свое устройство, да потом еще снимал пароль через отражение в очках — это надо быть очень ценной жертвой.
Куда больше вероятности просто засветить где-то свой номер карточки.
Мне пару недель назад из банка позвонили, потому что кто-то заплатил моей карточкой на заправке в Детройте, хотя я сидел дома в России (вместе с карточкой). Карточка была достаточно свежая, платил ей всего несколько раз в крупных американских инет-магазинах и в нормальных ресторанах/магазинах там же.
Куда больше вероятности просто засветить где-то свой номер карточки.
Мне пару недель назад из банка позвонили, потому что кто-то заплатил моей карточкой на заправке в Детройте, хотя я сидел дома в России (вместе с карточкой). Карточка была достаточно свежая, платил ей всего несколько раз в крупных американских инет-магазинах и в нормальных ресторанах/магазинах там же.
да потом еще снимал пароль через отражение в очках
Пароль можно снять обычным кейлоггером. Отражение в очках — это лишь частный случай. Здесь дело не параноидальности, а в банальной кривой реализации «для галочки».
С «засветом» данных карточки нет никаких особых проблем: у вас есть 30 дней, чтобы оспорить операцию и крайне велик шанс, что вернут деньги. Деньги не вернут только в двух случаях: оплата была при помощи вашего пин-кода или посредством смс-авторизации (нужно было ввести доп. код, приходящий на телефон — так называемая 3D-secure). Собственно из-за того, что в текущей реализации в банке код может прийти через USSD и его сможет прочитать любой, кто увидит ваш телефон (даже запароленный), вы ничего не сможете оспорить. Если бы код всегда приходил через SMS, то здесь уже достать его было бы намного сложнее при прочих равных условиях.
Ну чтобы поставить кейлоггер на айфон, он должен быть джеилбрейкнутым. А зачем я буду пользоваться чьим-то левым айфоном для входа в банк, если у меня есть «чистый» свой?
А с деньгами то да, банк во время того звонка пообещал всё вернуть, карточку окончательно заблокировали и через 5 дней уже прислали мне новую. Что любопытно, на автоматических заправках обычно нужно вводить billing zip code, то ли не на всех, то ли он не проверялся у этого банка, то ли злоумышленники как-то узнали и адрес, вместе с данными карты…
А с деньгами то да, банк во время того звонка пообещал всё вернуть, карточку окончательно заблокировали и через 5 дней уже прислали мне новую. Что любопытно, на автоматических заправках обычно нужно вводить billing zip code, то ли не на всех, то ли он не проверялся у этого банка, то ли злоумышленники как-то узнали и адрес, вместе с данными карты…
То есть это плохая фича (или баг?) iOS, о котором не подумали разрабочики. Почему они должны консультироваться с безопасниками? Безопасники должны знать, как работает USSD на всех устройствах? У меня, например, оповещения почты иногда всплывают поверх скринсейвера на компьютере. Это означает, что теперь нельзя использовать почту для подтверждения операций?
И да, как USSD-сообщение всплывёт на экране телефона жертвы, если оно будет инициировано другим телефоном? Вы пробовали так делать?
В этом и суть, что инициируется не телефоном (как должно быть по-хорошему, и о чем я говорю в статье), а банком. Т. е., поставили вы себе на комп Windows 8 клиент Тинькова, ввели логин/пароль, а пароль для входа в 2-й фазе аутентификации придет вам на телефон USSD-сообщением.
Где-то тут нестыковка.
Ключевой момент в том, что USSD должен инициироваться самим пользователем на конкретном устройстве (т. е. пользователь должен в этот момент держать устройство в руках).Так на устройстве или в банке?
Почему же нестыковка? :-).
Должен (но не у Тинькова) инициироваться самим пользователем на конкретном устройстве (т. е. если сам запросил на девайсе, только тогда и придет). А у Тинькова сейчас это происходит на стороне банка (в ответ на запрос с любого мобильного девайса, будь то телефон, планшет без симки, или Win8-приложение).
Должен (но не у Тинькова) инициироваться самим пользователем на конкретном устройстве (т. е. если сам запросил на девайсе, только тогда и придет). А у Тинькова сейчас это происходит на стороне банка (в ответ на запрос с любого мобильного девайса, будь то телефон, планшет без симки, или Win8-приложение).
