Все больше банков переносит отдельные функции из веб-интерфейсов в телефонные приложения. Как сейчас с безопасностью этих приложений на современных андроидах? Известны случаи утечки данных, взлома счетов, кражи денег и т.п. полностью незаметно для пользователя, который в должной степени внимателен, не делает слепо всего, о чем попросят, обращает внимание на необычное поведение? Или во всех известных случаях причиной становилась невнимательность, излишняя доверчивость и подобное?
Ну и сейчас имеет смысл держать второй телефон для получения SMS с кодами подтверждения? Еще несколько лет назад это считалось прямо-таки необходимым. Что-нибудь поменялось?
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Все больше банков переносит отдельные функции из веб-интерфейсов в телефонные приложения. Как сейчас с безопасностью этих приложений на современных андроидах? Известны случаи утечки данных, взлома счетов, кражи денег и т.п. полностью незаметно для пользователя, который в должной степени внимателен, не делает слепо всего, о чем попросят, обращает внимание на необычное поведение? Или во всех известных случаях причиной становилась невнимательность, излишняя доверчивость и подобное?
Ну, например, сколько я их не видел, чтобы актиривовать такое приложение, достаточно знать номер карты и иметь возможность принимать СМС на номер, который знает банк. По-моему, это весьма не безопасно.
Будучи активированным, приложение не присылает никаких СМС про повторных вхождениях. Достаточно ввести 4-5-значный цифровой пароль.
ЕМ>Ну и сейчас имеет смысл держать второй телефон для получения SMS с кодами подтверждения?
Можно ли поставить эти чудо-приложения в виртуалку на десктопный комп? Какой андроид актуальной версии для этого годится, и где его взять?
Здравствуйте, Osaka, Вы писали:
O>Можно ли поставить эти чудо-приложения в виртуалку на десктопный комп?
Кстати, а это тема. Как-то не думал об этом никогда.
O>Какой андроид актуальной версии для этого годится
Обычно таким приложениям достаточно Android 6.
Но боюсь, что просто установка в виртуалке может показаться приложению "небезопасной", как рутованый телефон. Там же должно быть все подписано: начальный загрузчик, вторичный загрузчик, ядро, система и так далее. Производитель телефона, делая сборку под свою модель, подписывает своими сертификатами, которые выданы доверенными глобальными УЦ. А как все это будет выглядеть в произвольной сборке — хз.
ЕМ>Но боюсь, что просто установка в виртуалке может показаться приложению "небезопасной", как рутованый телефон. Там же должно быть все подписано: начальный загрузчик, вторичный загрузчик, ядро, система и так далее. Производитель телефона, делая сборку под свою модель, подписывает своими сертификатами, которые выданы доверенными глобальными УЦ. А как все это будет выглядеть в произвольной сборке — хз.
Как минимум есть банки, которые предлагают запуск в эмуляторе как штатный способ.
Я об этом писал в начале этого года тут: Навязывание смартфона.
Pzz>Ну, например, сколько я их не видел, чтобы актиривовать такое приложение, достаточно знать номер карты и иметь возможность принимать СМС на номер, который знает банк. По-моему, это весьма не безопасно.
Определенно небезопасно.
Выходит, что даже если ты не пользуешься мобильным приложением, ничто не мешает мошеннику стащить у тебя SIM тем или иным способом и воспользоваться.
Pzz>Будучи активированным, приложение не присылает никаких СМС про повторных вхождениях. Достаточно ввести 4-5-значный цифровой пароль.
Вероятно хранит ключ доступа на файловой системе и через push-нотификации что-то получает.
Впрочем идея полного доступа к банковским услугам с карманного устройства определенно дурная.
Из-за неё и происходят истории типа этой:
Петербуржец лишился смартфона, а вскоре еще и оказался должником «Тинькофф банка» — кто-то оформил на него кредит через приложение.
После поражения в трех инстанциях «должник» нашел понимание в Верховном суде.
Должна быть модель безопасности, где я бы мог определить каждой инсталляции приложения (каждому API_KEY) свой набор прав доступа.
У некоторых банков (Qiwi, Yoomoney) такой функционал уже есть в рамках публичного API, но там не всё.
M>>есть банки, которые предлагают запуск в эмуляторе как штатный способ.
ЕМ>А как они относятся к рутованым телефонам?
Представления не имею
Вообще все эти приложения, как правило, коммуницируют с сервером через достаточно простой web api (и через этот же API работает web-версия, иногда это вообще одно и то же PWA-приложение).
Т.е. на телефон (железо/софт) оно не очень-то и завязано, кроме пожалуй аутентификации (там может быть и SMS, и Push, и проверка IMEI).
Здравствуйте, m2user, Вы писали:
M>Выходит, что даже если ты не пользуешься мобильным приложением, ничто не мешает мошеннику стащить у тебя SIM тем или иным способом и воспользоваться.
Во-первых, банк обычно имеет доступ к IMEI телефона и при смене телефона банк это заметит. По крайней мере Сбер умеет и требуется официальное обращение в офис (уж не помню, личное или по телефону можно позвонить) и зафиксировать замену аппарата.
Во-вторых, нужно ставить пин-код на сим-карту, тогда она будет бесполезна в руках мошенника. Это единственная нормальная защита от кражи телефона и/или сим-карты в разрезе безопасности банковских приложений.
M>Во-первых, банк обычно имеет доступ к IMEI телефона и при смене телефона банк это заметит. По крайней мере Сбер умеет и требуется официальное обращение в офис (уж не помню, личное или по телефону можно позвонить) и зафиксировать замену аппарата.
Во-первых банк знает IMEI только через приложение, т.е. если приложение ранее не использовалось, то не поможет.
