¿Qué tan seguras y seguras son las aplicaciones bancarias en los teléfonos con Android?

Pregunta interesante. En resumen, diría que es seguro, al menos, como lo son su computadora portátil / de escritorio.

Explicación: el sistema operativo móvil es mucho más avanzado en su arquitectura de seguridad que su antiguo sistema operativo Windows.

Habiendo dicho que realmente depende de tu dispositivo, sistema operativo y cómo lo uses.

Por ejemplo, los dispositivos que consideraría seguros sin ninguna duda son los dispositivos iOS sin Android y los dispositivos Nexus de Android. Yo diría que la mayoría de estos son mucho más seguros que la mayoría de las PC.

Si rooteas o haces jailbreak a tu dispositivo, estás aumentando el riesgo, ya que estás rompiendo los mecanismos de defensa del sistema operativo.

Si permite la instalación de aplicaciones de fuentes que no son de confianza, está aumentando el riesgo

Si su dispositivo no es un dispositivo de gama alta que se actualiza de manera oportuna, corre un mayor riesgo (por eso los dispositivos Nexus son los más seguros entre los dispositivos Android)

Si se conecta a redes WiFi públicas abiertas, aumenta su riesgo.

Además, recomendaría usar el teclado predeterminado y no un teclado de terceros. No porque piense que los teclados de terceros en el mercado son maliciosos (Apple y Google realizan auditorías de seguridad en sus mercados), sino porque pueden estar registrando sus comentarios con el propósito "bueno" como completar palabras, pero no puede estar seguro de que lo estén haciendo. una forma segura que evitará que se filtren sus contraseñas, quién sabe dónde ...

Una búsqueda rápida en Internet muestra que la mayoría de las aplicaciones bancarias tienen algún tipo de falla. Aunque la mayoría de los evaluadores solo probaron la aplicación y no los servidores o servicios back-end (esto necesitaría la aprobación del banco), incluso aquí encuentran que no se han aplicado algunas medidas de seguridad básicas. Algunos ejemplos apuntan a versiones anteriores de Android donde los permisos no son necesarios, la depuración se deja habilitada, la aplicación aceptaría cualquier certificado ssl o ni siquiera aceptaría la autenticación de 2 factores.

Dicho esto, también depende de la aplicación de banca que esté utilizando, los bancos más grandes tienden a hacerlo mejor, ya que en su mayoría desarrollan las aplicaciones internas y continúan desarrollándolas. Donde los bancos más pequeños "comprarán" una aplicación de desarrolladores externos y no la seguirán desarrollando activamente.

Muchos sistemas bancarios utilizan algún tipo de confirmación adicional para las transacciones, es decir, el banco puede enviar un código de confirmación a su móvil. Incluso si el software malintencionado en su escritorio tratara de enviar su dinero a otra persona, no tiene acceso a mensajes de texto en su móvil. Sin embargo, el mismo tipo de software puede tener acceso a ambos, su banco y mensajes de texto con códigos de confirmación.

Cualquier sistema puede verse comprometido si no se utiliza con cuidado. Como han dicho otros, si el teléfono es rooted y hay aplicaciones instaladas que funcionan contienen exploits, entonces existe el riesgo de que la información se capture desde las distintas interfaces en el dispositivo porque el dispositivo en sí ya no puede ser "confiable".

Algunas aplicaciones pueden contener malware y virus como aplicaciones de linterna gratuitas que robaban contraseñas . Además, si una aplicación como DroidStealth puede ocultarse, otras aplicaciones también pueden ocultarse.

Dicho esto, hay problemas subyacentes con varios de los esquemas de encriptación que se implementan para cosas como OpenSSL . Realmente se reduce a cómo se escriben las aplicaciones para su banco, quién las escribió y cómo se bloquea su dispositivo.

Otros factores de riesgo dependen de la red. Del mismo modo que un teléfono puede verse comprometido, una torre celular o un punto de acceso wifi pueden estar comprometidos para permitir que alguien inyecte sus propios certificados y descifre la información intermedia. Debido a que está utilizando una aplicación, dependiendo del nivel de verificación de la aplicación de un certificado en particular, podría ser posible que crea que se está conectando al servidor del banco cuando realmente se está conectando a otra cosa.

Si bien existe una capa de "seguridad" con respecto a los dispositivos móviles y lo que permiten y no permiten, también existe una capa de riesgo porque el usuario final no tiene forma de saber en qué nivel se encuentran los certificados finales. Sin tamizado de paquetes (más complejo por celular). Lea todos los últimos exploits para las aplicaciones que usa y ajústelos en consecuencia.

Otros pensamientos

Si lo miras desde el punto de vista del banco, si es un banco grande, es probable que tengan un equipo de desarrolladores trabajando en la aplicación todo el tiempo. Es una pesadilla de relaciones públicas si tienen una aplicación que les permite a las personas robar dinero del banco. Es probable que implementen actualizaciones mensuales, si no semanalmente. Te dirán lo que se ha arreglado. Dicho esto, no pueden controlar su dispositivo o su SO. Lea el acuerdo de licencia de usuario final para el software que descargó de su banco. En él, indicarán claramente de qué son y de qué no son responsables. Si no son responsables de algo de acuerdo con ese documento, existe la posibilidad de que no lo planifiquen en su codificación, simplemente porque no son legalmente responsables. Si bien puede ser lo mejor para ellos desde el punto de vista social, en algunas circunstancias se les ha permitido a los bancos cambiar su riesgo en términos de su responsabilidad con respecto a los riesgos en línea. Los bancos obtienen fondos de los gobiernos y están protegidos por esos diferentes gobiernos en ciertos eventos por lo que depende de su región. Debido a eso, también están obligados por ley a tener un nivel razonable de seguridad para todo lo que producen y entregan a sus clientes dentro de ciertas jurisdicciones.

