web-dev-qa-db-ja.com

Androidスマートフォンのバンキングアプリケーションはどの程度安全/安全ですか?

スマートフォンにモバイルバンキングアプリケーションがインストールされていて、支払いをしたり、スマートフォンを使用して自分のアカウントから別のアカウントに送金したりできます。

このアプリケーションの安全性と安全性はどの程度ですか?たとえば、スマートフォンでマルウェア/ウイルス/スパイウェア/キーロガーを入手して、銀行の詳細を記録したり、さらに悪いことに、お金を盗んで海外の銀行口座に送金したりする可能性はありますか?

そのようなことは可能ですか、それとも不可能ですか。つまり、すべてAndroidアプリケーションがサンドボックス化されているか何かであり、マルウェア/ウイルス/スパイウェア/キーロガーが別のアプリケーションを利用できないようにします。同じ電話、つまり銀行アプリケーション?

具体的には、Androidの電話のバンキングアプリケーションについて話しています。

7
oshirowanen

興味深い質問です。一言で言えば、少なくともあなたのラップトップ/デスクトップは安全なので、それは安全だと思います。

説明:モバイルOSは、古き良きWindows OSよりもセキュリティアーキテクチャがはるかに進んでいます。

それは本当にあなたのデバイス、OS、そしてあなたがそれをどのように使うかに依存していると言いました。

たとえば、迷わず安全だと思うデバイスの例は、根ざしていないiOSデバイスとAndroid Nexusデバイスです。これらのほとんどは、ほとんどのPCよりもはるかに安全です。

デバイスのルート化/脱獄を行うと、OSの防御メカニズムを破壊するため、リスクが大幅に高まります。

信頼できないソースからのアプリケーションのインストールを許可すると、リスクが高まります

お使いのデバイスがタイムリーな方法で更新を取得するハイエンドデバイスではない場合、より大きなリスクにさらされます(これが、Androidデバイス)の中でNexusデバイスが最も安全である理由です)

オープンなパブリックWiFiネットワークに接続すると、リスクが高まります。

さらに、一部のサードパーティ製キーボードではなく、デフォルトのキーボードを使用することをお勧めします。市場のサードパーティ製キーボードが悪意があると思うからではなく(AppleとGoogleは市場でセキュリティ監査を実行します)、Word補完などの「良い」目的で入力をログに記録している可能性があるためです。あなたのパスワードがどこにあるかを知っている人が漏洩するのを防ぐ安全な方法...

4
aviv

注意深く使用しないと、システムが危険にさらされる可能性があります。他の人が言ったように、電話が rooted であり、エクスプロイトを含むアプリがインストールされている場合、デバイス自体がもはやできなくなるため、デバイスのさまざまなインターフェイスから情報がキャプチャされるリスクがあります。信頼できる。」

パスワードを盗んでいた無料の懐中電灯アプリ など、一部のアプリにはマルウェアやウイルスが含まれている可能性があります。 DroidStealth のようなアプリがそれ自体を非表示にできる場合、他のアプリも同様に非表示にすることができます。

そうは言っても、 OpenSSL のようなもののために配備されている暗号化スキームのいくつかには根本的な問題があると言われています。それは本当にあなたの銀行のアプリケーションがどのように書かれているか、誰がそれらを書いたか、そしてあなたのデバイスがどのようにロックダウンされているかにかかっています。

その他のリスク要因はネットワークによって異なります。携帯電話が侵害される可能性があるのと同じように、セルタワーまたはwifiアクセスポイントの両方が侵害され、誰かが自分の証明書を挿入し、その間の情報を復号化できるようにする可能性があります。アプリを使用しているため、特定の証明書についてアプリが行うチェックのレベルによっては、実際に何か他のものに接続しているときに、銀行のサーバーに接続していると思われる可能性があります。

モバイルデバイスとそれらが許可するものと許可しないものに関しては「セキュリティ」の層がありますが、エンドユーザーがパケットをシフトせずにエンド証明書のレベルを知る方法がないため、リスクの層もあります。 (携帯電話よりも複雑)。使用するアプリの最新のエクスプロイトをすべて読んで、それに応じて調整してください。

