Перейти к содержанию

Recommended Posts

Viktor

10 Reasons NOT to use a banking app

here’s 10 reasons from the top of my head, feel free to add more to this blog.

01) I recently checked the T&C’s (terms and conditions) from an Irish banking app and it wanted me to grant permission for the app to know my location (GeoIP). Not just that but it also wanted to be able to access any images on my device. When I contacted their support line to ask them why this was necessary. They replied , it was imperative to know my location just in case I ever wanted to use a future feature which would let me know where my closest ATM was. They could not give me any reason of why they wanted to access images on my device. For “support issues” they mumbled on the phone. If I wanted to use their app, I had no choice but to give them access to track my whereabouts, movements etc

02) There is no clear legislation that sets out your rights to receive a refund if your bank account is fraudulently emptied due to mobile bank app insecurity. The burden of proof seems to be on the user to protect their handset, operating system, software, mobile operator infrastructure and everything else in the “chain” of the transaction (including the banks!)

03) Of course you want to be able to use WiFi hotspots, this means you are in most cases operating on an insecure network. It’s so easy for “bad guys” to sniff the air with a free utility and read your details.

04) Most users have not even set up a basic passcode on their devices (smartphones, tablets). Therefore if some gets access to the device, they have potentially access to their bank account.

05) Further to my recent presentation on mobile security. You will remember that most app stores do not test the security of apps. It is very easy for the “bad guys” to put Malware in the apps that can steal information from your device or other apps on your phone/device (e.g. banking app). Or it can happen when the app updates.

06) Most Smartphone/tablet device users have not installed security software on their device. Therefore they have less security than comparing to a laptop or PC with security software installed.

07) The average Smartphone / tablet users does not regularly perform OS (Operating System) updates. Many of these updates are critical security patches.

08) Due to performance issues, many of the lower cost handset manufacturers are disabling security features in order to improve performance of the device.

09) Malware on the Android platform alone has gone up over 400% in the last year

10) The technology that keeps apps separate on device does not separate them out into private sandboxes. This means that one app can read the details stored in another app without much difficulty.

Read full article

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

What about banking apps at WinPhone? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

What about banking apps on iPhone? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
What about banking apps on iPhone? :)

https://viaforensics.com/appwatchdog/ :)

What about banking apps at WinPhone? :)

А таких много? Имхо, платформа пока не оправдывает надежд

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×