En muchos casos, el usuario final puede estar protegido si no utiliza las aplicaciones, ya que si una transacción se realiza a través de la aplicación, aunque no sea la acción del cliente del banco, el banco no tiene forma de verificar que la transacción sea fraudulenta Si la cuenta de la persona está autenticada en su dispositivo móvil. Significando para el banco si se parece a usted porque tienen todas las credenciales y su cuenta está autenticada desde su dispositivo, entonces es probable que sea usted, por lo tanto, "usted" es responsable, si el "usted" es realmente usted. . Si se trata de un traje, ganan porque tienen más dinero.

Si está usando una computadora de escritorio, puede ser más fácil demostrar que realmente no transfirió todo su dinero porque hay registros. También puede limitar el acceso a la máquina e incluso configurar una máquina designada para transacciones confidenciales. Además, en una máquina de escritorio puede instalar un software que ayudará a proteger su sistema de virus y malware. Asegúrese de actualizar cualquier dispositivo o máquina con las últimas versiones actualizadas, ya que las versiones de seguridad ocurren con bastante frecuencia en estos días.

En cualquier caso, es posible que desee considerar la instalación de software en su dispositivo que busque vulnerabilidades como rootkits, malware y virus. Si bien esto no es una solución para la mala programación, los malos hábitos o el uso inadecuado, podría mitigar el riesgo. También es posible que desee buscar un dispositivo más seguro si se trata de un problema personal.

Los teléfonos con Android siempre sufrirán "hacks" y deberían (a menos que usted ruede su propia ROM segura y se encargue de los trucos de instalación de los proveedores) se los considere "inseguros" a dispositivos seguros "menos que ideales". p>

Si está vigilante y asegura su dispositivo; mantenerlo actualizado ir a pocos sitios web; y no instale ninguna aplicación de la que no esté seguro de que sea seguro, podría considerarlo un dispositivo moderadamente seguro para realizar operaciones bancarias. Por lo general, tengo un dispositivo de almohadilla que se usa exclusivamente SOLAMENTE para aplicaciones seguras (banca, sitios de PII, etc.). De lo contrario no hago nada más con ese teclado.

Dicho todo esto, la banca es un entorno de transacción repudiado. Si un pirata informático obtiene acceso a su cuenta, si bien será una molestia temporal para usted y puede tener algún daño colateral, no hay ninguna transacción financiera electrónica que no sea repudiada. Por lo tanto, aparte de las molestias, al final no será usted quien pague; será una mula pobre la que se utilizó para convertir el dinero de lo electrónico a lo físico y mula en otra parte (todos esos "trabajo desde casa", déjeme depositar algo de dinero en las estafas de su cuenta).

Yo diría que los teléfonos Android más antiguos (2.3 y 4.0) y todos los teléfonos iOS son extremadamente inseguros. Tales teléfonos más viejos no reciben parches de seguridad. No necesita un exploit de 0 días cuando el sistema operativo no se ha actualizado en 3 o 5 años. Las fugas de Snowden incluían un pequeño detalle: el 100% de los dispositivos iOS son crackeables.

Para mitigar los riesgos, instalo aplicaciones bancarias en mi tableta, que nunca sale de casa y nunca se conecta a una red pública. De esa manera, incluso si Android no es seguro, no hay muchas oportunidades de ataque.

Todos los que piratean a Comcast aún pueden hackear mi tableta y mi cuenta bancaria con relativa facilidad, pero al menos hay un primer paso que se requiere.

No es fácil garantizar la seguridad si no confías en el sistema operativo. No instalo mucho en mi tableta ni lo uso para navegar por la web al azar. Así que es básicamente un dispositivo aislado y físicamente seguro.

Windows 7/8 / 8.1 será mucho más seguro que Android, ya que aún reciben actualizaciones de seguridad de Microsoft. Android es un completo desastre para la seguridad, hay algunos problemas.

1: Google no es compatible con Android desde hace mucho tiempo, una vulnerabilidad reciente que anunciaron no será parcheada en 4.3 o más, 4.3 no tenía ni 12 meses cuando lo anunció. Mientras tanto, Microsoft soportó XP durante más de 10 años.

2: incluso si se trata de un parche de Google, los usuarios están a merced de sus operadores, y los operadores tienden a no admitir teléfonos viejos por el tiempo que quieran vender teléfonos nuevos.

3: las aplicaciones solo pueden almacenar datos en lugares limitados y las aplicaciones bancarias se crean para conveniencia, por lo que se almacenará en caché en el dispositivo un cierto grado de inicio de sesión, mientras que en Windows también se almacenan en caché los elementos de seguridad, el mecanismo de Windows es generalmente más seguro. La prueba de esto es que en mi aplicación de banca, si detecta que el teléfono está rooteado (lo que es), no le permitirá usar la aplicación, pero le permitirá iniciar sesión a través del navegador en el teléfono, que muestra el banco mismo confía en el inicio de sesión del navegador más que la aplicación.