Názor k článku Postřehy z bezpečnosti: další a další zranitelnosti produktů Ivanti od Filip Jirsák - Ale já to neuváděl jako příklad špatného zabezpečení...

Ale já to neuváděl jako příklad špatného zabezpečení bankovních aplikací, nýbrž jako příklad útoku přímo na mobilní bankovní aplikaci (nikoliv webový prohlíčeč...).
Přitom je to příklad toho, že nevíte, jak mobilní bankovnictví funguje.

Stalo se přesně to, co by člověk předpokládal: místo pravé bankovní aplikace se instalovala aplikace falešná
Člověk, který tuší, jak to funguje, by tohle nepředpokládal. Protože takový scénář je k ničemu.

Píšete „místo“, takže to chápu tak, že útočník odinstaloval pravou aplikaci pro mobilní bankovnictví a nainstaloval falešnou. Takže celé to pak probíhalo tak, že uživatel třeba na desktopu zadal údaje o platbě, banka poslal do mobilu notifikaci, tu ovšem nemohla pravá aplikace zpracovat, protože byla odinstalovaná, a uživatel tedy platbu nemohl potvrdit. A musel do banky s mobilem, že mu přestalo mobilní bankovnictví fungovat – schopnější úředník by přišel na to, že jde o falešnou aplikaci, a banka by to začala řešit.

Druhá varianta je, že by se uživatel chtěl přihlásit rovnou z mobilního bankovnictví, vlezl by do falešné aplikace – a ta by nebyla schopná se připojit do skutečné banky, chyběl by jí bezpečnostní klíč uživatele. Takže by nedokázala uživateli zobrazit ani jeho jméno a číslo účtu, natož stav účtu a historii transakcí.

V obou případech by si útočník drbal hlavu, že uživateli zrušil přístup do banky, takže teď z něj fakt nic nevymámí. Asi jako kdyby zloděj aut svou akci zahájil tím, že zkratuje baterku auta, aby s ním fakt nikdo neodjel.

Takže to byl nesmyslný scénář útoku. Nějaký útok, při kterém útočník bude schopen aspoň zjistit stav vašeho účtu, byste tam neměl?