ElectroYou - la comunità dei professionisti del mondo elettrico

[SteveBrady]

Salve a tutti,

ho un vecchio smartphone di cui sono ancora soddisfatto, anche se avrebbe bisogno di una resettata, ma ormai causa app homebanking a breve obbligatoria per accedere al conto, sarò costretto a cambiarlo. È un Samsung S5 mini con android 5.1.1 ufficialmente non aggiornabile, mentre l'app richiede almeno la 6.0.
Detesto gli smartphone attualmente in commercio perché tutti inutilmente enormi e quindi per me scomodi per cui le alternative sono due:
1) acquistare un cellulare usato che si avvicini alle caratteristiche ricercate, ad es. S9 o S10e;
2) installare sull'attuale telefono una rom custom che può arrivare credo anche alla versione 9 e successive.
In entrambi i casi mi pongo delle domande sulla sicurezza: c'è da fidarsi di smartphone usati e dalla provenienza sconosciuta anche se resettati? Allo stesso modo se installo un s.o. custom sul mio dispositivo che garanzie posso avere che nei pacchetti preconfezionati o nel kernel non vi siano spyware, trojan o altro?
In generale come si può verificare che sul proprio cellulare non sia installato qualche sw spia, di controllo remoto o comunque non desiderato?
Credo sia un tema di sempre maggiore importanza visti gli svariati contesti interessati non solo la banca ma anche carte di pagamento, spid, cloud vari privati ed aziendali, ecc.

Grazie a tutti, ciao

[edgar]

causa app homebanking a breve obbligatoria per accedere al conto

Potresti valutare un'altra banca che non ti costringa ad usare uno smartphone. La mia, pur avendo un'app specifica, ti consente di usare anche il PC con SMS di controllo per la sicurezza.

[SteveBrady]

Sì, ci ho pensato ma l'assistenza clienti della banca sostiene che la normativa europea va in quella direzione e che a breve anche le altre banche si adegueranno. Oltre a questo dicono che è per maggiore sicurezza dei clienti.
Non sono un esperto ma a pensare di avere una app sul cellulare dalla quale si può fare qualunque operazione bancaria mi spaventa un po'. Forse sbaglio ma utilizzare un PC per accedere ed avere un altro dispositivo per la verifica del codice mi dà l'idea che sia più sicuro.

A conferma del trend anche la banca di mio padre spinge per l'installazione della app, pur non obbligandola rende l'accesso e le operazioni più lente, bisogna infatti aspettare che falliscano 2 tentativi di verifica con app per poter richiedere l'sms. Inoltre ora gli sms sono gratuiti ma a breve saranno a pagamento.

Per me l'ideale sarebbe avere un app che gira anche su SO vecchi ma che possa funzionare con il lettore di impronte e serva da mero generatore di chiavi OTP personalizzate però senza possibilità di operare, oppure poter scegliere di limitare l'accesso al solo uso informativo.

Comunque i miei dubbi rimangono anche se compro uno smartphone moderno con android 12 perché posso sempre incappare in qualche intrusione o sw non voluto, servirebbe una maggiore conoscenza e consapevolezza dei dispositivi e delle vulnerabilità.
Non so nemmeno se esista per smartphone ma si potrebbe utilizzare una sandbox? Altrimenti credo che forse la cosa più prudente sia tenere uno smartphone, sempre aggiornato, solo per le cose 'serie' e utilizzare quello di tutti i giorni per il resto.

[edgar]

forse la cosa più prudente sia tenere uno smartphone, sempre aggiornato, solo per le cose 'serie' e utilizzare quello di tutti i giorni per il resto.

Con un numero diverso e da accendere solo quando si deve operare sul conto dovrebbe garantire una sicurezza decente, ma aspettiamo gli esperti.
Ho scoperto giusto ieri sera che anche il metodo SMS può avere i suoi limiti.
https://www.webeasytech.com/news/sim-swap-cos-e-e-come-proteggersi/70/

[Goofy]

Mi sembra che Alcatel commercializzi ancora smartphone da 5 pollici con android recente

[marcok625]

Ciao, anche io mi sono fatto queste domande quando la tesserina che sfornava i numerini di accesso si è scaricata. Dalla banca mi hanno fatto scegliere credo giustamente se pagare per averne un'altra o se installare gratuitamente la loro app. Ho deciso per la seconda, ma ho scelto di poter fare solo la conferma per poter accedere solo da PC.
In sostanza oggi uso l'app solo come seconda garanzia, ma faccio tutto solo da PC. Sempre sull'app mi arrivano le conferme quando inserisco i bonifici e cosi via.
Il mio cellulare ha Android one, ho scelto questa versione perché garantiva aggiornamenti più a lungo periodo pur essendo un cellulare di fascia media. Considera che sulla maggior parte dei telefoni, android è customizzato dal produttore, ci potrà SEMPRE essere la possibilità di un attacco. Secondo me è meno probabile se si hanno a disposizione gli ultimi aggiornamenti.
Parlando delle ROM, attenzione che non è tutto oro, anche io con dei cellulari vecchi ho cambiato sistema operativo, ma poi si è rivelato una stupidata, frequenti blocchi e spegnimenti improvvisi. Quando il telefono andava era anche performante , ma non era per niente affidabile, e sicuramente non installerei mai l'app della banca anche se solo come conferma secondaria su un telefono con sistema operativo non originale.
Eviterei anche di avere un cellulare dedicato, dovrei avere una seconda sim da gestire e mantenere solo per quello, troppo sconveniente. (dal mio punto di vista)

