Názory k článku
Google umí Passkey synchronizovat napříč zařízeními na různých platformách

Ano tak samozrejme vis duvod ne?
Banka pouziva v bankovni appce obfuskator kodu, ktery defaultne kontroluje jestli mas rootnuty system. Protoze si banka mysli, ze tim zamezi ze jim tu appku nekdo reverzne. Ach ty naivni CTOs :D

20. 9. 2024, 20:57 editováno autorem komentáře

Ale houby, to je spíš (imo ne moc smysluplná) snaha krýt si záda před uživateli, co si rootnuli telefon, tam si stahují APK kdo ví odkud, ve kterých mohou být nějaké breberky. Protože noviny to pak stejně podají jako hacknutou banku, i když ten útok byl u uživatele v ruce.

Jo, chce to trochu práce a občas i prostě správnou volbu banky. Pokud vím, třeba Fio a Airbank jsou pořád v pohodě.

AirBank mam na rootlem urcite v pohode, se spravnejma Magisk modulama funguje i GooglePay NFC...

Pro mne je už samotné rootnutí telefonu krok, který nechci absolvovat. Stejně, jako nechci měnit banku, když tu svou využívám už desítky let. Tím víc mne štve, když mi odmítne naistalovat novou versi své úžasné přihlašovací aplikace na telefon jen proto, že je to model 2016, nebo jen proto, že téhle značce telefonu nevěří, případně se (mylně!) domnívá, že je rootnutý.

tak ja reagoval na cast vetve o tom ze je/neni problem root a bank app, pokud nechces root, tak se te to samozrejme netyka ;-)

BTW: 8let starej telefon, bude mit predpokladam posledni bezpecnostni aktualizace pred 5lety lety, v horsim pripade pred 8lety... to je pro pouziti bankovnich aplikaci priblizne milionkrat horzi nez root na aktualizovanem :-D

S těmi updaty máte, samozřejmě, pravdu.
Ale za situace, kdy jediný důvod, proč mít smatrphone/ta­blet, je zpřístupnění platby kartou (3D-secure), což znamená instalovat bankovní aplikaci, tak se člověku fakt nechce každé dva-tři roky zaplatit několik tisíc za nové zařízení.
Mám na mysli několik konkrétních uživatelů za svého okolí (nejen seniorů!), kteří po internetu platí zhruba jednou měsíčně. Pokud by je obnova smartphone stála průměrně 2500 Kč jednou za dva roky, pak se každá taková platba prodraží o stovku...

Nedávno jsem četl o CZ bance co uživatelům chce nabídnout i extra autentikátor, tak uvidíme, jestli je vyžadování chytrého telefonu to takový problém jak tvrdíte a lidi jim utrhají ruce, nebo ne.

Ono nejde ani tak o to, aby jim lidi utrhali ruce, ale aby existovala rozumná alternativa.
Přeci jen: spoléhat na to, že je mobil zabitý a že máte připojení k internetu je - coby jediná možnost - IMHO poněkud krátkozraké.

Oprava: mobil má být nabitý, nikoliv zabitý! ;oD

Jenže o tu alternativu musí být nějaký zájem, aby se ji vyplatilo vyvíjet a udržovat. Pokud ji bude používat pět lidí, z čehož tři jsou vášniví diskutéři na Rootu, tak to tady sice vypadá jako že zájem je veliký, ale reálně se nikomu nevyplatí, sorry.

Potvrzení mobilem používám už hooodně dlouho a na vámi zmiňovaný problém jsem nenarazil.

o tu alternativu musí být nějaký zájem, aby se ji vyplatilo vyvíjet a udržovat
Tím víc mne udivuje, že ty banky opouštějí již vyvinuté a ověřené řešení (čipové karty...), případně nevyužijí nějakou podobnou moderní metodu.
Například ověření tokenem na USB/NFC je dostatečné pro komunikaci se státem (na úrovni vysoká...), takže by v pohodě mohlo stačit i pro potvrzení platby několika stokorun kartou; když to stačí ke změnám v katastru nemovitostí, mohlo by to stačit i k poslání penz z účtu na účet.

S těmi čipovými kartami byly AFAIK problémy jako třeba že vyžadovaly velmi konkrétní verzi Javy. V poslední době se to snad už zlepšilo, ale stále nejsou mezi lidmi moc rozšířené, není to moc mobilní, atp. Plus to má IMO oproti autorizaci v mobilu vyšší provozní náklady - řešit vydávání těch karet atp.

