La mayoría de las aplicaciones móviles bancarias se instalan en casi todos los teléfonos inteligentes, como los dispositivos móviles basados en Android.
Pero para estar seguro y para realizar operaciones criptográficas, asumo que necesitan mantener algunos datos secretos en un almacenamiento seguro como Secure Element (SE).
Pero no todos los teléfonos móviles tienen SE.
Entonces, ¿cómo estas aplicaciones móviles bancarias mantienen seguros sus datos secretos?
Debe diferenciar entre la aplicación de banca simple donde puede hacer algún tipo de gestión de cuenta y aplicación de pago.
Aplicación de banca confía en los servicios web, por lo que todos los elementos de seguridad dependen solo de la seguridad de la comunicación entre la aplicación y el servidor y del mecanismo de autenticación que esté utilizando (por ejemplo: autenticación de dos factores)
Aplicación de pago Realice pagos sin contacto con su teléfono.
Android ofrece dos posibilidades:
Solución basada en hardware: el hardware basado en elementos seguros Actualmente hay tres tipos de elementos seguros:
Como esta implementación es un hardware, se puede considerar como segura.
Desde Android 4.4, Android ha introducido Host Card Emulation (HCE), para dar la posibilidad de emular una tarjeta de plástico y todo el intercambio de datos sin contacto. Android ofrece seguridad básica, por lo que otra capa de seguridad es obligatoria, como Whitebox Cryptographie, otras características como dispositivo y autenticación de usuario.
Ambas soluciones se basan en otro mecanismo que se llama Tokenización, por lo que los datos del titular de la tarjeta de carrete nunca se utilizarán entre la aplicación y los terminales.
En mi experiencia, las aplicaciones bancarias móviles requieren que ingrese un PIN para acceder a algo más que el saldo de un par de cuentas. Luego, si desea agregar un nuevo beneficiario, debe responder algunas preguntas de seguridad.
Entonces, sin haber descompilado una aplicación de banca móvil, para estar seguro, supongo que la aplicación tiene cierta información de autenticación cifrada mediante el PIN. Entonces, incluso si una persona mala pudiera obtener una copia de todos los datos en el disco que pertenece a la aplicación, todavía necesitaría el PIN para usarlo. Esto es similar al nivel de seguridad de su tarjeta bancaria. Mejor ya que no puedes rozar un teléfono, como puedes hacerlo con una tarjeta bancaria.
Incluso si una persona mala se apoderó de su teléfono y PIN, deberán conocer las respuestas a sus preguntas de seguridad (que se almacenarán / procesarán) en los servidores de los bancos; Para agregarse como beneficiario.
Además, el sistema operativo Android (y iOS) no permite que una aplicación acceda a los datos privados de otra aplicación. Para compartir datos entre aplicaciones, debe guardarlos en el sistema de archivos del área compartida o usar una de las otras API aprobadas (por ejemplo, copiar y pegar)
De lo que Secure Elements lo protege es de un sistema operativo comprometido (sobre el que se basan las otras capas de confianza. En el caso de una aplicación bancaria, el riesgo de que una persona mala ponga en peligro el sistema operativo de su teléfono para luego registrar su ingreso). su PIN, y copiar las credenciales cifradas, y adivinar las preguntas de seguridad, es bastante bajo. Menos que el riesgo de que alguien robe su tarjeta bancaria y PIN.