Банки ультимативно лезут к нам в ш?т?а?н?ы? личную жизнь +180


AliExpress RU&CIS

Пару лет назад мы делали обзор премиальных банковских карт и обзор как экономить на страховках, если нет премиалки. А сейчас мы проанализировали порядка сотни приложений банков на права доступа, которые они требуют при установке их мобильного приложения на андроид. Результаты свели в таблицу.

Банковские приложения и сами банки ведут себя очень наглым образом. Уже при установке они запрашивают права доступа, которые им необязательны или совсем не нужны для работы. Например, приложение Сбербанка сразу требует доступ к звонкам и фоткам. Я категорически против. Отказываю. А приложение не хочет работать при таком раскладе.

Банки, конечно, говорят, что всё во благо народа. 

Нам же и пенсионный возраст, и НДС повышают по просьбам трудящихся, и даже старого деда до 2036 года продлили. Мы не хотим. А они делают всё, чтобы нам было им проще дать, чем объяснить почему не хочется. 

Ответ Сбера просто поражает.

Сбер не одинок. Такая же ситуация и с ВТБ, с которым мы год судимся за закрытие счёта.

Ответ ВТБ

Кто-то даёт добро банкам к с своим личным данным не глядя, а потом банки используют эти данные.

Когда сталкиваешься со СПАМом целенаправленным и понимаешь, что кое-кто слил персональные данные, то уже начинаешь относиться к ним куда бережнее. 

Ещё у нас тут Ситибанк и Совкомбанк отличились, если вы клиент этих банков и живёте за границей, то банк считает, что приложение вам не должно быть доступно. 

Анализ приложений известных банков

Мы решили сделать анализ приложений основных банков. Проанализировать три типа мобильных приложений банка:

  1. для физических лиц;

  2. для юридических лиц;

  3. и брокерские приложения для инвестиций в ценные бумаги.

Все сведения мы свели в таблицу. Теперь вы можете заранее выбирать нормальный банк, которые не лезет вам нагло в штаны ваш смартфон за вашими данными.

Скрины тестов.

Ситуация не такая уж и угрожающая. Но пока неизвестно куда тренд идёт. Важно, чтобы все клетки в таблице стали зелёными, а не количество красных увеличилось.

Права доступа запрашивают почти все. И в идеале надо зелёными отмечать только тех, кто не запрашивает никаких прав доступа, а жёлтым цветом отмечать тех, кто запрашивает, но работает, если в правах доступа отказано. Если представители банков всё же отреагируют на наши недовольства, то через годик будет уместно повторить тестирование.

Проблема копий паспорта

И чтобы два раза не вставать поговорим про копии паспортов ещё. Нигде никаким законом не предписано коллекционировать копии паспортов. Смысла в их коллекционировании нет. Например, у нас в ITSOFT были перегибы на местах, когда сотрудники брали копии паспортов, но я это запретил делать категорически.

Рынку вообще нужна система идентификации по одному ИНН+TOTP вместо кучи реквизитов и персональных данных. 

Никогда никому старайтесь не давать копии паспортов. Всегда требуйте законное обоснование, чтобы потом кредит на вас не повесили или ещё что, а вам не пришлось доказывать, что подпись не ваша. Если же там упираются, то когда снимаете копию с паспорта нужно приложить 2-3 листочка на пустое место в паспорте с указанием куда предоставляется копия паспорта. Потом такой копией невозможно воспользоваться, если она уйдёт на чёрный рынок. А у вас будет хотя бы теоретическая возможность привлечь виновника к ответственности в суде. 

Банки пока в массе не применяют ЕБС (единую биометрическую систему).

63-ФЗ об электронной подписи принят уже лет 10 как. Но банки его игнорируют и упорно не хотят работать с документами подписанными УКЭП, хотя согласно п. 1 ст. 6 63-ФЗ они обязаны. По сути мы уже год с ВТБ за это и судимся.

Возможные решения проблемы

Пинать и стыдить постоянно банки и всех, кто пытается без нужды получить доступ к нашим данным. Проверьте какие права имеют все ваши мобильные приложения и запретить всё лишнее. Это можно сделать в Настройки > Приложения > Менеджер настроек. Не бойтесь запретить нужные права, если потребуются, потом можно всегда разрешить.

Если вы не пишете видео со звуком из Facebook и Instagram, то этим приложениям не нужен доступ к микрофону. 

Если вы используете приложения соцсетей только для чтения и не постите фотки, то и доступ к камере им ни к чему.

Зачем доступ к камере смартфона имеют некоторые банковские приложения вообще непонятно. Ещё они доступ к диску имеют. Они вполне могут работать и без него.

Тем банковским приложениям, которые отказываются работать без прав ставим единицу в рейтингах Google Play, пишем отзывы на банкиру.

С этим нужно что-то делать на законодательном уровне. Отчасти даже сделано — ст. 5 152-ФЗ. Там сказано, что собирать персональные данные можно только те, которые реально нужны. Есть ст. 15 152-ФЗ, где запрещено без нашего согласия использовать наши данные для того, чтобы нам что-то впарить. Но банки в своих кабальных договорах уже получают от нас согласие и большинство это подписывает не глядя. Хотя согласно закону мы можем отказать банку в части его хотелок. Тут нужно внимательно читать договор и приложения к нему.

Совсем отвратительно то, что согласно ст. 14 152-ФЗ  мы не можем получить информацию об обработке наших данных указанную в п. 7., так как согласно подпункту 3) п. 8 наше право может быть ограничено. Банк же всегда может сослаться, что он залезает к нам в трусы смартфон не чтобы лучше нам рекламу показывать и продвигать свои услуги, а чтобы с терроризмом бороться. Мало ли кто чего не то думает про власть.

Банки ловили уже за руку на утечке персональных данных, но им ничего не было по сути, а пострадавшие клиенты существенных компенсаций не получали.

Сейчас пора предвыборных кампаний начинается. Можно обратиться к депутатам и к кандидатам в депутаты, что есть конкретная проблема. Отличный повод с ними познакомиться. Со своими я знакомился в битве за поправками против судебных приказов. В очередной раз напишу письма со ссылкой на данную статью. Тема очень больная. Статей и откликов много. Давно пора навести порядок в том, какие данные банки могут получать, а какие не могут. Ст. 5 152-ФЗ должна работать, а те, кто без необходимости собирает данные, должны за это дело отвечать очень серьёзно и не перед государством, а перед физическими лицами. А то права нарушаются наши, а штрафы собирает государство обычно. В результат я, конечно, не верю, но времени это тоже много не занимает.

В ЦБ РФ жалобы писать бесполезно, они там одни отписки дают, что не вправе вмешиваться в деятельность банков.

Если у вас есть возможность совсем не пользоваться телефонной связью, то лучше не пользуйтесь. Банки почему-то не внедряют общение через Telegram. Мы давно внедрили и всем рекомендуем телебота. Телефонная связь пишется в нескольких местах. Все данные озвученные по телефонной связи почти в открытом доступе. Прослушки сливают регулярно в сеть и к вашим телефонным переговорам имеет доступ большой круг лиц.

Не светите личную мобилу для банков.

В идеале СМС принимать на одном телефоне, а приложение банка на другом.

Совсем в идеале банкам уйти от СМС и сим-карт. Сим-карты бывает и подделывают в смысле перевыпускают незаконно. И СМС-ки дорого стоят. Ведь TOTP куда безопаснее и дешевле. Но банкам, за редким исключением, почему-то проще за смски платить, чем перейти на аппаратные токены. Сейчас начали внедрять некоторые банки программные генераторы кодов, но они инициализируются через смс, т.е. деньги они экономят, а безопасности не дают.


Дата-центр ITSOFT — размещение и аренда серверов и стоек в двух дата-центрах в Москве. За последние годы UPTIME 100%. Размещение GPU-ферм и ASIC-майнеров, аренда GPU-серверов, лицензии связи, SSL-сертификаты, администрирование серверов и поддержка сайтов.

Приглашаем авторов к сотрудничеству.




Комментарии (393):

  1. SensDj
    /#23041332

    Обновил газпромбановский «Телекард 2.0» — программа при запуске сказала «Удалите AnyDesk, иначе я отказываюсь работать». Но мне AnyDesk нужен для управления своими компьютерами и серверами, поэтому пришлось удалить «Телекард 2.0» и установить старую версию, которая такого не требовала.

    • kuznetsovkd
      /#23041336

      И гугл это никак не смущает?

      • itsoft
        /#23041380 / +2

        Формально Гугл же и на андроиде говорит, что приложения должны запрашивать только реально нужные права или в момент когда такие права понадобятся. Но приложения некоторых банков положили на Гугл.

        • Watcover3396
          /#23041396 / +2

          Да и гуглу пофиг, всем пофиг, это главная проблема.
          Пока сами пользователи не опустят приложения банков на дно в плеймаркете, они не пошевелятся.

          • dimskiy
            /#23041446

            Вы не правы, гугл закручивает гайки на эту тему. Они просто делают это мягко, потому что ленивые разрабы не хотят апдейтить приложения под новые правила. Потому ужесточения касаются, как правило, таргетированных под последние API приложений. И у «редисок» есть долго прокатывающий вариант просто не поднимать target API.

            • Alonerover
              /#23042184

              "… ленивые разрабы не хотят апдейтить приложения под новые правила."

              — Малое уточнение, претензия всё же должна быть никак не к разработчикам, но к заказчикам, к тем кто лично утверждает ТЗ на приложение, т.е. — к банкстерам.

              • dimskiy
                /#23042800

                Не могу согласиться. Думаю, те кто утверждает ТЗ вообще не в курсе как в андроиде работает камера или микрофон. А разработчик выбирает пойти ли ему простым путем, или более правильным.
                Если бы не целенаправленные усилия гугла в сторону прайваси, мы до сих пор бы аппрувили простыню нужных и не очень прав сразу при установке приложения. Потому что лень, потому что "так привык", потому что "а что, иначе можно?".

                • muove
                  /#23043110

                  Какие именно усилия гугла в сторону прайваси были сделаны? Замена куки на FLOC? Отсутсвие возможности делиться только ограниченным набором контактов? Отсутствие возможности сброса рекламного ИД? Сбор всех данных каких только можно?

                  • dimskiy
                    /#23043154

                    Подозреваю, что ваш комментарий из разряда "ну и чо?", и все же отвечу.
                    Например, сейчас я уже третий день пропихиваю в приложение на Маркете разрешение на сбор геопозиции в фоне, потому что Андроид считает такое разрешение нужным при работе с BroadcastReceiver.
                    Я заявил этот пермишен в манифесте, добавил экран с вопросом пользователю и опцией перейти в настройки чтобы дать доступ (декларации в манифесте не достаточно). Я даже отсек явный запрос разрешения если пользователь не использует соотв. функцию. И добавил обоснование для ревьювера гугла, приложив к тексту видео-демо.
                    И все равно этого мало. Нужно теперь явно написать пользователю как и зачем я использую его локейшен, пообещать никуда его не отправлять и тп. Еще и политику конфиденциальности из-за этого придумать и где-то выложить.


                    Мне как разработчику — сплошной геморрой и возня с вещами, которые мне совсем не интересны (тексты, политики конфиденциальности, запись видео и тп). Но пользователю от этого лучше — пользователь получает в свои руки контроль, принимает решение и тп. А гугл же явно и детально контроллирует как я соблюдаю его требования.


                    К примеру, еще в Андроид 7 ЕМНИП все это было не нужно — достаточно добавить пару строчек в манифест. И вот уже пользователь на все был согласен если приложение у него уже установлено.


                    Если это вам не пример, то дальше говорить не о чем.

                    • KivApple
                      /#23043592

                      Вроде как у гугла на самом деле относительно формальный подход. Есть просто какие-то ключевые моменты. Например, наличие определённых разрешений в манифесте с точки зрения гугла требует добавить политику конфиденциальности. Вы можете просто выполнить это формальное требование (при этом честно написав в политике, что данные никуда не уходят), а можете спорить с ревьювером без гарантий успеха.

                      Таких граблей при работе с Google Play очень много и с опытом их постепенно собираешь. И просто машинально выполняешь формальные действия при добавления того или иного функционала в приложение. Надо читать правила между строк — что НА САМОМ деле ревьювер будет проверять и смотреть исходя из своей внутренней инструкции. Да, это может звучать как-то неправильно, но из-за массовости ревьювер едва ли будет обладать серьёзной квалификацией и тем более точно не обладает полномочиями по отклонению от внутренних правил (либо имеет, но следование методички для него самый безопасный вариант поведения). Так что проще адаптироваться, чем спорить. Во всяком случае пока у тебя маленькое приложение.

                      • dimskiy
                        /#23043724

                        Так я вроде не жалуюсь и не спорю :) Весь опус только чтобы продемонстрировать моему оппоненту на практике закручивание гаек по теме прайваси.

                    • Adrianus
                      /#23049972

                      Есть очень клёвая идея, которая максимально всё упростит — отходить от размещения в плэймаркете и использовать альтернативные способы продвижения.
                      Тот же telegram выложил альтернативную версию apk клиента для android на своём сайте — и в ус не дует.

                      Суровое имхо: не стоит прогибаться под корпоратов с их иногда невменяемыми требованиями. Хороший продукт пользователь при минимальной рекламе в тех же соцсетях, например, найдет сам — если в данном продукте реально есть необходимость.

                • /#23044282

                  Я лично участвовал в разработке андроид клиентов двух банков, и поверьте — разработчикам нет никакого интереса запрашивать разрешения там, где они не нужны, и к такому приводят именно неадекватные требования в тз. Надо понимать что доступ к телефону на андроид который запрашивает тот же сбер — это доступ к куче статусов устройства (там всякие к какой сети подключено и проч.), так что не ясно зачем они его запрашивают. Но я чуть более чем согласен, что какого хрена сбер какой-то там свой антивирус встроил который я не просил и теперь хочет повышенных системных привелегий, при том что приложение по факту работает без них, уже давно поставил им за это 1 в маркете да и в общем то отказался от использования их услуг. Могу сказать только одно — если нужно, но выбора нет — можно поставить magisck root и permission manager (если не путаю название) и можно дать ненастоящие права на все приложению (на все запросы по правам оно будет получать типовые ответы — контактов нет, файлов нет, звонков нет etc), или поступить проще и использовать веб версию.

                  • LucasP
                    /#23046314 / -2

                    Да, все это довольно очевидно. Иногда просто непонятно, что это за попытки в сотый раз написать статью в ключе канала рен-тв)

                  • Ark1774
                    /#23048156 / -1

                    Контакты нужны для удобства переводов по номеру телефона(чтобы не набирать номер по памяти, а просто выбрать нужный подписанный). Доступ к звонкам возможно для звонков из приложения в ТП(есть такая возможность) и так далее.

                    • DaemonGloom
                      /#23048774 / +3

                      Звонки из приложения прекрасно работают без разрешения «доступ к звонкам» — в нормальных приложениях у вас просто откроется стандартная звонилка с уже введённым номером.
                      Равно как и требование разрешения на доступ к всем контактам не является необходимой частью перевода по номеру телефона — если человек хочет ввести номер сам, не нужно отнимать у него возможность использовать приложение совсем.

                      • Ark1774
                        /#23050416

                        А как в звонилке будет введён номер без разрешений? Это ведь потенциальная уязвимость. Если есть возможность набрать номер внешней программой, то и нажать кнопку звонка она вероятно может. А затем возможно и стереть факт звонка.
                        По поводу контактов как я понимаю разработчики пошли по пути упрощения приложения, которое и так перегружено. Если нет доступа к контактам, нужно дописывать алгоритма чтобы приложение не считало это за ошибку и не пыталось постоянно обновить контакты.
                        А параноики могут воспользоваться веб версией. Если уж контакты и сольют, то это может сделать ОПСОС с куда большей достоверностью и без всяких разрешений, т.к. в смартфоне они у многих записаны как попало. А зачем они банку я не особо представляю. Номера своих клиентов у них и так есть, а навязывать рекламу по телефону не своим, чревато. Особенно в последние годы.

                        • vcKomm
                          /#23050540

                          Если есть возможность набрать номер внешней программой, то и нажать кнопку звонка она вероятно может. А затем возможно и стереть факт звонка.

                          В гугле явно не дураки сидят прописывают, можно вызывать интенты звонилок.

                          Официальный способ открывать звонилку с номером в ней:
                          developer.android.com/reference/android/content/Intent#ACTION_DIAL

                          Еще есть интент открытия приложения камеры. Это тоже потенциальная уязвимость? Внешняя программа может ведь нажать на кнопку камеры и сохранить туда, откуда галерея не берет фото!!! Караул!!!

                          • Ark1774
                            /#23050732

                            Я лишь сделал предположение.
                            А вызов через приложение может нести дополнительную информацию тех поддержке, чтобы клиенту не приходилось её называть или отправлять. К примеру лог, номер сессии и другая служебная информация которая поможет быстрее решить проблему клиента, либо выявить плавающий баг.

                            • DaemonGloom
                              /#23050864

                              Не может, вызов — это просто вызов. Единственная разница — пользователь не подтвердит его самостоятельно в звонилке.

                  • Pilgrim54
                    /#23051928

                    Насчёт антивируса — странно назвать это антивирусом, но если в момент звонка мошенников из чёрного списка приложение банка будет предупреждать об этом, то это правильно. Да, есть специальные приложения — определители, и тот кто их ставит, может отключить доступ банковского приложения к звонкам, а тот кто «во всём этом» не разбирается, получит по умолчанию включенную предупреждалку от банка. Конечно это должно рулиться в настройках. Так что с «антивирусом» достаточно логично, имхо

                  • Pilgrim54
                    /#23051930

                    Насчёт антивируса — странно назвать это антивирусом, но если в момент звонка мошенников из чёрного списка приложение банка будет предупреждать об этом, то это правильно. Да, есть специальные приложения — определители, и тот кто их ставит, может отключить доступ банковского приложения к звонкам, а тот кто «во всём этом» не разбирается, получит по умолчанию включенную предупреждалку от банка. Конечно это должно рулиться в настройках. Так что с «антивирусом» достаточно логично, имхо

            • AndreiMoscow
              /#23046750 / +1

              Если бы Гугл требовал от разработчиков каждый доступ обязательно разбивать по параметрам и возможности выбора пользователя отключить один или несколько, такой проблемы больше не было. Но Гугл почему-то не требует и все доступы идут скопом

              • dimskiy
                /#23046884

                Во-первых что значит «разбивать по параметрам»? Во-вторых, какой у вас андроид? Начиная с 9 версии там очень детальная модель пермишенов. Как пользователь, я бы не хотел чтобы она стала еще детальнее чем уже есть в 11 версии. Нужно не забывать и про баланс пользы и геморроя для разработки.

