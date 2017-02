Jó néhány kivetnivalót találni a magyar mobilbanki alkalmazásokban, legalábbis ha a biztonságról van szó - állítja a lapunkhoz eljutatott tanulmányára hivatkozva egy biztonságtechnikai cég. A bankok szerint az alkalmazásaik azonban teljesen biztonságosak.







Fénysebességgel fejlődik a technológia, hazánkban már százezrek intézhetik a pénzügyeiket az okostelefonjukon keresztül. Persze az okoseszközök elterjedésével együtt a csalók száma is megnövekedett. A kibertámadások egyre nagyobb veszélyt jelentenek, hiszen ma akár egyetlen pillanat alatt a telefonunkról is ellophatnak bármilyen adatot, vagyis akár a bankszámlánkhoz is hozzáférhetnek a bűnözők.

Valóban veszélyes lenne a mobilbankolás?

Az App-Ray biztonságtechnikai cég lapunkhoz eljuttatott elemzése szerint bizony jó néhány kivetnivalót hagynak maguk után a magyar mobilbanki alkalmazások. A cég az android operációs rendszeren futó mobilalkalmazásokat vette górcső alá egy automata rendszer segítségével.

8 nagy pénzintézet mobilbankját vizsgáltuk meg, és elég nagy hiányosságokat találtunk. Az általános tapasztalatunk az, hogy a fejlesztők nem mindig tesznek meg mindent annak érdekében, hogy az adataink és ez által a pénzünk megfelelő biztonságban legyen

- tudta meg a Pénzcentrum az App-Ray Mobile Security munkatársától.

A vizsgált alkalmazásoknál többek között az alábbi hiányosságokat tárták fel:

Egyes mobilbanki applikációk kommunikációjuk egy részét nem biztonságos, lehallgatható csatornákon folytatják, ezek pedig aggályokat vethetnek fel saját adataink és pénzünk biztonsága szempontjából



Ráadásul több mobilbank nem biztonságos kapcsolódási pontokat biztosít más appok, telefonos szolgáltatások számára. Ez pedig azért probléma, mert ha kívülről el lehet indítani a mobilbankok bizonyos funkcióit, és nincs ez kellően levédve, a bankszámlaszámunk, a belépő kódunk vagy más személyes adatunk is könnyen kiszivároghat



De van olyan mobilbank, ami a mikrofonunkhoz is hozzáférést kér, hogy hangutasításra is működni tudjon. Ez hasznos lehet, de mobilbankoknál meglehetősen szokatlan; egyúttal lehetőség nyílik visszaélésekre is: mivel a legtöbb Androidon ezt nem lehet felügyelni, így bármikor, akár a hálószobánk magányában is magától rögzíthet hangfelvételeket, tetszőleges módon



Egy gép mondja meg mi biztonságos és mi nem?

A számítógéppel történő elemzések pontosságáról már évek óta vitatkoznak a szakemberek. Az App-Ray álláspontja szerint valóban előfordulnak speciális estek, amelyek kézzel jobban elemezhetőek, viszont az általános tapasztaltuk az, hogy nagyobb mélységben és nagyobb részletességgel tudnak elemzéseket készíteni egy automata szoftver segítségével. Véleményük szerint a manuális tesztelésbe könnyen belecsúszhatnak emberi hibák, amelyeknek nagy részét egyébként szoftverek repetitív, monoton használatával végeznek.

Az elemzéssel kapcsolatban természetesen bankokat is megkerestük. Az egyik bank válaszában például vitathatónak nevezte számítógéppel történő elemzéseket, ugyanis elmondásuk szerint az automata eszközök gyakran adnak hamis eredményeket is, az eszköz minőségétől függően többet vagy kevesebbet. Egy alapos vizsgálathoz szerintük az eredményeket kiértékeléséhez szakértők is szükségesek, akik ismerik a konkrét alkalmazás egyedi tulajdonságait.

Mit szólnak ehhez a bankok?

Bár az érintett pénzintézetek nem ismerik a teljes tanulmányt, de elmondásuk szerint a mobilbanki alkalmazásaik teljes biztonsággal használhatóak. Ráadásul az általunk megkérdezett bankok válaszai szerint

egy esetben sem fordult még elő, hogy az ügyfeleiket valamilyen kár érte volna esetleg egy nem megfelelően biztosított mobilbanki alkalmazás miatt.

Bár a hazai piacon még nem elterjedtek az ilyen kibertámadások, de nemzetközileg már bőven van rá példa. Egy újonnan felfedezett vírus például 94 különböző pénzügyi mobilapp belépési adatait volt képes ellopni.