Т.е. достаточно сделать получение кода по USSD запросу и все будет OK? Хотя зачем было отказываться от SMS…
Не совсем ОК, т. к. это будет сложно и неудобно для клиентов (одноразовый пароль будет запрашивать не приложение, а должен будет сам пользователь + здесь тоже есть свои косяки в безопасности: код не будет привязан к конкретной операции и может быть использован в другой).
Гораздо лучше просто юзать обычные SMS (или заставить Apple не показывать USSD или Flash-SMS при залоченном экране, как это сделано в «Андроиде»).
Гораздо лучше просто юзать обычные SMS (или заставить Apple не показывать USSD или Flash-SMS при залоченном экране, как это сделано в «Андроиде»).
«Безопасники» в контексте статьи — люди, которые знают, насколько можно использовать определенную технологию с точки зрения безопасности. Получилось же как: внедрим новую фичу, которая критична для безопасности банка, где нет офлайн-офисов, не протестировав ее.
Уведомления всегда можно настроить (не показывать текст самого сообщения).
В принципе, можно назвать это и багом iOS. А можно и использованием технологии не по назначению :-).
У меня, например, оповещения почты иногда всплывают поверх скринсейвера на компьютере. Это означает, что теперь нельзя использовать почту для подтверждения операций?
Уведомления всегда можно настроить (не показывать текст самого сообщения).
То есть это плохая фича (или баг?) iOS, о котором не подумали разрабочики.
В принципе, можно назвать это и багом iOS. А можно и использованием технологии не по назначению :-).
Уведомления всегда можно настроить (не показывать текст самого сообщения).
Ну так можно и телефон отключать, когда от него отходишь, в чём проблема.
Это крайность. Показывать уведомление на заблокированном экране без текста самого сообщения — это ок. Показывать на заблокированном экране текст сообщение — не ок (иначе смысл в блокировке устройства).
По существу отображение заголовка сообщения мало чем отличается от отображения текста. Поэтому надо или запрещать показывать уведомления вообще, или не запрещать ничего. Как-то не очень удобно получается.
Почему же? Если запретить вообще уведомления на залоченном экране, то, чтобы узнать, было ли что-то новое, мне нужно будет каждый раз разблокировать телефон. Если же я увижу, что мне пришло 3 смски (от Тинькова, Иванова и Петрова) и 2 письма (от босса), то в этом нет угрозы безопасности (сам факт наличия письма — не проблема; главное, что preview не показывается на заблокированном экране).
Речь не о показывании уведомления на экране блокировки, а о показывании уведомления вообще. Для того чтобы никто не смог прочитать мою почту (хотя бы даже заголовок письма) пока мой сеанс заблокирован, мне необходимо отключать уведомления целиком. Это неприемлемый вариант.
Так и тут, если вы не хотите видеть сообщения от банка на экране блокировки, вам необходимо выключить телефон (или перевести его в режим полёта).
Так и тут, если вы не хотите видеть сообщения от банка на экране блокировки, вам необходимо выключить телефон (или перевести его в режим полёта).
Даже отображение отправителя может быть угрозой безопасности, а речь у Disasm о теме письма. Имхо, достаточно сигнализации о том, что есть сообщения, максимум их количество. А самое лучшее — возможность настроить, как минимум отключить полностью, а в идеале гибкие фильтры по всем доступным параметрам.
Безопасники должны знать, как работает USSD на всех устройствах?
На всех мобильных ОС, для которых есть мобильный клиент их приложения — разумеется, должны. И если не знают (что тоже вполне вероятно), то должны найти специалистов, которые знают и смогут объяснить.
Вообще, приложение еще должно было пройти тестирование — странно, что тестировщики это пропустили.
При чём тут клиент? Может быть у владельца телефон обладает этим багом, но клиент там вообще не стоит. Надо это тоже учитывать.
Ммм, точно, прошу прощения, невнимательно прочитал — запутался из-за второй части про отключение для девайса, с которого уже заходили.
Но, имхо, это не отменяет необходимости тестировать нововведения, особенно касающиеся безопасности, на основных платформах (а тут, как я понял, это фишка именно iOS, а не конкретного аппарата).
PS:
Правда, я не думаю, что это USSD — по описанию больше похоже на Flash-Sms.