          • Tufed
            /#23043450

            А смысл? Рейтинг приложений работает там где есть альтернатива. А тут её нету. Офф. приложение банка не заменить другим. Будь у него хоть 5 звезд хоть 1.

            • maksim_ms
              /#23044058

              Заменить приложением другого банка.
              Я привык у меня тут все друзья это не аргументы)
              Ну либо да, продолжать есть кактус (двусмысленно получилось)

              • zxcvbv
                /#23044660

                Причем тут «я привык»: в 99% случаев из 100 карту выдает работодатель того банка, в котором расположен зарплатный проект. И заморачиваться с открытием второго пластика другого банка всего лишь из одних подозрений в небезопасности мобильного приложения, большинство просто не будет.

                • Dolios
                  /#23044766

                  Второго? Вы хотите сказать, что большинство имеет 1 карту, которую выдал работодатель? Как минимум, на кассах в супермаркете я вижу, что в очень большом количестве случаев это не так, у людей по нескольку карт. Ну и, последние лет 15 я получаю зарплату та свою карту (в разных компаниях) и ни в каких зарплатных проектах не участвую. По закону так может сделать кто угодно, в бухгалтерию нужно всего лишь сообщить реквизиты счета, на который нужно перечислять зарплату.

                  • zxcvbv
                    /#23045482

                    По закону так может сделать кто угодно, в бухгалтерию нужно всего лишь сообщить реквизиты счета, на который нужно перечислять зарплату.
                    Как правило, при таком варианте обслуживание карты вам придется оплачивать из своего кармана.
                    Вторую и последующие карты, по опыту, люди заводят либо из-за повышенного кэшбека (хайп с кэшбеком уже прошел, кэшбеки смешные, лень заморачиваться), либо под отпуска (мили, условия снятия в других банках без комиссии, вип-зоны в аэропортах — многое из этого также сильно девальвировалось за последние лет 10), либо высокий процент на текущий остаток (с текущими процентами малоактуально), либо исходная карта какая-то ущербная (электрон, мир). Для большинства все эти случаи не являются прямо уж критичным фактором.

                    • Dolios
                      /#23045730

                      Как правило, при таком варианте обслуживание карты вам придется оплачивать из своего кармана.

                      Как правило, обслуживание дебетовок бесплатное.


                      хайп с кэшбеком уже прошел, кэшбеки смешные, лень заморачиваться

                      Завидую вам, вы богатый человек, если для вас лишние, например, 50 тысяч рублей в год, это смешно.


                      Для большинства все эти случаи не являются прямо уж критичным фактором.

                      На кассе присмотритесь к людям, у половины точно несколько карт. У меня 7 штук, например, от 4 банков. Мира среди них нет, и электрона нет. 2 из них, мне, в общем-то не нужны, из навязали банки при получении услуг, которые мне от этих банков были нужны, но обслуживание по ним бесплатное и они у меня, тем не менее, есть.

                      • Incognito90
                        /#23049216

                        Как правило, обслуживание дебетовок бесплатное.

                        не знаю на сколько это повсеместное явление, но сталкивался с тем, что работодатель говорил «мы не против перечилять зп на карту другого банка, но стоимость платежки будем вычитать из твоей зп»
                        в одной из таких контор я даже соглашался на эти условия…

                        • Dolios
                          /#23050290

                          Это незаконно.

                          • Ark1774
                            /#23050430

                            Но люди в абсолютном большинстве готовы терпеть, потому незаконная практика продолжается.

                            • HardWrMan
                              /#23050464

                              Тут дело даже скорее всего в другом. Если это так называемый «зарплатный проект» то у юрлица обычно в банке скидки есть на держателей карт, которые получают на неё ЗП. Т.е., для них действительно содержание бесплатно и перевод на неё ЗП так же без комиссии. А перевод на левую карту уже банк выставит комиссию. И, кстати, в одном месте работы у меня в бегунке был пункт посещения банка с целью переноса моей карты из «зарплатного проекта» того юрлица в обычного держателя физического лица (у которого свои тарифы). Но я тогда тем же посещением эту карту и уничтожил прямо в банке.

                              • zxcvbv
                                /#23050628

                                А еще если контора крупная, то банк на зарплатный проект компании предоставляет энное количество золотых и платиновых карт, которые можно безвозмездно получить, если ты не распоследний дворник в компании. Получить платину/блэк и это вот всё без стоимости обслуживания, будучи физиком с улицы можно лишь на довольно жестких условиях (какой-нибудь очень большой неснимаемый остаток/большой ежемесячный оборот покупок и т.п.)

                                • Alexsey
                                  /#23051384

                                  Все что ниже Visa Signature (и аналога у мастеркарда) не представляет особой ценности. А Signature обычно дают на плюс-минус тех же условиях что и если просто придти в банк (то есть зарплата >200 тысяч)

                              • Ark1774
                                /#23050758

                                На сколько я знаю, нет таких комиссий, но есть фиксированная сумма за перевод в другой банк(в районе 100-200р). В зависимости от тарифа некоторое количество таких переводов условно бесплатны.
                                А подключенный зарплатный проект даёт снижение процента комиссии при переводе физ лицам(самому себе к примеру), даже если з.п. никому не платится.

                                • vikarti
                                  /#23051690

                                  приходилось сталкиваться со стороны того кто банк выбирает в таких случаях.
                                  Зависит от банка.
                                  Вполне себе бывает И сумма за платежку И комиссия, бывает что и — заградительная (особенно если переводов физикам в другой банк много).
                                  ЦБ все устраивает (пример — https://www.tinkoff.ru/invest/news/493975/ )


                                  Правда у вменяемых банков есть возможность сделать зарплатный проект хоть на одного человека или вообще делать зарплатный проект НЕ на свои карты.
                                  Как я понимаю тут проблема скорее в том, что банк обнал отслеживать обязан.

                      • Vitalley
                        /#23054138

                        Как правило, обслуживание дебетовок бесплатное.

                        Может что-то типа электрона и бесплатное, а так сколько в последнее время пользовался дебетовыми картами, кредитных не было вообще, всегда надо за них платить чем-то.

                        • Incognito90
                          /#23054234

                          почти у любого банка есть бесплатные карты, либо способы сделать карту бесплатной. (я про нормальные visa/master card)

                        • Dolios
                          /#23054284

                          Обычно достаточно либо тратить определенную сумму (что вы и так делаете каждый месяц), либо получать зарплату на счет в банке (что как раз в контексте обсуждаемого вопроса), либо иметь в банке депозит и т.д.


                          Вариантов много, всегда можно найти тот, что подойдет именно вам. У меня все дебетовки классик-голд бесплатные.

                    • Gugic
                      /#23045758

                      А что плохого в том, чтобы таки немножко платить за сервис который устраивает, вместо того, чтобы есть то, что дают? Особенно если вы можете себе это позволить? Плюс у огромного количества банков есть разные условия по которым обслуживание бесплатно. Ну там вроде от какой-то суммы депозита или от какой-то суммы транзакций.


                • nikolayv81
                  /#23047206

                  А зачем приложение? Есть же интернет банк, вот приложение Сбера так и не поставил :)

                  Кстати у одного из банков с картинками из статьи он функциональной чем приложение, ну разве что по штрих-коду не оплатить (а вот и причина почему доступ к камере) но у второго Банга хотя бы разрешения не обязательные, вроде...

                • maksim_ms
                  /#23049310

                  Я всегда к работодателю прихожу со своей картой.
                  Сразу приношу заявление с реквизитами.

                  Это раньше было карточное рабство, хорошо что отменили.

                  Выше писали про несколько карт разных банков, вот это не понимаю, этот как несколько симок в телефоне. Зачем? ловить бонусы с разных банков? каждый раз думать где у тебя больший кэшбэк?

                  • Alexsey
                    /#23050108

                    Выше писали про несколько карт разных банков, вот это не понимаю, этот как несколько симок в телефоне. Зачем? ловить бонусы с разных банков? каждый раз думать где у тебя больший кэшбэк?


                    Ну например чтобы не хранить в одном банке сумму большей той, которая застрахована АСВ.

                  • AndreyHenneberg
                    /#23067780

                    А что такого в нескольких симках в телефоне? У меня, к примеру, одна основная, вторая резервная с посекундной оплатой и от другого оператора. Нужна на случай, если не удалось вовремя пополнить баланс (автоплатежи не включаю принципиально) или есть проблемы с приёмом. Пока не попадал в ситуации, когда проблемы есть у обоих операторов одновременно и это не глухие гребеня вроде места на трассе, где поблизости нет ни одного населённого пункта. В последнем случае нет связи вообще ни с одним оператором, кроме спутниковых.

                    • inkelyad
                      /#23068112

                      Более того, даже два телефона (один-смартфон для интернета, другой — звонилка) — это вполне нормально. И каждый из них сейчас двухсимочный.


                      А рядом — еще один смарт уже без всяких симок для установки банк-клиентов.


                      Вообще, конечно весь коплект получается не совсем за полкопейки, но увы...

                  • Andy_U
                    /#23067882

                    вот это не понимаю, этот как несколько симок в телефоне. Зачем?

                    Да хотя бы в зарубежных командировках или тур.поездках (было) очень удобно. Или одна корпоративная, другая личная.

            • Zenitchik
              /#23044162

              Без приложения банка можно просто обойтись. Я лично предпочитаю личный кабинет на сайте банка.

              • isden
                /#23044752

                Например, у росбанка ЛК через браузер очень глюкав. Я как-то пытался минут 40 перекинуть баблишко с карты на счет. И потом еще включить бонусную опцию на карте. В итоге плюнул, поставил приложеньку и за 2 минуты все сделал.

              • JediPhilosopher
                /#23045162

                У альфа-банка, например, перевод по номеру телефона в другой банк доступен только в приложении. Через лк на сайте это вообще не сделать.

              • svob
                /#23047028

                У Сбербанка единственный способ подключиться к системе межбанковских быстрых переводов (которая по номеру телефона) — через приложение. В ЛК на сайте это сделать нельзя, и в переписке мне представители банка сказали, что так и задумано.

                Я поставила, куда делась. На телефон с неосновной симкой… Хотя бы родные и близкие мне туда не звонят.

                (Как раз недавно писала про это — и не мой ли комментарий подтолкнул людей к созданию этой статьи.)

                ПС Между прочим, ранее мне по номеру телефона уже переводили. Но в какой-то момент функция оказалась отключенной.

                • dekeyro
                  /#23048220

                  Погодите, включить просто опцию? или именно выполнять сам перевод?

                  • Mishootk
                    /#23049714

                    Выполнить перевод по СБП. Именно так. Долго держался без клиента, потом внутрисемейные переводы стали превышать лимит, и я решил попробовать. Думаю, включу и удалю. Из веба даже при включенной опции нет возможность отправить деньги по СБП.

                    • Ark1774
                      /#23050448

                      Отправка и получение у Сбера это отдельные опции, вы уверены что включили их? Если да, то тогда пахнет очередным скандалом со Сбером.

                      • Derzki83
                        /#23051572 / +1

                        В веб версии нет доступа к СБП , не важно включена она через приложение или нет. Получить перевод по СБП без приложения теоритически можно, если приложение рание было уствновлено , вклечены все настройки и снесено. Однако Сбер после выхода с ЛК / переустановки приложения сбрасывает настройки профиля и вопрос с получением перевода по СБП без приложения может подвиснуть, надо проверять. А вот самому отправить по СБП перевод без приложения не получиться даже если опция в приложении включена и приложение работает. Недовольство этим фактом в группе вк люди высказывали не раз.

                      • Mishootk
                        /#23052048

                        Наверное я думаю как айтишник и в интерфейсе рассчитанном на простого обывателя не вижу очевидных настроек. Так вот я не смог разобраться ни в мобильной ни в веб версии сбера как мне отключить только исходящие активные операции по смс оставив прием уведомлений и отправку подтверждений/отмен. Первоначальное гугление этой задачи тоже к успеху не привело.

                        • Stanislavvv
                          /#23052464

                          Когда-то, когда вебморда сбера была не тормозящей, я озаботился примерно тем же и докопался до поддержки. Выяснилось, что ни через вебморду, ни через приложение это не сделать.

                          • isden
                            /#23053496

                            Подождите, если речь про сервис "мобильный банк" — то его можно полностью отключить в ЛК, я родителям так делал. Уведомления по смс — это другой сервис.

                            • inkelyad
                              /#23053814

                              Уведомления по смс — это другой сервис.

                              А теперь нужно попробовать найти инструкцию по включению уведомлений именно по СМС(не Push), которые этот СМС-банк не упоминают.

                              • plm
                                /#23054416

                                В приложении. Главный экран, многоточие справа от имени, «все настройки», «уведомления от банка» и там выключить Push, это автоматически включит вместо них СМС. Эта настройка может сброситься при регистрации (когда вводите номер карты и создаете пароль для входа). Так сказала поддержка Сбера.

                                • inkelyad
                                  /#23054698

                                  У меня так и стоит. Оповещения об операциях нет. Пытаюсь включить...


                                  За услугу уведомления просит 60 рублей. Что эта цена напоминает...


                                  Идем на официальную инструкцию (PDF)
                                  Страница 3(выделение мое):


                                  Услуга «Уведомления об операциях»: Подключение осуществляется на номер телефона, для которого зарегистрирован доступ к SMS-банку (Мобильному банку).
                                  Плата за услугу составит 0, 30 или 60 рублей в зависимости от типа карты. Более подробно с тарифами по услуге «Уведомления об операциях»
                                  можно ознакомиться на официальном сайте банка, пройдя по ссылке Тарифы(Тут снова PDF)

                                  Идем на тарифы. Там везде "Информирование об операциях и авторизациях" — "… с даты регистрации доступа к SMS банку"


                                  Возвращаемся на инструкцию и пытаемся найти, как вот все что там написано, отключить. И как-то не находим.


                                  Еще отсюда


                                  Зачем подключать сервис «Уведомления об операциях» (ранее — «Мобильный банк») для регистрации в СберБанк Онлайн?

                                  И еще


                                  В банкомате СберБанка: «Все операции» > «Информация и сервисы» > «СМС-банк» («Мобильный банк») > «Подключить» > «Уведомления по карте и СМС-пароли».

                                  Ну, т.е. эти уведомления по какой-то причине намертво приколочены к тому, что в той инструкции по первой ссылке описаны.

                                • Ark1774
                                  /#23056866

                                  При установке мобильного приложения, уведомления каждый раз автоматически переводятся на Push. К примеру при смене телефона.
                                  Приходится ручками переключать обратно на смс в настройках.

                            • plm
                              /#23054452

                              Если отключить мобильный банк, то вроде отключится много чего полезного, типа информирования о списаниях. Надо отключать услугу «Быстрый платеж» в вебморде.

                              • isden
                                /#23054502

                                Уведомления по смс (списания/поступления/итп) это же вроде отдельный сервис? Ну по крайней мере было так когда я там в последний раз смотрел О_о

                                • inkelyad
                                  /#23054702

                                  Отдельный… В рамках "Мобильного банка"

                            • Stanislavvv
                              /#23054586

                              Уведомления по смс о движении средств в сбере жестко увязаны с услугой «мобильный банк», как минимум, на момент, когда я этим интересовался. Если что-то и поменялось, то уже тогда, когда поменялась вебморда.

                              • Ark1774
                                /#23056874

                                Я отключал мобильный банк пару лет назад. Но уже не помню как.

                        • plm
                          /#23054434

                          Отключить услугу «Быстрый платеж» в вебморде. Не оно?

            • /#23044302

              Пишите что альтернатива — веб версия, пользователи могут просто не подумать об этом. Да, чуть менее удобно, зато никаких лишних привелегий.

            • FlamyXD
              /#23045270 / +1

              В Европе например есть Open Banking API которое позволяет создавать thrid-party приложения для банков:
              https://www.openbankingeurope.eu/

              • itsoft
                /#23045326

                Только вот в Словении нет ни одного банка с открытым API для клиентов.

          • Jeen99
            /#23056162

            Оценка от пользователей тоже ничего не решает. Посмотрите рейтин у Сбер Инвестор. Почти все пользователи жалуются на качество и 1-2 ставят, но лучше оно от этого не стало. (там еще и накруткой, похоже, занимаются)

        • TargetSan
          /#23041842

          С одной стороны да. С другой, в моём конкретном случае вроде помогло. Крупный украинский банк, приложение требовало доступ к телефону, камере, хранилищу. Поставил кол, кинул репорт, удалил нафиг. Через какое-то время решил установить снова — и о чудо, разрешения теперь запрашиваются только по мере необходимости.

          • Avael23
            /#23043124

            Это конечно решает проблему в том плане что приложение запускается и работает с частью функционала но насколько мне известно после такого запроса разрешение остается активным и лишь небольшая доля пользователей полезет в разрешения приложений и отключит.

            В андроиде разве есть механизм выдачи единоразово или на ограниченное время?

            • etozhesano
              /#23043684

              Не помню точно, но вроде или уже есть (в 11) или будет в 12. Где-то читал апдейт про это

            • vikarti
              /#23043924

              в 11 если долго не пользоватся — отзовут вообще все.

            • /#23044316

              Вроде уже с 10ки когда запрашиваешь разрешение — три варианта — выдать навсегда, выдать только на этот сеанс, не выдавать

              • Ark1774
                /#23048188

                В 11 ещё есть: дать доступ только во время работы с приложением.

