Моб.Банковские приложения и их безопасность
Аноним (Microsoft Windows 10: Chromium based)30/08/20 Вск 17:17:50№28493851
Решил создать тред именно здесь, а не в /mobi, потому что больше относится к софтачу.
Почему в банковских приложениях такие хуевые методы аутентификации вроде входа по отпечатку пальца или СМС-коду, от которого все прогрессивные сервисы уже отказались ввиду его небезопасности. Или все это регулируется законодательством и сделать вход по OTP (и другим способам) не получается именно из-за каких-то запретов?
Как вообще можно максимально обезопасить процесс использования банковских приложений или приложений для торговли на биржах?
Пару советов по безопасности которые юзаю сам: 1) Выбирать либо чистый Android, либо iOS - все остальное нахуй. 2) Все лишние приложухи нахуй, в идеале - отдельная мобила для банковских приложух и больше ничего. 3) Сим-карта привязанная к банку всегда на другом телефоне (например на кнопочной звонилке)
Было бы идеально, Если бы кто-то из банков выпустил десктопной приложение под Linux, сразу отлетает определенный скоуп проблем с безопасностью.
>>2849385 (OP) >Выбирать либо чистый Android, либо iOS - все остальное нахуй Дальше не читал этого комнатного иксперда. Прежде чем пукать, разберись в матчасте.
Аноним (Google Android: Mobile Safari)30/08/20 Вск 17:41:20№28493923
>>2849385 (OP) >Как вообще можно максимально обезопасить процесс использования банковских приложений или приложений для торговли на биржах? Современная система с патчами безопасности и хотя бы минимальная цифровая гигиена, этого достаточно.
Аноним (Microsoft Windows 10: Chromium based)30/08/20 Вск 18:08:45№28494206
>>2849411 Речь не о минимальной цифровой гигиене, а о том как защитить себя чуть лучше, чем по умолчанию.
Аноним (Microsoft Windows 10: Firefox based)30/08/20 Вск 18:09:55№28494217
>>2849420 Зачем если уже защитит тебя в предельной возможной при таких вводных степени. Усложнять нет смысла если мы говорим о реальных векторах атаки, а не маняфантастических.
Аноним (Microsoft Windows 10: Chromium based)30/08/20 Вск 18:56:16№28494569
>>2849421 Какую наличку, у меня брокерские счета на которые ежемесячно доливаю бабло, где ты там наличку видел?
>>2849425 Затем что до определенного уровня всем похуй на безопасность, но когда ты можешь разом потерять десяток млн руб, то эта проблема становится "малость" актуальнее. Лучше ведь перебдеть. Ну и интересно какие существуют варианты.
Аноним (Google Android: Mobile Safari)30/08/20 Вск 19:03:01№284946010
>>2849456 Если ты можешь разом потерять десяток лямов, то ты наверное можешь себе позволить защищённый смартфон и ноутбук специально для выполнения подобных операций.
>>2849456 >но когда ты можешь разом потерять десяток млн руб Ты не один такой, но заметь, почему-то деньги у таких жирных рыб не отрабатывают, предпочитая им пенсию бабы сраки.
Аноним (Microsoft Windows 10: Chromium based)30/08/20 Вск 19:23:14№284947312
>>2849460 Блять так речь треда как раз об этом. Как защититься и что делать. О каком защищенном ноутбуке речь вообще, если банковские приложухи в основном только на телефоне, у них нет десктопных альтернатив тем более под "защищенные" ноуты на линуксе и тд. В брокерскими счетами полегче, т.к там есть QUIK.
>>2849461 Извини, не понял твое предложение. Что значит не отрабатывают, типо не пиздят? Я думаю дело не в "жирных рыбах", такие деньги могут быть у ноунейм работяги, без связей и тд, который нихуя не сделает если их спиздят. Ну и прецеденты нам не особо известны, никто не будет писать в новостях что кто-то украл 5млн руб с какого-то там счета. До новостей это просто не доходит.
>>2849385 (OP) Я один, как свободный человек, после зачисления денег сразу снимаю наличные и пользуюсь только ими. Видел интервью Сталлмана, он тоже пользуется только наличностью и правильно делает. Зачем отчитываться перед банком об о всех своих тратах и финансовых операциях, если можно этого не делать?