Kik és hogyan ellenőrzik, hogy a mobilbankok valóban biztonságosak?



A bankok az interneten keresztül nyújtott fizetési megoldások -így a mobilbanki alkalmazások- biztonságát az MNB 15/2015. sz. ajánlásának megfelelően kötelesek végezni. Az ajánlásban foglalt vizsgálatok, tesztelések elvégzése a bankok érdeke is. A sérülékenység vizsgálatok, a betörési tesztek -amelyeket etikus hackerek végeznek- felfedik azokat a biztonsági hibákat, hiányosságokat amelyeket a kiberbűnözők kihasználhatnának saját illegális céljaikra. A vizsgálat által feltárt hibákat természetesen javítani kell - ez nem is lehet kérdéses. A biztonsági vizsgálatokat legalább évente el kell végezni, és természetesen az alkalmazás változtatásakor is. Az ügyfelek biztonsági tesztelésen átesett mobilalkalmazást kapnak a bankoktól - tudtuk meg a Magyar Bankszövetségtől.

Persze kíváncsiak voltunk, a bankok pontosan milyen módszerekkel, eszközökkel garantálják a mobilalkalmazásaik biztonságát. Mutatjuk a válaszokat.

CIB Bank

Bankunk elektronikus rendszerei - köztük a CIB Bank mobilalkalmazás is - maximálisan biztonságosak. Informatikai rendszereinek biztonságára és védelmére kiemelt figyelmet fordítunk, ennek megfelelően folyamatosan külső szakértőket bízunk meg elektronikus csatornáink biztonságának tesztelésére és védelmi szintjének megfelelő szinten tartására

- válaszolta a Pénzcentrum megkeresésére a CIB Bank.

Egy mobilalkalmazás kifejlesztése hatalmas csapatmunka, egyszerre dolgozik rajta a bank, amennyiben van, az anyabank és a társbankok, az alkalmazásfejlesztő cég, a digitális product designer (UX/UI) cég, etikus hackerek és külső tesztelők is. Csak az alkalmazáson legalább 100-an dolgoznak. Ehhez jön még hozzá a sales, a marketingkommunikáció, a termékes, a jogi és a kockázatkezelési csapat, így pedig már 100-nál is több emberről beszélhetünk.

A bank a mobilalkalmazás megfelelő biztonságához rendszeres vizsgálatokkal és tanácsadással járul hozzá. Vizsgálják az alkalmazás forráskódját, és penetrációs - vagyis feltörhetőségi teszteket is végeznek.

Erste Bank

A fejlesztési folyamatok úgy lettek kialakítva, hogy a Bank biztonsági követelményei maradéktalanul beépítésre kerüljenek az alkalmazásba. Valamennyi alkalmazás éles üzembe állítása előtt részletesen megvizsgáljuk a lehetséges sérülékenységeket, és amennyiben bármilyen szintű hibát találunk, azok éles üzembe állítás előtt maradéktalanul kijavításra is kerülnek. Mindezek mellett rendszeres sérülékenység vizsgálatot is végzünk az alkalmazásainkon

- mondta el a Pénzcentrumnak az Erste Bank.

Az alkalmazás lehetséges hibáinak kiszűrésén etikus hackerek dolgoznak, vagyis olyan szakértők, akik a bank megbízásából vizsgálják az alkalmazásokat, ugyanolyan, vagy hasonló technológiákkal, mint a rosszindulatú támadók. A különbség azonban annyi, hogy az eredményeket és a problémák megoldási lehetőségét a hackerek ebben az esetben a pénzintézetnek adják át.

A mobilbanki alkalmazásoknak mindemellett meg kell felelnie a hitelintézeti törvény végrehajtási rendeleteinek, a Magyar Nemzeti Bank ajánlásainak és persze a mindenkori legjobb szakmai gyakorlatoknak is - tették hozzá.

OTP Bank

A SmartBank mobilalkalmazás használata a technikai feltételeket teljesítő készülékek esetében biztonságos. Ugyanakkor a feltört (rooted, jailbreaked) készüléken történő használatból eredő esetleges károkért az OTP Bank nem vállal felelősséget

- tudta meg a Pénzcentrum.