      • vikarti
        /#23041520

        Смущает похоже.
        Начиная с API level 30 (Android 11) — либо указывайте конкретные приложения (b и не факт что лимита там нет) которые волнуют либо отдельно approval для этой штуки в Play Store.
        Но приложение должно API level 30 поддерживать.
        C августа 2021 требование поддерживать API Level 30 для загрузок apk

    • /#23043134

      Извините за доставленные неудобства. С помощью этой программы мошенники могут получить доступ к вашему телефону. В целях безопасности и сохранности денежных средств мы установили ограничение на вход в мобильный банк.

      С уважением,
      Команда экспертов Газпромбанка

      • maxwolf
        /#23044808

        Доступ к моему телефону могут получить и шпана в подворотне, и карманники в метро. Но это не повод телефоном не пользоваться. Как и вашем случае — не повод ограничивать человека в использовании других программ (особенно тех, которые нужны по работе)…

      • Areso
        /#23045912

        Я слышал, все преступления с хищением денег совершаются с помощью денег.
        Предлагаю запретить деньги. Тогда их не будут красть.

      • SensDj
        /#23046298 / +2

        gazprombank> С помощью этой программы мошенники могут получить доступ к вашему телефону

        вы откровенно врёте — одной программы недостаточно, надо ещё пароль для доступа к ней знать, а мой пароль мошенники не знают и узнать не могут
        Вы бы ещё ножи кухонные запретили, т.к. «с помощью этого инструмента преступники могут лишить вас жизни»

        • inkelyad
          /#23046786 / +1

          вы откровенно врёте — одной программы недостаточно, надо ещё пароль для доступа к ней знать, а мой пароль мошенники не знают и узнать не могут

          Я так понимаю, что логика тут такая, что неизвестно, сам ли человек программу удаленного доступа и пароль к ней поставил или это мошенники постарались. Совсем сами или убедив жертву поставить "давайте мы вам поможем деньги сохранить, только вот эти действия сделайте"


          Идея атаки такая же, как на десктопах. И что еще тут можно придумать для защиты — непонятно. Вот, увы, они так себя и ведут.

          • vis_inet
            /#23047244

            Мне думается, что достаточно было предупредить человека об этом.
            А так, получается, что у человека нет возможности пользоваться продуктами банка, несмотря на заключенный договор — вряд ли это корректная позиция со стороны банка.

      • xl-tech
        /#23047202 / +1

        А ведь можно просто предупреждать пользователя, что у него установлены приложения для удалённого управления, и спрашивать сам ли он их установил, если сам, давать запускать приложение, если не сам, давать возможность позвонить в поддержку, где ему расскажут что делать. Но нет, у нас надо запретить и не пущать.

        • Busla
          /#23048564

          Так «антивирус» для этого и навязывается, чтобы знать: какие приложения у пользователя установлены, какие запущены. Это ваше «просто» и есть цель избыточных разрешений — составить профиль пользователя: игры, приложения других банков, приложения магазинов и сервисов.

  2. Honomer
    /#23041342 / +1

    А под iOS такая же картина? Интересно было бы увидеть аналогичную табличку.

    • itsoft
      /#23041374 / +3

      Говорят, что нет. Там всё строго.

      • v1000
        /#23041554

        Получается, что у платформы больше прав, чем у пользователя? Потому что, если пользователь не согласен с условиями приложения-пользователь идет лесом. Но если с этими же условиями приложение лезет к платформе-приложение идет лесом.

        • aamonster
          /#23041718

          Тут не в правах дело, а в значимости для банка.
          Пользователь может точно так же послать приложение лесом. Но отказ одного пользователя банк не заметит, а отказ платформы – более чем.

        • /#23044326

          Просто на ios сильно другие api и там какие-то вещи нельзя реализовать вообще и на них кладут болт, и для каких-то вещей не нужны специальные разрешения. Приложения на разных платформах в плане обеспечения безопасности сильно отличаются, по этому и в стартовых пермишенах тоже.

          • vikarti
            /#23044998

            Вспоминается вот иск Касперского к Apple про их аналог Screen Time
            https://www.theverge.com/2019/4/27/18519888/apple-screen-time-app-tracking-parental-controls-report например
            удовлетворенный иск.
            Ждем приложение от газпромбанка Телекард 3.0 которое будет требовать ставить MDM-сертификат и все нужные доступы выдавать а при отказе — отказываться работать?
            Разумеется В целях безопасности и сохранности денежных средств

      • hammerit
        /#23046960 / +3

        На iOS есть явный запрет на ограничение использования приложения, если пользователь не дал разрешений

        You can’t offer people compensation for granting their permission, and you can’t withhold functionality or content or make your app unusable until people allow you to track them.

    • Ra-Jah
      /#23041510 / +2

      Вышла новая версия iOS, где сильно закрутили гайки. Сам не пощупал еще, но видел как у банковских приложений появлялось сообщение о просьбе доступа к данным просмотра сайтов в сторонних приложениях (!sic) на телефоне, чтобы приложение смогла качественнее собирать данные таргетировать рекламу, ведь без нее вам будет очень тоскливо.

      • arsenty
        /#23041552

        Называется «Попросить приложение не отслеживать». Попросить! Больше похоже на какую-то издевку над юзером, чем на очень сильное закручивание гаек для приложения.

        • Ra-Jah
          /#23041576

          Некорректный перевод слова ask?

        • FiLunder7
          /#23042206

          Почему издевка? Если ты отказываешь, то система запрещает слежку для этого приложения. А как уж там сформулировали само сообщение (тем более в локализации) – дело десятое.

          • arsenty
            /#23042258

            Потому что выглядит как тот же do not track в браузере, когда никто никому не гарантирует, что реальное веб-приложение учтёт эту опцию и не продолжит трекинг.

            • FiLunder7
              /#23042276

              Ну не знаю, для меня не выглядит. Более того в системе есть глобальный переключатель, который выключает все эти запросы, и по дефолту отказывает всем приложениям в слежке.

      • v1000
        /#23041592

        «разрешите нам отслеживать, иначе приложение станет платным» (сарказм)

        • celsoft
          /#23043612 / +1

          Instagram не считает Вашу фразу сарказмом)

        • maksim_ms
          /#23044084

          Facebook на днях заявил что без отслеживания он будет платным, и просил пользователей не запрещать ему собирать информацию на iOS.
          Была где-то информация (без пруфа) что только 4% в США предоставили доступ к личным данным.

          Так что интересно будет посмотреть куда сдвинется монетизация.

          • lomalkin
            /#23045864

            Поидее модель freemium так и работает - один платный акк покрывает несколько бесплатных. Т.е. в этом случае экономика сходится.

            Интересно даже посмотреть на платный Инстаграм, если это не останется пустыми обещаниями.

      • adictive_max
        /#23041624

        сообщение о просьбе доступа к данным просмотра сайтов в сторонних приложениях (!sic) на телефоне
        То есть, я так понял, раньше это всё отдавалось просто так?

        • Ra-Jah
          /#23041632

          Как минимум не контролировалось пользователем. Разработчики мобильных приложений наверное могут рассказать много интересных историй.

          • /#23044374

            Да, и это всегда было удобнее и местами даже хорошо))
            Но на самом деле все было не так плохо в плане приватности — все разрешения писались при установке приложения, и если нужны были разрешения на звонки или смс, они помечались ярко как опасные. А камеру на андроиде нельзя открыть без превью — т.е. где-то на экране обязательно должно было отображаться то, что камера видит, иначе никаких фото или видео (как сейчас уже не знаю).
            Под раздачу по итогу попали много полезных вещей — например раньше можно было выключенным приложеним ловить события подключения/отключения wifi сети. В итоге у нас было приложение, которое отслеживало отключение от домашней сети предполагало что пользователь покинул дом и можно включить режим обслуживания (пылесосами там по кататься, вытяжкой по крутить, кондиционер подразогнать), чтобы весь шум мимо него прошел, сейчас такое можно только из запущенного приложения ловить (как и подключение/отключение зарядки например) — пришлось это переделывать на геометки, а это больше энергопотребление и меньше точность и более агрессивные права для приложение (отслеживание местоположения)

            • Nikita22007
              /#23045782

              А как же"сервисы" в Android? Или не работает?

              • /#23045790 / +1

                Режим Doze прибьет ваш сервис если он не foreground (у него не висит нотификация). В теории если сервис steaky то он может жить по лучше, а может не жить, гарантий никаких. Так что да, по факту можно получить события о которых я писал из запущенного сервиса (в приложениях для личного пользования я так и делаю — поднял вечный foreground сервис и в него ловлю любые события), но не хочется обременять юзера вечно висящей нотификашкой. Если я правильно понял о чем ваш вопрос))

    • vikarti
      /#23041524 / +2

      Насколько помню на iOS приложение должно работать независимо от ответов на такие запросы
      (да и получить список приложений тот же легальным способом — нельзя).

      • ozver
        /#23042908 / +1

        Не знаю как сейчас но ещё полтора года назад в info.plist Яндекс.Такси было указано более 20 bundle id, благодаря чему приложение могло спокойно вычислять есть ли у пользователя приложения конкурентов (и не только конкурентов, там были и совершенно не связанные ни с Яндексом ни с такси приложения). В поддержке Apple развели руками и предложили обратиться в поддержку Яндекса :)

        • vikarti
          /#23043932

          А, знаю как. Так не любое приложение можно поймать.
          Имелся ввиду совсем универсальный способ (без явного указания bundle id)

    • anaym
      /#23041742 / +1

      Нет, на iOS с этим всё хорошо. Банки запрашивают довольно мало прав и по делу (например — доступ к контактам чтобы их показать при переводе по номеру телефона). Если прав не дать — просто не покажутся контакты, но номер телефона можно вбить руками.
      Если нужно отсканировать QR-код в приложении банка — можно дать доступ только к одной единственной фотографии с этим кодом.

      • Akuma
        /#23042680

        На счет выдачи доступа только к одному фото — там есть подводный булыжник. Один раз дали разрешение — в следующий раз оно даже не спросит, будет доступ к одному этому же фото, а если надо выбрать другое — лезь в настройки, там самостоятельно меняй разрешения. Я так с телеграмом накололся.

        • aelimill
          /#23042898

          У меня в viber по другому немного — показывается системный диалог с выбором «оставить прежние выбранные изображение» и «выбрать еще».

          • Akuma
            /#23042964

            Хм. Видимо зависит от приложения, что довольно странно.

  3. cryptoz
    /#23041368 / +5

    В некоторых оболочках на Android есть опция предоставить разрешение на контакты, но отправить пустой список. Ещё было бы полезным похожая опция для местоположения, только координату выбираешь сам точкой на карте, которую система всегда будет отправлять приложению

    • q2digger
      /#23041392 / +1

      нууу.. существует fakegps , которым пользуются хитровывернутые таксисты, чтобы со своими приложениями мухлевать, с другой стороны клиенты банков это должны отслеживать как отслеживают рутованный аппарат или нет .

      Тут нужно такое "железное" решение, которое будет перебивать сигнал gps для ТОЛЬКО для отдельного смартфона , а не как у власть имущих , в центре москвы, и переодически отправляющее всех находящихся недалеко от правительственных трасс во внуково или шереметьево ))

      • dimskiy
        /#23041440

        Ну да, включенные developer options можно детектить, что обычно делается заодно при проверке «на рута».

        • Oplkill
          /#23041698

          Всегда можно спрятать рут. Сбербанк и Открытие спокойно продолжают работать со скрытым магиском рутом

          • AlexWoodblock
            /#23043538

            Сильно зависит от того, что внутри приложения детектит рут. Approov, например, ловит и Magisk Hide, сам такое наблюдал.

          • Mishootk
            /#23049750

            Скажите, а можно сдать телефон в сервис на наклейку пленки или пропайку разъема, а получить его обратно с установленным и скрытым рутом, так что не пользователь ни программы про него не будут знать? В то же время туда уже установлен необходимый шпион.
            Точно так же с продажей телефона БУ. Продается телефон "со стертыми данными, чистый, видишь, ничего нету". Предварительно подготовленный.

            • fanatikvoice
              /#23051200

              Ну если вы выключите аппарат, и будете контролировать наклеивание - то шанс может стремиться к нулю.

              • Mishootk
                /#23052062

                Ну значит такая атака на большинство пользователей актуальна. Люди вон ноуты на очистку вентиляции сдают, где все автовходы на все аккаунты открыты.

                • fanatikvoice
                  /#23054430

                  Мне например знакомые тоже приносят ноуты почистить (внутри - железо, и саму систему) и стационарники - я сразу их предупреждаю чтобы все позакрывали, и стараюсь всегда в из присутствии все делать - и себе спокойней, и репутацию не потеряю.

    • Meklon
      /#23042970

      Shelter неплохо работает

      • maxwolf
        /#23044696

        Неплохо работает для чего? И по сравнении с чем? СМСки и звонки как делить между двумя профилями? А если нужно разделить контакты не на две группы, а на три (условные «звонки», «ватсап» и «телега»)?

        P.S. У самого стоят Shelter и TrackerControl. С ними, конечно, чуть спокойнее, но чётко понимаешь, что это — костыли :( Думаю в сторону рута и магиска…

  4. tomilov91
    /#23041382 / +6

    Был клиентом Газпромбанка, поставил их Телекард, так он не хотел работать потому что на телефоне установлен TeamViewer. Не знаю как сейчас дела обстоят, но тогда это меня просто убило. TV это мой инструмент для работы, какого ляда вы лезете в мой телефон?

    • dimskiy
      /#23041436

      С новых версий API гугл закручивает гайки и тут, теперь нельзя просто запрашивать список установленных пакетов. Обойти все равно можно, но практика показывает что потом ужесточат и потребуют писать обоснования на такие запросы. Так что ждем и верим :)

  5. Goron_Dekar
    /#23041404 / +3

    Вообще сама идея приложения не телефон превратилась в что-то типа поискового бара для браузера из начала нулевых.

    • vrnvorona
      /#23043390 / -2

      Хорошие нативные прилы гораздо лучше чем мобильные сайты.

      • lomalkin
        /#23045906

        Хорошие нативные прилы гораздо лучше чем мобильные сайты.

        Не знаю, за что именно вас заминусовали, т.к. формально вы правы.

        Проблема только в том, что количество "хороших мобильных приложений" сейчас исчезающе мало, не говоря о субъективности самого определения.

        Положим, что хорошее приложение должно в первую очередь хорошо решать задачи пользователя, а не владельца приложения.

        Делать хорошие приложения (с точки зрения пользователя), во-первых - затратно, во вторых - все хотят выжать максимум из самого факта нахождения на смартфоне у пользователя, в связи с чем перегибают палку. Поэтому имеем то, что имеем, к сожалению.

        • splitfire
          /#23048222

          В третьих, каждая шаурмячная «У Ашота», искренне уверена, что я сплю и вижу, как бы поставить её приложение. Мне это море говнософта на телефоне просто нахер НЕ НУЖНО.

          • flx0
            /#23048488

            Я может даже был бы и не против поставить (если они не требуют ни единого разрешения), но каждое такое приложение сейчас жрет по 40-200 мегабайт на абсолютно пустом месте, а терабайтных накопителей в телефоны как-то не очень завезли.

            • enamchuk
              /#23049344

              И большинство приложений мало того, что жрут 40 — 200+ Мбайт памяти, они ещё жрут оперативную память, процессорное время, батарею, трафик, постоянно отсылая какие-то данные.
              На компьютере я могу запустить приложение, попользоваться им и закрыть его, я могу ограничить его активность (убрать из автозагрузки, например), но смартфон таких возможностей мне не предоставляет. Даже root права получить часто не так просто, а у меня смартфон Samsung и корейцы за меня решили, получить мне root, тогда сработает аппаратная защита Knox и прощай оплата покупок смартфоном, либо терпеть. Максимум, что доступно — деактивировать навязанные производителем мусорные приложения (дисковую память всё равно занимают).
              Нужен аналог «диспетчера задач» из коробки, чтобы было видно каждый процесс. Пока всё доступное — костыли (часто с рекламой).

          • plm
            /#23054906

            Точно. Но об этом никто не думает. Заказал через билетное агенство трансфер в командировке из аэропорта прилета в гостиницу. Прилетаю, вместо обычной смс с номером машины и водилы получаю ссылку на приложение в плеймаркете… Охренел.

  6. xcod
    /#23041408 / +1

    полностью поддерживаю

    тоже писал в поддержку гугла и банков

    стандартные отписки

    единственное что сделал понизил рейтинг приложений

    • grebenyukov
      /#23049072

      Сделал то же самое когда-то. Но большинство просто либо не понимают, либо им безразлична персональность их перс.данных. Может тут хабраэффект сработает? Рейтинг приложений упадет и поддержку жалобами завалят до такой степени, что на проблему обратят внимание те, кто там решения принимают? Наивно, конечно, но вдруг...

      • xcod
        /#23049094

        да и на одном из смартфонов самсунга я отправил такие приложения в защищенную папку

        и живут они там себе изолировано от всех основных данных

        и работает все без рута

  7. t278
    /#23041414 / +1

    а теперь ещё по QR-можно будет снять деньги с банкомата. Сегодня в новостях.
    «Как объясняет газета, в мобильном приложении банка можно будет сгенерировать QR-код на получение определенной суммы, отправить его другому человеку, и тот сможет забрать в банкомате деньги, отсканировав код»

    • itsoft
      /#23041424

      В целом, это хорошая фишка. Если надо кому-то денег дать, то очень удобно. При условии, конечно, должной безопасности.

      Банку не нужен доступ даже к диску тут. QR-код он может сгенерить на экран, а пользователь уже сам дальше скринет.

      Сами технологии ограничивать или запрещать бессмысленно. Электричество постоянно убивает людей, от него пожары, которые дымом опять убивают людей, но это же не повод отказаться от электричества.

      • shnegs
        /#23041460

        А СБП уже не канает? Зачем нужна ещё одна лазейка для мошенников?

        Электричество постоянно убивает людей, от него пожары, которые дымом опять убивают людей, но это же не повод отказаться от электричества.

        Ну давайте ещё воду вспомним, огонь и т.п. Как это с текущим вопросом соотносится?

        • itsoft
          /#23041486

          В СПБ комиссия же как при переводе card2card с какой-то суммы.