>>2849385 (OP) >Если бы кто-то из банков выпустил десктопной приложение под Linux Этого не будет, т.к. существенная часть бизнеса современных банков - это создание информационных отпечатков анусов клиентов, а со смартфона (вспомни. сколько разрешений требует типичное банковское приложение) можно натаскать намного больше даты, чем с линупса: лист контактов (составляется граф социальных связей, что может повлиять на выдачу кредита, например), геодата (комплементарно с любой оплатой картой), твои пальчики и так далее. Не говоря уже о том, что даже в масштабах крупнейших банков, доля пользователей линя - едва ли выше среднестатистических 2%, в совокупности с предыдущим пунктом - ЭКОНОМИЧЕСКИ НЕЦЕЛЕСООБРАЗНО. >>2849460 >защищённый смартфон Был блэкберри, но пидорахам его пыня запретил (гебня не выдала нотификацию на блэкберри, из-за чего его через таможню в страну не ввезти).
Аноним (Microsoft Windows 10: Chromium based)30/08/20 Вск 20:07:38№284948915
>>2849483 Блять даже в ОП-посте написано о брокерских счетах, почему вы не читаете нахуй...
Аноним (Microsoft Windows 10: Chromium based)30/08/20 Вск 20:35:00№284949216
>>2849385 (OP) >десктопной приложение под Linux веб-банк есть у некоторых
>>2849385 (OP) > Как вообще можно максимально обезопасить процесс использования банковских приложений Не пользоваться банковскими приложениями на телефоне > или приложений для торговли на биржах? Если ты торгуешь с приложения на телефоне, то ты лох последний и тебя не жалко. как и твои жалкие 100к на брокерском счёте
>>2849489 Какие брокерские счета на мобильном телефоне, ты рофлишь?
Аноним (Microsoft Windows 10: Chromium based)30/08/20 Вск 21:59:40№284952519
>>2849499 ВТБ, Тиньков Инвестиции, Альфа Банк Инвестиции, если тебя интересуют зарубежные, то Interactive Brokers и многие другие. Никогда не слышал?
>>2849494 >Не пользоваться банковскими приложениями на телефоне Предлагай иной способ.
>Если ты торгуешь с приложения на телефоне, то ты лох последний и тебя не жалко. А ты где торгуешь? В чем вообще предъява, ты либо предлагай решение, либо иди нахуй. Либо хотя бы тред почитай и увидь что я уже говорил про QUIK.
>>2849525 > Предлагай иной способ. Если тебе нужны какие-то банковские услуги - идешь в отделение и лично решаешь все вопросы.
> А ты где торгуешь? Когда-то интересовался темой. Понял, что без пары миллионов залезать бесполезно и делать это нужно точно не через российские брокерские конторы. У тебя в России никаких прав на брокерский счёт нет, а покупаешь ты не акции NASDAQ, а через цепочку посредников какую-то хуету, в стиле 0.1 акции из пакета, розданного в продуктовом наборе в стиле пятёрочки. Если какая просадка или крупный доход - брокер с тебя спишет комиссию три раза, а потом ещё двойные налоги заплатишь. И хуй ты что докажешь. Про говно, называемое акциями эпла/боинга, во всяких типа торговых приложениях в телефонах даже говорить не хочется. Наёбка для маминых трейдеров, а ты и уши развесил.
>>2849525 >Никогда не слышал? Нет. Я думал, что если заниматься этим серьёзно и профессионально, то только на ПК. Телефон это прежде всего мобильная платформа и брокерские счета на нём выглядят как какое-то баловство. А может быть просто мир за последние 5 лет так сильно изменился, что даже я не успеваю понимать, что происходит
Аноним (Microsoft Windows 10: Chromium based)30/08/20 Вск 22:16:09№284953522
>>2849529 >Понял, что без пары миллионов залезать бесполезно В чем разница между 100к и парой миллионов для тебя? Вкладывайся в те же ПИФы или просто акции которые стоят дешевле чем 100$
>а через цепочку посредников какую-то хуету, в стиле 0.1 акции из пакета Можешь даже не писать. Сначала разберись что такое ETF и зачем их сделали, потом придешь расскажешь нам.
>Если какая просадка или крупный доход Какие двойные налоги, какая комиссия. Все комиссии указаны в тарифах. Налог 13% с дохода, можешь вообще 3 года акции держать и избавиться от налога.
Не очень понимаю нахуя ты зашел в тред если вообще не при делах
Аноним (Microsoft Windows 10: Chromium based)30/08/20 Вск 22:17:44№284953823
>>2849531 Ты не всегда дома сидишь за компом и можешь быстро купить то что тебе нужно
>>2849535 Давай, удачи, дружок, в торговле через российского брокера в приложении на телефоне. Не вижу смысла с тобой спорить, деньги-то твои. Если получишь годовую прибыль больше 5% с учётом инфляции, приходи в /biz/, похвастаешься.