S klasickými tokeny (a myslím, že i těmi kartami?) je problém v tom, že uživatel nemá nezávislé ověření toho, co potvrzuje - tedy jestli opravdu posílá 100 korun své dceři na obědy, nebo mu nějaký malware v prohlížeči ten příklaz nepozměnil na poslání celého zůstatku účtu do Abu Dhabi.

U čipových karet je navíc ten problém, že se s nimi nedá komunikovat přímo z prohlížeče. Dříve se na to používaly Java applety, ale ty už nepodporují ani výrobci prohlížečů ani Javy.

Ono se dá s čipovkou komunikovat i skrz systém, ale třeba KB má vlastní interface (program), který to zprostředkuje. A obejde se to bez Javy. ;o)
Nicméně ta čipovka se až tak moc neliší od USB/NFC tokenů (Yubikey...) - viděl jsem jakýsi PoC, který si s čipovkou povídal přímo z Firefoxu. (Ale podrobnosti nemám, jen jsem se nachomýtl u prezentace.)

Spíš mi je divné, že ty banky mají tohle řešení zprovozněné, ověřené, pro jiný sektor (firemní bankovnictví) nadále podporované - jen to ruší pro osobní bankovnictví.
Že se nesnaží využít tokenů mne neudivuje - to je něco nového, něco to bude stát.

RRŠ: Samozřejmě, že se s čipovou kartou komunikuje skrz systém. Ale nedá se s ní komunikovat z prohlížeče. Resp. teď už by to možná šlo přes USB API, ale tím by se právě obešel systém a musela by se dělat podpora pro každý čip zvlášť. Java měla tu výhodu, že byla v prohlížečích často předinstalovaná. Když si teď dělá každý svou vlastní aplikaci, musíte si do prohlížeče nainstalovat doplněk pro KN, pro I.CA, pro e-občanku…

Podle mne je to řešení náročné na uživatelskou podporu, a u osobního bankovnictví se to bankám prostě nevyplatí.

Čipová karta a token je to samé, jediný rozdíl je v tom, že token je čtečka s kartou dohromady. Někdy se dokonce z tokenu dá ta čipová karta vyndat a použít v jiné čtečce.

Pokud ta komunikace probíhá skrz USB API, tak je to v podstatě dobrá zpráva - stačí zvolit karty s kompatibilním čipem (nebo rovnou token). Ono těch možností v oběhu zas tolik není, takže je velká pravděpodobnost, že by to fungovalo od počátku.
S tou uživatelskou podporou to není tak horké - kdo z osobních uživatelů ještě stále používá čipovku, moc dobře ví, proč - a jak. Reálně o nich banka ví jen ve chvíli, kdy na ně zapomene a něco jim vypne. (A to berte jako interní informaci - čipovkáři helpdesky prostě neotravují.)
Navíc ta podpora pro firemní bankovnictví tam stále běží.

Java měla tu nevýhodu, že se neustále něco měnilo a ta podpora byla náročná.

Ten argument s nezávislým ověřením, co posílám slýchám často, ale, popravdě, tak důležité mi to nepřipadá.
Uživatelé jsou totiž schopni nechat si kompletně unést přístup k bankovnictví (včetně bankovní identity), když si neuvědomí rozdíl mezi slovy Přihlásit a Potvrdit na obrazovce mobilního telefonu.
Kdo tuhle funkcionalitu (zobrazení potvrzení) požaduje, nechť používá vhodné řešení, nám obyčejným smrtelníkům stačí potvrdit to zadáním pinu a připojením externího zařízení.

Iphone 6 je 10 let starý telefon a stále dostává aktualizace. Naposledy iOS15.8.

Supr. Ale třeba já mám běžné účty z různých důvodů u asi pěti bank.

Az na to ze ten Z-Box ale naopak ted pridava i to manualni namackani kodu jeho klavesnici:
https://www.zasilkovna.cz/blog/novinka-jeste-dostupnejsi-z-boxy-diky-klavesnicim

2 z 2 Z-Boxu co pouzivam (a neni to Praha/Brno) uz ji nainstalovanou maji...