Во-вторых IMEI подменяется.
M>Во-вторых, нужно ставить пин-код на сим-карту, тогда она будет бесполезна в руках мошенника. Это единственная нормальная защита от кражи телефона и/или сим-карты в разрезе безопасности банковских приложений.
Т.е. даже если я не использую никаких банковских приложений на телефоне, мне придется думать об их безопасности, ставить пароль на SIM и т.п.
Приходим к тому, о чем говорил ТС: нужна отдельная SIM для банков.
Здравствуйте, m2user, Вы писали:
M>Приходим к тому, о чем говорил ТС: нужна отдельная SIM для банков.
Не нужна. Достаточно пин-код задать для своей. А IMEI да, в 75% моделей смартфонов можно перепрошить. В 25% он в специальном неизменяемом ПЗУ хранится.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Все больше банков переносит отдельные функции из веб-интерфейсов в телефонные приложения. Как сейчас с безопасностью этих приложений на современных андроидах? Известны случаи утечки данных, взлома счетов, кражи денег и т.п. полностью незаметно для пользователя, который в должной степени внимателен, не делает слепо всего, о чем попросят, обращает внимание на необычное поведение? Или во всех известных случаях причиной становилась невнимательность, излишняя доверчивость и подобное?
ЕМ>Ну и сейчас имеет смысл держать второй телефон для получения SMS с кодами подтверждения? Еще несколько лет назад это считалось прямо-таки необходимым. Что-нибудь поменялось?
Можно виртуальный номер завести.
Но вообще-то ИМХО лучшее решение — держать деньги в 2 банках. Для одного, где основные деньги — использовать вход только через браузер, да и деньги держать не на карте, а, скажем, на накопительном счете (можно снимать в любой момент, но при потере карты ничего не произойдет). Во втором банке держать сумму на текущие расходы и для него использовать мобильное приложение. Взломают — ущерб невелик, примерно то же, как если бы в советские времена украли или потерял кошелек с тремя рублями.
Кстати, с мая с.г. переводы по СБП между своими счетами в разных банках будет бесплатными в пределах 30 млн. руб.
PD>Но вообще-то ИМХО лучшее решение — держать деньги в 2 банках. Для одного, где основные деньги — использовать вход только через браузер, да и деньги держать не на карте, а, скажем, на накопительном счете (можно снимать в любой момент, но при потере карты ничего не произойдет). Во втором банке держать сумму на текущие расходы и для него использовать мобильное приложение. Взломают — ущерб невелик, примерно то же, как если бы в советские времена украли или потерял кошелек с тремя рублями.
Всё несколкько хуже: взломщики кредит могут взять и быстро вывести.
Но вроде как ЦБ в конце прошлого года анонсировал новые требования, согласно которым будет опция самозапрета на дистанционное получение кредита.
M>Всё несколкько хуже: взломщики кредит могут взять и быстро вывести. M>Но вроде как ЦБ в конце прошлого года анонсировал новые требования, согласно которым будет опция самозапрета на дистанционное получение кредита.
На "опцию" в госуслугах маринка/робот может тупо не посмотреть.
Начать надо с того, чтобы не иметь с банком кредитного договора вообще ни в каком виде.
Здравствуйте, m2user, Вы писали:
M>Но вроде как ЦБ в конце прошлого года анонсировал новые требования, согласно которым будет опция самозапрета на дистанционное получение кредита.
Это уже можно сейчас делать. Я связался с банком в чате и попросил сделать. Сказали, что сделали. Теперь только при моем личном присутствии.
А ЦБ обещает, что будет в пределах России. Вроде как на Госуслугах написать заявление, и ни один банк не сможет дать кредит без личного присутствия.
А еще есть запрет на любые действия с квартирой без личного присутствия. Это уже сейчас есть, я оформил.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Я этим банкам скоро счет потеряю, а у некоторых тут еще больше.
Так вопрос не в их количестве, а в отношении к ним. В одних хранишь серьезные суммы, но без легкого доступа. В других — суммы на карманные расходы с легким доступом.
Здравствуйте, Pzz, Вы писали:
Pzz>Ну, например, сколько я их не видел, чтобы актиривовать такое приложение, достаточно знать номер карты и иметь возможность принимать СМС на номер, который знает банк. По-моему, это весьма не безопасно.
Ну нет, далеко не все такие. Некоторые таки просят пароль для личного кабинета. Но самые популярные — типа Альфа, Сбер, Тинькофф — именно такие. Видимо, дофига денег уходит на поддержку в обратном случае
Здравствуйте, Maniacal, Вы писали:
M>Здравствуйте, m2user, Вы писали:
M>По крайней мере Сбер умеет и требуется официальное обращение в офис (уж не помню, личное или по телефону можно позвонить) и зафиксировать замену аппарата.
у меня сбер не требуют, ставил на 5 разных телефонах, как по очереди так и одновременно, менял и сим и номера телефона.
А вот альфа иногда блокировал несколько раз все операции на сутки, например после восстановления пароля.
Здравствуйте, yoyozhik, Вы писали:
Y>у меня сбер не требуют, ставил на 5 разных телефонах, как по очереди так и одновременно, менял и сим и номера телефона. Y>А вот альфа иногда блокировал несколько раз все операции на сутки, например после восстановления пароля.
Значит, про IMEI они только хотели. При смене номера по-любому надо банку сообщать, а то по телефону если в банк позвонишь, то не узнают и если код по СМС приходит, при оповещении через push-сообщения, наверное, пофиг. Странно, что пишут что при смене симки при сохранении номера могут заблокировать. Вообще, эта суматоха началась в 2019ом году. В каком году что-то внедрили — хз