¿La banca en línea es más segura en iOS que una computadora de escritorio?

9

¿El iOS de Apple proporciona un entorno más seguro para el comercio en línea (banca o compras) que Windows o Mac OS X? Dado que Apple debe examinar el único software que puede ejecutarse en iOS, la probabilidad de que se ejecute software malicioso en el dispositivo es mucho menor. E incluso si el malware se está ejecutando en el dispositivo, asumo que no tendría las mismas capacidades que el malware de escritorio, como el registro de teclas.

Además, iOS Safari no admite complementos que permitan un ataque de "man-in-the-browser". Esto significa que la instalación de malware drive-by a través de vectores comunes como Java, Flash y Adobe Reader debería ser imposible. Presenta una interfaz de usuario que indica claramente si una conexión es segura o no, y esa interfaz de usuario no puede ser anulada por el sitio que se muestra.

Asumptions

  • el iPhone no ha sido liberado.
  • La contraseña se escribe con el teclado en pantalla.

Crédito extra

  • ¿El uso de un administrador de contraseñas (como 1Password) mejora o reduce la seguridad?
pregunta Nic 02.02.2013 - 07:08
fuente

4 respuestas

7

Si está utilizando un dispositivo móvil IOS, su dispositivo está sujeto a muchos ataques, como

  • extracción de jugo
  • Un navegador web que no muestra claramente el estado HTTPS (iPhone)
  • Un navegador web que no muestra la URL ... habilitando el phishing (iPhone)
  • Navegadores web que no admiten software de validación SSL / TLS adicional como Convergence

Si debe usar un dispositivo móvil, sugeriría usar una aplicación dedicada, como sugiere esta publicación . Además, la aplicación en sí misma puede también validar la clave de certificado HTTPS (evitando ataques MITM) o incluso mejor puede usar autenticación mutua TLS

(Lo siguiente es similar a la respuesta de @Rory :)

La solución ideal es reformatear su PC e instalar un sistema operativo virtual para juegos, pruebas, etc. Luego use el estándar PC para todas sus necesidades bancarias. Como la máquina virtual no puede acceder a su PC (ojalá la haya configurado), entonces está a salvo de cualquier ataque de suplantación de identidad o de otro tipo. *

* Exception

    
respondido por el random65537 05.02.2013 - 23:33
fuente
6

El modelo de jardín amurallado de Apple y el modelo de seguridad de iOS son muy buenos para proteger el host, pero las aplicaciones web requieren más que la seguridad del host.

La clasificación iOS de Mac OS X ha brindado la opción de permitir solo aplicaciones firmadas y revisadas desde Appstore y el uso obligatorio de sandboxing a partir de marzo de 2012.

Windows 8 está siguiendo lentamente el mismo modelo al hacer que la versión de la tableta (Windows RT) solo ejecute el código de la Tienda Windows de forma predeterminada. Pero la plataforma aún es joven y frágil .

Seguridad de Apple Appstore:

  • tarifa de inscripción de $ 99.
  • Verifica su identidad y usa la aplicación de la ley contra el crimen.
  • Revisión de contenido y análisis estático.
  • El código está firmado y no se puede modificar.
  • El costo de explotación es muy alto.
  • Muy pocas aplicaciones de malware se deslizan a través de.

Seguridad de Apple iOS:

  • Se necesitan 6 meses para escribir un exploit.
  • La revisión de la aplicación es un riesgo para los meses de trabajo en un exploit.
  • Las explotaciones de iOS están escritas por pocos grupos.
  • Apple parches rápido.
  • Se emplea la firma de código, las páginas de memoria se firman en tiempo de ejecución y, como DEP, protege contra el código de inyección.
  • El cajón de arena del cinturón de seguridad de iOS es muy bueno.
  • Charlie Miller inyectó un nuevo código en el tiempo de ejecución al encontrar una vulnerabilidad y se lo prohibió en Appstore; luego, la vulnerabilidad se reparó en 4 días.
  • Se han encontrado pocos usos maliciosos de las vulnerabilidades.

Asegurar el host no es suficiente y no puedes confiar en Apple para ayudar al usuario A SER seguro. Un host seguro empuja a los atacantes a atacar los siguientes puntos más débiles, como la comunicación y el usuario donde Apple solo puede empujar al usuario para que esté seguro. Hay otros problemas para el comercio en línea:

  • Contraseñas débiles o falta de protección de la cuenta contra el restablecimiento y la intercepción.
  • Conciencia de seguridad para cosas como certificados SSL falsos o sitios web de phishing.
  • Vulnerabilidades en sitios web comerciales que requieren la interacción del usuario, como XSS, CSRF y Clickjacking.
respondido por el Cristian Dobre 02.02.2013 - 09:02
fuente
3

Uno de los aspectos que aún no se mencionan en otras respuestas es que la seguridad móvil aún es relativamente joven y, en comparación con los sistemas operativos maduros, es más difícil obtener una seguridad sobre la funcionalidad de seguridad implementada.

Por lo tanto, actualmente es más sencillo estar más seguro en un sistema operativo de escritorio: las herramientas son bien conocidas, los tipos de ataques son bien conocidos y la implementación de capas de seguridad es mucho más sencilla para el usuario final.

Todavía no usaría una aplicación ios o Android para la banca en línea, pero uso una máquina virtual en mi computadora de escritorio, ya que puedo controlarla y borrarla después de usarla.

    
respondido por el Rory Alsop 02.02.2013 - 15:26
fuente
0

No

  1. iOS en sí mismo no es necesariamente más seguro que la versión jailbreaked. Sin embargo, considere que para que Jailbreak sea posible, iOS debe tener al menos un ataque de seguridad por naturaleza.
  2. Una vez instalado, muchas veces las vulnerabilidades de seguridad son corregidas por los desarrolladores de jailbreak. Sin embargo, es posible que no puedas revisar y / o entender el jailbreak o los parches que prometen corregir las vulnerabilidades. Por lo tanto, puede que no sea posible confiar en el jailbreak en absoluto.
  3. Al escribir su contraseña en la pantalla, cada tecla se "amplía" o se amplía al tocarla mediante el teclado nativo de iOS. Alguien, o algo (como una cámara de seguridad), puede estar vigilando por encima del hombro para robar su contraseña.
  4. La seguridad adecuada no solo protege al cliente , sino a toda la cadena de comunicación y todos los dispositivos asociados con él. Por ejemplo, si no se está comunicando a través de HTTPS, la información podría ser robada en tránsito. Si su contraseña no se almacena de forma segura (como un mal desarrollador que guarda las contraseñas en texto sin formato), su contraseña también podría filtrarse si alguna vez se compromete una base de datos.

Sobre la selección de la contraseña en sí misma: hay varias discusiones en línea, y están disponibles aquí en security.stackexchange.com . He encontrado (y me encanta) esto: XKCD # 936: ¿Contraseña corta y compleja, o frase de contraseña larga del diccionario?

    
respondido por el F. Hauri 02.02.2013 - 11:28
fuente

Lea otras preguntas en las etiquetas