          Допустим вам нужно быстро дать родственнику 200к, например. С QR-кодом он бесплатно снимет. А другие варианты либо перевод по безналу и ждать, либо % платить.

          ЗА МКАД так вообще проблема, если дачу ремонтировать, то все строители в массе нал просят.

          • FiLunder7
            /#23042226

            Ну пока по QR кодам ограничение 150 т.р. (по крайней мере в Тинькове). Так что отличие от СБП не большое.

        • vmkazakoff
          /#23041540

          Так собственно это и будет почти СБП. И к СБП и сейчас можно прикрутить QR. Знатно удобнее чем набирать номер и сверять имя: https://sbp.nspk.ru/business/

          Тут обратный режим, но логика остаётся прежней.

    • dimskiy
      /#23041432

      Боже, а зачем вообще такой костыль с банкоматом? Какой сценарий вообще?

      • eumorozov
        /#23041456

        Такой сценарий уже есть и работает, например, в Камбодже. В казахско-канадском банке ABA (создали банк казахи, затем продали канадцам). Можно в приложении сгенерировать код, потом по коду снять в банкомате.


        Полагаю, что это для удобства перевода друзьям или родственникам у которых нет своего счета. Хочешь дать кому-то денег: говоришь код, и человек снимает.


        Хотя у меня был знакомый хакер-параноик, который всегда снимал деньги со своей карты только так. Видимо, он считал, что это позволяет как минимум не беспокоиться о том, что карта может быть считана скиммером.

        • dimskiy
          /#23041500

          Занятно. Подумалось, что это хороший теневой инструмент :) Особенно, если есть возможность отправить код вне генерящего его приложения

    • wormball
      /#23041620

      Так это ж террористов можно финансировать! Или у получателя потом снимается фотография, паспорт, отпечаток пальца и анализ ДНК?

      • wormball
        /#23042420

        Похоже, таки надо было ставить тег «сарказм».

    • tmin10
      /#23042564

      У тинькова эта штука довольно давно на банкоматах, иногда пользовался.

    • maksim_ms
      /#23044112 / -1

      зачем нужна наличка в 21 веке?
      Отправил через СБП и все.
      Если только не на сбер) не у всех там СБП автоматом подключен, они все хитрят и никак не подключат, пришлось всем знакомым настраивать.

      • Dolios
        /#23044180 / +1

        Я в бассейн хожу, там можно либо наличкой в кассе заплатить, либо картой в автомате в холле, введя кучу персональных данных. Я выбираю наличку в этой ситуации.

      • maxwolf
        /#23044778

        Удивительно встречать такие риторические вопросы на хабре… Для использования безналичных платежей вы отчуждаете (передаёте) агенту (банку) часть своей собственности и право распоряжения этой собственностью. Взамен агент может предоставить (а может и не) некие услуги, которые кому-то могут (а кому-то могут и не) показаться удобными. Причём, само предоставление этих услуг сопряжено с целым рядом формальностей (выполнение вами требований, перечисленных на нескольких листах договора мелким шрифтом, выполнение агентом требований, перечисленных в многотомных инструкциях и регламентах самого агента и надзорных органов (про которые вы можете даже не знать), наконец, самим наличием технической возможности предоставления услуг (электричество, интернет, прибор с соответствующим ПО)). За каждым из перечисленных выше пунктов кроется риск (нарушений, сбоев, мошенничества и т.п.). Очевидно, что думающий человек будет принимать решение пользоваться или нет услугами, рассматривая и взвешивая возможные риски. Для кого-то риски приемлемы, а удобства предпочтительны, для кого-то — наоборот.

  8. dimskiy
    /#23041418

    Верно написано, но не стоит забывать про неявные взаимосвязи пермишенов. С доступом к звонкам, например, выдается право читать идентифицирующую инфу симки. До той поры пока банки считают симку за наш имплантированный ID-модуль, это важно. Или, если приложению зачем-то нужен блютус, могут требоваться и права на геолокацию. Потому что гугл считает что опрос эфира BT может скомпрометировать местоположение пользователя. Таких исключений в андроиде дофига.
    В перечисленных же банках, как мне кажется, эксплуатируется принцип «все равно вы будете юзать сберчтототам, даже если вам что-то там не нравится. Потому плевать на это ваше ‘не нравится’».

    • itsoft
      /#23041438

      У пользователя должен быть выбор. Хочешь это выбирай то. Не хочешь — не выбирай, но знай, что…

      Кстати, Сбер у нас победил в плане лайфхака для получения страховки для поездок на семью. Там получалось дешевле, чем если просто покупать страховку на семью.

      Им все пользуются. Иногда он нужен, когда кто-то просит скинуть денег именно на Сбер. Я им почти не пользуюсь, т.к. кэшбека нет.

      • dimskiy
        /#23041450

        Ну вот видите, вы все равно пользуетесь, хоть и редко, хоть и без особого желания. И таких большинство, кому проще сделать что от них хотят, чем упорствовать. К слову, я вот зеленым не пользуюсь. Вообще, принципиально. И когда мне нужно скинуть кому-то «на сбер» — я скидываю по номеру телефона или карты. Благо, мой банк не делает из этого проблемы

        • itsoft
          /#23041464

          До 50к. А если надо свыше скинуть? Можно заплатить %, а можно и не заплатить. :)
          Но в принципе тогда, можно уже и по реквизитам.

          • dimskiy
            /#23041490

            Вот вы сами и ответили. Заодно, доп. защита от неверных координат при отправке большой суммы

          • Berks
            /#23041666

            Читал где-то про рабочий способ беспроцентных переводов у сбера при превышении лимита — разово настроить автоплатеж и после перевода отключить. Вроде бы автоплатежные переводы идут вне лимита. Не пользуюсь сбером, поэтому за достоверность не ручаюсь.

      • dimskiy
        /#23041458

        А про выбор в плане предоставления прав доступа прогресс значительный. Раньше разрабы запрашивали список прав в формате манифеста, и вы соглашались сразу на все и без условий, если устанавливали приложение. А теперь можно рулить правами отдельно, некоторыми еще и с опциями (местоположение всегда, либо только при работе с приложением, и тп)

  9. rsashka
    /#23041430 / +7

    У меня была старая кредитка Сбербанка, которой иногда пользовался. Но после завершения срока действия, банк не захотел её продлевать автоматически (как это делал раньше).
    Требовал обязательно установить мобильное приложении и отправить запрос на продление карты из него. Подумал и послал его нафиг, а сам взял карту в другом банке с более лучшими условиями и без охамевших требований Сбера.

    • loginsin
      /#23041640

      Не забудьте и счет закрыть, а то попадёте на комиссию за непользование счётом. «Ну а то, что не видели — так сами отказались приложение ставить», — скажут вам.

      • rsashka
        /#23041646

        Она была без комиссии, поэтому и пользовался иногда.

        • Dolios
          /#23043346

          Пффф, банк вам легко введет комиссию и опубликует новые условия использования на своем сайте, который зарегистрирован как сми, а если вы в течение двух недель не откажетесь от их принятия, ваши проблемы, считается, что вы согласились.

          • rsashka
            /#23043370

            Такое в теории может быть хоть с мобильной связью, хоть банковской картой.

            Дело в другом. У меня основной счет не привязан к карте. Точнее, карточный счет открывался как дополнительный к основному и основной договор мне закрывать нет нужды, а карточный счет банк не продлил по собственной инициативе. Конечно, через месяц я обязательно уточню этот момент, но мне кажется, что тут подобных подстав быть не должно.

        • loginsin
          /#23052962

          Я тоже так думал, когда у меня была карта одного из банков средней величины. Так вот, они ввели условие: нет движения по счёту? Вводится комиссия в размере около 5к в год. Знаете, как об этом узнал? Спустя 2-3 года на почту письмо пришло, что срок действия карты заканчивается, а внизу мелким шрифтом было написано, что если я хочу закрыть счёт, то должен закрыть небольшой должок перед банком.

    • Veliant
      /#23041938 / +1

      Еще Сбер теперь при заявке на кредит требует указывать два номера телефона. Когда обращаешься в техподдержку и говоришь что у тебя один единственный номер и как быть, отвечают указывать номер родственников. А когда говоришь что родственники не являются их клиентами и не давали согласия на обработку персональных данных, то разводят руками - изворачивайтесь как хотите

      • migelle74
        /#23042460 / +1

        А если в заявке написать левый номер?

        • Aquahawk
          /#23047606

          Дополнительные юридические риски. Завладевший этим левым номером может натворить чудес ибо скорее всего все эти номера станут подтверждёнными вашими номерами.

  10. puyol_dev2
    /#23041502

    Неудобно конечно, но лучше пользоваться веб версиями клиентов

    • arsenty
      /#23041568

      У некоторых популярных банков есть полноценная поддержка веб-версий для смартфонов. Интересно, как скоро они решат, что погорячились и начнут урезать функционал, чтобы обратно сгонять клиентов в приложения.

      • Ndochp
        /#23041638 / -1

        Ну в местном офисе Альфы стоит в уголочке планшет с приложением, так как некоторые функции недоступны с ЛК в браузере.
        Просто пестня — поставь и авторизуй банковское приложение на общедоступном планшете и надейся что ты достаточно аккуратно его снес после завершения работы ;)

        • Dolios
          /#23043358 / +1

          так как некоторые функции недоступны с ЛК в браузере.

          Что именно не доступно, можете сказать? Я не пользуюсь мобильными приложениями, мне правда интересно.

          • Ndochp
            /#23043494

            Кажется что-то с заказом карт/открытием счетов и получением кэшбека. Я не вникал, просто меня сильно удивило, когда мне предложили этот сервис при оформлении карты. Самому тоже функций в ЛК хватает.

          • mgremlin
            /#23044580

            Функции СБП, например, насколько помню.

            • Dolios
              /#23044584

              СБП, это перевод по номеру телефона? Работает в интернет-банке, недвно переводил.

              • Mako_357
                /#23044748

                Перевод по номеру тел в любой банк, если точно. Не путать со сберовской системой переводов по номеру телефона.

                • Dolios
                  /#23044782

                  Ну, выше речь про альфу. Сейчас проверил, похоже, что, действительно, по номеру телефона можно перевести только другому клиенту альфы в интернет-банке. Хорошо, что эта фича мне не нужна, плохо, что другие фичи тоже постепенно останутся доступны только в приложении, похоже.

                  • Mako_357
                    /#23044872

                    Не. Я про аналог СБП от Сбера. Он появился значительно раньше. Из Альфы, Тинька и еще каких то двух с половиной банков можно переводить в Сбер по номеру телефона. Но там комиссия есть в отличии от СБП.
                    vc.ru/finance/173905-alfa-bank-podklyuchilsya-k-sisteme-perevodov-po-nomeru-telefona-ot-sberbanka

                    • JediPhilosopher
                      /#23045176

                      Альфа те еще жуки. В приложении при попытке перевести по номеру в сбер всегда первым предлагается именно платный метод через их собственную систему. А чтобы найти бесплатный через СБП надо листать километровый список банков и где-то там найти второй пункт со сбербанком.

              • mgremlin
                /#23047296

                Перевод-то, может, и работает, а вот подключить — нельзя.
                По крайней мере — было.
                Как и в Сбере, впрочем.
                И в Тинькове, хотя, возможно, там нельзя только редактировать (один номер у меня уже был подключен туда).
                Единственное место, где получилось — банк Авангард.

        • Diam77
          /#23044130

          То-есть, это применение старому планшету, валяющемуся дома. Сбросить его до заводских и накатить только и исключительно банковскую прогу. И пускай смотрит адресную книгу, которой нет, и т.д. и т.п.

          • Ndochp
            /#23044478

            Хорошо еще банки за модой не гонятся. Хотя тинька на мою ноту 3 (которая телефон) ругается на небезопасную сеть.
            А вот МС Аутентификатор с андроид 4.5 дружить не хочет.

        • kimisa
          /#23049178

          Ну это еще пол беды. В офисах Альфы упорно требуют вводить серию и номер паспорта для взять номер в окно.

    • pfemidi
      /#23041606

      В Сбере тот же СБП доступен только через приложение, в веб версии СБП нет в принципе. А вот в ВТБ можно и через веб СБП сделать.

      • d_ilyich
        /#23042004

        В веб-версии ВТБ ещё можно множество разнообразных лимитов на списание средств установить, в отличие от СБ. А ещё новая веб-версия СБ-онлайн безумно тормозная. Да, мой ноут уже стар и слаб, но предыдущей версией можно было пользоваться, а новой — только через боль и страдания.

        • pfemidi
          /#23042062

          Да в веб версии ВТБ всё можно сделать, практически всё! Остальное что нельзя сделать, то и в приложении нельзя сделать и делается это лишь при личном визите в офис. А сберовцы так урезали свою веб версию в угоду приложению, что хоть всех святых выноси.

          И что ещё: буквально месяц назад в веб версии Сбербанк Online в левом нижнем углу было: «Перейти на старую версию Сбербанк Online», но больше такого нет. А лично мне новая версия абсолютно неудобна, я в ней теряюсь!

  11. achekalin
    /#23041504 / +1

    Биометрическая авторизация, признаться, вызывает еще больше подозрения - не думаю, что её точность высока (кстати, ни один банк так и не смог пояснить мне, как работает биометрия, и в чём её точность) и не думаю, что данные, необходимые для подделки биометрической авторизации, не сольют так же, как сканы паспортов.

    С паспортами вообще любопытно: если человек хоть раз в жизни кому-тт давал скан своего паспорта (а, положа руку на сердце, мы все это делали сильно не раз), то сканы уже утекли. Конечно, возьмись человек после прочтения поста отправлять только сканы с указанием, для какой цели их отправил, шанс злоупотребления новыми сканами уменьшается, но старые-то ходят «по стране», разве нет? Ну и да, как понимаю, сканы не столько для авторизации используют, сколько просто «подшивают в дело», т.е. на момент взятия кредита на имя другого человека можно подсунуть вместо скана настоящего паспорта подделку (главное - чтобы вид был как у скана, и данные «бились» с данными из утекающих из госорганов БД паспортов), и кредит таки выдадут, не придравшись.

    В общем, система вообще паспортов и копий документов дырява настолько, что ничего не улучшает в смысле безопасности, с какой стороны на неё не взгляни.

    • itsoft
      /#23041776

      Паспорт можно поменять. И через 3 года копию старого паспорта прикладывать уже бесполезно будет.

      Вопросы к ЕБС есть, но они всё же лучше, чем вопросы к экспертизе вашей подписи.

      Голос, сетчатку глаза может и можно подделать, но явно сложнее, чем подпись. У многих людей подписи одинаковыми не получаются.

      Проблема есть с идентификацией. Но так надо работать над ней, а не упираться в копии паспортов и сим-карты. Думаю, что там в итоге можно выработать куда более надёжные варианты.

      • JamboJet
        /#23043518

        Паспорт можно поменять. И через 3 года копию старого паспорта прикладывать уже бесполезно будет.


        Более того, паспорт можно поменять в любой момент (сославшись на утерю, но лучше — испортить, например залив чернилами или простирав в машинке).

    • vrnvorona
      /#23043556

      Отпечатки в телефоне весьма безопасные.

      • linux_art
        /#23044792

        Вообще не безопасные. Несколько разных аппаратов наблюдал самопроизвольно разблокировавшихся по отпечатку пальца в кармане когда к ним не прикасался.

        • vrnvorona
          /#23044964

          Модели? У новых не верю что такое есть

          Да и речь про использование для приложений в первую очередь. Лучше палец чем ОТП на смску в любом случае, т.к. даже если украдут телефон и даже если разблокируют, добавить новый палец не работает — нормальные прилы сбрасывают авторизацию в таком случае.

          • linux_art
            /#23044986

            На вскидку из того что помню: Sony XZ1, Blackview BV9900
            Вход в приложения тоже срабатывает не трогая пальцем сенсор при определенном стечении обстоятельств. Так что ничего добавлять не надо.

      • masv
        /#23047894

        Лучше пароль. Злоумышленник может оглушить/убить жертву и воспользоваться её биометрией.

        • vrnvorona
          /#23047910

          Биометрия должна быть только на приложениях, сам телефон только пароль/ключ итд.

    • fan-tom
      /#23055454

      Проблема с биометрией (по крайней мере с отпечатками, но подозреваю и с распознаванием лица тоже) в том что при компрометации иднтификационные признаки нельзя поменять. А получить отпечаток человека относительно несложно.

  12. Tamahome
    /#23041530

    Не нравится не устанавливайте эти приложения? Но большинству и система прав непонятна (разрешить - дадда не глядя)

    Кому удобно пусть использует. Такси проще по телефону,пиццу с сайта,также и банк. Чем обновлять еженедельно полсотни приложений, качество большей части которых 'чтобы было'. Размер экрана современного смартфона позволяет забыть о "неполных версиях сайтов', хотя гуглхром не оставит тебе выбора,кроме как постоянно ставить галку...

  13. Denis_Andreevich
    /#23041564

    Я к сожалению не смог найти статью на Хабре, но она точно должна быть (Может быть кто-то упорнее меня сможет найти). Суть в том, что некий главный человек отвечавший за разработку приложения говорил о том, что реализация антивируса внутри приложения помогло снизить телефонное мошенничество.
    ****
    Нашёл: habr.com/ru/company/jugru/blog/422457

    — Отличается очень строгим подходом к личным данным пользователя. Какая-либо утечка — это огромные риски. У нас есть отдел безопасности, который перед каждым релизом тестирует наше приложение. Если есть замечания, работа над ними переходит той команде, которая отвечает за функциональность с обнаруженной уязвимостью.

    В маленьких компаниях, думаю, зачастую нет отдела безопасности, который будет пентестить приложение. Если какие-то косяки и обнаружатся, они могут всплыть на 4pda.ru или аналогичном ресурсе.

    Также к безопасности относится то, что у нас в приложении используется антивирус. Некоторые пользователи недовольны его наличием, но внедрение антивируса дало нам очень заметное снижение мошенничества. Например, в нашем SMS-банке, где можно смской написать «перевести на X карту Y сумму», с антивирусом уровень фрода в данном направлении удалось снизить до минимума.