>>2849385 (OP) Плодить миллион сущностей это признак шизофрении. Тебе кто провёл в палату интернет?
Аноним (Microsoft Windows 10: Chromium based)30/08/20 Вск 23:05:55№284955626
>>2849540 Ты долбаеб, у меня уже около 10млн ₽ и 5% годовых валюте. Хуле мне хвастаться если я об этом сразу сказал, зачем вообще пытаться что-то высирать если ты сам и сказал что "Понял, что без пары миллионов залезать бесполезно". Не залезай тогда ни на биржу, ни в этот тред.
>>2849543 Еще один долбаеб загулявший. Какие сущности? Причины по котором это делается - очевидны. От прямого доступа телефона к симкарте, до перевыпуска симкарта по нотариальной доверенности.
Аноним (Microsoft Windows 10: Firefox based)31/08/20 Пнд 00:25:02№284959628
>>2849385 (OP) >аутентификации вроде входа по отпечатку пальца Почему ты считаешь что аутентификация по отпечатку пальца не безопасна?
Аноним (Microsoft Windows 10: Chromium based)31/08/20 Пнд 00:38:32№284960129
>>2849596 Потому что многие телефоны при определенном уровне задроченности "взломщика" разблокируются слепком, да и вообще отпечаток это какая-то идеалогически жиденькая защита, мне кажется OTP или физический токен по определению лучше
>>2849568 Окей, только вот веб-терминал Тиньков в некоторые моменты пиздец лагает из-за каких-то перегрузок видимо. Не знаю как сейчас обстоят дела, видимо нужно тестить.
Аноним (Microsoft Windows 10: Firefox based)31/08/20 Пнд 00:56:32№284960830
>>2849601 Что такое ОТР? Общественное телевидение России? И что за физический токен? ChipTAN что-ли?
>>2849601 >при определенном уровне задроченности "взломщика" разблокируются слепком При определенном положении твоих пальцев в дверном косяке и закрывающейся дверью, ты сам расскажешь пароли, долбоеб тупой. И вероятность такой ситуации сильно выше, чем что кто-то будет твои отпечатки собирать или делать модели лица для faceid.
Аноним (Microsoft Windows 10: Chromium based)31/08/20 Пнд 01:07:04№284961333
>>2849608 OTP - одноразовые пароли, например из Google Auth или любой другой альтернативы. Физические токены - ну в моем понимании это всякие Google Titan и Yubico. Например какой-нибудь менеджер паролей вроде KeePass можно настроить так, что при входе в него кроме мастер-пароля потребуется определенное кол-во раз ввести одноразовые пароли (обычно это по 4-6 цифр)
Аноним (Microsoft Windows 10: Chromium based)31/08/20 Пнд 01:09:54№284961634
>>2849611 При чем здесь дверной косяк, клоун. Никто не знает сколько у меня денег и следовательно не заламывает мне пальцы. А вот когда у тебя по рандомной причине в связи с софтверной уязвимостью улетают данные в сеть - это уже другая история. Но тебе этого видимо не понять, да вероятно оно тебе и не надо.
>>2849616 И тут ты рассказываешь про эти уязвимости, а заодно еще и про то как эти данные будут читать из под ssl
Аноним (Google Android: Mobile Safari)31/08/20 Пнд 01:15:24№284962236
>>2849616 >Никто не знает сколько у меня денег >>2849556 >у меня уже около 10млн ₽ и 5% годовых валюте )))
Аноним (Microsoft Windows 10: Chromium based)31/08/20 Пнд 01:37:22№284962737
>>2849621 Т.е банковские данные никогда не сливают, понимаю, червей не существует - это все проделки Обамы.
>>2849622 Ну и, твои действия? Речь ведь не о бездарных долбаебах с двачей которые все равно ничего не сделают, а о тех с кем я пересекаюсь в ирл и на работе.
Не очень понимаю зачем все эти рассказы про дверной косяк, про SSL (в котором уязвимости и который заменяют на TLS), и как это связано с тем что данные могут быть скомпроментированы на устройстве клиента, а не при передачи по каналу связи. Если вам нечего сказать по и лишь бы что-то высрать, пиздуйте в /b или куда-нибудь где вас сочтут за "шарящих".
Пока единственный адекватный ответ по теме треде >>2849488
>>2849627 Прости что я тебе нагрубил, на самом деле ты хорошую тему поднял. Просто тебе надо понять от чего именно ты хочешь защититься и понять как именно митигировать эти риски. Общие слова типа «устройство скомпроментировали» мало о чем могут сказать в твоём случае, так как ты там напираешь на использование отр, которое не поможет с протрояненым андроидом.
