Dopiszę...bo pewnie nie znasz...że spokojnie było możliwe ostatnio
podszywanie pod czyiś numer telefonu, jeszcze niedawno...podszywanie się
pod ID apki kontrolowanej z poziomu banku, raczej jest bezpieczne, tym
bardziej, że Bank odpowiada za bezpieczeństwo :)

Problemem nie jest dialer. Problemem jest weryfikacja użytkownika na
podstawie znajomości treści SMSa wysyłanego na łatwo porabialne
urządzenie, takie jak karta sim. Dodanie powszechnego esim spowoduje, że
podrabialność wzrośnie bo znika kontrola fizyczna i wyłudzenie kopii
esima stanie się łatwiesze, bo socjotechnika nie będzie wymagała
kontaktu wprost. Znika "coś fizycznego->weryfikacja osoby".
Moje używane "zabezpieczenia" bazują na wyświetleniu na ekranie jakiegoś
napisu i potwierdzenia w aplikacji, że go widziałem. To są te, które
posiadam w różnych aplikacjach.

Takie "zabezpieczenie" jest łamalne generycznie odczytując framebuffer
ekranu telefonu. Co jest trywialne do zrobienia posiadając roota na
telefonie. Co zaś jest wpadką chyba wszystkich producentów telefonowych
OSów, bez wyjątku. Jest wiele innych metod pozwalajacych wydłubać to, co
niby widać. Choćby atak na "teleplay", który pokazuje jak brak
"fizyczności" w zabezpieczeniu kończy się setkami tysięcy zł do kibla. A
to wymyślali najinteligentniejsi jakich Play miał w kwestii
zabezpieczeń. Aż strach pomyśleć co jeszcze spieprzyli.

Problem w tym, że "zabezpieczenia" są dostosowane do poziomu
intelektualnego suwerena, czyli muszą być kierowane do idiotów. Dlatego
nie mogą być skuteczne, ani upierdliwe. Muszą być mierne, ładne i proste
(prostackie). I są. Innych się nie da wprowadzić.
Proponuje aby to producenci "zabezpieczeń" wyszli z piwnicy. Mój bank
ING, mimo wprowadzenia zabezpieczeń sprzętowych kluczami Fido, nie jest
w stanie mentalnie pojąć, że smsy i piny stanowią słabszą formę
zabezpieczania przed zdalną kradzieżą tożsamości. Wciska je dalej
wszędzie, choć mam włączoną opcję zabezpieczeń kluczami sprzętowymi. To
kwestia biologiczna projektantów zabezpieczeń. Wymagana jest raczej
zmiana pokoleniowa i przyspieszona emerytura, bo inaczej nic się nie zmieni.

Cała nadzieja, że obecne pokolenie "dziadków" którzy właśnie odkryli, że
istnieje informatyka, też niedługo przestanie być problemem, a które to
odpowiada za mierność aktualnych rozwiązań. Nowe pokolenia poradzą sobie
lepiej z zabepieczeniami, niż "smsy dla dziadków". Przynajmniej mam
nadzieję.

Nie, mam na mysli hackera, który może przejść esim w momencie jego
rejestracji w telefonie, albo najzwyczajniej wyczajający numer telefonu
i wyłudzający duplikat na podstawie wiarygodnych danych z przejętej
aplikacji i zdalnego dostępu do telefonu. W teoretycznym scenariuszu, w
skończonym czasie, nie ruszajac się z kanapy, mógłby przejść w kilka
godzin czyjś numer telefonu i wyprowadzić pieniądze z konta bankowego.
We wcześniejszym scenariuszu musiałbym ogolić się i założyć czystą
koszulę, czyli zabezpieczenie nie do przeskoczenia dla nerda.
Problemem nie jest łamanie, tylko wyłudzanie duplikatu. W przypadku esim
to może być łatwiejsze, bo na straży nie stoi Andżelika uzbrojona w
tipsy obronne, tylko jakieś AI po taniości i zmęczeni operatorzy po
drugiej stronie telefonu, którym płacą od ilości załatwionych spraw.
Bankowi programiści wprawili wypasiony zamek z tytanową wkładką do
spróchniałych drzwi, ale śrubokręt do desek w szopie mają chińczycy.
Bez znaczenia, to "właściciel" OSa ma dostęp do *wszystkiego*, w tym do
sekretów aplikacji bankowych. Myślenie, że chińczyków nie kusi aby do
ich wszelkich "nakładek graficznych" nie dodać małego surprise, jest naiwne.

Bezpieczeństwo aplikacji bankowej jest tyle warte ile zabezpieczenia
OSa. Czyli, w przypadku chińskich telefonów, nic.

To trochę jak mi kiedyś, z pełną powagą, opowiadała pracownica w banku,
żebym uważał jak się loguje, bo tylko jak jest obrazek kłódki, to jest
bezpieczne. To niebezpieczni ludzie, są za głupi aby pojąć co mówią i
jeszcze te brednie wrzucają innym do głowy.