    • inkelyad
      /#23041604 / +1

      Например, в нашем SMS-банке, где можно смской написать «перевести на X карту Y сумму», с антивирусом уровень фрода в данном направлении удалось снизить до минимума.

      Это недоразумение под названием "SMS-банк" давно пора выключить. Фрод в данном направлении 100% пропадет. Для каких целей оно все еще только существует?

      • vindy123
        /#23041818

        Вот да, если на телефоне стоит аппликуха - то нафига мне СМС переводы? А если у меня бабушкофон и поэтому мне нужен смс банк - то как мне антивирус где-то там поможет? Что то этот сберовский человек или неумен, или других считает ннеумными.

        • spider_xp52
          /#23066132

          недавно (в пределах трёх месяцев), была проблема с одним из обновлений мобильного хрома, и многие приложения падали при запуске, так как хром был выбран в качестве стандартного web view, в том числе и приложение сбера. Вот тут то и помогла функция отправки денег по СМС. Да есть и другие выходы, но этот самый быстрый.

      • Derzki83
        /#23046756 / +1

        Смс оповещение лучше в тысячу раз. Push при определенном сценарии может не поступить. Было пару расходных операций, по котором не поступило не каких оповещений из за подключеных сбером по умолчанию Push. Захожу в обед в магазин за сигаретами. Оповещение о покупке не поступает. По приходу на работу звоню в сбер с вопросом "где оповещение" Сначало сказали что Push было направлено, потом сказали , что было сформировано смс и отправлено, так как апарат был " не в сети" ( и это при покупе через безконтакную оплату телефоном!) . Звоню оператору, оперератор завереят , что не каких смс от банка в указанный переуд небыло. Концов не нашел. И так два раза. Отключил Push и проблемы исчезли.

        • inkelyad
          /#23046818 / +1

          Смс оповещение лучше в тысячу раз.

          При чем тут оповещение? SMS-банк — это возможность переводить деньги, присылая SMS-ки. Ну, т.е. Сбербанк убеждает, что одного без другого не бывает, но очевидно же, что можно сделать и по другому.

          • Derzki83
            /#23048776

            А по другому это как? Как возможно получать оповещения об операциях по смс , при этом заблокировать возможность отправки средств по смс?

            • inkelyad
              /#23048836

              Не понял вопроса. По другому — это именно так как написано. Оповещения "со счета XYZ сняли ABC рублей в пользу DEF" банк шлет, и больше ничего делать через них не умеет. Очевидно, что банк способен это сделать, если захочет.

              • Derzki83
                /#23048906

                Проблема в том , что такое банк делать не будет. Все что они смогут предложить, отключить услугу мобилбный банк полностью. Сбер жутко неповоротлив в плане функцианала. Вообще бы ущел от них , если был бы конкурент в шаговой доступности. Вопросов к ним и обращений было создана масса. Один только Салют чего стоит, котрый вообще может выполнить чужую команду на перевод.

              • Mishootk
                /#23049814

                Есть такое недоразумение. У приложения блокировка по паролю (палец, морда, код...), телефон открыт, нету в нем конфиденциалки, удобно мне так.
                В таком случае в чужих руках через смс есть доступ к банку.
                Как самый примитивный блок от пионеров — установка спам-фильтра на сообщения подтверждений банка и спрятать этот фильтр другой прогой и под пароль. Как минимум это чуть увеличит время необходимое для наладки деструктивного смс-общения с банком.

                • Derzki83
                  /#23049840

                  Это костыль на уровне клиента а не банка, хотя имеет право на жизнь.

                • inkelyad
                  /#23049950

                  Как минимум это чуть увеличит время необходимое для наладки деструктивного смс-общения с банком.

                  Если PIN на саму SIM-ку не поставлен — не увеличивает. Потому что она вытаскивается, переставляется в телефон злоумышленника. И дальше он уже делает все что хочет со своего телефона.

                  • Mishootk
                    /#23052020

                    Увеличивает, как минимум на время перестановки симки. Это уже отбрасывает атаку незаметного временного пользования чужим телефоном. То есть сразу по стандартной схеме с телефона не удалось совершить шаблонную операцию — переходят к другому лоху не палясь.

        • vikarti
          /#23051724

          Бесконтактная оплата телефоном НЕ требует обязательного наличия связи у телефона в момент оплаты. Несколько транзакций пройдут и так.

          • Derzki83
            /#23051752

            То есть можно не включать мобильные данные перед оплатой? Вопрос по сути в другом : при некорекной работе мобильной связи, для доставки Push уведомлений банком в приложении, может провацировать проблемы с доставкой уведомление по операциям вообще в любом виде. Даже при оплате картой в магазине , пользователь может не получить никого оповещения о расходной операции, при выборе канала связи для уведомлений в виде Push. Банк поясняет в этом случае, что если по каким то причинам Push не доставлено, то будет сформировано смс уведомление, однако выше я описал ситуацию, при каторой с кучей разборок правды не нашол. Причина не ввиде оплаты(карта или безконтактная оплата) а в доставке оповещений.

            P.S. проверил, действительно самсунг пей не ругается на отсутствие интернет соединения

          • Andy_U
            /#23051874

            Бесконтактная оплата телефоном НЕ требует обязательного наличия связи у телефона в момент оплаты. Несколько транзакций пройдут и так.

            Задумался, как это можно обычной картой заплатить практически бесконечное число раз?

            • Derzki83
              /#23052110

              Я так понимаю что NFC только информацию по карте передает терминалу, а он уже запрашивает у банка возможность списания.

              • Andy_U
                /#23052222

                Именно. Т.е. и смартфону связь не нужна для оплаты. Хотя, когда терминал срабатывает, на экране смартфона (я про Samsung Pay) появляется "галочка", как индикация этого события. Вот откуда она берется?

                • Derzki83
                  /#23052344

                  Галочка в самсунг пей появляется при удачной связи модуля NFC телефона и терминала, она символизирует об удачном обмене данными между ними и только после этого терминал на кассе начинает установку соединения с банком, делает запрос на наличие средств и т.д.

              • inkelyad
                /#23052436

                Offline оплате, в принципе, может существовать.
                отсюда


                1. How are transactions authorized with EMV?
                  EMV transactions can be authorized online or offline. For an online authorization, transaction information is sent to the issuer, along with a transaction-specific cryptogram, and the issuer either authorizes or declines the transaction in real time.
                  In an offline EMV transaction, the card and terminal communicate and use issuer-defined risk parameters that are set in the card to determine whether the transaction can be authorized. Offline transactions are used when terminals do not have online connectivity (e.g., at a ticket kiosk) or in countries where telecommunications costs are high.
                  Chip cards can be configured to allow both online and offline authorization, depending on the circumstances. Due to improvements in telecommunications infrastructure worldwide, most EMV transactions are now authorized online.
                2. How does contactless technology relate to EMV?
                  Issuers are now issuing EMV cards that support contact and/or contactless EMV transactions. Contactless EMV transactions use the ISO/IEC 14443 protocol for communication, with EMVCo defining the EMV Contactless Communication Protocol Specification that is common for all payment networks. EMVCo has also published specifications for contactless POS readers that work with the payment networks’ contactless applications.
                  The EMV specifications provide a basis for contactless EMV payments, but do not specify all payment application functionality. Payment networks can implement contactless payment for EMV transactions to function in both offline and online transaction environments and to leverage the EMV cryptogram security function to validate the authenticity of the card and the transaction.

      • gxcreator
        /#23047472

        Можно подумать фрод из-за способа доставки сообщения.

    • vis_inet
      /#23041738

      Не совсем понятна связь антивируса и SMS…
      Что именно проверяет антивирус?

      • OnelaW
        /#23042198

        Может проверять ссылки в сообщениях, но насколько помню в мире всего два или три антивирусных движка которые могут быть интегрированы в стороннее приложение.
        Могу конечно ошибаться но производители этих движков никак не озвучивали своё сотрудничество с нашими банками. Может в наших банках сидят непризнанные гении способные создать приложение в кратчайшие сроки.

        • vis_inet
          /#23043452

          Мне кажется, что брешут они всё…

        • vikarti
          /#23043942

          Проскакивало как то в новостях что там движок от касперского.

      • vorphalack
        /#23046870

        андроид-трояны, что ж еще. есть такой класс малвари, который приползает к тебе на телефон и начинает рассылать платные смски. его, подозреваю, этим антивирусом и вынесло начисто.

        • vis_inet
          /#23046894

          Прям само приползает?)
          Правильно ли, что любое приложение может посчитать себя авнтивирусом и начать что- чистить?
          А что будет, если таких приложений будет в телефоне несколько?

          • vorphalack
            /#23046948

            RCE можно вполне себе за «само» записать.

            я, если что, сам против такой самодеятельности, и тоже интересно, что будет если их поставить пачку. хотя, подозреваю, если они все из одной страны, то эти пауки уже договорились и друг друга не тронут.

            у сбера там не то дрвеб, не то каспер под капотом и стоит. на 4пда можно посмотреть, что у него там под капотом, народ lite-сборками этого монстра во всю увлекался.

    • itsoft
      /#23042014

      Наверное они мне минусов накидали по причине, что не согласны с изложенным. :)

      У пользователя должен быть выбор. Не должно быть принудиловки.

  14. Measurer
    /#23041582

    Вот почему телефон — это телефон, а на всё остальное — планшет со всеми банковскими приложениями и без заполненной адресной книги.

    • Ra-Jah
      /#23041642

      Все банковские приложения будут друг друга отслеживать, нужно отдельный планшет для отдельного приложения. Конечно, если вам есть что терять в вашем банке.

      • kolokot
        /#23043156

        нужно отдельный планшет для отдельного приложения

        Я не очень мобильный и телефон использую только как фотоаппарат, соотв не сильно в теме всех функций и тем более - разных приложений. Но удивлён - тут несколько лет назад, через одну были статьи про docker - почему всего этого нет для телефона? По аналогии - полностью настраиваемой среды для каждого приложения/юзеря/профайла и желательно - номера телефона

        • mrsantak
          /#23043288

          Ну почему же нет? Есть, например, VMOS. Это конечно не докер, но вполне себе виртуалочка в андроид.

        • Ra-Jah
          /#23061008

          Внезапно нашел на MIUI «Второе пространство». Судя по описанию создает копию системы с памятью, хранилищем, всеми настройками. Как оказалось оно даже свой список контактов имеет и историю звонков, фактически вторая система. Попробовал рекламу посмотреть, судя по всему оно о первом пространстве ничего не подозревает. Возможно это выход.

          • Ark1774
            /#23061096

            У Самсунга тоже есть аналог: «защищённая папка».

            • Ra-Jah
              /#23061210

              Бегло прочитал и мне кажется «это другое», возможно просто неудачное описание маркетологов. Я так понял оно позволяет скрывать приложения и исполнять их отдельно в том же окружении, в то время как у MIUI создается полная копия системы со всеми настройками. Чисто гипотетически это умеют все Андроид системы только под разными названиями, а все различия это детали реализации.

          • Fr0sT-Brutal
            /#23061634

            Это просто аккаунты, аналогично «взрослым» ОС. Каждый со своим набором софта. Появились как бы еще не в 4.4.4, но на уровне концепта, только к более старшим версиям доползли до юзабельного состояния. Отличная штука!

    • IvUs
      /#23044710

      В самсунгах есть knox, где по умолчанию всё свое, в том числе и список контактов. Заодно и лишний уровень защиты при краже телефона.

    • Derzki83
      /#23049048

      Логика конечно итересная, но есть подводные камни. На примере сбера скажу, что они пытаются всячески отказаться от смс информирования. После выхода с профиля/ переустановки приложения, банк сбрасывает настройки профиля к "дефолтным", в которых смс оповещение полностью заменено Push уведомлениями. Оповещение о входе не поступает вообще не в каком виде, якобы это ваше устройство, сядьте на него "пятой точкой" и не сводите с него глаз( сценариев когда родные и близкие но не совсем порядочные люди узнают пинкод от приложения может быть масса). И исходя из того , как они стремяться отключить смс , они скоро от них откажуться полностью. А носить с собой постоянно два устройства не всегда возможно/удобно. Пока конечно можно вернуть все настройки к смс, но появились и полностью неотключаемые Push, которые не возможно заменить на смс. Держать в таких условиях устройство с приложением банка вне "кармана" как то не безопасно от слова совсем.

      • vis_inet
        /#23065082

        Известно же, что «копейка рубль бережёт».
        А удобства клиента, думаю, их не волнует.
        Решили, что будут Push, а не sms и всё.

  15. HardWrMan
    /#23041588

    Вынужденно пользуюсь приложением Каспи банка с тех пор, как в web версии на сайте специально урезали функции. Причём, на сайте когда-то можно было зарегистрироваться под любым именем (но с реальным телефоном — требовалось СМС подтверждение) и получить виртуальный кошелёк и с него платить за всякое, в том числе комуслуги, пополняя кошелёк в их же терминалах. Смешно было, когда через 10 минут после регистрации позвонил менеджер и уточнил — не ошибся ли я при вводе имени и может всё-же исправить? Ответил — нет, всё правильно, меня так и зовут. :)

    Так вот, стали постепенно отрезать функции с пометкой «идите в мобильное приложение». Ну ок. Установил — запросило кучу прав. Отменил. Внезапно, работает! Но старается замучить неудобством: понятно, что СМС ей нужно для авторизации операций, но я руками ввожу, подсмотрев код в шторке уведомлений. Но самое прикольное то, что оно пишет «ошибка сервисов гугльплей», когда оно узнаёт, что у неё нет прав на какое-либо действие.

    • tmin10
      /#23042608

      Кстати, у меня альфа не имеет доступа к смс, но когда смс от них прихожит, меня андроид спрашивает, можно ли код приложению альфы отдать. Удобно.

      • HardWrMan
        /#23043554

        Я так понимаю это же не приложение Альфы запрашивает, а сама ОС? Или есть какая-то надстройка, вроде контроля прав? Я помню у меня такая на 6й версии Андроида часто висела в уведомлениях. Штатная.

  16. redf1sh
    /#23041676

    А на андроид есть способ создать песочницу? С эмуляцией чего угодно (фс, микрофона, пустой книги и тд). У самого кастомная прошивка, так что предлагайте любые способы. Я бы туда не только банковские приложения поместил.

    P.S. С мобильной лисы в режиме для телефонов не постится комментарий. Там вообще ни одна кнопка не нажимается.

    • vikarti
      /#23041858

      Shelter (берется например с F-Droid'а) — использует вроде как android work api (и адресная книга и фс — свои).
      Virtual Android — вроде как полная эмуляция.

  17. asmm
    /#23041682

    Было бы идеально чтобы разрешения в Андроиде можно было отклонять, предоставляя приложению Sendbox подмену. В том числе на список установленных приложений и наличие рута.

    • vmkazakoff
      /#23041762 / +2

      В вашем списке контактов слишком мало людей. Познакомьтесь с большим числом людей для продолжения использования нашего приложения.

      На вашем устройстве слишком мало приложений. Посмотрите эти полтора часа рекламы и поставьте все приложения и игры из нее для подтверждения того, что вы не робот.

      • vikarti
        /#23041868

        Был как то интересный баг где надо было от 3к(а лучше 6к) контактов для тестирования. (было подозрение что там кривой алгоритм, N^2 где даже N — перебор)
        экспорт в csv
        создание Иванова Ивана Ивановича с телефоном +7 999 123456
        дублирование строки 3к раз
        импорт

        • vmkazakoff
          /#23042042

          Обнаружена подозрительная идентичность ваших контактов. Проверьте предоставленные данные и обновите приложение.

          Картинка с вашей камеры не изменяется уже 3 часа, переместите устройство для продолжения. Рекомендуем произносить фразы "здравжелаютоварищмайор" или "божецаряхрани" не реже чем раз в 15 минут на расстоянии не более 1 метра от телефона.

          Не удается установить связь с ректальные криптоаналиатором. Поправьте или зарядите устройство. Если ошибка повторится обратитесь с ближайшее отделение по работе с населением.

    • vis_inet
      /#23042058

      Но, вопрос, будет ли это интересно Гуглу.

  18. BkmzSpb
    /#23041746 / +2

    Вообще с таким подходом приложений и давлением правительств на Google/Apple, пора добавлять фичу dummy data — нужна телефонная книга? Берите пустую либо со случайными/специально приготовленными данными. Хотите звонки? Сорри, три слота симок, ни одну не установил (или слотов вообще нет). Геолокация? Ну так вот, в самом сердце страны, на Красной Пло.. в аэропорту Внуково.


    А если совсем серьезно, нужны какие-то изолированные виртуалки с одним приложением, чтобы поднимать только когда нужно. Разумеется потеряются пуши и прочая (иногда важная) ерунда, но это уже какой-то беспредел. Самое же неприятное, что если Google/Apple прижмут такие приложения, определенные судари взвоют о западной агрессии и попытаются заблокировать все что можно в угоду отечественным импортозамещенным аналогам (привет Яндексу), эффективно окирпичивая яблочную технику и парализуя все остальное.

    • salnicoff
      /#23041804

      А если совсем серьезно, нужны какие-то изолированные виртуалки с одним приложением, чтобы поднимать только когда нужно.

      Дык идеология iOS и Android как раз в том, что каждое приложение изолировано от всех остальных. Нужны данные других приложений или системы — получи разрешение у пользователя. Просто эту идею извратили разработчики приложений, требуя себе все разрешения, какие есть. Перейдем на виртуалки — разработчики начнут проверять факт запуска на виртуалке, появится API для доступа к «настоящей» операционке, приложения начнут писать: «дай доступ к „настоящей“ ОС, а то работать не буду»… :-(

      • F0iL
        /#23041866

        приложения начнут писать: «дай доступ к „настоящей“ ОС, а то работать не буду»
        А тут уже должна сработать железная рука вендора: выеживаешься на песочницу — иди на фиг со своим приложением из нашего стора. Либо со стороны государственных регуляторов, как например, с введением GDPR реально многие хулиганы шелковыми стали.

        • salnicoff
          /#23042080

          Так сейчас должно быть то же самое: не дали разрешения — продолжай работать. Но приложения выеживаются, и никто их из сторов не гонит. :-(

        • FiLunder7
          /#23042254

          Ну вот у iOS это работает. Все-таки в таких случаях единственный стор и его ана… кхм… придирчивая модерация скорее благо.