A pénzintézet a mobilbank biztonságát számos módszerrel garantálja, ilyen például:

Regisztrálásnál a kétfaktoros authentikáció, vagyis hitelesítés használata

A jelszó komplexitásának vizsgálta - a bank nem engedi, hogy triviális jelszavakat használjunk, ráadásul 30 naponként jelszócsere figyelmeztetést is küldenek

Egy adott számú belépési kísérlet után pedig törlik regisztrációnkat

SSL/TLS-alapú, titkosított kommunikációt használnak

és védik az alkalmazás által a készüléken tárolt lokális fájlokat, adatokat is

A biztonsági intézkedések sorát még sokáig sorolhatnánk. Az alkalmazás megbízhatóságát azonban az bizonyítja a legjobban, hogy már több, mint 260 ezer ügyfél rendelkezik érvényes SmartBank regisztrációval, ráadásul ez a szám havonta 5-10 ezerrel növekszik.

MKB Bank

Természetesen az MKB Bank is megfelel az MNB ajánlásainak, ráadásul idén februártól mobilbanki alkalmazásukban már ujjlenyomatos azonosításra is lehetőséget biztosítnak. Ez a biztonsági megoldás hazánkban még nem annyira elterjedt, de már néhány másik pénzintézet is használja.

A több évre visszanyúló gyakorlati tapasztalatok szerint ez egy kellően biztonságos azonosítási metódus. Ezt az is alátámasztja, hogy a google és az apple is operációs rendszer szinten integrálta és támogatja ezt a módszert.

Az ujjlenyomatról vett mintában felismerhető egyedi jellemzőket leíró adatokat tárolja a telefon biztonságos módon (ezekből maga az ujjlenyomat nem reprodukálható), és az egyes alkalmazások számára csak annyi információt ad vissza, hogy a felhasználó ujjlenyomata egyezik-e a tárolt ujjlenyomattal

- válaszoltam kérdésünkre az MKB Bank.

K&H Bank

A K&H Bank elektronikus szolgáltatásainál, így a K&H mobilbank alkalmazásnál is, mindig első és legfontosabb lépésünk a biztonság garantálása. A K&H Bank a mobilbank fejlesztése során (mint minden egyéb alkalmazás fejlesztése során is) kiemelt figyelmet fordít az elkészült programkód biztonságos működésére

- válaszolták megkeresésünkre.

A pénzintézet már a fejlesztési folyamatok során követi a biztonságos programfejlesztés általánosan elfogadott módszertani alapelveit és alkalmazza a vonatkozó legjobb iparági gyakorlatot. Az elkészült alkalmazást természetesen ők is tesztelik a gyakorlatban. A biztonsági vizsgálatokat külső, független, szakértő cégek végzik, a hazai és a nemzetközi információbiztonsági piac ismert és elismert szereplői.

Az alkalmazás csak akkor kerülhet az ügyfelekhez, ha minden biztonsági teszten átmegy. Ráadásul a biztonsági teszteket folyamatosan megismételik, a megfelelő védelmi szint fenntartása érdekében.

UniCredit Bank



A jelenkor biztonsági standardjait alkalmazzuk, melyek kiegészülnek a sérülékenység rendszeres vizsgálatával betörési tesztekkel



- mondta el a bank.

Az UniCredit is arról számolt be lapunknak, hogy jelentős növekedést vár a mobilbanki alkalmazások elterjedését illetően. Hetente több ezer ügyfél aktiválja az alkalmazásukat.

Mit tehetünk mi?

Hiába biztonságosak azonban a mobilbanki applikációk, ha azokat nem használjuk kellően tudatosan. A pénzintézetek, a Magyar Bankszövetség és a Rendőrség ajánlásainak segítségével most összegyűjtöttük, mire érdemes figyelni, amikor a telefonunkat használjuk:

Kizárólag ellenőrzött forrásból (Play Store, Apple Store) származó programokat telepítsük, és gondoskodjunk ezeknek a rendszeres frissítéséről is

Csak jogtiszta, megbízható helyről beszerezett operációs rendszert használjuk és ezeket is rendszeresen frissítsük

Minden esetben győződjünk meg arról, hogy valóban a saját bankunk alkalmazását használjuk

Ha tudunk, akkor telepítsünk mobilunkra biztonsági programot, ami figyelmeztet minket a gyanús tevékenységekre

Ne állítsuk be az alkalmazást úgy, hogy az automatikusan bejelentkezzen

Bankkártyánk számát és PIN-kódját ne adjuk meg senkinek

Amennyiben elhagyjuk a mobilunkat vagy megváltoztatjuk a telefonszámunkat, akkor értesítsük a bankunkat is

SMS-ben és e-mailben se adjunk ki semmilyen számlánkkal kapcsolatos adatot

Bankunk mobilalkalmazásának csatlakozásához mindig biztonságos Wi-Fi hálózatot használjunk

Soha ne csatlakozzunk nyilvános Wi-Fi hálózaton keresztül

Gyakran ellenőrizzük egyenlegünket