Аноним (Microsoft Windows 10: Chromium based)31/08/20 Пнд 03:08:26№284964340
>>2849629 Правда адекватного уточнения в чем именно мне нужно разобраться - не было.
>>2849632 >Просто тебе надо понять от чего именно ты хочешь защититься и понять как именно митигировать эти риски Если я завел речь об аутентификации - то конечно же здесь имеется ввиду защита от физического воздействия чужого человека к твоему устройству с целью получить какие-то данные. А также вероятным палки в колеса от самого производителя устройства. Если я завел речь об удалении сторонних приложений - конечно же здесь речь о том что они могут получать слишком дохуя прав в системе и использовать их в своих неведомых целях.
>которое не поможет с протрояненым андроидом Именно поэтому одно из решений которые по моему мнению снизят эти риски - это чистый андроид без надстроек от производителя, которые может весьма непрозрачно устанавливать в свою сборку хуй пойми что. Мне показалось это логичным. А тред создан для того, чтобы узнать у анонов похожие предположения и возможные решения.
Аноним (Google Android: Mobile Safari)31/08/20 Пнд 03:14:01№284964441
>>2849643 Я бы вместо чистого андроида остановился на LineageOS
Аноним (Microsoft Windows 10: Chromium based)31/08/20 Пнд 03:31:06№284964942
>>2849644 Спасибо, изучу. На словах выглядит неплохо, правда на офф.сайте у них ОЧЕНЬ редко обновляется блог, а последний апдейт был в начале апреля.
Аноним (Google Android: Mobile Safari)31/08/20 Пнд 03:40:25№284965243
>>2849649 А зачем что-то писать. Билды выходят, собираются, что ещё надо. Если нет оф поддержки, обычно кто-нибудь из энтузиастов делает сборку под неподдерживаемое устройство, можно глянуть на форуме 4pda
Аноним (Microsoft Windows 10: Chromium based)31/08/20 Пнд 05:14:00№284965844
>>2849652 Активность блога, компьюнити и разработчиков - это одна из причин по которой система либо взлетает, либо умирает уже через год переставая получать апдейты безопасности, устранение багов и тд. В данном случае апрель - это дата последнего билда (могу ошибаться).
>Если нет оф поддержки, обычно кто-нибудь из энтузиастов делает сборку под неподдерживаемое устройство Я уж больше доверюсь официальному репозиторию на гитхабе, чем буду качать что-то от васянов с 4pda (говорю это понимая что там конечно же есть хорошие разработчики, и это не про них).
>>2849643 >защита от физического воздействия чужого человека к твоему устройству с целью получить какие-то данные. Ну если говорить о доступных обычным пользователям вещах, а не о всяких секретных смартфонах и прочей дичи, то айфон всегда последней модели с запретом на подключение к компьютеру и естественно самой последней версии iOS.
Аноним (Microsoft Windows 8: Chromium based)31/08/20 Пнд 12:51:49№284976846
>>2849399 Пукать аргументами ты должен сперва, раз утверждаешь.
Аноним (Google Android: Mobile Safari)31/08/20 Пнд 13:14:36№284977547
>>2849658 Но LineageOS живёт уже несколько лет, с закрытия CianogenMod (это кажись в 2014 было). Одна из самых популярных прошивок среди энтузиастов.
Аноним (Microsoft Windows 10: Chromium based)31/08/20 Пнд 17:47:17№284987548
>>2849723 Да, пока iOS мне кажется одним из лучших вариантов из-за различных удобных сервисов восстановления и чуть меньшего количества критических уязвимостей (по статистике за пару лет).
>>2849768 Какими аргументами, что я утверждаю? Я создал тред с вопросами, а не утверждениями. Логика тех советов по безопасности которые я юзаю сам в кратком варианте описаны в этом посте >>2849643
Карт не имею, мобильных приложений тоже, но решил тут задать вопрос. Возможна ли nfc оплата с модуля не телефона или смарт-часов? Допустим, какой-нибудь модуль к stm'ке и тому подобное. Или же если так не сработает, то хотя бы как работа смарт-часов, то есть как я понимаю они подключаются к телефону с забитыми картами для транзакций.
>>2850140 Это то понятно. Я про другое говорю. >>2850157 Это тоже слышал. Но хотелось бы возможность запилить всё самому и впихнуть в какое-нибудь устройство.
Аноним (Google Android: Mobile Safari)01/09/20 Втр 12:20:40№285017053
>>2849399 iOS использует песочницы, и вроде бы приложения друг с другом сами даже контактировать не могут. Думаю он за это тебя попустил. Хотя попущу тебя и я. Ты шизоид ебаный красноглазый.