      • vikarti
        /#23045024

        А почему бы не взять за образец не PCшные виртуалки (где второй уровень вложенности далеко не везде работает и ценой быстродействия) а IBM'овскую VM/370, где вроде как режим с более чем одним уровнем вложенности — штатный ?

    • powerman
      /#23044636

      пора добавлять фичу dummy data

      XPrivacyLua это делает очень много лет, я им пользовался, если не путаю, начиная с андроида 4.4 ещё.

  19. Berks
    /#23041750 / +3

    К вопросу про «не нравится — не устанавливайте». У жены, как и у меня, нет установленных банковских приложений именно по этой причине (а у меня есть еще одна причина — андроид 4.0.3). И вот понадобилось ей резко что-то оплатить переводом. Набрала в яндексе «втб личный кабинет», тыкнула одну из первых ссылок, заколотила логин/пароль/смс-код и… получает смс о списании всех денег с карты (33800р). Сразу же позвонила по горячей линии — но ответ ВТБ «деньги ушли, заявлений от вас на утечки паролей не поступало, на этом наши полномочия всё...»
    Резюме: фейковые сайты ВТБ не отслеживает, для перевода по СБП суммы 33800руб не требуется никаких смс-кодов. Будьте бдительны.

    Сейчас в перечне операций в личном кабинете есть перевод некоему Евгению в банк «Открытие» указанной суммы. Заявление в полицию написано, со всеми прилагаемыми материалами. От ВТБ на электронное обращение получен не менее электронный ответ «сами дураки».

    • RigidStyle
      /#23041940 / +1

      А как, интересно, были все деньги переведены? У банка же нет галочки "перевести все деньги с карты". Что б такой перевод оформить, надо знать, сколько денег на карте. Откуда негодяи это знали?

      • d_ilyich
        /#23042044

        Ты логинишься на поддельном сайте, мошенники — на реальном.

      • Berks
        /#23046164

        В ЛК сразу видны остатки по картам. Я не специалист, но вроде вполне реально написать какой-нибудь скрипт. Тем более, что при переводе из ЛК по СПБ никаких подтверждающих смс-кодов больше не требуется.
        ВТБ еще недавно обновил свой ЛК до стандартной современной блевотины в виде кучи декоративных свистелок-перделок, может в нем есть какие-нибудь особенности в этом плане. Мы дома пользуемся старой версией, сохраненной в закладках. А жена переводила на работе, отсюда и яндекс, и фейковые сайты в выдаче.

    • inkelyad
      /#23042312

      тыкнула одну из первых ссылок, заколотила логин/пароль/смс-код

      Мне казалось, что это самый СМС код идет с текстом "для перевода суммы X в сторону Y"? Неужели просмотрели?

      • d_ilyich
        /#23042584

        Есть предположение.
        Некоторые организации пишут код подтверждения в самом начале СМС, плюс текст не всегда умещается целиком. Если у жертвы не возникло подозрений, она просто вводит код, не читая сообщение полностью.

      • Berks
        /#23046154

        Нет. Смс с кодом для входа в личный кабинет. Выше d_ilyich правильно написал — она логинилась на фейковом сайте, а мошенник в это же время на реальном. А находясь внутри ЛК больше никаких кодов не нужно для перевода по СБП (я редко этим пользуюсь, поэтому логично предполагал, что при определенной сумме (например, выше 1000р) смс-код будет нужен. Ан нет).
        А 33800р — это были все средства, имевшиеся на карте на тот момент, это мошенник мог видеть в ЛК сразу на первой странице. То есть после его действий на балансе осталось 0.
        К ВТБ в этом плане претензии есть — почему переводы из ЛК в адрес юрлиц нужно подтверждать смс-кодом, независимо от суммы (хотя юрлицо проще найти и наказать в случае мошенничества), а в адрес физлиц по СБП — шли сколько хочешь в пределах немаленького лимита безо всяких смсок.
        Ну и отслеживать фейковые сайты, мне кажется, одна из обязанностей службы безопасности банка (если она у них, конечно, есть). Особенно те сайты, которые появляются в топе выдачи поисковиков при соответствующем запросе.
        Вообще, я думал, что это 100% раскрываемое дело — адресат перевода известен же. Но вот уже 2 месяца прошло…

      • Derzki83
        /#23049576

        Я не программист, но попадался мне на глаза бот, для сбора крипты на кранах. Писался он на джаве, работал он на старой версии фаерфокс , через расширение IMACROS. Сам код был выслан как фаил к расщирению. Так вот бот работал по принципу: пользователь открывает фаил в нотэпад, в строках с коментарием вводит логин и пароль от предоставленного списка "кранов"( изначально автор предлогал на всех сайтах использовать одну пару логин /пароль, потом доработал под каждый сайт), далее бот проходит авторизацию на первом из них, если требуется решить капчу при входе , отправляет капчу на сервис по разпознованию капч, получает ответ с сервиса, вставляет решение, авторизируется, далее по тому же приципу собирает крипту и переходит на новый "кран" . Так вот если подобие этого бота вписать в сам сайт, то после небольшой доработки такой бот будет " подхватывать " логин / пароль с формы ввода, открывать новую вкладку с реальным банком( бот умел открывать / закрывать вкладки) вводить данные "жмякать" кнопку войти и ждать так же получения пароля на вход. Считывал текст с поиском чисел/ текста он отлично, узнать какое число в строке "баланс" смог бы легко(что в принцепе делал для страницы статисти сборов), а так же после нужного перехода вставить в нужное поле. При некорекной работе бот в одной из версий чистил кеш. Так что такие сайты прекрасно могут в автомотичесуом режиме авторизировать вас и списывать деньги. Я даже думаю, что не только по системе быстрых платежей, но и получить смс подтверждение на любой перевод , с той лишь разницей, что в этом случае будет списана только та сумма которую вы хотите заплатить.

  20. s4m
    /#23041780 / +1

    ВТБ после просмотра их рекламы кредита in-app начинает долбить телефон звонками с разных номеров. Однажды случайно ткнул в баннер, рекламирующий кредит, и пошло-поехало. Т.к. спам определяется, просто не отвечаю и не сбрасываю, считаю это самым эффективным методом вылететь из спам-базы (как неактивный).
    Позже, чтобы подтвердить свою теорию, пооткрывал эту рекламку еще — звонки начались с новой силой. Сейчас еще периодически позванивают.

  21. JumpinCarrot
    /#23041784

    Совсем в идеале банкам уйти от СМС и сим-карт

    Смс как раз хороши тем, что можно не устанавливать приложения.

  22. RanasMukminov
    /#23041786

    Судя по скринам, проблема актуальна на платформе Android.
    Был ярым фанатиком с 2014 по 2018 года. Телефоны глючили один за другим, а я их каждые три месяца сбрасывал на завод.
    В 2017 году приобрел iPad для чтения и для эксперимента. В результате через год принял решение о том, что необходимо что то с этим делать, однако к iOS не хотел переходить категорически просто потому, что система имеет много ограничений и это меня раздражало. Из моделей были Motorola, Xiaomi, LG Nexus.
    Сейчас 2021 год, я спокойно пользуюсь и Android и iOS, однако время использования отличается, понимая масштаб проблемы и бедствия всего, после выхода

    iOS 14.5
    image

  23. /#23041892

    Не светите личную мобилу для банков.

    Не светил, однако он у них появился. И вывести его это целый цирк с конями. Два раза писал заявления. Клятвенно клялись что всё удалили. Менял карту, попросили снова номер, сказал пошли нафиг. Но нет, они ещё больше активизировались. Пора уже проще пришёл в суд показал СМС и им штраф на миллион может тогда отстанут.

  24. Ninil
    /#23041914

    Вообще, подобным сбором информации грешат не только банки… Поэтому стараюсь всегда ставить на телефон по-минимуму приложений и по-максимум все, что возможно, использовать через веб-интерфейс браузера. Проблему, конечно, на все 100% не решает, но хотя бы хлама в телефоне меньше)))

  25. B0Z0NHIGGSA
    /#23041950

    Вообще-то блокирование переводов по номеру телефона осуществляется на уровне НСПК и на уровнях банка-отправителя и банка-получателя. Зачем банкам тел. книга?

    • 776166
      /#23042098

      Для более комфортного перевода, когда предлагаются записи из телефонной книги, куда можно что-то отправить.

      • inkelyad
        /#23042334

        Разве это не разные разрешения?


        Т.е. — попросить систему показать адресную книгу и дать пользователю выбрать контакт (который и сообщить приложению) — это одно. А дать самому приложению все контакты прочитать — это другое.

        • 776166
          /#23042402

          Скорее всего, нет.
          Приложение смотрит на записную книгу, анализирует тех, кому можно что-то отправить (например, делает запрос по телефонам), и предлагает только их. Это то, как я бы навскидку реализовывал эту функцию.
          Посмотрел в свою Альфу. Она просто предлагает всю записную книгу.
          Как это реализовано конкретно, не знаю.

        • vikarti
          /#23042496 / +1

          Снилось как то мне что как минимум у одного мелкого регионального банка во времена незадолго до-СБП адресная книга читалась чтобы… подставить иконку банка у тех контактов кому можно перевести (кто клиент того же банка). Просто телефоны из адресной книги (не хеши, именно телефоны) улетали на сервер и потом прилетал список кто из них — клиенты.
          Что ЕЩЕ делал (и делал ли) бэк с этими телефонами — вопрос к разработчикам бэка.
          Согласно приснившимся исходникам — отказаться от выдачи прав на доступ к адресной книге там было можно (приложение не отказывалось работать вообще).

  26. zx80
    /#23042094

    Есть простое решение — заведите второй смартфон для банковских приложений без личных фоток с отдельной симкой.

    • pfemidi
      /#23042164

      А так же второе гражданство, паспорт Зимбабве и грин карту США. Нет, это не простое, это вынужденное решение. За которое, безусловно, обоими руками «За!» производители телефонов и ОПСОСы — им как раз лишняяя выгода не помешает. А мне вот лишние траты почему-то совсем не в радость.

    • Goodwinnew
      /#23045600

      Или на ПК ставим VirtualBox, на него Андроид (надо поискать) и уже там банковские приложения со всеми правами…
      Результат — приложения ничего не видят и ими можно пользоваться.
      Как вариант.

      • pfemidi
        /#23048144

        Можно поинтересоваться, а вы пробовали? Почему-то мне кажется что банковские приложения просто откажутся устанавливаться на такую конфигурацию.

      • vikarti
        /#23051754

        В случае как минимум одного крупного и упомянутого в статье/комментах банка — после этого вы пойдете в отделение (разговоры по телефону не помогут) восстанавливать доступ потому что не сможете войти ни с какого уже телефона. Даже если у вас образ андроида с честным Google Play и без рут-доступа. Достаточно того факта что это не реальное устройство. Причем фича это новая. Правда достаточно сказать что да это мой вход, с другого устройства. Разумеется при этом зададут пару вопросов из серии — вы кому то деньги переводили? А помочь вам с этим не предлагали?

        • Goodwinnew
          /#23051814

          ВАУ.
          Год назад проверял — всё работало, андроид был не родной, а допиленный для виртуальной машины. И вполне себе система считала, что она там на каком-то реальном самсунге работает. И приложения от банка нормально работали.
          Теперь приложения умеют видеть виртуалку?

  27. rpc1
    /#23042262

    Поэтому и не ставлю и никогда не ставил на телефон банковские приложения, я им не доверяю совсем

  28. DaemonGloom
    /#23042362 / +1

    В этом плане ещё удивляет Тинькофф Банк. В их приложении под android для просмотра текущего тарифа нужно обязательно выдать права на доступ к файлам. Нет разрешения — нет сведений о тарифе. При этом он даже не сохраняет этот файл, просто отображает тариф в приложении.

  29. iiwabor
    /#23042382 / +1

    Огромное количество приложений, не только банковских, требует доступов туда, куда им по работе не нужно — к фотографиям, файлам на диске, микрофону, камерам и т.п.
    И 146% активно пользуется полученной информацией. Я заметил, что реклама на сайтах начинает активно предлагать товары, которые я вслух обсуждал с женой.
    В общем, все идет к тому, что смартфон очень скоро не будет являться личным пространством — все что ты делаешь с его помощью, будет доступно тем, кому надо, если не уже. Это надо обязательно учитывать, особенно тем, кто не лоялен действующей власти — все что вы пишете в мессенджерах, фотографируете и тп — попадает прямиком на стол к товарищу майору…

    • Catslinger
      /#23044178

      Уверены, что ни вы, ни жена не гуглили эти товары, не смотрели обзоры на трубе, не проверяли цены в маркете...?

      • grebenyukov
        /#23045230

        Я тоже несколько раз замечал такие случаи, когда дома или в машине просто поговорили на какую-то тему и точно не гуглили, т.к. эта тема была на "просто поболтать". На следующий день - нате получите

        • inkelyad
          /#23046564

          Это в другую сторону работает. Не Гугл заметил, что поговорили на какую-то тему, а поговорили, потому что было что Гуглу замечать.


          Т.к. "поговорили на какую-то тему" — оно не просто так получилось, а потому что попали в некое информационное облако на эту тему. Которое облако гугл и вычисляет. Друзья/знакомые/находящиеся рядом/в том же городе/посещающие те же форумы итд итп темой заинтересовались, мысль о том что надо бы об этом поговорить в голову заложили — а Гугл это видит.


          Корректный тест — случайно и оффлайново выбрать тему. Поговорить. И больше в онлайне никаких признаков заинтересованности не проявлять.

  30. rtkprg2
    /#23042452 / +2

    У меня дней 10 назад приложение Samsung pay (через которое расплачиваешься смартфоном в оффлайновых магазинах) вдруг внезапно запросило доступ к звонкам и адресной книге. При отказе просто закрылось. Хорошо что у меня была с собой карточка, а то пришлось бы бросать с таким трудом набранную корзину продуктов!

    Пока снес приложение, плачу реальной картой. Потом надо поискать альтернативу. Может быть гуглпэй…

    • Andy_U
      /#23043352

      Ну, да. контакты ему нужны (точнее могут быть полезны пользователям) для перевода денег. Но ведь можно и ручками?


      А про телефон вот что написано тут:


      It needs access to Phone because it can place service calls to banks depending on the cards you add and because it needs that for verification purposes (some banks require this as a 2-factor authorization).

      Т.е., опять же, если ваш банк подтверждает, что звонки нужны, то куда деваться. Но опять же зачем запрашивать для всех? Но я периодически логи звонков/смс на сайте ОПСОСа просматриваю — ничего левого не вижу.


      С третьей стороны телефон от Самсунга, так все что можно, уже давно сперто :(
      С четвертой стороны, ну уплывут данные в Корею?


      P.S. Но отзыв в Play Store я оставлю...

      • dekeyro
        /#23048320

        а телефон если рутованый с блокировкой всего что можно?

        • Andy_U
          /#23049014

          На последних самсунговских телефонах с рутом не все просто. Там KNOX ломается, кажется, а обсуждаемый Samsung Pay там как раз и живет. Хотя, возможно (надо разбираться) туда контакты можно спрятать и они станут недоступными для "соседних" приложений.


          P.S. А, кстати, да. Если в Secure Folder завести новый контакт, то он вообще никому не будет виден...

          • Alexsey
            /#23050124

            Во времена galaxy s7 еще можно было заставить работать Samsung Pay с триггернутым KNOX. Сейчас не в курсе если честно.

    • grebenyukov
      /#23045258

      Та же история, хотя приложение было удобным, более того оно вроде как умеет катушкой nfc генерить переменное магнитное поле, которое воспринимается магнитной головкой pos-терминала как прокатывание карты через щель. Один раз это помогло в маленьком итальянском городке, хотя продащица утверждала, что paypass у них не работает в принципе

      • vorphalack
        /#23053988

        так это и не paypass (который про NFC), это именно что поддержка легаси.

    • Alexsey
      /#23046158

      Слушайте, ну уж что-что, а самсунговским приложениям блочить разрешения сидя при этом на их же телефоне — такая себе затея. Вы и так, когда телефон первый раз включали, согласились на все что только можно приняв лицензионное соглашение самсунга.

    • rtkprg2
      /#23053594

      Google pay тоже не заработал. Спрашивает доступ к СМС. При отказе отказывается работать.

      А СМС, на минуточку — это секретнейшее содержимое личной переписки. К смс доступ должен быть только у приложения работы с СМС.

      P.S. отзыв о приложении с оценкой «1» оставил.

      • mammuthus
        /#23055682

        К вашим смс есть доступ у третьих лиц по умолчанию.

        Это не говоря уже про особенности протокола SS7.

  31. isden
    /#23042552 / -1

    Вот прямо сейчас у меня установлены на андроиде приложеньки втб и росбанка. У первого есть разрешение только Phone (без него не запускается), у второго вообще все запрещено. Оба работают нормально.

    • itsoft
      /#23042826

      У первого есть разрешение только Phone (без него не запускается)

      Собственно, об этом и статья. А зачем ему это разрешение? Он что звонить будет или соберёт номера на которые и с которых были звонки и скормит их в Яндекс.Аудитории и покажет рекламу типа ваш знакомый уже с нами, воспользуйтесь и вы нашим предложением?!

      И поймать банк за руку на этом почти нереально, если только кто-то из его же сотрудников не расскажет как они использовали эту инфу.

      • isden
        /#23043530

        А зачем ему это разрешение? Он что звонить будет или соберёт номера на которые и с которых были звонки и скормит их в Яндекс.Аудитории и покажет рекламу типа ваш знакомый уже с нами, воспользуйтесь и вы нашим предложением?!

        Ну собственно:


        Phone – access your phone number and network info. Required for making calls and VoIP, voicemail, call redirect, and editing call logs.

        В приложеньке, емнип, есть возможность прямо оттуда позвонить в поддержку.
        Я не оправдываю их. Приложение должно запускаться без всего этого (как вот росбанк например).
        Но статья, на мой взгляд, излишне нагнетает. Банк и так о вас знает очень много и без этого.
        И копать надо не в приложеньки, а, например, в процедуры сбора, хранения и обработки ПД в банках.

