Neignoruji, ale takovou chybu můžete mít i v mobilní aplikaci.
Nemůžete. Stále nechápete ten rozdíl. Když budete mít na desktopu chybu v Malování, které umožní spuštění libovolného kódu z útočníkem podvrženého JPEGu, může ten útočníkův kód běžící v Malování vykrást cookies z prohlížeče, vykrást hesla z odemčeného správce hesel, posbírat uživatelovy dokumenty z disku a všechno to odeslat útočníkovi. A nakonec ty dokumenty smaže.
Když bude taková chyba v mobilní aplikaci, může útočník smazat data té aplikace. Pokud bude v aplikaci, která má přístup ke sdíleným souborům, může ukrást obrázky a dokumenty uživatele, které jsou nahrané v tom úložišti sdílených souborů. Ale to je všechno. Nedostane se k cookies v prohlížeči. Nedostane se k heslům ve správci hesel. Nedostane se ke klíči v mobilním bankovnictví. Nedostane se k souborům v GDrive.
A nějaké oddělení vám nemusí pomoct, pokud tou chybnou aplikací je mobilní banka.
To oddělení samozřejmě pomáhá. Protože je úplně jiná pravděpodobnost, že bude chyba vzdáleného spuštění kódu v bankovní aplikaci (která by měla komunikovat jen s bankou a s ničím jiným), a o několik řádů větší je pravděpodobnost, že chyba bude v libovolné z desítek aplikací, které máte nainstalované na desktopu.
Takže hlavní je spíše to, že to neběží v prohlížeči. (Alespoň tak.)
Ne, není. Srovnatelně bezpečnou aplikaci je možné udělat i v prohlížeči. Prohlížeč je na tom lépe v tom smyslu, že tam už je pečlivě prověřovaný sandbox. Nevýhodou prohlížeče je to, že musí umožnit i spoustu věcí, které internetové bankovnictví nepotřebuje – na druhou stranu, v mobilním bankovnictví bude chtít určitě marketingový tým zobrazovat různá marketingová sdělení, takže dost možná to mobilní bankovnictví stejně jádro prohlížeče používá. Další nevýhodou (tou jedinou podstatnou) prohlížeče je to, že zatím neumožňuje přístup k bezpečnému úložišti klíčů. Možná už by to šlo nějak obejít pomocí WebAuthn, a je pravděpodobné, že do budoucna tam bude i tato možnost.
A pár pěkných zranitelností přímo na iOS či Android už taky bylo... Proti tomu totiž není imunní žádný systém.
Jistě, já jsem také nepsal nic o tom, že by OS byl absolutně bezpečný. Ale pořád je rozdíl v tom, že na mobilu potřebujete škodlivou aplikaci (ať už záměrně nebo chybou) a zároveň chybu v operačním systému, zatímco na desktopu vám stačí jenom ta chyba aplikace. Protože ta chyba v OS, o které píšete, že se na Androidu nebo iOS občas vyskytne, ta je v desktopových OS přítomná trvale.
Pokud na to uživatel přistoupil...
Původně jsem vám chtěl vysvětlit, co se v takovém případě stalo. Ale neudělám to. Zkuste vy popsat, co se podle vás stalo. Aspoň konečně zjistíme, o které části zabezpečení mobilního bankovnictví nevíte.