Кілька експертів з кібербезпеки аналізують протоколи безпеки цих додатків та попереджають про можливі небезпеки, які може спричинити необережність їх використання.

інші

Опубліковано 23.07.2017 04:00 Оновлено

Поширення мобільних додатків для всіх видів використання це неминуче. Управління особистими фінансами - одне з них, і в останні роки такі, як MoneyWiz, Mooverang, MyValue або Fintonic, вийшли на ринок., які пропонують користувачеві детальний контроль своїх витрат і доходів.

Насправді, останню було обрано наприкінці минулого року як найбільш інноваційну у фінансовій категорії премії Start Ups Mobile Innovation Awards, яку надає Google.. Але, хоча переваги, пропоновані цими компаніями, можуть бути дуже соковитими, все ще є багато людей, які мають більше небажання, ніж спокуси встановити ці програми.

Перш за все, оскільки для того, щоб «програмне забезпечення» мало доступ до нашого банку, необхідно надати йому конфіденційну інформацію, як пароль до номера нашого рахунку. І, хоча ці компанії гарантують, що з цими даними додаток працює лише в "режимі читання" і що робить будь-які дії неможливими, різні експерти оцінювали ризики і вони погоджуються з тим, що пропоновані гарантії не є на 100% невразливими. Однак вони не погоджуються щодо корисності та переваг порівняно з небезпеками, яким піддається користувач, і деякі більше прихильні до їх використання, ніж інші.

Захист даних

Системи цих додатків розділяють інформацію надвоє. З одного боку, рухи (доходи, витрати, ліквідність, перекази тощо), а з іншого - особисті дані користувача та номер його рахунку, як пояснив Альфонсо Франко, генеральний директор All4Sec.

Франко додає, що номер рахунку зашифрований "псевдонімом", так що видно лише останні цифри, і що найбільший ризик полягає в тому, що хтось "отримує доступ до банківських рухів, не маючи можливості пов'язати їх із користувачем". Це також впливає на те, що ці програми "проводять періодичний аудит і мають сертифікати безпеки".

Комунікації "зашифровані з 256-бітовим рівнем безпеки банку"

Крім того, одна з гарантій, яку пропонує Fintonic і те, що він публікує на своєму веб-сайті, - це комунікація між користувачем та додатком "зашифрована з рівнем банківської безпеки 256 біт, стільки ж, скільки найсучасніші банки країни », щоб не було крадіжки даних. Тип шифрування, який поширюється на більшість подібних програм.

Незважаючи на це, Хесус Яго, із "За замовчуванням" і керівник платформи eGarante, вважає, що використання цих програм означає "отримання даних із захищеного середовища”, Таких як банківська система, і перенесіть їх на іншу, таким чином примножуючи ризики. Він оцінює ступінь шифрування, але наполягає на тому, що "ми не повинні забувати, що якщо сервер призначення скомпрометований, він марний", і що, залізний захист, що пропонується банками, "не може бути поширений на сторонні програми ".

Лоренцо Мартінес, генеральний директор Securízame та міжнародний спікер курсів з кібербезпеки, підкреслює, що "банк бере на себе заходи безпеки", щоб гарантувати, що програми можна лише читати, а не працювати, оскільки він має "ключ підпису", який додаток не отримує, і саме "той, хто надсилає фактор автентифікації із SMS для транзакцій ".

Загрози на мобільному

Три експерти наголошують на важливості безпеки самого мобільного телефону або пристрою, щоб ці програми не стали додатковою проблемою для користувача. «Мобільний телефон людини має захист, який він мав на меті забезпечити йому; Хтось необережний, хто не виправляє телефон, завантажує програми з небезпечного середовища і має погану політику використання, третя сторона не може пом’якшити її ”, пояснює Хесус Яго.

"Якщо хтось бере мобільний телефон, а у нього немає коду блокування, а також додатка, він може бачити всі ваші дані"

З іншого боку, «ризик полягає в тому, що хтось отримує доступ до пристрою"Або через" хак ", або фізично, пояснює Альфонсо Франко, який шкодує, що" в цих додатках добровільно вирішувати, хочете ви ввести код чи ні ", отже," якщо хтось бере мобільний, а його немає код блокування, а також додаток, він може бачити всі ваші дані ", хоча це не номер рахунку.

Лоренцо Мартінес підкреслює, що потенційна небезпека полягає у розгляді заявки. "Якщо ви зареєструєтесь у програмі з небезпечної мережі, ім'я користувача та пароль банку можуть бути скомпрометовані", - говорить він.

"Товар - це ти"

Як і більшість безкоштовних додатків, Його переваги випливають із інформації про переміщення користувача, хоча вони завжди відповідають Органічному закону про захист даних (LOPD)).

«У Fintonic ми робимо рекомендації щодо економії для користувачів. Серед них будуть цільові пропозиції на основі вашого профілю витрат », і з цих пропозицій, які відображаються,« Fintonic може взяти комісію », - пояснюють вони з програми в блозі на своєму веб-сайті.

Усі погоджуються, що ви повинні уважно читати політику, пов’язану з використанням даних, оскільки це одне з питань, яке користувачі найменше задають при встановленні нової програми.

Мартінес наполягає на тому, що ця інформація "коштує грошей" і що може бути небезпечно для когось іззовні (у випадку збою протоколу безпеки) отримати доступ до даних про витрати або доходи клієнта, оскільки вона може бути додана до інформації в його профілі в соціальних мережах, наприклад, і навіть використовують його для шантажу.

Також може трапитися, говорить Яго, що після зловмисного доступу до цих даних користувачів "хтось зателефонує постраждалій стороні, стверджуючи, що вона з банку, і запитуючи код для координатної картки; і, щоб заспокоїти співрозмовника, він розповідає йому про дивне звинувачення, зроблене одного дня, яке також відповідає реальному звинуваченню, щоб постраждала людина могла повірити в історію та надати інформацію ".

Поділ думок

Експерт eGarante та експерт Securízame відкрито виступають проти використання цих програм, на відміну від експерта All4Sec, який визнає, що він має одне з них, і вважає його корисним. «Ринок йде в цей світ; Це програма, яка полегшує повсякденне життя та стосунки з банком ", - запевняє він, але пам'ятайте, що, як і в будь-якій іншій програмі, незалежно від того, скільки заходів вживається," ризик завжди є, і ми мушу жити з цим ”.

“Я не користуюсь абсолютно жодним користувачем. Це здавалося аберацією оскільки я побачив, що програма може сказати мені, скільки я стягнув; Я керую рахунками », критикує, зі свого боку, Лоренцо Мартінес.

Незалежно від їх думки, всі вони радять користувачеві захиститися відповідними заходами безпеки не лише на своєму мобільному телефоні, але і в паролях додатків.

“Система має занадто в’ялу політику, оскільки зазвичай вона запитує паролі щонайменше шість символів і принаймні один номер. Ці паролі слабкі; Він повинен мати принаймні 8 або 10 символів з літерами, цифрами, великими, малими та спеціальними символами, так що це важко з'ясувати ", пояснює Франко.