Vajon kellően védettek-e az okostelefonos banki tranzakcióink? Erről vitáznak a magyarországi pénzintézetek és egy biztonságtechnikai cég.
Az App-Ray nevű bécsi vállalkozás automata rendszerrel vizsgálta nyolc magyar bank mobilalkalmazásait, s arra jutott, hogy akadnak még rések ezeken a programokon, legalábbis az androidos változatokon. A Pénzcentrum témában született cikke szerint az eredmény azt mutatja, hogy egyes alkalmazások nem biztonságos, lehallgatható csatornákat használnak, azaz a cég szakértői úgy vélik, nincsenek biztonságban a felhasználó adatai. Több mobilbanki alkalmazás ezt azzal tetézi, hogy más applikációk számára is hozzáférést biztosít nem biztonságos kapcsolódási pontokon keresztül. Azért jelent ez különösen nagy kockázatot, mert ezen a résen keresztül kívülről el lehet indítani a mobilbankok egyes alkalmazásait, s akár a felhasználó bankszámlaadataihoz is hozzáférhetnek illetéktelenek. Akad olyan alkalmazás is, amely hozzáférést kér a telefon mikrofonjához. Az persze jó, ha hangutasításra is működik a rendszer, gondot jelent viszont, hogy ez a legtöbb androidos készüléken nem felügyelhető. Ennek pedig az lehet a következménye, hogy rögzíthetik a tulajdonos hangját, ami szintén biztonsági kockázatot jelent.
A felvetésekre válaszolva a magyarországi bankok tagadták, hogy nem elég biztonságosak az általuk használt mobilalkalmazások. Egyrészt – mint állítják – a fejlesztések során kiemelt figyelmet fordítanak a tesztelésre, és csak teljesen biztonságos megoldásokat alkalmaznak. Másrészt külső úgynevezett etikus hekkereket, azaz biztonsági szakértőket kérnek föl, hogy folyamatosan monitorozzák a mobilbanki alkalmazásokat, s az így összegyűjtött tapasztalatokat elemezve fejlesztik tovább az applikációkat. Akadnak olyan bankok is, amelyek a legbiztonságosabbnak tartott ujjlenyomatos azonosítást használják arra, hogy ne lehessen feltörni rendszerüket.
Végül bizonyítékul felhozták, hogy mostanáig egyetlen esetben sem fordult elő, hogy ez alkalmazások használata miatt kár érte volna ügyfeleiket. Ugyanakkor érdemes megjegyezni azt is, hogy bár hazánkban valóban nem történt még banki applikáción keresztüli adatlopás, tavaly novemberben a Fortinet szakértői arra hívták fel a figyelmet, hogy egy magát Flash Player-frissítésnek álcázott vírus 94 alkalmazás adatait képes ellopni. Ez a szoftver a telepítés után hamis Google Play-oldalon kér engedélyeket a felhasználótól, majd amikor a 94 alkalmazás valamelyikét megnyitja az ember, akkor az eredetihez kísértetiesen hasonló felület jelenik meg az okostelefon kijelzőjén, ahol a belépéshez szükséges adatokat kérik.
