Y donde se meten los de Google que no controlan aplicaciones maliciosas en su AppStore?

#3 No sé si lo dices en serio o no.
Las webs no son más seguras que el móvil.

#2 En Android hay algo como AppStore, pero no tienes las limitaciones que hay en iOS, es decir, te puedes instalar lo que quieras sin ningún problema, venga de donde venga y con mucha facilidad.

Nunca he usado un terminal de estos pero si que -por la fuerza- tuve que usar Java/Android Studio y el simulador.

Osea que tienes libertad para poner lo que quieras pero se te puede colar algo de este tipo.

#1 Hasta los huevos de los bancos que te obligan a tener su aplicación de m# en el movil para poder operar.
Quieren poner MFA. Hay mil alternativas. Pero obligarte a instalar una app de m# es la peor de todas.

Parece que sólo quedan 3 en play store.

Pero bueno, al menos estar prevenido.

Aquí listado de las app reportadas:

Y aunque hemos dicho que la mayoría de apps han sido eliminadas de la tienda, te recomendamos visualizar la siguiente lista donde se integran todas las apps fraudulentas que han sido reportadas a través de este nuevo informe. En caso de detectar que tienes alguna de ellas, te recomendamos eliminarlas cuanto antes y verificar los permisos concedidos a ellas.

Photo Editor: Beauty Filter (gb.artfilter.tenvarnist)
Photo Editor: Retouch & Cutout (de.nineergysh.quickarttwo)
Photo Editor: Art Filters (gb.painnt.moonlightingnine)
Photo Editor - Design Maker (gb.twentynine.redaktoridea)
Photo Editor & Background Eraser (de.photoground.twentysixshot)
Photo & Exif Editor (de.xnano.photoexifeditornine)
Photo Editor - Filters Effects (de.hitopgop.sixtyeightgx)
Photo Filters & Effects (de.sixtyonecollice.cameraroll)
Photo Editor : Blur Image (de.instgang.fiftyggfife)
Photo Editor : Cut, Paste (de.fiftyninecamera.rollredactor)
Emoji Keyboard: Stickers & GIF (gb.crazykey.sevenboard)
Neon Theme Keyboard (com.neonthemekeyboard.app)
Neon Theme - Android Keyboard (com.androidneonkeyboard.app)
Cashe Cleaner (com.cachecleanereasytool.app)
Fancy Charging (com.fancyanimatedbattery.app)
FastCleaner: Cashe Cleaner (com.fastcleanercashecleaner.app)
Call Skins - Caller Themes (com.rockskinthemes.app)
Funny Caller (com.funnycallercustomtheme.app)
CallMe Phone Themes (com.callercallwallpaper.app)
InCall: Contact Background (com.mycallcustomcallscrean.app)
MyCall - Call Personalization (com.mycallcallpersonalization.app)
Caller Theme (com.caller.theme.slow)
Caller Theme (com.callertheme.firstref)
Funny Wallpapers - Live Screen (com.funnywallpapaerslive.app)
4K Wallpapers Auto Changer (de.andromo.ssfiftylivesixcc)
NewScrean: 4D Wallpapers (com.newscrean4dwallpapers.app)
Stock Wallpapers & Backgrounds (de.stockeighty.onewallpapers)
Notes - reminders and lists (com.notesreminderslists.app)

#3 justo ahora que todos los bancos te obligan a pasar por su app para confirmar cualquier operación que hagas con ellos.

Si me permitis el offtopic ..... Quiero abrir una cuenta sin nómina con tarjeta a débito y cero comisiones y gastos (la quiero para ir almacenando algo de dinero pero poder disponer de él al momento) que me recomendáis

IOS una mierda, Android tres mierdas pinchás en un palo.

#4 algo muy muy muy muy basico que diferencia el nivel de seguridad entre una web en el pc y en el movil, es que en el pc por defecto ves la direccion completa de la pagina web donde estas. Si estas en meneame.net en vez de en una web de suplantacion llamada meleame.net , ves la diferencia.
En todo caso ya estan empezando a obligar a abandonar el pc, ing es el primero _(Creo) en anunciar una cuenta que no tiene tarjeta credito/debito fisica y solo te permite usarla para pagar con el movil.... asi que te convierte en usuario cautivo del ecosistema movil.

#11 Activobank

#11 fotos.subefotos.com/cf7fb99581c9c1e5c332ac2fd802a3cfo.png
Mas info: forocoches.com/foro/showthread.php?t=8904213

#12 Al menos en IOS se supone que las apps pasan un filtro.