Jo, to by bylo fajn.
Akorát, že tady mi jistá firma opakovaně sama volí místo doručení na adresu doručení do nejbližšího Z-boxu, kde ta klávesnice prostě není... ;o(
Ale už jsem si zvykl, že musím být ve střehu, a za letu změnit výdejní místo.

Fajn. Jenže Z-BOXů jsou spousty a drtivá většina si o tom může nechat jen zdát.

No, upřímně, pokud jde o sledování třeba přes Google Analytics – myslím, že pokud to nějaký web používá, málokdo si dá tu práci, aby to nevkládal na přihlašovací stránku. Takže technicky vzato, i při tomhle sledování pomocí JavaScriptu má kód Googlu přístup k heslům (protože se pořád ve většině případů používá řešení ze století páry, zadávání hesla do webové stránky). Nemyslím si, že by Google takhle ta hesla získával a někam odesílal – opět, snadno by se na to přišlo. Ale pokud se bavíme o tom, co je technicky možné, pak je potřeba zmínit i toto.

To, jaká data aplikace Googlu odesílají, si ověřit můžete. Pokud to neumíte, mohou to ověřit jiní. Takové ty zkazky, jak telefony s Androidem poslouchají, co se kolem říká; roboti Googlu navštěvují stránky po té, co někdo zadal danou adresu do adresní řádku Chrome; a další a další, jak Google sbírá všechno možné… Všechny tyhle zkazky mají jedno společné – nikdo nikdy nebyl schopen ukázat jediný HTTP požadavek, dokonce ani adresu serveru, kam se to údajně má posílat. Přitom to zkouší kde kdo horem dolem, EU vyšetřuje Google zleva i zprava – pravděpodobnost, že by to Google dělal a stále to dokázal skrývat, je extrémně malá.

roboti Googlu navštěvují stránky po té, co někdo zadal danou adresu do adresní řádku Chrome

No, zrovna tohle si o pochybnosti přímo koleduje, protože onen adresní řádek slouží - mimo jiné - i k instantnímu vyhledávání, takže skutečně už během psaní nějaké ty dotazy na server odesílá (může odesílat - záleží na nastavení prohlížeče). A to považujte za prokázané, nebo si to zkontrolujte osobně.
Že následně Google pošle roboty, aby tu stránku prověřili, mi zase tak nepravděpodobné nepřijde.

Mrzí mě, že Vám musím dát red pill.
https://alternativeto.net/news/2024/7/chromium-browsers-found-sending-user-data-to-google-raising-privacy-and-regulatory-concerns/

Zdá se mi, že nevíte o čem mluvíte.

Víte, mně je úplně jedno, jaké jsou kde zkazky. Mně stačí. že to technicky lze. A počítám s tím. Je mi to fakt jedno. Když bude Google nebo kdokoli jiný dělat všemožné věci, kolem nichž se točí různé konspirační teorie, nebudu se tomu divit.
Já neříkám, že to Google apod. dělá. Já jen říkám, že to lze a že s tím počítám, beru to jako potenciální fakt a je mi to srdečně jedno.
Dokonce s vámi i souhlasím v tom, že „pravděpodobnost, že by to Google dělal a stále to dokázal skrývat, je extrémně malá“. Osobně bych však nedal ruku do ohně za to, že je absolutně nulová. Ale ano, přikláním se k tomu, že to je velmi, velmi nepravděpodobné (už proto, že tyhle korporace jsou zřejmě v hledáčku těch, kteří by si možná i moc přáli, aby něco našli).

Technicky lze třeba to, že vás bude kamerou a mikrofonem špehovat dřevěná židle, co děláte na počítači může technicky špehovat třeba procesor nebo operační systém. S tím také počítáte?

Obdivuju vaše umění reagovat na relativně pravděpodobný scénář nějakou úžasnou, byť teoreticky též proveditelnou absurditou.
Ale abych odpověděl: s tou židlí moc nepočítám, s tím zbytkem ano.

Ne, ten scénář není relativně pravděpodobný. Záměrně jsem uvedl scénáře, které jsou zhruba stejně pravděpodobné, jako ten původní.

Wasper: Vždyť jste tvrzení Pavel Tavody potvrdil.

