web-dev-qa-db-fra.com

Les applications bancaires sont-elles sûres / sécurisées sur les téléphones Android?

J'ai une application bancaire mobile installée sur mon téléphone qui me permet de payer des choses, de transférer de l'argent en utilisant mon téléphone de mon compte à un autre, etc.

Dans quelle mesure cette application est-elle sûre ou non? Par exemple, quelles sont les chances que je puisse obtenir des logiciels malveillants/virus/logiciels espions/enregistreurs de frappe sur mon téléphone qui pourraient en quelque sorte enregistrer mes coordonnées bancaires, ou pire, voler mon argent et envoyer mon argent vers un compte bancaire dans un pays étranger?

Une telle chose est-elle possible ou est-ce impossible, c'est-à-dire que toutes les applications Android en bac à sable ou quelque chose, ce qui empêche les logiciels malveillants/virus/logiciels espions/enregistreurs de frappe de puiser dans une autre application sur le même téléphone, c'est-à-dire l'application bancaire?

Je parle spécifiquement des applications bancaires sur les téléphones Android.

7
oshirowanen

Question interessante. En bref, je dirais que c'est sûr au moins car votre ordinateur portable/bureau est sûr.

Explication: le système d'exploitation mobile est beaucoup plus avancé dans son architecture de sécurité que votre bon vieux système d'exploitation Windows.

Cela dit, cela dépend vraiment de votre appareil, de votre système d'exploitation et de la façon dont vous l'utilisez.

Par exemple, les appareils que je considérerais comme sûrs sans aucune hésitation sont les appareils iOS non rootés et les appareils Android Nexus. Je dirais que la plupart d'entre eux sont beaucoup plus sûrs que la plupart des PC).

Si vous rootez/jailbreakez votre appareil, vous augmentez considérablement le risque car vous cassez les mécanismes de défense du système d'exploitation.

Si vous autorisez l'installation d'applications à partir de sources non fiables, vous augmentez le risque

Si votre appareil n'est pas un appareil haut de gamme qui reçoit des mises à jour en temps opportun, vous êtes plus à risque (c'est pourquoi les appareils Nexus sont les plus sûrs parmi les Android Android)

Si vous vous connectez à des réseaux WiFi publics ouverts, vous augmentez vos risques.

De plus, je recommanderais d'utiliser le clavier par défaut et non un clavier tiers. Non pas parce que je pense que les claviers tiers sur le marché sont malveillants (Apple et Google effectuent des audits de sécurité sur leurs marchés), mais parce qu'ils peuvent consigner vos entrées à de "bonnes" fins comme l'achèvement de Word - mais vous ne pouvez pas être sûr qu'ils le font dans d'une manière sécurisée qui empêchera vos mots de passe de fuir qui sait où ...

4
aviv

Tout système peut être compromis s'il n'est pas utilisé avec précaution. Comme d'autres l'ont dit, si le téléphone est enraciné et que des applications contenant des exploits sont installées, il existe un risque que des informations soient capturées à partir des différentes interfaces de l'appareil, car l'appareil lui-même ne peut plus être " de confiance."

Certaines applications peuvent contenir des logiciels malveillants et des virus tels que les applications de lampe de poche gratuites qui volaient des mots de passe . De plus, si une application comme DroidStealth peut se cacher, d'autres applications le peuvent aussi.

Cela étant dit, il existe des problèmes sous-jacents avec plusieurs des schémas de cryptage déployés pour des choses comme OpenSSL . Cela dépend vraiment de la façon dont les applications pour votre banque sont écrites, qui les a écrites et du verrouillage de votre appareil.

D'autres facteurs de risque dépendent du réseau. Tout comme un téléphone peut être compromis, une tour cellulaire ou un point d'accès wifi peuvent tous deux être compromis pour permettre à quelqu'un d'injecter ses propres certificats et de décrypter les informations entre les deux. Étant donné que vous utilisez une application, selon le niveau de vérification de l'application pour un certificat particulier, il est possible qu'elle puisse croire qu'elle se connecte au serveur de la banque lorsqu'elle se connecte réellement à autre chose.

Bien qu'il existe une couche de "sécurité" en ce qui concerne les appareils mobiles et ce qu'ils autorisent et n'autorisent pas, il existe également une couche de risque car l'utilisateur final n'a aucun moyen de savoir à quel niveau les certificats finaux sont sans filtrage des paquets. (plus complexe que cellulaire). Lisez tous les derniers exploits des applications que vous utilisez et ajustez en conséquence.