        • itsoft
          /#23043648

          Звонок идет не из прямо приложения, а включается стандартная звонилка. Это хоть в html-коде можно для этого гиперссылку с tel сделать. Права тут не нужны.

          А вот звонился из приложения нужна. Но чтобы она работала как телега или скайп, то есть не через прослушиваемую телефонную связь.

          • isden
            /#23043882

            Права тут не нужны.

            Ну может быть они хотят проверять "your phone number"? Ну я просто не представляю какой им толк от истории вызовов. Тем более сейчас все больше в мессенджеры уходят.

    • erty
      /#23042958

      Если ваши контакты уже украдены (права были когда-то временно предоставлены), то банку вы уже безразличны. А для новых установок просто будет запрос по кругу, обойти который нельзя.

      Пробовал в том году.
      image

      • isden
        /#23043558

        права были когда-то временно предоставлены

        В андроиде по дефолту ничего автоматически не предоставляется, всегда есть запрос на разрешение.


        банку вы уже безразличны

        Как мне кажется, банку больше интересны ваши денежки, а не контакты (от них они, впрочем, тоже не откажутся).


        Пробовал в том году.

        Ну это же сбер… Я бы стал их клиентом только от безысходности. Приложеньку, впрочем, даже тогда ставить не стал бы.

        • ert112
          /#23044338

          В идеале да, но я пользуюсь андроидами уже лет 10 и проблемы там всплывают с завидной периодичностью. До недавнего времени самсунг часто давал права, которые не считал критическими по умолчанию. Например доступ к местоположению запрашивал, а к телефонной книге нет. Зачем лишний раз волновать пользователя?
          У LineageOS часто просто слетают все настройки при переустановке и мажорном обновлении (может зависит от конкретного сборщика. Но что имеем, то имеем).
          Если вы купили новый телефон и начали восстановление резервной копии из google cloud, то сначала у вас восстановятся все приложения и только потом у вас появится возможность зайти в настройки и включить расширенный режим запроса прав. Когда половина приложений уже вылезла в интернет и что-то куда-то отправила.

  32. erty3
    /#23042910

    С ужасом созерцаю всех этих клиентов сбербанка, как они могут разрешать сберу копаться в своей мобилке? Ведь у многих из них даже нет ПК и вся их личная жизнь целиком находится внутри мобилки.
    Сам отказался предоставлять такие права, приложение не заработало, сбер пошел в баню. Не жалею ни секунды.

    • iKBAHT
      /#23043290 / -2

      Не вижу причин пользоваться этими госбанками. Как перешёл на тинькоф лет 5-6 назад забыл про все проблемы.

  33. gudvinr
    /#23043012

    пишем отзывы на банкиру

    Который прямо при регистрации обязывает указать телефон и без согласия на получение рекламы не даёт регистрироваться (:


    Скриншот

    • Sap_ru
      /#23046166 / +1

      Грубое нарушение сразу нескольких законов, кстати.

      • gudvinr
        /#23048194

        Безусловно, поэтому я сразу написал в ФАС.


        Они ответили, что не могут открыть делопроизводство, т.к. для этого нужно подтверждение отправки ими рекламы. Но регистрироваться, чтобы получать рекламу на телефон не очень хочется.

  34. mrsantak
    /#23043254

    Никогда никому старайтесь не давать копии паспортов. Всегда требуйте законное обоснование, чтобы потом кредит на вас не повесили или ещё что, а вам не пришлось доказывать, что подпись не ваша. Если же там упираются, то когда снимаете копию с паспорта нужно приложить 2-3 листочка на пустое место в паспорте с указанием куда предоставляется копия паспорта. Потом такой копией невозможно воспользоваться, если она уйдёт на чёрный рынок. А у вас будет хотя бы теоретическая возможность привлечь виновника к ответственности в суде.

    Я может чего-то не понимаю, но скан паспорта, насколько мне известно, не имеет никакой юридической силы. Так что выдача кредита по скану паспорта — это абсолютно такое же преступление как и выдача кредита без скана паспорта. Т.е. чтобы взять кредит по скану нужно чтобы был "свой" сотрудник банка, готовый на это. Кажется, что имея такого "инсайдера" можно и без скана паспорта взять кредит на кого угодно?

  35. Dolios
    /#23043314 / +1

    Самая большая проблема этих банковских приложений, собственно, наличие этих приложений и невозможность их блокировки.


    Мошеннику достаточно иметь номер любой вашей карты и вашу сим-карту и он может опустошить все ваши счета, а потом взять на вас кредит и тоже украсть эти деньги. Он просто вставляет симку в свой телефон, ставит приложение, вводит номер карты и код из пришедшей смс. Все, у него полный доступ ко всем вашим деньгам. Я звонил в банк, где саппорт мне сказал, что это для моего удобства, запретить использование мобильного приложения с моим банковским аккаунтом невозможно.


    А выпустить дубликат симкарты может любой студент в миллеоне ларьков по всей стране. Вот такая вот безопасность.

    • mrsantak
      /#23043652 / +1

      Это не проблема мобильных приложений, это проблема того, что номер телефона становится единственным фактором аутентификации. Все те же возможности были доступны на сайтах задолго до распространения приложений.


      Если в обязательном порядке требовать пароль, и при этом не позволять его сбрасывать через смс, то описанная вами уязвимость исчезает.

      • Dolios
        /#23043710

        На сайтах я такого не замечал, возможно вы правы, но я все свои пароли получал в отделениях банков.


        Если в обязательном порядке требовать пароль, и при этом не позволять его сбрасывать через смс, то описанная вами уязвимость исчезает.

        Полностью согласен. Банки так экономят за счет клиентов.Если бы пароль сбрасывал сотрудник техподдержки, посте того, как я ему расскажу свою родословную с кодовыми словами, было бы гораздо безопаснее. Но сотрудников техподдержки сейчас повсеместно заменяют бабой-роботом.

        • mrsantak
          /#23043786

          Не факт что это целенаправленная экономия. Это скорее некомпетентность сотрудников отвечающих за безопасность. Очень многие разработчики просто не понимают что такое двухфакторная аутентификация. Для них это просто логин по телефону, так что добавляя эту возможность они искренне могли думать, что улучшают безопасность.


          Да что там двухфакторка, я как-то встречал ситуацию, когда в бд в соседних колонках хранились пароли в открытом и хешированном виде. Но вопрос "шозанах тут происходит?" получил ответ, что раньше была только колонка с открытым паролем, потом в команду пришел опытный разработчик, он указал, что хорошая практика — это хешировать пароли. Вот он-то и добавил вторую колонку с хешированными паролями. И, блин, никого включая этого самого "опытного разработчика" ничего не смутило.

      • inkelyad
        /#23043714

        Да не надо пароля — у клиента уже на руках аппаратный токен авторизации есть. Осталось только им воспользоваться.

        • mrsantak
          /#23043808

          И получим ровно туже проблему, что и с телефонами. Двухфакторная аутентификация потому и двухфакторная, что объединяет два фактора. В случае с телефоном+паролем — это факторы знания и обладания. Если у вас уведут пароль — без доступа к сим/телефону это ничего не даст. Если у вас уведут телефон/перевыпустят сим, то без пароля это тоже ничего не даст. Два этих фактора требуют сильно разных путей для кражи. За счет этого и достигается безопасность. Заменять фактор знания на фактор обладания — это уменьшать безопасность.

          • inkelyad
            /#23043848

            Так второй фактор на самом токене есть — в общем случае карта PIN хочет, прежде чем что-то авторизировать (смотри вопрос ниже)

            • mrsantak
              /#23044082

              Пин — очень плохая альтернатива паролю. Слишком часто светится вместе с картой. Для ситуаций требующих физического присутствия он еще терпим, для онлайн операций — уже нет.


              Задача онлайн банкинга — это управление счетами и картами. В том числе управление ограничениями для карт. Использование карты для доступа к управлению ограничениями на этой карте очень сильно сужает применимость этих ограничений.


              Т.е. при использовании карты+пин для аутентификации злоумышленник подсмотревший ваш пин у банкомата и уведший вашу карту там же получит возможность сбросить лимит на карте и её обнулить. В случае же с аутентификацией по телефону+паролю такой трюк не прокатит, и злоумышленник сможет снять не больше лимита.

              • inkelyad
                /#23044114

                Т.е. при использовании карты+пин для аутентификации злоумышленник подсмотревший ваш пин у банкомата и уведший вашу карту там же получит возможность сбросить лимит на карте и её обнулить.

                А это решается тем, что для покупок, где PIN 'светится' и которую легко украсть/потерять — используется другая карта 'для мелких расходов'. От другого банка, от платежной системы, виртуальная в телефоне, даже от сотового оператора. И на этой карте, разумеется, крупные суммы не водятся.
                Т.е. следует различаеть 'карта для доступа к счету' и 'карта для платежей'.


                Кроме того пароль со сложной процедурой его смены — уязвимая точка для кейлоггера. Если же он привязан к конкретному телефону — то какой сценарий действий при утере этого самого привязанного телефона?

                • mrsantak
                  /#23044150

                  А это решается тем, что для покупок, где PIN 'светится' и которую легко украсть/потерять — используется другая карта 'для мелких расходов'. От другого банка, от платежной системы, виртуальная в телефоне, даже от сотового оператора. И на этой карте, разумеется, крупные суммы не водятся.

                  Т.е. чтобы пользоваться услугами банка с такой продвинутой security policy мне нужно пользоваться услугами другого банка? Как-то это так себе звучит.


                  Кроме того пароль со сложной процедурой его смены — уязвимая точка с для кейлоггера.

                  Так в этом и прелесть двухфакторки. Чтобы получить доступ к вашему счету злоумышленник должен одновременно и засунуть к вам кейлоггер и украсть у вас физический фактор.


                  Если же он привязан к конкретному телефону — то какой сценарий действий при утере этого самого привязанного телефона?

                  Обращение в банк с просьбой заблокировать карту.

                  • inkelyad
                    /#23044220

                    Т.е. чтобы пользоваться услугами банка с такой продвинутой security policy мне нужно пользоваться услугами другого банка? Как-то это так себе звучит.

                    Нормально звучит. Счета, где деньги хранятся — отдельно, счета, откуда они тратятся — отдельно.
                    Ну и можно банку на мозги покапать насчет карты, которая доступа к онлайн-клиенту и управлению счетами не дает.


                    Обращение в банк с просьбой заблокировать карту.

                    Э, не. Карта в этом сценарии не при чем. Она на руках осталась. А вот телефон, с которого можно воспользоваться паролем для доступа к управлению счетами — утерян. Дальнейшие действия после покупки нового телефона и установки на него банковского клиента какие?

                    • mrsantak
                      /#23044266

                      Нормально звучит. Счета, где деньги хранятся — отдельно, счета, откуда они тратятся — отдельно.
                      Ну и можно банку на мозги покапать насчет карты, которая доступа к онлайн-клиенту и управлению счетами не дает.

                      Ну не знаю, по мне фактические неработающие механизмы лимитов и необходимость пользоваться минимум двумя банками, чтобы иметь хоть какую-то безопасность — это не нормально. Если для безопасности счета в банке требуется использовать другой банк, то безопасность банка — гавно.


                      Э, не. Карта в этом сценарии не при чем. Она на руках осталась. А вот телефон, с которого паролем для доступа к управлению счетами — утерян. Дальнейшие действия после покупки нового телефона и установки на него банковского клиента какие?

                      Неправильно написал, речь об обратится в банк и временно заблокировать онлайн банкинг до восстановления доступа к телефону. После восстановления доступа — снова обратится в банк для разблокировки онлайн банкинга.

                  • inkelyad
                    /#23044288

                    Так в этом и прелесть двухфакторки. Чтобы получить доступ к вашему счету злоумышленник должен одновременно и засунуть к вам кейлоггер и украсть у вас физический фактор.

                    Тут проблема еще и том, что в тех случаях, что я видел, если украсть карту вместе с пином — то никакие отдельные пароли уже не помогут. Злоумышленник просто сунет карту в банкомат, наберет пин и сделает все что ему захочется (например, поставит тот пароль на доступ к онлайн-банку, что ему нравится). Банки уж слишком много возможностей в своих банкоматах оставляют.

                    • mrsantak
                      /#23044324

                      Злоумышленник просто сунет карту в банкомат, наберет пин и сделает все что ему захочется (например, поставит тот пароль на доступ к онлайн-банку, что ему нравится).

                      Это потому что в описанном вами сценарии аутентификация по-факту однофакторная. Единственная ситуация применения однофакторной аутентификации в банке должна быть в момент личного посещения банка с предъявлением ID (ибо того требует закон). Все остальное — должно проходить минимум по двухфаторке, тогда можно говорить о безопасности, тогда можно не жонглировать деньгами на счетах в разных банках. Осталось только найти такой банк...

    • inkelyad
      /#23043676 / +1

      Проблема — что банки используют для авторизации не предназначенную для того технологию.
      Надо приблизительно таким калькулятором — используя чип карты. А для карт и телефонов с NFC можно пользоваться прямо картой, без калькулятора.


      От 'ввел полученный код на поддельном сайте' оно не до конца спасет — но от атаки через махинации с телефонной сетью — поможет.

      • Dolios
        /#23043748

        Интересная штуковина. Там же пин карты вводить нужно, правильно? Не знаете, кто-нибудь из наших банков с таким работает?

        • inkelyad
          /#23043804

          запрос PIN-а — я подозреваю, что от желания банка и карточки зависит.


          Использование российскими банками — сомневаюсь, оно же должно быть все сертифицировано до смерти, включая, я подозреваю, на российскую криптографию. Ну просто потому что так положено.

        • isden
          /#23043938

          Не знаете, кто-нибудь из наших банков с таким работает?

          Работали.

      • isden
        /#23043926

        Надо приблизительно таким калькулятором

        У втб когда-то давно так и было. У меня такой аппарат даже еще живой валяется.
        Но в какой-то момент все закончилось.

      • aelimill
        /#23049904

        В Германии (может и не только) используют photoTAN. (далее про реализацию конкретно комерцбанка). На мобильном телефоне установлено отдельное приложение от банка которое предназначено только для валидации транзакций, авторизация в него присылается отдельным (физическим письмом) в виде цветного qr кода и привязывается к устройству (в плане что при бэкапе и восстановлении надо снова доставать письмо и заново активировать приложение). В которое собственно прилетают запросы на подтверждение транзакции (логин в веб-приложение, перевод денег, создание периодического перевода, настройки банковские и тд и тп) с указанием что это и сколько (сумма, наименование получателя) и где пользователю надо ткнуть «да, подтверждаю». Или транзакция выглядит в виде qr кода, которую надо этим приложением распознать и опять ж подтвердить.
        Пока вполне интересно и относительно безопасно выглядит (хотя от угона телефона не спасет, если это конечно не отдельное устройство :)

        • inkelyad
          /#23049962

          далее про реализацию конкретно комерцбанка, так как возможно и реализация на смс и тогда проблема будет та же

          Мне казалось, что именно в Германии SMS, по факту, запретили. Почему там эти *TAN калькуляторы и используются.

  36. ptica_filin
    /#23043454

    Доступ к камере - для оплаты квитанций по QR коду.

    • itsoft
      /#23043622 / +1

      Его нужно запрашивать в момент оплаты, а не в момент установки у всех подряд.

      • ptica_filin
        /#23044060

        Вроде примерно так и есть. В момент оплаты у меня появляется запрос с вариантами "запретить", "разрешить всегда" и "разрешать при использовании приложения".

        В двух банковских приложениях так.

        Ну или это уже особенности 11го андроида.

  37. kanvas
    /#23043476 / +1

    можно ли технически сделать, или что мешает, чтобы когда приложение просит доступ к телефону и прочему, выдавать приложению эмуляцию этих устройств? причем без возможности определения эмуляции. Чтобы приложение всегда видело, что пользователь всегда молчит, в камере кирпичная стена, в контактах сам банк и находится около филиала банка.

    • Catslinger
      /#23044290

      Всегда было можно. Только телефон рутованный нужно, и из списка поддерживаемых моделей.

      • kanvas
        /#23044400

        Можно ссылочку как сделать на андроиде эмуляцию камеры, телефона и тд? не нашел в поиске простите

        • Catslinger
          /#23044420

          Давно дело было. В Xposed была возможность заменить камеру картинкой, а микрофон записью.

  38. Petyano
    /#23043588

    Спасибо за статью, а я уж думал, меня одного это смущает, что слишком много разрешений нужно для работы их приложений

  39. kanvas
    /#23043632 / +1

    где-то 2050год.
    банки активно продвигают своё приложение для нейроинтерфейса под лозунгом «управляйте вашим счётом силой мысли !»
    При этом почему-то приложение запрашивает доступ к управлению мышцами, передача всех мыслей на сервер банка. Конечно для безопасности «чтобы мы смогли помочь вам убежать от злоумышленников»
    В качестве побочного эффекта клиенты почему-то стали чаще соглашаться с рекламными предложениями банков и участились случаи взлома нейроинтерфейсов

    • Derzki83
      /#23049762

      Первый шаг уже сделан , в сбере точно, голосом можно управлять счетами и средствами на них, жаль что Салют не занет кто именно дает ему команду на перевод, но исполняет он ее обязателбно.

      • Alexsey
        /#23050134

        Со сбером вообще тут недавно прикол ходил — позвонил герой видео в сбер и пытался достучаться до оператора. В итоге бота проглючило и он ему карту с концами заблокировал вместо связи с оператором.

        Жаль найти это видео сейчас не могу

  40. VIPDC
    /#23043706

    Банки всегда твердят про безопасность, но вот когда ВТБ перешёл с пароля на пинкод, никакие обращения в службу поддержки чтобы оставить возможность выбрать не помогли.
    Раньше можно было нормальный пароль ввести, а теперь только пинкод — 4 цифры которые легко подглядеть. Плюс пароль введенный одни раз год назад забывается, значит надо где то записать, опять ослабление безопасности.

    • vesper-bot
      /#23043794

      Прям слоган: "ВТБ — В Топку Безопасность"

  41. spqr_voldi
    /#23043770

    Так вроде клиент-банки всегда были самым днищем среди программ?