V novém digitálním internetovém bankovnictví komerční banka používání certifikátu v kartě zrušila. Důvod? Zvýšení bezpečnosti přechodem na jejich apku. Tak jsem se zasmál a řekl, že mobil připojený do internetu nepovažuji za zvýšení bezpečnosti. A trval jsem na tom, že pokud mě nepustí do bankovnictví bez apky, tak odcházím jinam. Tak mi laskavě dovolili uživatelsté jméno / heslo a kód poslaný v SMS. Ale musel jsem si vyslechnout pohádky o tom, že SMS je méně bezpečná, než jejich apka. To jako fakt? Hackeři umí běžně číst SMS z mobilů bez internetu? Vrcholem bylo, když mi nedávno přišlo upozornění, že si mám prodloužit platnost certifikátu (který mi už nedovolí používat).

Já se těším až se vypnou 2G sítě. To vám dinosaurům s tlačítkovými Nokiemi odmítajícími fakt že doba se změnila konečně zapne tipec.

Pak seberu dětem tu novou, 3G-čkovou. ;o)

Přečíst SMS je řádově jednodušší, než získat klíč z aplikace v mobilu (pokud ten mobil není rootnutý). Tu SMS fakt není nutné číst z vašeho mobilu, třeba se dá přesměrovat jinam.

Vážně umí někdo přesměrovávat komunikaci banky? A to zrovna v okamžiku, kdy zadávám heslo? Tak takhle paranoidní fakt nejsem.

Je úplně jedno, že je to komunikace banky, je to SMS jako každá jiná. Telefonní sítě, včetně těch mobilních, byly vymýšleny v době, kdy posílat po síti nezašifrovaná hesla bylo považováno za celkem v pohodě praktiku a podle toho vypadalo jejich zabezpečení. Něco se zlepšit povedlo, něco ne, ale celkově to moc bezpečné není. Takže přesvědčit telefonní síť, že jste mobilní operátor a tenhle mobil se k vám zrovna zaroamoval takže vám má posílat jeho SMS není nemožné.

23. 9. 2024, 09:30 editováno autorem komentáře

No já žiju v přesvědčení, že internet a mobilní BTS jsou dva oddělené světy. A tedy pokud má banka svou vlastní HW SMS bránu, tak se běžný hacker k jejich komunikaci nedostane. Tedy včetně přesvědčování, že jsem nová bezpečná BTS, ke které je připojené konkrétní mobilní číslo. Netvrdím, že to nejde. Ale asi je to jiný level, než lákání na pishing nebo rozesílání virů.

Vážně někdo umí číst cizí SMS. Například: Postřehy z bezpečnosti: SS7 zranitelnosti zneužity k vykradení bankovních účtů nebo Útoky typu SIM swap nepolevují, převzetí čísla je cestou k identitě. SMS nejsou bezpečné už spoustu let. Jsou různé pokusy to dodatečně zabezpečit, ale každé dodatečné zabezpečování je dost problematické.

Vy možná tak paranoidní nejste, nicméně všichni odborníci na bezpečnost dávno vědí, že SMS nejsou bezpečné. Proto je třeba banky v EU nepovažují za dostatečný druhý faktor. Proto se tam, kde jde o bezpečnost, nespoléhá na to, že by informace v SMS byly tajné.

23. 9. 2024, 09:45 editováno autorem komentáře

Já vám to nechci rozporovat. Netvrdím, že to není možné. Jen mám pocit, že provozovat internetové bankovnictví a autorizovat ho apkou na zařízení, které je také připojené k internetu, je pro hackery schůdnější cesta, než sledovat synchronně internet i mobilní komunikaci. Nemluvě o tom, že každá platba je autorizovaná novou SMS. Takže to není jednorázová záležitost - dostanu se na účet a automaticky si tam můžu dělat co chci. Ale je to jen akademická diskuze. Já nepoužívám internet v mobilu proto, že mám špatný zrak a je to pro mě velice nepohodlné. Ne proto, že bych se paranoidně bál o těch pár korun, co mám na účtu. Nicméně každá ztracená stovka zamrzí. To zase ano.

Jo, takový pocit má spousta lidí. Ale to nic nemění na tom, že je to pocit špatný (nepravdivý).