他の考え

銀行の観点から見ると、大手銀行の場合、開発者のチームが常にアプリに取り組んでいる可能性があります。銀行からお金を盗むことを可能にするアプリがあれば、それはPRの悪夢です。更新は毎週ではなくても、毎月展開されるでしょう。彼らは修正されたものを教えてくれます。つまり、yourデバイスまたはyourOSを制御することはできません。銀行からダウンロードしたソフトウェアのエンドユーザー使用許諾契約を読みます。その中で、彼らは彼らが何であるかを明確に述べ、責任を負いません。彼らがその文書によると何かについて責任がない場合、彼らが法的に責任がないというだけの理由で、彼らが彼らのコーディングでそれを計画しないかもしれない可能性があります。社会的見地からは最善の利益になるかもしれませんが、一部の状況では 銀行はオンラインリスクに関する責任の観点からリスクをシフトすることが許可されています。 銀行は政府から資金を得て保護されていますそれはあなたの地域に依存するので、特定のイベントでそれらの異なる政府によって。そのため、法律によっては、特定の管轄区域内で生産し、顧客に提供するものに対して妥当なレベルのセキュリティを確保する必要があります。

多くの場合、エンドユーザーはアプリを使用しなくても保護できます。これは、アプリを介してトランザクションが発生した場合、銀行の顧客が行っていなくても、銀行がその人のトランザクションであるかどうかを確認する方法がないためです。アカウントはモバイルデバイスで認証されます。すべての資格情報があり、アカウントがデバイスから認証されているために銀行があなたのように見える場合、それはおそらくあなたであり、したがって、「あなた」が本当にあなたであるかどうかにかかわらず、あなたが責任を負うものは何でも。それが訴訟に帰着する場合、彼らはより多くのお金を持っているので、彼らは勝ちます。

デスクトップコンピューターを使用している場合は、ログがあるため、実際にすべてのお金を送金しなかったことを証明する方が簡単な場合があります。また、マシンへのアクセスを制限し、指定されたマシンを機密トランザクション用にセットアップすることもできます。さらに、デスクトップマシンに、ウイルスやマルウェアからシステムを保護するのに役立つソフトウェアをインストールできます。最近、セキュリティリリースが頻繁に発生するため、デバイスまたはマシンを最新の最新バージョンに更新してください。

いずれの場合も、ルートキット、マルウェア、ウイルスなどのエクスプロイトを探すソフトウェアをデバイスにインストールすることを検討することをお勧めします。これは、プログラミングの悪さ、習慣の悪さ、不適切な使用法の修正ではありませんが、リスクを軽減することができます。これが個人的な問題である場合は、より安全なデバイスの入手を検討することもできます。

0
AbsoluteƵERØ

インターネットで簡単に検索すると、ほとんどのバンキングアプリに何らかの欠陥があることがわかります。ほとんどのテスターは、アプリ自体のみをテストし、バックエンドサーバーやサービスはテストしませんでした(これには銀行からの承認が必要です)。ここでも、いくつかの基本的なセキュリティ対策が適用されていません。一部の例は古いAndroid=アクセス許可が不要なバージョンを対象としており、デバッグを有効のままにしておくと、アプリはssl証明書を受け入れるか、2要素認証さえ受け入れません。

これは言われていることですが、使用している銀行用アプリにも依存します。大手銀行はアプリを自社で開発し、開発を続けるため、これを使用するほうがうまくいく傾向があります。小規模な銀行がサードパーティの開発者からアプリを「購入」し、積極的に開発を続けることはない場合。

0
BadSkillz

多くの銀行システムは、取引に何らかの追加の確認を使用します。つまり、銀行は確認コードを携帯電話に送信できます。デスクトップ上の悪意のあるソフトウェアがあなたのお金を他の誰かに送ろうとしたとしても、それはあなたの携帯電話のテキストメッセージにアクセスできません。ただし、同じ種類のソフトウェアで、銀行コードと確認コード付きのテキストメッセージの両方にアクセスできます。

0
rsm