QRコードによるトランザクションのみ、またはほとんどのみのトランザクション

それはおそらく銀行のアプリケーションと、銀行が紛失したPINをどのように回復できるかによって異なります。私は通常、「PINまたは指紋認証を有効にする必要があります」と言いますが、実際には必須ではない可能性があります。PIN /指紋は朝食ですセキュリティを意識した個人向け。

あなたが提供したいくつかの情報を分析してみましょう。それ you are enabled to pay by QRそして、私と同じように、スマートフォンを介してすべての支払いを管理したいと考えています。

私の銀行名は公開しませんが、ヨーロッパの主要銀行が通常行うことについて説明します。そもそも銀行の仕組みを説明しなかった

バンキングアプリケーションレベルでの認証

フィンガープリントを有効にしていない場合、および/または銀行アプリが（まだ）サポートしていない場合、Androidの優れたセキュリティAPIにもかかわらず、ほとんどの銀行はyet-another new PIN自分だけに有効なコード。選択できる場合は、携帯電話のPINと同じにすることができます。

残高の確認から支払いまで、何かをするたびに銀行アプリケーションで再認証する必要があるため、安全です。あなたがあなたの携帯電話を紛失し、誰がそれがWhatsappとあなたのすべてのメールへのアクセス権を見つけたとしても、彼らはおそらくあなたの銀行口座への即時アクセス権を持っていないでしょう。巨大な脚注を書きます。

それはあなたが持つことができる唯一のセキュリティ対策ですが、あなたの銀行に依存します。注：OTPとPSD2（European Payment Service Directive 2）を含む、この段落の本全体を書くこともできますが、それらはOPが実行できるセキュリティ対策に関する質問の範囲を超えます。

ジオロケーション

多くの銀行では、顧客が何かをするときにGPS位置を開示することを要求しています。私は詐欺防止システムについて少し懐疑的ですが、少なくとも紙の上ではこれでうまくいきます。彼らはすでにQRコードが公開されている店舗の場所を知っています。 QR支払いを発行すると、その場所にいるはずです。 QRは引き続きWhatsapp経由で送信し、印刷してリモート支払い用に写真コピーすることができます。

ルートチェック

銀行が通常行うもう1つのことは、機能を制限またはブロックすることです。 根付いたSafetyNetハードウェア/ソフトウェア認証に合格しないデバイス。

開示：私は Gルート。私は根を下ろしません。しかし、私は彼らが理由のために根をブロックすることを認めなければなりません。 [〜＃〜] owasp [〜＃〜] がそれを必要とするため、おそらくそれらのほとんど。

この場合、QRコードを使用した支払いは、理論的には悪意のあるルートアプリに違反する可能性があり、カメラAPIがQRコードを所有する偽の静的画像を読み取らせます攻撃者による。理論的に強調されていることに注意してください。

脚注：ロック解除された電話で資格情報を回復する

これはすべて銀行に依存します。メールやメッセージにアクセスできるロックされていない電話をなくすこと自体は危険ですが、お金を盗むには十分ではないかもしれません。私はすでに、取引を発行するために別のPIN /認証を必要とする銀行について話しました。

しかし、メールへのアクセスを無制限にすると、危険が迫ります。非常に単純にしましょう。銀行が忘れたアクセスコードを簡単な手段で回復できる場合、SMS回復および/または電子メール確認、電話に追加のセキュリティ対策を施す必要があります。多くの銀行では、Eメール/ SMSの確認を求める前に、実際に支店にいる必要があります。銀行がこのカテゴリに該当する場合でも、可能性があります。 PINおよび指紋なしで生きます。

まとめ

ほとんどは銀行のセキュリティモデルに依存します。誰もが電話に対して強力な認証を使用することを要求するのは簡単ですが、銀行が銀行アプリケーションで独自のセキュリティを実施している間に説明したように、銀行の慣行によれば、大きな穴が開いている可能性がありますスマートフォンをロック解除したままにすることで、セキュリティを強化できます。