Hugocz: Pokud se bavíme o technickém řešení, je pro hackery je daleko schůdnější cesta přečíst si tu autorizační SMS než získat klíč z aplikace. To, že je ten mobil připojen k internetu, na tom nic nemění – ten klíč je uložen v TPM (nebo něčem podobném), operační systém k němu dá přístup jenom té jedné konkrétní aplikaci. Útočník může uživatele přesvědčit k jiné aplikaci imitující internetové bankovnictví, ale ta aplikace pořád nebude mít přístup k těm klíčům.

Útočníkovi rozhodně nestačí sledovat internetovou komunikaci, musel by podvrhnout podpis transakce vytvářený tou bankovní aplikací, a k tomu by potřeboval ten klíč.

Takže váš pocit neodpovídá realitě. Vemte v úvahu i to, že EU v požadavcích na zabezpečení bankovních transakcí nepovažuje SMS za bezpečný kanál. Banky autorizaci přes SMS opouštějí (resp. většinově už opustily) – to není z nějakého rozmaru, že by nevěděly, co s prachama, tak je vyhazují za nové systémy. Je to proto, že SMS zkrátka nejsou bezpečné. A to je ještě bankovní sektor dost konzervativní a SMS se vesele používaly dál dlouho po té, co bezpečnostní odborníci upozorňovali na to, že to fakt bezpečné není.

Pro zajímavost: AirBank furt podporuje SMSky. Rozbil se mi starý telefon, vytáhl ze šuplíku ještě starší (Android 6) a budu ho používat, dokud tam pojede firemní Teams (funguje včetně schůzek, i když už asi nedostává nové verze). Druhá zajímavost: I když půlka aplikací už nefunguje, nabízí (mobilní) webovou verzi, a ta zasílá notifikace (např. Reddit; tzv PWA - progresivní webová app). Stejně jde často o aplikace, co offline nemají moc význam.

Banky vyhodnocují rizika u jednotlivých transakcí (musí to dělat), takže třeba v mobilní aplikaci někdy potvrzuju platbu jen otiskem prstu a jindy PINem, někdy je potřeba potvrzení platby kartou a někdy ne. No a to platí i pro potvrzování přes SMS – pokud bude uživatelů, kteří to používají, málo, nevyplatí se útočníkům zaměřit se na to. Tím pádem to banka pro pár uživatelů povolí, i když neochotně – málo uživatelů pro ni znamená menší riziko. Dalším faktorem třeba může být to, že na tom účtě zas tolik nemáte, takže nemůžete o moc přijít – to pro banku opět snižuje riziko.

Spíš banky vyvažují "poškození reputace tím, že nebudou podporovat SMS" (pro spoustu lidí je to spíš otázka víry než logiky) a "poškození reputace tím, že si uživatel přes ne-bezpečné SMS nechá ukradnout peníze".

K HW klíči taky nemáte práva - nemůžete například z něj ten podpisový klíč dostat - a je to velmi správně.

L.: tak nejak vidim rozdil mezi hw klicem a mezi telefonem s uzavrenym systemem. Ty to opravdu nevidis?
(pro jistotu vybiram z vlakna: Ondro: "... kde sa to da aj bez toho smartfonu..."

Drtivá většina lidí potřebuje, aby byl mobil bezpečné zařízení. Což se vylučuje s tím, že k němu máte roota.

Drtivé většině běžných uživatelů je to úplně jedno (zda mají roota, i zda je mobil bezpečné zařízení).
Chtějí prostě, aby to fungovalo a neotravovalo,

Žel, o tom že potřebují, aby byl mobil bezpečné zařízení za ně rozhoduje někdo jiný.

Jako že uživatelé jsou v principu OK, když jim někdo čas od času ukradne peníze?

Nejsou, jen neumí posoudit riziko, protože do problematiky nevidí, byť si často myslí, že ano.

Vtip je v tom, že se jim rozhodně nestane, že jim někdo čas od času ukradne peníze.
To riziko je prostě příliš malé na to, aby to dobrovolně vyvažovali nepohodlím a investicemi do dalšího zabezpečení.
Ani v dobách před 3D-secure nebylo běžné, že by člověku někdo sebral peníze z karty (pokud tedy člověk nenakupoval na vyloženě pochybných webech). Zabezpečení pomocí SMS bylo akceptováno jako přijatelný discomfort za lepší bezpečnost.
Ale ve chvíli, kdy je jen kvůli potvrzování platby po internetu nutné mít v mobilu kompletní bankovnictví, a tedy i ten mobil musí splňovat poměrně vysoké požadavky - a je i patřičně drahý a je nutné ho pravidelně obnovovat - už to uživatelé považují za zbytečnou buzeraci.

