¿Hay algún punto en evitar que las aplicaciones se ejecuten en teléfonos rooteados, si también ofrece una interfaz web?

Question

¿Hay algún punto en evitar que las aplicaciones se ejecuten en teléfonos rooteados, si también ofrece una interfaz web?

#1 de George Bailey (2 votos)
#2 de hax (1 votos)

2

Algunos bancos impiden que sus aplicaciones se ejecuten en teléfonos rooteados, por supuestas "razones de seguridad".

Sin embargo, normalmente puede usar sus servicios desde la interfaz web de todos modos.

Usando el mismo teléfono, con las mismas funciones.

Además, se puede acceder a la interfaz web desde cualquier computadora de escritorio, donde todas las aplicaciones tienen mucha más libertad que las de los teléfonos móviles.

Entonces, en estas circunstancias , ¿tiene algún sentido para evitar que se ejecuten esas aplicaciones, o simplemente es ignorancia / superstición / you-name-it?

Observe : en diferentes circunstancias, esto podría tener sentido. Si, por ejemplo, la interfaz web tiene menos funciones que la aplicación, o requiere más autenticaciones, o lo que sea.

Sin embargo, esta pregunta es solo sobre situaciones en las que sus funciones y autenticaciones son más o menos las mismas.

Ejemplo:

Ya no podremos usar nuestra aplicación de Banca Móvil si creemos que la   El dispositivo que está utilizando ha sido liberado o enraizado.

Jailbreaking y rooting, elimina las protecciones de su teléfono que pueden   deje su dispositivo vulnerable a ataques fraudulentos.

Aún podrás acceder a la Banca móvil a través de tu móvil   navegador: visite {site} desde su teléfono móvil e inicie sesión.

¡ADVERTENCIA! Esto no es una queja. Si no está satisfecho con la política de su banco, simplemente cambie a un banco diferente, es fácil.

Esto es simplemente una pregunta genuina, es decir, me pregunto si hay algo que me esté perdiendo.

Si crees que esto es una perorata, significa que no escribí lo suficientemente bien, o que no leíste lo suficientemente bien, o una mezcla de ambos. Pero puede estar seguro de que no está destinado a ser.

mobile

pregunta Sìrohol 12.10.2016 - 18:27

fuente

2 respuestas

Lea otras preguntas en las etiquetas mobile

¿Qué valores de estado del Protocolo de aprovisionamiento extensible (EPP) ofrecen suficiente protección contra el secuestro de dominios? ¿Cuál es la naturaleza de este ataque de inyección SQL?

score 2 · Answer 1

Un teléfono rooteado puede permitir al usuario instalar servicios que pueden leer los datos privados de otras aplicaciones. Muchas aplicaciones de banca en línea dependen del almacenamiento privado de la aplicación para su sistema de inicio de sesión fácil. (es decir, PIN de 4 dígitos o huella digital)

Si el banco no puede confiar en el almacenamiento privado de la aplicación, se requiere una autenticación más completa (es decir, una contraseña completa y una posible pregunta de seguridad), como vería normalmente en la interfaz basada en web.

Además, la aplicación puede almacenar información en caché adicional en el almacenamiento privado de la aplicación para una mejor experiencia de usuario, sabiendo que el almacenamiento privado de la aplicación es más seguro que el navegador localStorage .

Si el almacenamiento privado de la aplicación se ve comprometido, no se puede confiar en estas suposiciones.

Personalmente, creo que esto es un poco excesivo para el banco. Es realmente molesto para los usuarios expertos en tecnología que tienen cuidado al instalar aplicaciones compatibles con root.

Tal vez se beneficien algunos usuarios (que no son expertos en tecnología) (que no entienden el riesgo de los dispositivos rooteados). El riesgo de que se secuestre su cuenta bancaria en línea es bastante grave.

La mayoría de los (posibles) riesgos de usar un teléfono rooteado (es decir, programas de rastreo de pantalla y registradores de teclas) aún se aplican cuando se usa la versión en línea del navegador.

score 1 · Answer 2

Las aplicaciones nativas instaladas como un paquete en los teléfonos inteligentes pueden tener una diferencia significativa con respecto a su interfaz web. A veces, pueden estar hablando con una API diferente para obtener el contenido. Para hacer que el uso de la aplicación sea más suave, también pueden estar almacenando algunos datos en caché.

Como ha dicho, el riesgo anterior se aplica también a las aplicaciones web que se ejecutan en una computadora portátil. La principal preocupación aquí podría ser sobre la implementación de SSL. En una aplicación web, las aplicaciones se basan en el almacén de certificados del navegador. Los dispositivos Android, por otro lado, se basan en el almacén de credenciales de confianza del dispositivo móvil. Las aplicaciones de Android también usan una función de seguridad adicional, la fijación de SSL, para ignorar las credenciales confiables del dispositivo y confiar en sus propias credenciales de seguridad personalizadas. Esto idealmente salvaría al usuario de un ataque MITM incluso si uno de los certificados en el dispositivo está comprometido. Sin embargo, se pueden usar teléfonos rooteados para omitir la fijación de SSL. Por lo tanto, los malware que se ejecuten en un teléfono rooteado tendrán acceso completo a su comunicación HTTPS incluso si su aplicación bancaria está utilizando la fijación SSL. La advertencia del banco debe ser una forma de evitar riesgos desde esa perspectiva.