Но, имхо, это не отменяет необходимости тестировать нововведения, особенно касающиеся безопасности, на основных платформах (а тут, как я понял, это фишка именно iOS, а не конкретного аппарата).
PS:
Правда, я не думаю, что это USSD — по описанию больше похоже на Flash-Sms.
USSD использовался оператором для спама, и потому отключен. Хорошо, что я далек от этого банка — иначе было бы очень странно. SMS — наше все.
Всегда думал, что USSD работает по принципу запрос-ответ, т.е. оператор не может выслать вам информацию по USSD каналу без вашего запроса.
Может. Есть network-originated ussd, а есть mobile-terminal originated.
Как минимум всегда думал, что отправлять их может только оператор, а не кто угодно.
А не путаете ли вы ее с Flash-SMS?
Другие — не лучше. Сбер сейчас стал слишком говорливым и пароль присылает в четырёх смсках: за пять минут можно не дождаться последней части (где, собственно, сам пароль) и начать с начала (но при этом не забываем что первая смска уже отправлена и начинается долгий период ожидания хвоста и послав вторую смску очередь доставки только увеличивается).
С точки зрения взаимодействия с пользователем, Тиньков все время был прекрасен по сравнению с остальными (почему и сижу уже 4-й год). И сейчас это было направлено на улучшения «удобства», просто слишком уж удобно сделали в ущерб безопасности.
Откуда 4 смски? Или это какой-то корпоративный не веб банк-клиент? В Сбер@онлайн смска приходит одна. В приложении для ипада используется пинкод для запуска приложения (задается при установке приложения ) и дальше тупо приходят уведомления об операциях без кодов.
Отображается одна, но через каждые 140 байт (символ кириллицы = 2 байта) стартует новый сегмент, который доставляется отдельно, и клеятся они уже в телефоне.
Да, одна, но очень длинная. И далеко не всегда информативная (в каких-то платежах из информации разве что сумму можно узнать, но не куда она направляется). О, ещё одна такая же длинная смска приходит при каждом входе в Сбербанк-онлайн.
Кстати говоря, в iOS тело SMS по умолчанию частично видно на экране блокировки, в случае с Альфа-банком код туда тоже влазит. Так что уязвимость немного надуманная.
В iOS тело SMS (так называемое preview) можно отключить для показа на экране блокировки (как и тело еmail-сообщения), что и делает каждый разумный человек сразу же, как только поставит код блокировки. В этом случае будет просто показываться сам факт смски и имя отправителя (а чтобы увидеть текст нужно уже разблокировать телефон).
Да. А еще это и не уязвимость двухфактороной аутентификации вообще, если включить «бумажного» ИБшника…
Второй фактор какой? «Владение». То есть для банка первым доказательcтвом является то, что юзер «знает» пароль от акка, а вторым доказательством является то, что юзер «владеет» неким секретом — СИМкартой/телефоном. Оба доказательства предоставлено.
В таком случае, вероятность тут состоит из двух факторов: вероятность того, что злоумышленник будет ЗНАТЬ пароль и ВЛАДЕТЬ телефоном. Да, конечно, тут обсуждается вариант, что еще нужно ДОКАЗАТЬ факт владения телефоном введя анлок код для скрина. Это действительно надежнее, в случае если СМС не показывается поверх всех слоев и в случае если пользователь установил лок-скрин. Но это кроха. С практической точки зрения это круто, да, но не существенно, тогда как факт хранения СМС раздражает куда больше, чем вероятность того, что хакир завладевает телефоном, и узнает пароль от ДБО.
Второй фактор какой? «Владение». То есть для банка первым доказательcтвом является то, что юзер «знает» пароль от акка, а вторым доказательством является то, что юзер «владеет» неким секретом — СИМкартой/телефоном. Оба доказательства предоставлено.
В таком случае, вероятность тут состоит из двух факторов: вероятность того, что злоумышленник будет ЗНАТЬ пароль и ВЛАДЕТЬ телефоном. Да, конечно, тут обсуждается вариант, что еще нужно ДОКАЗАТЬ факт владения телефоном введя анлок код для скрина. Это действительно надежнее, в случае если СМС не показывается поверх всех слоев и в случае если пользователь установил лок-скрин. Но это кроха. С практической точки зрения это круто, да, но не существенно, тогда как факт хранения СМС раздражает куда больше, чем вероятность того, что хакир завладевает телефоном, и узнает пароль от ДБО.