A navic, uzivatel sice ma 3D secure, novy mobil kvuli bankovni aplikaci kterou ani nechtel, ale pri platbe kartou v Alze neni potreba ani SMS, ani potvrzeni bankovni aplikaci, ani nenastane presmerovani na nejakou znamou platebni branu. A to i kdyz uzivatel soustavne zaskrtava 'neukladat kartu'.

To je pak cela bezpecnost tak trochu vysmech.

Protože Alza je pro banku důvěryhodný obchodník a případné neoprávněné platby jdou za Alzou, ne za klientem banky nebo bankou.

"Alza je pro banku důvěryhodný obchodník" - to je sice hezke, ale jak to ja jako uzivatel mam vedet? Z meho pohledu nejprv do me banka husti reklamu o tom jak je 3D secure super, a pak se setkam s platbou kde to nefunguje.
Navic, drive bylo bezne ze obchodnik resil platbu na sve strance. Pak se zacalo zavadet 3D secure, ale tam kde to obchodnik neimplementoval, tak se 3d secure nepouzil. Jak ja mam jako zakaznik vedet, zda Alza je duveryhodna, nebo ze ma zrovna problemy s 3d secure?

3D Secure je ochrana obchodníka. Vy jako zákazník to nepotřebujete vědět – vy prostě zvolíte platbu kartou a obchod a vydávající banka vás provedou procesem platby.

Nevím, k čemu by vám byla informace, zda je Alza důvěryhodná nebo má problémy s 3D Secure. Navíc to posouzení je pak i na bance, takže je klidně možné, že při platbě v jednom e-shopu budete procházet přes 3D Secure a za měsíc ve stejném obchodě projdete bez toho. Ale dopředu to vědět nepotřebujete – prostě když po vás banka to ověření chce, tak ho provedete, když nechce, tak ho neprovedete.

Ech, tak ja tu napisu ze banka do me husti o 106, jak je 3d secure super, a ty reagujes timhle: "Vy jako zákazník to nepotřebujete vědět ". Tak proc by to do me banka hustila?

Abyste neměl pocit, že je to otravné, když to po vás banka chce, ale myslel si, že je to pro vaši bezpečnost.

Pak se banka nemuze divit, ze system povazuju za nefunkcni, kdyz ho nekde potkam a nekde ne.

26. 9. 2024, 14:59 editováno autorem komentáře

Asi nezbývá než se smířit s tím, že v životě existují procesy, kde se některé kroky přeskakují. Třeba některé dveře zamykáte a některé ne. Při fyzické platbě kartou někdy zadáváte PIN a někdy ne. Příkaz k úhradě v internetovém/mo­bilním bankovnictví někdy nepotvrzujete nijak, někdy otiskem prstu či FaceID a někdy PINem.

To riziko je prostě příliš malé
To riziko je příliš malé díky tomu, jak banky tlačí na bezpečnost, takže tlačí na používání mobilních aplikací a snaží se nepoužívat SMS.

To riziko bylo malé už v dobách, kdy stačilo opsat číslo ze zadní strany karty. Bylo tak malé, že v USA se banky bránily tomu, aby otravovaly klienty dalším zabezpečením. (Byť tam je jiná situace, protože tyhle fraudy jsou federální zločin...)
Pochopitelně, že dnes je situace zcela jiná.
Jenže jsou jiní i lumpové: od kradená malých částek z platebních karet přešli na únos celého konta, případně si (pomocí bankovní identity) ještě vezmou půjčku.
A teď hádejte, proč?
Protože v tom mobilu mají všechno pěkně pohromadě, s plným přístupem! Takže pokud se jim už podaří překonat zabezpečení (nejčastěji phishingem a sociálním inženýrstvím), ukradnou vše, k čemu se dostanou. (A ještě to banka hodí na klienta, že nedodržel podmínky...)

RRŠ: Naopak, v USA, kde platební karty vznikly, bylo riziko tak malé, že číslo karty stačilo. Když se to později začalo rozšiřovat do světa, přibyly autentizační prvky.

V mobilu to vše pohromadě s plným přístupem nemají. Pokud se dostanou do systému, musí ještě překonat zabezpečení bankovní aplikace.