Most olvasom a portfolio cikkét, miszerint az OTP is átállította az összes ügyfelét a kötelező SMS-es azonosításra, azaz OTP-re (One-Time Password).

Az említett cikkben volt egy szösszenet azonban, ami nem hagyott nyugodni. Nem szeretek mindenhova regisztrálni, így úgy gondoltam, itt írom ki magamból a véleményeményemet a CIB "szakértőjének" alábbi nyilatkozatával (főkén az aláhúzott résszel) kapcsolatban:

"A technikai lehetősége megvan az SMS tartalmakhoz való hozzáférésnek, és illegális felhasználásának. Ez a banki oldalon rendelkezésre álló eszközökkel nem gátolható meg (az SMS szabványos volta miatt nem küldhető például speciálisan védett vagy titkosított SMS). Ez kifejezetten az az eset, amikor az ügyfelet támadják és emiatt már csak az ő gondosságán, és óvatosságán múlik a bankolás biztonságos volta. Ugyanazon elvek alapján kell eljárni a mobil eszköznél is, mint amik a hagyományos számítógépeknél is érvényesek: legális, folyamatosan frissített programokat kell használni és naprakész, kártékony szoftverektől védő programot kell folyamatosan futtatni az arra alkalmas mobil eszközön. A kártékony szoftverek elleni programok (vagy egyszerűbben mondva antivírus programok) képesek felismerni és megakadályozni a kémszoftverek működését és el tudják távolítani azokat a mobil eszközről "

A véleményem csak annyi, hogy bár az SMS szabványos forma miatt mégis pont ezért van lehetőség olyan formátumú üzenetet készíteni, melyhez a telefonon futó alkalmazás nem tud hozzáférni. Ugyanis az SMS - amit ilyen néven ismerünk - csupán csak egy a több felhasználható szabványos (és kevésbé szabványos) formából. Ott van a Nokia névjegyküldő módja, képet, sőt egyéb multimédiát is lehett küldeni nem szöveges üzenet formájában. Ugyanígy lehetőség van más - pl. bináris - SMS küldésére, amennyiben a méretkorlátot betartjuk és az sms fejléc a szabványnak megfelelően formázott.

Szóval 140 byte-ban bőséggel lehet titkosítottan is kommunikálni - ahogy teszi ezt már ~ 10 éve az egyik "független fejlesztő" gondozásában készült mobilbanki alkalmazás. Jelenleg a szolgáltatást az FHB promótálja - bár a feljesztést 2002-ben még más színekben kezdte el a csapat. Ahogy olvasom, most már éppen ki is vezetik - végül is nem is csodálkozom rajta... Az SMS felett eljárt az idő, az okostelefonok - és főleg a mobilinternet - korában az SMS őskövületnek tűnik. Mindenesetre a titkosított SMS rendszert kidobni dőreség, hiszen ez még mindig egy független csatorna tud lenni az egyre inkább komputerizálódó mobilok (okostelefonok) korában.

A Titkosított SMS témára visszatérve. A rendszer alapvetően PKI alapon működik. Az bank/szolgáltató aláírja az üzenetet a kliens publikus kulcsával (aminek a párja a kliens SIM kártyán van tárolva) és a saját privátjával, és így az csak a kliensen (telefonon) bontható ki a telefon használójának közreműködésével, a kulcshoz tartozó PIN beírásával.
Ez a megoldás még mindig csökkenteni tudná a telefonon futó rosszindulatú kód mozgásterét, hiszen a felhasználó beavatkozása nélkül nem tud a titkosított SMS tartalmához hozzáférni. Persze egy megfelelően mély szinten megvalósított mobil kártevő ezen az akadályon is képes átvergődni, de egy normál (nem rootolt) okostelefon esetén ez a veszély nem fenyeget.

Összegzésül: titkosított SMS küldésére igenis van lehetőség, csupán a pénzintézetek nem kívánnak plusz erőforrást befektetni a technológia használatába mivel az SMS már-már az elavult technológiák közé tartozik.