#13 Otra cosa muy básica que suelen adoptar los bancos es que la web pide doble autentificación con tu móvil. Que sea tu móvil la única fuente de autenticación elimina una capa de seguridad y facilita la vida al atacante.

#2 Sí lo hacen, tienen un sistema automático que detecta problemas y cuando los encuentra incluso desinstala la aplicación en remoto. Apple por otro lado hace más o menos lo mismo pero con ingenieros investigando cada subida y cada versión que quieres subir. Tiene la ventaja de que controlan mejor el ecosistema y la desventaja de que ralentizan mucho las actualizaciones.

No hay un sistema bueno, todo tiene sus pros y sus contras.

Si por mi fuera, haría en Android más perfiles. Por ejemplo, ahora mismo tienes el perfil de Trabajo y el Personal y ninguno ve al otro. Las apps y los datos permanecen aislados. Pues quizá añadiría más perfiles o al menos uno de "Cosas importantes" donde estuvieran el correo, las apps de bancos, las apps de suministros (gas, agua, etc) y ya, el resto de apps tipo Facebook y lo que quieras al perfil Personal

#17 lo de la doble autentificacion se viene avisando desde el primer dia, junto con la malisima idea de usar el dedo como forma de clave... porque tu huella dactilar no te la puedes cambiar.

#21 Que solo tienes una ireemplazable y esta siempre accesible no solo cuando la usas como clave, si te la copian no la puedes cambiar.

#21 la huella (o la cara) deberia ser el usuario y no el password, precisamente porque no puedes cambiarlo

#10 Pues los bancos que manejo en mi caso, la versión web es más completa y puedes confirmar mayor número de operaciones.

De hecho, en alguno que otro la aplicación tiene "horario de apertura ". No así la versión web.

#20 Hombre, si conectas por https y el certificado del servidor está firmado por una autoridad confiable, ya me dirás cómo haces el MitM, por mucho que tengas secuestrado el dominio.

#15 gracias ,esta tarde le doy un vistazo.

Mucho cuidado con el malware.

Android es un desastre, al final vamos a tenerle que dar la razón a Apple de limitar las funcionalidades a IOS en pro de la seguridad.

#17 primero que es difícil que alguien consiga subir al playstore una aplicación del banco y que no sea el propio banco, porque entrar desde el móvil al banco por la web es como hacer el tonto un poco, luego esta el tema de la doble autenticacion, nadie te obliga a que sea el móvil, te puedes comprar un rsa y usarlo en muchos bancos. De todas formas aunque tengas una aplicación troyano que lea cosas de tu móvil no deberías de tener problemas con la aplicación porque la información que envía va cifrada, también se persiguen los destinos de dinero diferentes a tus habituales, y si son cantidades grandes incluso se bloquean hasta que se llama al menos en donde curro yo, ahora bien si le das acceso a todo a una aplicación en el móvil es fácil que alguien pueda acceder a todo lo necesario y sacar el dinero de tu cuenta poco a poco con paciencia hasta que esta sea bloqueada, al menos en el caso que controlo si haces muchas transacciones pequeñas a cuentas desconocidas se bloquea la cuenta.

Lo dicho que todas estas cosas cada día se controlan más, y más con las aplicaciones en los smartphones, los backends, las ias antifraude y otro montón de historias.

PD: La de años que llevamos con las aplicaciones fake estas en la play store que no se quien cojones se instala pero se parecen al phising del príncipe nigeriano

#30 Pero vamos a ver, ¿cómo haces para que Let's encrypt te facilite un certificado de que eres el dueño de 'bbva.com'... ¿les vas a secuestrar el DNS a los de Let's encrypt a parte de a la víctima?

Que con tiempo y dinero se pueden hacer mil cosas, pero generalmente eso no compensa hacerlo a un particular random que a saber si tiene algo en el banco.

#27 Creo que lo que te tratan de explicar es que al no poderla cambiar, una vez comprometida tu huella dactilar (hay mil formas, y no son nuevas precisamente) ya no hay nada que hacer si esa es tu contraseña.

Lo que sugieren otros comentaristas es que si se usa la biometría (que está muy bien) que sea solo para indicar quién eres (reemplazo del nombre de usuario) y no para autenticarte (reemplazar la contraseña).

Disfruten lo Androizado. Cada vez que veo pagar con pulseritas y móviles Xiaomi o similares mierdas me sangran los ojos.