В WinPhone8:
Я был бы счастлив, если бы мне все сервисные сообщения (вроде временное пароля, уведомлений от банка и т.п.) присылались подобным образом, а то уже порядком надоело удалять смс пачками.
То что код в смс виден, не делает надуманной уязвимость в ussd, это делает открытой эту уязывимость и для sms :)
Другой вопрос, что уязвимость так, себе…
Но вопрос. в том какой идиот придумал USSD, для двухфакторной авторизации не понятно, более того, чем это удобнее тоже не понятно, приходит запрос, блокирует весь телефон. если ты не запомнил, не записал 6 цифр, то посмотреть их уже негде… крутотень, да и пользовательское взаимодействие, USSD, это все таки что то, что ты ждешь после своего запроса, а если ты иницировал. где то еще, то смс привычнее…
Такая же херь в CitiBank
Другой вопрос, что уязвимость так, себе…
Но вопрос. в том какой идиот придумал USSD, для двухфакторной авторизации не понятно, более того, чем это удобнее тоже не понятно, приходит запрос, блокирует весь телефон. если ты не запомнил, не записал 6 цифр, то посмотреть их уже негде… крутотень, да и пользовательское взаимодействие, USSD, это все таки что то, что ты ждешь после своего запроса, а если ты иницировал. где то еще, то смс привычнее…
Такая же херь в CitiBank
это делает открытой эту уязывимость и для sms :)
Не делает, т. к. можно запретить показ preview текста SMS-сообщения (как и email), а показывать только имя отправителя. Для USSD это невозможно в iOS.
Какой идиот придумал USSD, для двухфакторной авторизации не понятно, более того, чем это удобнее тоже не понятно
USSD тем удобнее, что не нужно выходить из приложения, чтобы посмотреть код (как известно, некоторые приложения в целях безопасности блокируются при выходе и нужно будет заново вводить пароль / код быстрого входа, чтобы иметь возможность ввести одноразовый пароль из SMS). USSD же просто показывается поверх и ника не блокирует приложение (в плане оно не уходит в tombstoning).
если ты не запомнил, не записал 6 цифр
Тиньков в этом плане удобнее: у него 4 цифры, которые невозможно не запомнить обычному человеку.
Если Apple сделает так, что USSD / Flash SMS не будут показываться при залоченном экране, то я буду только рад использовать USSD.
В Citi все таки приходит SMS, просто программа перехватывает это сообщение и показывает его в своем диалоге (по карйней мере на Android девайсе такое возможно.).
К слову, простая возврат USSD -> SMS проблему не решит. Есть еще немалая вероятность, что симкарта пользователя не заблокирована паролем — ее можно легко извлечь из телефона и вставить в свое, разблокированное устройство.
Следов доступа к вашему аккаунту также не останется, разве что нужно чуть большее время, наедине с телефоном.
Следов доступа к вашему аккаунту также не останется, разве что нужно чуть большее время, наедине с телефоном.
Не совсем. Т. е. здесь уже сам юзер виноват, что не поставиил запрос PIN при включении телефона. С USSD же на айфоне он, к сожалению, ничего не может сделать (нет никаких настроек), а у SMS и email можно отключить preview на экране блокировки (чтобы сам текст сообщения не показывался).
То есть Вы считаете нормальным, что пользователя, так поступившего с безопасностью всего лишь sim-карты (за что он ответит максимум потерей денег с этой симки+время на блокировку/восстановление), банк вполне может подставлять под удар с более крупными суммами на счету? Да грош цена такому подходу.
Честно признаться, не понял, что вы хотели сказать. Смысл моего ответа корневому комментарию заключался в том, что на sim-карту можно поставить pin-код, а текст смсок и писем не показывать при заблокированном экране (всё это можно настроить). А вот показ USSD-сообщений при заблокированном экране никак отключить нельзя (даже при наличии желания). Поэтому утверждение « возврат USSD -> SMS проблему не решит» не является верным (хотя бы потому, что переход назад к смскам сразу закроет очевидную дыру, решения которой без вмешательства Apple нет).
