Me preguntaba si esto podría ser un problema de seguridad para la aplicación bancaria y, de ser así, ¿por qué? ¿Cuáles son los riesgos si lo permito?
Me preguntaba si esto podría ser un problema de seguridad para la aplicación bancaria y, de ser así, ¿por qué? ¿Cuáles son los riesgos si lo permito?
Solo debes controlar lo que pueda importar. La localización siempre está desactivada en mi teléfono inteligente, a menos que I la esté utilizando. Realmente no quiero ocultarlo, pero apenas puedo entender por qué un servicio bancario podría estar interesado en él. Y sé que una consulta legal la obtendría de inmediato de mi operador. Lo mismo si uso un acceso wifi (público o no). Supongo que mi banco también lo sabe, por lo que no lo saben, pero saben que podrían obtenerlo si se produce un ataque desde allí.
Las cosas son diferentes cuando usa Tor o algunos otros proxies conocidos (*) que se usan para privacidad , porque ahora incluso las consultas legales no pueden encontrar fácilmente de dónde provino la conexión, incluso pueden . Así que, en mi humilde opinión, ni me decepcionaría ni me sorprendería si mi banco rechazara todos los accesos de Tor o requiriera al menos un segundo factor de autenticación (ni una pregunta secreta ...) por razones de seguridad. Después de todo, nunca he entrado en una oficina bancaria con una máscara, y espero que no me dejen entrar.
Así que rechace los accesos a Tor si lo desea, pero no se concentre demasiado en la geolocalización de un servicio bancario. Lo que importa aquí es autenticar a los clientes no donde están. Cualquier cosa que pueda impedir la identificación del punto de acceso es sospechosa, pero simplemente no dar localización no lo es.
(*) No todos los proxies son iguales. No rechace los proxies corporativos, por ejemplo ...
¿Está hablando de falsificar servicios de ubicación en un navegador o en un dispositivo móvil, o se está conectando a través de una VPN para aparentar que falsifica la geolocalización basada en IP?
Personalmente ... si mi banco me pidiera acceso a los datos de geolocalización de mi teléfono para otra cosa que no fuera encontrar una sucursal o cajero automático, probablemente no usaría ese banco. En cuanto a las comprobaciones de geolocalización de IP ... usaría esos datos para agregar peso a la detección de fraudes.
Si hay suficientes factores para sugerir que la solicitud no es del cliente, entonces bloquéela como posible fraude. Pero la ubicación actual por sí sola probablemente no debería ser suficiente, porque la gente viaja. ¿Se movieron repentinamente de un país a otro más rápido de lo que uno podría viajar en avión? ¿Están conectados desde dos países a la vez? ¿El agente de usuario de la conexión es diferente al que utiliza normalmente?
Sume todas estas pequeñas cosas y establezca un umbral en el que tendrá lugar una acción de bloqueo. Si desea ver un ejemplo de cómo se estructuraría, los sistemas de correo electrónico antispam son un excelente ejemplo. No hay un solo factor para decidir si el correo electrónico es correo no deseado ... es un sistema de controles diferentes que funcionan en conjunto uno con otro.
Si los servicios VPN son una preocupación ... agréguelos como un factor en el sistema. Pero muchas personas se conectarán a una VPN para servicios bancarios si están en una red WiFi pública. No creo que solo sea una razón legítima para bloquear una solicitud. Probablemente configuraría el sistema para ajustar el peso del factor según si el usuario usa normalmente una VPN o no.
Las personas malintencionadas que intenten romper su aplicación probablemente falsificarán su ubicación y ocultarán su IP pública a través de VPN, Tor y / o proxies. No bloquear a los usuarios que falsifican su ubicación podría exponerlo a sus intentos
Por otra parte, la ubicación falsa suele ser algo que haría un usuario preocupado por su privacidad.
También tenga en cuenta que este tipo de controles se hacen del lado del cliente de la aplicación, por lo que un individuo malintencionado con suficiente conocimiento en ingeniería inversa puede omitir ese tipo de filtros, mientras que un usuario legítimo probablemente no lo haga
Debes equilibrar qué prefieres, bloquear posibles atacantes y posiblemente usuarios legítimos que falsifican su ubicación o exponer tu aplicación a esos atacantes
Lea otras preguntas en las etiquetas geolocation appsec mobile