flag_secure не помогает от тимьвьера в частности, протестил
Не совсем. Все зависит от вендора. В первом случае : тимвьюер имеет сертификаты безопасности от вендора и получает скриншоты без участия mediaprojection. Во втором случае: Тимвьюер просит установить модуль knox. По сути это обычный mediaprojection. Что касается флага flag_secure. В первом случае он не срабатывает во втором срабатывает. Но это не панацея, уязвимость которая годами висела в Google authenticatificator тому подтверждение. Вообще как и в любой атаке слабое место это человек. Но есть хорошая новость подавляющее большинство банкботов не имеют рабочего модуля vnc, так что используют костыли с тимвивером. Просто при запуске приложения проверяй наличие пакета тимки. И не давай запускать либо вешай дополнительные флаги при транзакции