Аноним (Microsoft Windows 10: Chromium based)01/09/20 Втр 22:04:14№285051659
>>2850511 Так и что тогда неправильного в том что я сказал что нужно выбирать чистый Android либо iOS?
>>2850516 Потому что по мнению шизоидов и красноглазиков, чистый андроед и иос это анальные зонды гугла и эпол соответственно. В случае с андроедом красноглазик намажется кастомом без гугла, рутом, и прочим говном, лиж бы никто не узнал что он дрочит. iOS у красноглазиков не пользуется популярностью, но обычно такие шизоиды ставят себе жайлбрейк, и намазывают каждый твик на безопасность, прям по ебалу мажут, по телефону.
Аноним (Microsoft Windows 10: Chromium based)01/09/20 Втр 22:30:54№285052561
Аноним (Google Android: Mobile Safari)02/09/20 Срд 00:03:39№285055162
Попробуй использовать устройство на Lineage OS и поставить Shelter для изоляции банковских приложений от остальной системы. гитхуб.ком/PeterCxy/Shelter
Аноним (Google Android: Mobile Safari)02/09/20 Срд 00:50:36№285056263
Аноним (Google Android: Mobile Safari)02/09/20 Срд 13:10:18№285071765
>>2850551 Два.чую. Еще для сохранности можно юзать лучший впн на рынке - ProtonVPN. >>2850563 Нахуй иди
Аноним (Google Android: Mobile Safari)10/09/20 Чтв 09:19:25№285423266
>>2849385 (OP) >приложение для линукс Нахуя? Приложение на телефоне делается для удобства. На десктопе используй веб-версию.
Аноним (Google Android: Mobile Safari)10/09/20 Чтв 09:23:06№285423467
>>2849456 У меня тоже брокерский счёт. Оповещения идут на смартфон пушем. Брокерский терминал на линуксе через браузер, либо для него отдельный смарт. Поэтому пуши идут на другой. Если у тебя такого нет, то смени брокера. Даже просто смс на кнопочник отдельный уже безопасно вполне будет. Иначе тётя должен обворовать оператор.
Аноним (Google Android: Mobile Safari)10/09/20 Чтв 09:29:50№285423868
>>2849531 Что значит серьёзно? Есть у тебя 200к юсд. Ты можешь их серьёзно вложить на говновклад сбера, можешь серьёзно купить недвиж, а можешь серьёзно купить акции и иногда чекать их рост. Для этого всего нужна хотя бы минимальная защита от фишинга и утечки паролей, как второй фактор.
А то что 95% пидораших трейдеров сидят в метатрейде на винде с умными лицом и торгуют 50000 рублей, это нихуя не серьёзно.
Аноним (Google Android: Mobile Safari)10/09/20 Чтв 09:30:31№285423969
>>2849531 Что значит серьёзно? Есть у тебя 200к юсд. Ты можешь их серьёзно вложить на говновклад сбера, можешь серьёзно купить недвиж, а можешь серьёзно купить акции и иногда чекать их рост. Для этого всего нужна хотя бы минимальная защита от фишинга и утечки паролей, как второй фактор.
А то что 95% пидораших трейдеров сидят в метатрейде на винде с умными лицом и торгуют 50000 рублей, это нихуя не серьёзно.
Аноним (Microsoft Windows 10: Firefox based)11/09/20 Птн 19:42:49№285470170
>>2849385 (OP) > 3) Сим-карта привязанная к банку всегда на другом телефоне (например на кнопочной звонилке) За полгода отключенной балалайки жил в другой стране симка от еле2 внезапно стала Ошибка регистрации. К счастью на нее ничего не регал и вот даже не знаю, проебался номер или заморожен. Возможна ли ситуация, когда номер другому продадут, а у тебя какой-нибудь спермбанк привязан?
Аноним (Microsoft Windows 10: Chromium based)11/09/20 Птн 20:24:36№285472671
>>2854701 Да, возможно что сделают перевыпуск симкарты. Но я оформил заявление запрет на действия по нотариальной доверенности - вроде эта хуйня частично защищает.
Аноним (Microsoft Windows 7: Chromium based)11/09/20 Птн 22:28:38№285477672
Аноним (Google Android: Mobile Safari)12/09/20 Суб 10:10:26№285487873
>>2854701 Ну если ты пол года не юзал симку, а на ней банк, то значит денег у тебя точно там нет, иначе хули ты не пользуешься им? А поменять номер - одна минута в банке.
Аноним (Microsoft Windows 10: Chromium based)13/09/20 Вск 09:23:38№285518974