Простите, в чём юзер виноват? Не видел ни в одной системе двухфакторной аутенфикации хотя бы рекомендации защищать симку пином. Собственно говоря не видел даже рекомендации не давать телефон другим лицам и т. п.
Черт, кто нибудь вообще знает патерн реализации уязвимости?
Найти пользователя, узнать реквизиты подключения к банк-клиенту. Украсть, либо взять незаметно телефон, и выполнять транзакции. Не кажется ли вам в этой цепочке все слишком сложным, и мало вероятным.
Сам по себе пароль второго фактора, без первого ничего не значит, в этом и фишка двух факторной авторизации, уменьшение вероятности, поломки обоих факторов сразу.
Отдельно украсть телефон просто.
Отдельно узнать пароль банк клиента, возможно.
Одновременно и то и другое это целое предприятие.
Найти пользователя, узнать реквизиты подключения к банк-клиенту. Украсть, либо взять незаметно телефон, и выполнять транзакции. Не кажется ли вам в этой цепочке все слишком сложным, и мало вероятным.
Сам по себе пароль второго фактора, без первого ничего не значит, в этом и фишка двух факторной авторизации, уменьшение вероятности, поломки обоих факторов сразу.
Отдельно украсть телефон просто.
Отдельно узнать пароль банк клиента, возможно.
Одновременно и то и другое это целое предприятие.
Хм, а что, все СМСки на симке у вас лежат? У меня (правда, ведроид) всё в самом телефоне, так что вытаскивание сим не поможет…
Авторизационная СМС приходит именно как СМС. На заблокированном устройстве она не отображается.
Попробуйте зайти, например, в клиент под Windows 8 (авторизационная «смс» придет как USSD).
Было бы крайне любезно с Вашей стороны переоформить статью под клиент Win 8, дабы не вводить в заблуждение довольно многочисленную аудиторию пользователей iOS приложения.
Я бы с удовольствием, только это не про Win 8, а вообще на любом мобильном клиенте.
Вот, например, я только что попытался залогиниться через мобильный клиент андроида на телефоне коллеги. Это авторизационное сообщение, пришедшее на мой заблокированный телефон, на ваш взгляд похоже на смс? ↓ Чтобы вы не думали, что я вру, смотрите время на скриншоте.
Вот, например, я только что попытался залогиниться через мобильный клиент андроида на телефоне коллеги. Это авторизационное сообщение, пришедшее на мой заблокированный телефон, на ваш взгляд похоже на смс? ↓ Чтобы вы не думали, что я вру, смотрите время на скриншоте.
Это строка из старого мобильного приложения. На сегодняшний день этот скрин не актуален.
Коллега только что зашел в аппстор и не увидел никаких обновлений (андроид сказал, что версия актуальная). Впрочем если это так, как вы говорите, то нет никаких проблем (после того, как версия появится в аппсторе). Остаются 2 бага:
— USSD в других операциях мобильного банка;
— двухфакторная верификация всегда, а не один раз.
— USSD в других операциях мобильного банка;
— двухфакторная верификация всегда, а не один раз.
Старый клиент для iOS. На сегодняшний день существует свежая версия клиента.
Вот, кстати статья на обзоры мобильных банков.
Оба «бага» крайне сомнительные.
Вот, кстати статья на обзоры мобильных банков.
Оба «бага» крайне сомнительные.
Перечитайте, пожалуйста, еще раз: мы говорим о клиенте на «Андроиде», а не iOS.
Оба «бага» крайне сомнительные.
Т. е. вы считаете, что отключение двухфакторной авторизации на конкретном устройстве — это «сомнительный» баг?
Т. е. вы считаете, что отключение двухфакторной авторизации на конкретном устройстве — это «сомнительный» баг?
Т.е. я считаю, что отключение двухфакторной авторизации на конкретном авторизованном устройстве является прекрасным решением в пользу юзабилити.
Если у Вас увели логин, пароль, еще и код подтверждения авторизации, то я лично сомневаюсь, что all-time двухфакторная авторизация резко увеличит Вашу безопасность.
Однако, хочется заметить, что Вы сами согласились с тем, что осталось только 2 «бага», которые не совсем соответствуют топику статьи.
Т.е. я считаю, что отключение двухфакторной авторизации на конкретном авторизованном устройстве является прекрасным решением в пользу юзабилити.