D'autres pensées

Si vous le regardez du point de vue de la banque, s'il s'agit d'une grande banque, ils ont probablement une équipe de développeurs travaillant sur l'application tout le temps. C'est un cauchemar de relations publiques s'ils ont une application qui permet aux gens de voler de l'argent à la banque. Ils déploieront probablement des mises à jour mensuelles, voire hebdomadaires. Ils vous diront ce qui a été corrigé. Cela étant dit, ils ne peuvent pas contrôler votre appareil ou votre OS . Lisez le contrat de licence utilisateur final pour le logiciel que vous avez téléchargé depuis votre banque. Dans ce document, ils indiqueront clairement ce qu'ils sont et ne sont pas responsables. S'ils ne sont pas responsables de quelque chose selon ce document, il est possible qu'ils ne le planifient pas dans leur codage, simplement parce qu'ils ne sont pas légalement responsables. Bien que cela puisse être dans leur meilleur intérêt d'un point de vue social, dans certaines circonstances les banques ont été autorisées à déplacer leur risque en fonction de leur responsabilité vis-à-vis des risques en ligne. Les banques obtiennent un financement des gouvernements et sont protégées par ces différents gouvernements dans certains événements, cela dépend donc de votre région. De ce fait, ils sont également tenus par la loi d'avoir un niveau de sécurité raisonnable pour tout ce qu'ils produisent et distribuent à leurs clients dans certaines juridictions.

Dans de nombreux cas, l'utilisateur final peut être protégé s'il n'utilise pas les applications, car si une transaction se produit via l'application, même si ce n'est pas le client de la banque, la banque n'a aucun moyen de vérifier que la transaction est frauduleuse si la personne le compte est authentifié sur leur appareil mobile. Signifiant pour la banque si elle vous ressemble parce qu'elle possède toutes les informations d'identification et que votre compte est authentifié à partir de votre appareil, alors c'est probablement vous, donc tout ce dont vous êtes responsable, que le "vous" soit vraiment vous . S'il s'agit d'un costume, ils gagnent parce qu'ils ont plus d'argent.

Si vous utilisez un ordinateur de bureau, il pourrait être plus facile de prouver que vous n'avez vraiment pas transféré tout votre argent car il existe des journaux. Vous pouvez également limiter l'accès à la machine et même configurer une machine désignée pour les transactions sensibles. De plus, sur une machine de bureau, vous pouvez installer un logiciel qui aidera à protéger votre système contre les virus et les logiciels malveillants. Assurez-vous de mettre à jour tout appareil ou machine vers les versions mises à jour les plus récentes car les mises à jour de sécurité se produisent assez fréquemment ces jours-ci.

Dans tous les cas, vous souhaiterez peut-être envisager d'installer sur votre appareil un logiciel qui recherche des exploits tels que les rootkits, les logiciels malveillants et les virus. Bien que ce ne soit pas une solution pour une mauvaise programmation, de mauvaises habitudes ou une mauvaise utilisation, cela pourrait atténuer les risques. Vous pouvez également envisager d'obtenir un appareil plus sécurisé s'il s'agit d'un problème personnel.

0
AbsoluteƵERØ

Une recherche rapide sur Internet montre que la plupart des applications bancaires ont une sorte de faille. Bien que la plupart des testeurs n'aient testé que l'application elle-même et non les serveurs ou services principaux (cela nécessiterait l'approbation de la banque), même ici, ils constatent que certaines mesures de sécurité de base n'ont pas été appliquées. Certains exemples ciblent les anciennes versions Android où les autorisations ne sont pas nécessaires, le débogage reste activé, l'application accepterait n'importe quel certificat SSL ou n'accepterait même pas l'authentification à 2 facteurs.

Cela étant dit, cela dépend également de l'application bancaire que vous utilisez, les plus grandes banques ont tendance à faire mieux avec cela car elles développent principalement les applications en interne et continuent de la développer. Où les petites banques "achèteront" une application de développeurs tiers et ne continueront pas à la développer activement.

0
BadSkillz

De nombreux systèmes bancaires utilisent une sorte de confirmation supplémentaire pour les transactions, c'est-à-dire que la banque peut envoyer un code de confirmation à votre mobile. Même si un logiciel malveillant sur votre bureau essaie d'envoyer votre argent à quelqu'un d'autre, il n'a pas accès aux SMS sur votre mobile. Cependant, le même type de logiciel peut avoir accès aux deux - vos messages bancaires et SMS avec des codes de confirmation.

0
rsm