Podle mě je to trochu složitější.
Autorizační kód chodí buď zašifrovaný a tedy je i na mobilu k jeho zjištění potřeba PIN. Nebo chodí jako SMS a pak je při přihlášení do internetového bankovnictví potřeba I-PIN. Do aplikace to po mě chce S-PIN a ten může (měl by být) jiný než I-PIN. Takže je přece jenom bezpečnější. A samotný telefon mám chráněn gestem nebo PINem - další bezpečnostní prvek.
Máte chybný předpoklad - předpokládáte ukradení telefonu a znalost hesla (PIN). Vzdáleně kompromitovaný chytrý telefon nemusí například nikdo krást!
Respektive pokud je nutná kompromitace fyzicky. Tak v prvním případě musíte kompromitovat například počítač na dozvědění se hesla a ještě ve vhodnou chvíli ukrást telefon. V druhém případě stačí zmocnit se na chvíli jen chytrého telefonu pro vložení správného červa.
V prvním případě je však nutné například kompromitovat jak počítač tak telefon!
Samozřejmě kombinací je mnohem víc. Nemusí jít jen o kompromitaci telefonu, ale vhodné rozlousknutí komunikace (což nemusí být jen založeno na louskání šifer, ale na nepozornosti uživatele při práci s certifikáty).
Tedy ještě jednou:
A)
banka <-> počítač
banka -> telefon
B)
banka <-> chytrý telefon
Chci videt, jak predemnou budete utikat s desktopem na zadech ... nahrat vam do androida libovolnou app, ktera bude mit pristup vsude je naprosto easy. A jde predevsim o to, ze pokud mi nekdo to PC ukradne nebo mi ukradne telefon, porad jde o dve NEZAVISLA zarizeni, jejiz kradez zaroven, je velmi nepravdepodobna (stejne jako kompromitace obou zarizeni zaroven - specielne kdyz mam "hloupy" telefon), tudiz mam(jak bylo receno) relativne nezavysly kanal overujici muj umysl nakladat s penezi. V pripade app v mobilu nezavisly kanal nemam - staci napadnot to jedno zarizeni, a to lze i bez jeho kradeze. Cervik si tam klido muze pam mesicu jen tak hnit a nic nedelat, a pak posle prikaz k prevodu na ucet na bahamy a ste v....
Není nad kompromitované autorizované zařízení...
Za slušnou bezpečnost jsem považoval heslo při vstupu do IB a SMS klíč. Přístup k bankovnictví byl činěn na počítači po Internetu a SMS klíč přicházel po síti operátora do mobilu (jiného zařízení). Většinou se tedy jednalo o dvě celkem nezávislá zařízení a dvě celkem nezávislé cesty. Chytré telefony žel spojují zařízení v jedno a i cesty jsou vlastně téměř jedna - tedy tahle vcelku bezpečná metoda začíná být k ničemu... Nahradit ji však jakousi autorizací zařízení a heslem (PIN) není dle mne žádný pokrok (pokrok je v pohodlnosti, ale bezpečnost dostává na frak)...