Oeps. Was de Rabo Random Reader.
Mixup met random runner (gokkast).
mensen snappen dat echt niet, dus de malware genereert een scherm 'dit moet je intikken' en ze doen het, en bevestigen daarmee een malware-overboeking in plaats van wat ze dachten (en op hun pc scherm zagen) .
Gaat een smartphone helpen tegen mensen die doen wat de boef zegt dat ze moeten doen en de betekenis negeren van wat ze in moeten tikken of wat er op hun scherm staat? Ik zou verwachten dat die precies even onnadenkend op hun smartphone gaan doen wat de boef instrueert en daarbij dezelfde dingen negeren.
Het probleem van random reader was dat alle informatie over de transactie door de gebruiker via een numeriek toetsenbord meegegeven moest worden.
Dat is _extreem_ laag bitrate kanaal . Een handvol cijfers is het enige wat de reader vertelt kan worden over de transactie zoals de gebruiker die bedacht heeft om mee te nemen in de checksum berekening.
De huidige generatie vraagt om het bedrag dat je overmaakt 'alleen cijfers voor de komma' .
https://www.rabobank.nl/toegankelijkheid/random-reader-comfortEr is dus zelfs geen mogelijkheid om de (juiste) bestemming terug te koppelen.
Als je op een platgehackte PC zit te werken moet je als leek snappen dat dat hele gedoe met pincodes , cijfers voor de komma en controlegetallen het enige is dat (nog) voorkomt dat er een ander bedrag overgeboekt wordt .
De rabo scanner heeft iets meer mogelijkheden, omdat daar de informatie over de aanstaande transactie via een kleuren-QR code gelezen wordt (in plaats van een handjevol numerieke toetsen en wat je mensen kunt vragen om over te typen) en dan op de scanner laat zijn wat er (werkelijk) overgeboekt gaat worden .
En voor _die_ transactie genereert de scanner een werkende bevestigings code .
Een smartphone kan gewoon de hele transactie laten zien - bedrag, bestemming .
En de gemiddelde PC is gewoon niet zo betrouwbaar waar een smartphone dat gemiddeld wel is.
In bepaalde opzichten die voor bankieren inderdaad belangrijk zijn, maar: hoe goed is de support van de verschillende fabrikanten op de verschillende modellen? Met name de telefoons die niet schreeuwend duur zijn? Hoe lang ontvang je updates? Zijn de OS- en de hardwareleverancier niet druk aan het datagraaien? Hoe weet ik welke apps dat wel of niet doen, als de makers van apps het zelf niet altijd overzien omdat ze een library gebruiken waarvan op een gegeven moment blijkt dat die data graait? Hoe lang gaat een batterij mee die je niet kan verwisselen? Hoe betrouwbaar is de vingerafdruklezer op een betaalbaar toestel eigenlijk, kan ik daar mijn bankzaken en DigiD wel aan toevertrouwen?
Zet jezelf eens op de stoel van security architect van een bank, en vraag je af wat is het beste dat je voor AL JE KLANTEN werkbaar kunt krijgen , niet alleen voor paranoide nerds met een Qubes VM en daarin OpenBSD .
Dan wint "smartphone" gewoon met gemak .
Ben je heel zenuwachtig dan koop je maar een (extra) smartphone waar je niks anders opzet dan je bank en DigiD, en die leg je in de la als je klaar bent.
Staat ie uit is er ook niks te data graaien .
Het is heel gezellig en leuk dat banken smartphone-plaforms beoordelen vanuit wat voor hun belangrijk is, maar dat is niet het enige wat telt bij het aanschaffen van zo'n ding.
Ik zie aankomen dat ik, vanwege banken en DigiD, op een gegeven moment aan een smartphone zal moeten geloven. Ik kijk dus al af en toe rond met het soort vragen in mijn hoofd dat ik hierboven opschreef. Ik kan niet zeggen dat ik veel wijzer word, zowat de hele wereld lijkt niet op dit soort vragen gericht te zijn. Alleen OS'en die uitdrukkelijk gemaakt zijn om privacyvriendelijk te zijn geven een beter beeld, maar daar lijkt het onzeker te zijn of precies de apps waarvoor ik aan een smartphone zou beginnen het wel doen.
Enthousiast word ik er niet van tot nu toe. Bij mijn desktopsysteem (Debian) overzie ik aanzienlijk beter waar ik aan toe ben.