#39 ¿La identificación facial es difícil de falsear? Con una simple foto.

#34 La diferencia está en que tu navegador no lee tus sms (de entre todos los permisos que necesita para funcionar, ese no lo pide... aún al menos) y por lo tanto, un troyano no debería poder saltarse la doble autentificación.

La información que envía irá cifrada, pero la gracia del troyano será que intercepta la información antes del cifrado o es capaz de hacerse con la clave del idem.

Me alegro de que estas cosas cada día se controlen más, pero te olvidas de que esto es una carrera armamentística, el número de estafas y robos no es que haya disminuído precisamente.

Sobre las aplicaciones fake... parece que los algoritmos de google/apple/dueñodelatiendaX no son tan buenos detectándolas como deberían si un humano a ojo las detecta, sin siquiera instalarlas, sólo con el instinto (y si parece que son estupendos fastidiando a los creadores de apps legítimos, que se las ven y se las desean para que les acepten las apps, les exigen el oro y el moro y otros parece que pueden subir lo que les de la gana sin aparente supervisión).

#19 El dedo es para descifrar, en cliente. Yo me refiero a doble autentificación con el server, al estilo sms con código cada vez que haces una transacción.

#42 En los 5 años que llevo yo en este banco nunca hemos tenido una app fake que se parezca a la nuestra, lo que sí hemos tenido son campañas de phising, y como te digo es difícil que nadie haga transferencias fraudulentas porque se cortan, hasta el punto de que algún disgusto le damos a algunos usuarios cuando quieren enviar dinero fuera de sepa a destinos "sospechosos" piensa que el banco tiene más responsabilidad de la que pensamos y muchas veces es el banco, o su seguro, el que acaba pagando el pato

#44 Pero es que hay phishings y phisings...

bggroup.es/es/blog/peligroso-troyano-suplanta-las-apps-siete-bancos-es

Y las apps no se libran:
cincodias.elpais.com/cincodias/2021/06/03/lifestyle/1622696793_993925.

#24 #26 #36 La mayoría de las personas tenemos diez dedos, así que no es verdad que solo tengamos una huella y que no se pueda cambiar. Y una vez agotados los diez dedos, que ya es difícil porque #36 eso de que existen mil formas de comprometer tu huella (y que se la lleven consigo) en la práctica no es verdad, puedes revocarlos y usar contraseña, aunque veo harto difícil que lleguen alguna vez a comprometértelos todos.

El problema que le veo a la huella es que #27 cuando estás espeso y te quedas dormido, como estés de fiesta con alguien que tenga ganas de "gastarte una broma", igual mueve tu dedo hacia tu móvil, lo desbloquea con tu huella y barra libre para lo que quiera. Con una contraseña, cuando estás dormido no pueden sacártela y cuando estás borracho supongo que tampoco, pero el dedo es más fácil, no hace falta ninguna técnica de hacking especial para ello.

#21 Que te la pueden clonar mediante cualquier soft de lectura de huellas y después emplearla en otro sitio.
Y como haya queda comprometida no la puedes cambiar

#27 Lo que tienes que entender es que el soft que te la lee en tu móvil puede ser hackeado para guardar tu huella y enviarla a un servidor malicioso. De ahí a usarla para otros fines ya es trivial.

#39 El lector tiene que tener esas características y como muchos móviles no las tienen hay muchas empresas que solo piden el ok del terminal. Si tienes una copia de la huella corriendo en una maquina virtual, será el lector de esa máquina virtual es que dará el ok a la hora de hacer una transacción de robo.

#47 #48 A lo que decís yo sigo sin encontrarle ningún sentido porque:

1." Y como haya queda comprometida no la puedes cambiar " ¿cómo que no? sí que la puedes cambiar y, en último caso, revocar.

2. " el soft que te la lee en tu móvil puede ser hackeado" con las contraseñas pasa igual, los keyloggers hace mucho que existen.

No puede ser, pero si decían que en Linux no había virus.

Al final van a tener que separar las apps sensibles del resto y bloquear cualquier interacción entre ellas, no veo otra solución.

#2 Ha pasado tiempo pero lo leo hoy. Hay un sistema llamado Google Play Protect, que viene en todo terminal Android con servicios de Google Play (que son todos salvo los Huawei y los que instalen ROMs customizadas).

Este sistema analiza todas las apps instalados buscando vulnerabilidades. Se puede desactivar pero ya es otro paso más. Y nunca sabremos si Google sigue usandolo aunque lo desactives

#53 Muchas gracias