[SteveBrady]

Ho scoperto giusto ieri sera che anche il metodo SMS può avere i suoi limiti.
https://www.webeasytech.com/news/sim-swap-cos-e-e-come-proteggersi/70/

Ho letto grazie. Non capisco dove dice "non associare il numero di cellulare ai servizi home banking o e-commerce" e quindi cosa bisogna fare? Un numero di cellulare è praticamente sempre obbligatorio.
Anch'io avevo trovato questo, non molto rassicurante.
Le banche hanno assicurazioni che dovrebbero proteggere da eventuali frodi ma credo in molti casi possano pararsi dietro la ritrosia dei clienti meno propensi alle nuove modalità di accesso per non pagare il maltolto.

Non ci si rende ben conto di cosa si può rischiare, per fare un esempio dove lavoro alcuni colleghi sono restii all'installazione di app microsoft per la verifica a 2 fattori degli accessi office365 e alcuni persino alla ricezione dell'sms. Io uso quest'ultimo e vedendo nei log i diversi tentativi di accesso (fortunatamente falliti) da ogni parte del mondo non mi sogno di tornare indietro.

[SteveBrady]

Mi sembra che Alcatel commercializzi ancora smartphone da 5 pollici con android recente

Sì è vero, ne avevo valutati alcuni alla fine scartati per l'assenza di NFC, pochi sensori (tipo bussola), per la versione di android go, di cui non so molto e per le poche bande della parte radio. Dove la ricezione non è ottima come a casa mia (3g accettabile ma ormai spento, 4g scarso) avere più bande credo aiuti. In generale cercavo qualcosa di più completo visto che non lo cambio spesso.

[SteveBrady]

Ottimo marcok625, nel tuo caso l'adeguamento è stato meno traumatico e più digeribile. Non sapevo che android one garantisse più aggiornamenti, lo terrò presente, grazie
Le ROM infatti non mi ispirano molta fiducia anche se credo dipenda dall'abbinata pacchetto sw e dispositivo per il grado di stabilità ed affidabilità. Avevo installato una CM7 su un cellulare secondario che volava letteralmente rispetto alla stock originale e senza che vi fossero dei blocchi, però appunto questo non è garanzia per tutti i modelli e ROM.
Il cellulare dedicato in effetti sarebbe scomodo... non me lo porterei sempre in giro, lo terrei a casa, quindi quasi sempre spento e lo utilizzerei al bisogno per cui quasi azzerata anche l'utilità delle notifiche. E più tutto questo a renderlo poco conveniente rispetto ai costi veri e propri che potrebbero essere riducibili a pochi euro all'anno.

[drGremi]

Non vedo motivi per ritenere il PC più sicuro di uno smartphone. Sappiate che l'home banking su smartphone può essere considerato un fattore di sicurezza aggiuntivo perché vi permette di controllare più spesso le operazione ed intervenire tempestivamente in caso di frode.
Le frodi sono protetta da assicurazione a patto che vengano denunciate entro un certo tempo (dipende da cosa). Quindi non sta ad avere rischio 0, ma al contenimento del rischio.

Per avere uno smartphone sicuro è necessario che sia aggiornato. Ad oggi le aziende migliori sono
1) Apple. La si può odiare ma ha aggiornamenti di sicurezza oltre i 6 anni di smartphone, nessun altro produttore li ha. 700€ nuovo
2) Samsung, 3 anni per la fascia alta, ora anche per la fascia media 330€ nuovo se prendi un fascia media tipo un A53
3) Google con i Pixel 3 anni, 460€ nuovo.

Tutti gli smartphone hanno la sandbox di default, ogni app è su sandbox.

1) acquistare un cellulare usato che si avvicini alle caratteristiche ricercate, ad es. S9 o S10e;

Se l'investimento economico non è un problema ti consiglio l'iphone 13 mini (visto che lo vuoi piccolo). Sarà supportato sicuramente per altri 5 anni.

mentre l'app richiede almeno la 6.0

Questo non basta, devi ricevere gli aggiornamenti di sicurezza di android.

In entrambi i casi mi pongo delle domande sulla sicurezza: c'è da fidarsi di smartphone usati e dalla provenienza sconosciuta anche se resettati?

Ovviamente dipende. In linea teorica no perché potrebbe essere stato manomesso, in linea pratica se lo ha usato una persona "normale" sì.
Stessa cosa per le custom rom, devono essere affidabili gli sviluppatori, così come chi fornisce le gapps (è successo che con le gapps venissero aggiunti malware), senza gapps l'app bancaria non funziona perché non c'è google play protect e devono fornire tempestivamente aggiornamenti di sicurezza.