А почему вы за меня решаете, какое устройство считать авторизированным, а какое нет. Почему чужой планшет должен оставаться авторизированным после того, как я вышел из личного кабинета?
Однако, хочется заметить, что Вы сами согласились с тем, что осталось только 2 «бага», которые не совсем соответствуют топику статьи.
Оба бага описаны в статье. USSD-авторизация, кое-где убрана (в Android и Windows 8 еще нет). USSD-коды для подтвеждения операции по-прежнему остались даже в новых версиях.
Привязывается только приложение вроде… Или Вы про приложение на планшете? А зачем авторизовываться в приложении на чужом планшете? Немного странное решение )
Ситуации бывают разные. Банально на чужом телефоне положить денег на своей со своего счета/карты. Хотелось бы иметь возможность не авторизовывать чужой телефон хотя бы снятием галочки.
Разве пользование чужим аппаратом для финансовых операций не противоречит самой идее воспеваемой здесь параноидальной безопасности?
Если разработчик предоставил возможность разлогиниться и при этом ничего не хранит о сессии — почему нет?
Потому что на чужом аппарате может быть все что угодно, независимо от усилий разработчика. В целом, удобство на личном телефоне важно для большего числа клиентов банка, нежели безопасность на чужом.
Здесь вопрос не про это, а про то, что разработчики считают любое устройство авторизированным, считай «вечно». Почему они за меня решают, какое устройство считать авторизированным, а какое нет. Может я зашел через планшет своего лучшего друга, но при этом не хочу, чтобы его планшет был после этого перманентно авторизированным без возможности снятия этой авторизации мною.
Кнопка «Dismiss» на заблокированном экране? А вдруг телефон в кармане или в сумке, и я её случайно нажму при попытке вынуть телефон?
В статье написано, что основное предназначение этих сообщений — реакция на запрос пользователя (причем реакция мгновенная). Другими словами, вы должны ждать это сообщение, и не получится случая, когда телефон будет в кармане. Использовать же их в других ситуациях — суть не совсем правильное использование технологии.
Вот здесь я попытался зайти через Android коллеги в свой мобильный банк. На айфон пришло именно USSD. Так что, как минимум, в Аndroid и Windows 8 авторизационная «смс» приходит как USSD, и ваша фраза неверна.
Я передал ссылку вице-президенту банка. Посмотрим, что скажет.
Это вы о Райффайзен банке говорите? потому что их система меня иногда реально пугает, своей ипанутостью.
Двухфакторная авторизация — не панацея.
Помните, что надо делать, если потерял SIM-ку? Берете паспорт, идете в офис оператора, и приятная девочка, сверившись с вашими паспортными данными, выдает вам новую — с вашим номером (при этом потеряная «симка» блокируется).
Так вот, оказывается на практике — при сильном желании работников оператора («очень нужны деньги») — ваше присутствие не требуется. Далее думаю понятно.
Помните, что надо делать, если потерял SIM-ку? Берете паспорт, идете в офис оператора, и приятная девочка, сверившись с вашими паспортными данными, выдает вам новую — с вашим номером (при этом потеряная «симка» блокируется).
Так вот, оказывается на практике — при сильном желании работников оператора («очень нужны деньги») — ваше присутствие не требуется. Далее думаю понятно.
У Тинькова забота о безопасности во многом скрыта от пользователя. Месяц назад они выключили смс якобы из-за смены симки только из-за того, что я был в роуминге. Конечно, вопрос решился через их службу поддержки за 5 минут, но за это время они проверили все мои данные, разве что не спросили что я на завтрак кушал.
У меня в андроиде уссд вообще отключены, ибо нефиг.
Двухфакторная аутентификация для мобильного приложения – само по себе идиотизм. Ибо СМС приходит на тот же телефон, с которого идёт работа с мобильным приложением. Пользоваться же банковскими приложениями с чужих устройств – ещё больший идиотизм.
Может я избалован хорошим юзабилити веб-клиентов банков, которыми я пользуюсь, но зачем нужны вообще мобильные приложения? Все задачи решаются комфортно через полноценный веб-клиент. Броузер — chrome for android.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как не нужно реализовывать двухфакторную авторизацию на примере одного банка, или почему продакт-менеджер должен консультироваться с безопасниками