  42. dn842
    /#23044010

    Плохо что все свелось до выбора андроид vs ios, а по сути и то и то пылесос любых данных до которых может дотянуться. Лучше бы, что бы на телефон как на ПК можно было установить любую ОС без всяких вшитых чудосервисов, плеймаркетов, аппсторов, телеметрий, неудаляемых приложений и навязываемых учетных записей. Деньги то немалые за телефоны регулярно требуют через прожорливость софта, а полного владения/управления девайсом нет.

  43. titbit
    /#23044594

    Сам сервис банков не отстает в деградации от своих мобильных и веб-версий, пример со мной: банк задолбал рекламными звонками с «кредитами», просил по-хорошему, жаловался, все бестолку разумеется. Плюнул, занес номера в черный список. Ответная реакция не заставила себя ждать, теперь нельзя снять деньги в банкомате без подтверждения телефона. Каждый раз! Правда пока можно вводить старый же номер, но нужен сам телефон, без него снять деньги просто нельзя. Т.е. пользователь банка практически обязан выслушивать рекламу банка, иначе лишается удобства использования услугами.

  44. ktod
    /#23044736

    Пару лет назад, ох удивившись таким запросам от банковских приложений, проэкстраполировал проблему в будущее и решил ее радикально — завел отдельный телефон для них. Без симки, зато с фаерволом и фэйк гпс. И вообще, на нем с секюрностью заморочился: шифрование, длинные пароли и пр.
    По прошествии лет, нахожу такое решение целиком оправданным.

    • d_ilyich
      /#23047732

      Поделитесь, пожалуйста, опытом, если есть время и желание.

      Кстати, а как же совсем без «банковской» симки? Вдруг потребуется не из дома в банк позвонить? Не с личной же симки и не через общественный Wi-Fi?

      P.S. Интересно, была бы востребована специальная «банковская» прошивка?

      • inkelyad
        /#23047802

        Я не очень понимаю различие банковской и личной. Банк-клиент, насколько я понимаю, на симки более-менее не смотрит.


        А так: cмартфон, который с банковским клиентом, цепляется через WiFi (для особых параноиков — через BlueTooth), который раздается телефоном, в котором симка есть.


        И да, это означает, что никакие SMS до смартфона с банк-клиентом не доходят и не уходят. В этом и смысл.

        • d_ilyich
          /#23047958

          Я не очень понимаю различие банковской и личной. Банк-клиент, насколько я понимаю, на симки более-менее не смотрит.
          Если есть смартфон, то, может, «банковская» симка не нужна. А если смартфонов в принципе нет? «Банковский» кнопочник основную часть времени лежит выключенным, включается по надобности — для смс-кодов и звонков в разные организации. Второй кнопочник — для всего остального.

          • inkelyad
            /#23048068

            Ну тогда просто через домашний WiFi ходишь, а коды из SMS так же руками перекидываешь.


            «Банковский» кнопочник основную часть времени лежит выключенным, включается по надобности — для смс-кодов и звонков в разные организации.

            А держать его выключенным, сожалению, не очень хорошая идея. Банк, конечно, задалбливает рекламой, но если захотят сообщить что-то важное (например, SMS о том, что у тебя все деньги со счета сняли) — можно пропустить.

      • ktod
        /#23048230

        Как бы, ничего там особо хитрого нет.
        Если нужен «банк в поле» — на основном смарфоне поднимается точка доступа одним кликом. Фаервол реализован на личном сервере, коннект до него по опенВПН. ВПН, кроме всего прочего, позволяет спокойно пользоваться публичным вайфаем. Первое время пользовался приложением фаервола на андроиде. Запретил сеть всем приложениям, кроме банков. Удобно, но отказался по соображениям безопасности: лишнее приложение — лишние дыры. Хотя, скорее всего, это будет самое оно для многих.
        Раздел /data шифрованный, ключ к нему вводится на этапе загрузки телефона. Ключ длинный, дабы минимизировать риски: дампа раздела + дампа секюрной зоны + брутфорс на внешних ресурсах.
        Не рутован. Прошивка от вендора.

        Звонок в банк никак не связан с банковскими приложениями. При необходимости, звонок делается с основного телефона. На него же принимаются смс.

        В общем, решение есть практически на любой градус паранойи.

        Основной же смысл — это разрешить противоречие между удобством пользования и длинной паролей. Ну, а дальше скорее по фану получилось, ну и для личного спокойствия, не без этого.

        Судя по тенденции развития телефонов, секюрность востребована. Добавляют же всякие шифрования, trustzone и пр. Хотелось бы, конечно, гарантий стойкости тех или иных мер.

  45. errexx
    /#23045210

    Капитаклизьм неизбежно скатывается в фашизм.
    Власть корпораций = тотальное рабство.
    Посему все корпорации должны быть уничтожены как класс.

  46. Elfro
    /#23045304

    Не только банки ультмативно требуют персональные данные. Yandex и Mail_ru блокируют почтовые ящики под предлогом «замечена подозрительная активность», и если номер телефона не привязан и ответ на контрольный вопрос давно забыт — или фотка паспорта, или доступ больше не получишь.

  47. freecoder_xx
    /#23045804

    Мне недавно позвонили мошенники и назвали мое ФИО, дату рождения и текущий счет на карте в Альфа-Банке. При этом я мобильным приложением не пользуюсь.

    • dekeyro
      /#23048374

      для примера — никогда не звонили. Но стоило один раз расплатиться в магазине за крупную покупку картой — на следующий день раздался звонок.
      Магазин не сетевой, с дорогими вещами — подозреваю что сливают сотрудники — терминал оплаты выглядел абсолютно стандартно.

      P.S. Жалоба на сайте магазина а так же в банк ничего не дала. Факта мошенничества не подтверждено.
      P.P.S. мобильного приложения нет и этой картой редко пользуюсь.

  48. Arlekcangp
    /#23046136 / -2

    Банки надо национализировать. Все. Одного ЦБ, полностью подчинённого государству будет достаточно. При условии, что это государство будет демократическим и народным. (Т е право голоса и сам голос будет одинаково ценным, кому бы он не принадлежал. Сейчас это очевидно не так - голос владельцев банков ценнее...) Банки - бесполезная финансовая прослойка.

    • Sap_ru
      /#23046168

      Если развить Вашу мысль, то окажется, что национализировать нужно вообще всё, так как вокруг одни кровопийцы, наживающиеся на трудовом народе и только государство — самое справедливое и правильное, никого не будет будет обманывать и будет заботиться о людях.
      Отличная идея! Хотя…
      Oh, shit!!! Мы же это уже сто раз проходили — коммунизм называется!

      • Dario9000
        /#23047808

        Один вопрос — какую пользу приносят банкиры для общества? В отличие от Маска или Джобса любой банкир является социальным паразитом, это не более чем легализованный рэкетир.

        • flx0
          /#23047852

          Явно большую, чем приносил бы чиновник, посаженный на место этих банкиров.

          • freecoder_xx
            /#23050894

            С криптовалютами можно и без чиновников.

        • Endeavour
          /#23048416

          Обеспечивают работу института долга? На которую всегда есть спрос?

        • Sap_ru
          /#23048854

          Ответ заключается в ответе на вопросы — зачем нужны кредиты и кто и как «печатает» деньги на самом деле.

  49. svob
    /#23047118

    А я недавно заполнила часть анкеты на рассрочку в интернет-магазине техники. Во второй части пошли вопросы типа «девичья фамилия матери», на этом месте прервалась. Но все равно частично заполненная информация ушла и в банки (Тинкофф одобрил и кредит, и кредитку, и звонил несколько раз), и — главное! — в кучу МФОшек. Теперь забрасывают смсками.

    То есть магазин на своей странице пишет «этот товар мы продадим вам в рассрочку 0-0-24», а по факту просто идет сплошная рассылка анкеты всем подряд.

    Тоже некий стандартный околобанковский онлайн-сервис: вроде бы, видела такой псевдорассрочный модуль уже на нескольких сайтах разных интернет-магазинов.

  50. kareon
    /#23048512

    Если меняешь паспорт, то Альфа-банк просит сфоткать и прислать новый. Конечно, теоретически можно через отделение, но там ведь сделают то же самое. А без актуальных паспортных данных вряд ли они будут обслуживать. Даже не смогут выдать деньги со счета.

    Но даже если они не будут делать копию, а просто запишут в свою базу номер и реквизиты — объем информации тот же самый. Ну, разве что не будет копии фотографии. Но что поможет мошенникам или самому банку воспользоваться этой информацией? По-моему, ничем. Так что я сделал вывод, быть уверенным в сохранности ПД в банках можно лишь в случае отказа от пользования банками )

  51. ACS_Solver
    /#23049174

    Интересно. Банки из статьи для меня только названия, но явно плохое отношение к безопасности и приватности. Странные запросы разрешений — в Android разрешение Phone, насколько знаю, позволяет и звонить, и получать информацию о получаемых звонках, дальше их возможно блокировать. Никак не понятно, зачем это банку.


    Сравнил для интереса со своими банками на телефоне.


    Nordea (личный и копроративный) — разрешение на камеру. Знаю, разрешал, так как редко можеть быть счет на бумаге, тогда оплатить проще всего, сделав камерой сканирование.


    Swedbank — нет разрешений.


    Avanza — нет разрешений.


    Еще Swish, это способ платить людям или в магазине без карты, только телефоном, совместная разработка Банка Швеции и нескольких главных банков. Разрешение на контакты (удобней платить человеку, кто есть в контактах уже), и на камеру для считывания QR кодов, что стандартно в ресторане, у продавцов, в автоматах.


    Тут подозреваю в большой степени GDPR помогает, как и законы о банковском секрете. Для разрешения Phone банку было бы много проблем доказать, что они его используют по GDPR, и дальше эти данные они все равно не могут использовать по законам баковского секрета.

  52. Timnet
    /#23049292 / +1

    Однажды открывал счёт в ГПБ (гавнозпромбанк), изначально выяснив что можно к счёту выпустить дополнительную карту для родственника. Указал все данные моей Мамы, карта была выпущена на её имя и она могла снимать средства через банкомат банка за много км от меня и без процентов. Через 3 месяца ГПБ заблокировал счёт с формулировкой "подозрение на мошенничество". На счёте оставались ещё мои кровные. Мало того что при личном присутствии в банке подписал бумазейку о закрытии счёта и переводе моих средств на счёт в другой банк в течении (через) 45 дней, так и через 45 дней мне пришлось тратить своё время для посещения филиала ада на земле (это я о гпб на цветном бульваре) и тыкать им копией договора о возврате средств. На следующий день средства перевели.

    Создаётся впечатление, что управляющим филиала или ещё выше руководству просто плевать на их клиентов. Не пришёл бы я за своими, то положили бы к себе в карман.

    Возможно это не совсем прям в тему топика, но общий фон работы банков очень нагляден.

    • Alexsey
      /#23050146

      Создаётся впечатление, что управляющим филиала или ещё выше руководству просто плевать на их клиентов. Не пришёл бы я за своими, то положили бы к себе в карман.


      Имею некоторую информацию как там все функционирует изнутри. Не столько плевать сколько очень много раздолбайства. Причем вплоть до сектора премиального обслуживания где вроде как такое совсем не допустимо.

  53. Mishootk
    /#23049918

    Я делал некоторую настройку пользования картами для личных нужд, технология расширяема для сохранения удобства и повышения уровня защиты.


    Моя настройка заключалась в том, что зарплатная карта не используется для покупок, а ежедневно с нее делается перевод "дневной зарплаты" на расходную карту. Точно так же оттуда получает жена свою семейную долю, ибо ИТ-грамотности у нее поменьше да и карточку носит в чехле от телефона (все знаю, брал в жены не для перевоспитывания).
    В итоге на более рисковых картах денег не так критично много. Ну и я транжирка, чуть посдержаннее стал, когда на платежной карте ноль близко.


    Теперь расширяю. Основной банк со счетами лежит на домашнем компе или отдельном телефоне. Привязка тоже к альтернативному номеру. На носимый телефон привязана карта другого банка на которую поступает ежедневная зарплата. Уровень денег контролируется на пороге "удобно, хватает, потеря этой суммы не критична". В итоге даже при полной утечке кошелька и разблокированного телефона в руки опытных специалистов основной счет остается еще за одним рубежом обороны. Ну и звонки из основного банка на носимый номер уже воспринимаются как развлечение. Для подстраховки с банковского телефона безусловная переадресация звонков, ибо банк если и звонит, то по делу.

  54. xl0e
    /#23050052

    Зачем доступ к камере смартфона имеют некоторые банковские приложения вообще непонятно

    Оплата или снятие налички по QR коду, можно спокойно отключать в разрешениях, но вышеперечисленное работать перестанет.

    А вот зачем samsung/google pay обязательный доступ к контактам - непонятно :/

    • Derzki83
      /#23051446

      А что самсунг говорит послушать не пробовали? Там все так мутно, что становиться еще непонятнее.

  55. Methos
    /#23050662

    Нужно просто сделать виртуалку на смартфоне, в которую ставить все подобные приложения.

    В этой в виртуалке будут липовые контакты, липовая файловая система и липовая «камера».

    Пусть наслаждаются.

    Всё элементарно.

    Сейчас на компах виртуалки спокойно ставятся и туда можно вирусы запускать, форматировать винты и так далее.

    Давно пора подобное сделать и на андроидах.

    • amarao
      /#23052504

      Несколько раз пытались. Целевая аудитория слишком тупая, для массового внедрения хитрых технологий.

      • Mishootk
        /#23052676

        Иными словами затраты на добавление и поддержку этой фичи не увеличат доход от продажи телефонов с ней.
        Мы уже давно поняли, что смарфоны рюшечками обрастают сейчас не для связи, а для того чтобы у нас поддерживалась потребность (и увеличивалась) пользоваться смартами.

        • amarao
          /#23052816

          Тут ещё вопрос персональной информационной гигиены. Стартапчики появляются с асептическими продуктами, но большинство устраивает общественная многоразовая зубная щётка.

  56. amarao
    /#23052496

    Мобильное приложение на телефоне от банка не звучит разумно. Во-первых банки считают, что SMS — это надёжно, а телефон оные SMS как раз принимает. Теряешь телефон — теряешь банк-клиент и второй фактор одновременно. Во-вторых, зачем приложение, если можно из браузера, да ещё и с забаненными трекерами?

    • kimisa
      /#23052886

      Приложение нужно. Например, поехали куда на природу. Решили покататься, а денег с собой нет. Выход — перевод онлайн. Или пошли на рынок, решили докупить что-то, но налички не хватает. У всех продавцов есть так же переводы онлайн. И таких ситуаций не мало. Еще один пример — поход в салон красоты. Не у всех стоят терминалы. Ну и так же такси. Раньше у везет нельзя было оплачивать через гугпэй. Я писала в комментариях — сбер онлайн. И оплата была через перевод на карту.

      • amarao
        /#23053116

        У меня есть специализированный компьютер с беспроводным доступом для таких операций. Называется "банковская карта". Удивительно разумно спроектирован. Насчёт "у всех есть онлайн платежи но не у всех терминалы" — ну, мягко говоря, не у всех.


        А менять гигиенические привычки ради удобства — да пожалуйста. Общая зубная щётка в туалете в вагоне, наверное, тоже удобно.

  57. plm
    /#23054466

    Мне кажется, разрешения приложения могут как-то обходить. Ставил я тут как-то какое-то приложение, не то такси, не то мессенджер. Попросил он среди прочего доступ к СМС, я не дал. А он для подтверждения номера телефона, оказывается, хотел код из СМС. И когда СМС пришло, он его сам из СМС себе в окно скопировал. Я офигел, полез в настройки — все правильно, доступа к СМС нет…

    • TGeka
      /#23062004

      доступ к уведомлениям?

  58. Psijic
    /#23056264

    Доступ к камере нужен для распознавания номера карты, либо сканирования QR-кодов.

  59. Fr0sT-Brutal
    /#23056810

    Поддерживаю обеими руками! Сам никогда не пользовался клиентами, предпочитая личные кабинеты, но банки упорно пытаются затащить всех на свои приложения, порой намеренно кастрируя возможности ЛК! И разрешения затребуются ультимативно без всякой надобности. У многих банков переводы по СБП или выписки об операциях только через клиента (!). Редкостная бредятина. Пока спасаюсь функцией вторых аккаунтов на Андроиде, где пустая телефонная книга, но вообще мрак. Призываю всех писать гневные отзывы на банках и ставить колы в аппсторах

  60. vadiml
    /#23065074

    > В идеале СМС принимать на одном телефоне, а приложение банка на другом.

    Я отдельную симку для банков вообще держу в кнопочном телефоне, и никаких проблем. И это номер не знает ни кто, кроме жены и банков. Забавно получается когда такие мошенники звонят на другой номер.

    Помимо этого, у меня и смарт не на адроиде/iOS, а с Sailfish, в ней эмулатор андроида, правда нет гуглосервисов, приложения альфы и ВТБ работают, а тинькова — нет, оно привязано к гуглосервисам. А любая привязка к ним — это дополнительных слив инфу, но уже в гугл.

    А ещё я счета в банках отрываю на паспорт ЛНР (там ранее жил, поэтому была возможность оформить), который везде признаётся по указу президента. От этого есть заметный плюс — на него невозможно оформить никакий кредит, его нельзя использовать для открытия фирм, и т.п. Аналогично на почте при получении посылок требуют в извещении вписывать паспортные данные. Куда они могут попасть — неизвестно. А паспорт ЛНР они принимают. То же самое с телефоными операторами.

    • HardWrMan
      /#23065566

      И это номер не знает ни кто, кроме жены и банков.

      А ещё о нём знает оператор. И вообще, нет гарантии что это не «переработанный» номер, который вам достался от должника. Приведу пример: я купил один из своих номеров в 2004м. А в 2010м мне позвонила девушка и в разговоре выяснилось, что этот номер до меня принадлежал какой-то её подруге, она её долго не видела, нашла вот бумажку с номером и решила позвонить. И это 15 лет назад. А сейчас при покупке номера шанс получить БУшный стремится в бесконечность.