Все больше банков переносит отдельные функции из веб-интерфейсов в телефонные приложения. Как сейчас с безопасностью этих приложений на современных андроидах? Известны случаи утечки данных, взлома счетов, кражи денег и т.п. полностью незаметно для пользователя, который в должной степени внимателен, не делает слепо всего, о чем попросят, обращает внимание на необычное поведение? Или во всех известных случаях причиной становилась невнимательность, излишняя доверчивость и подобное?

Ну и сейчас имеет смысл держать второй телефон для получения SMS с кодами подтверждения? Еще несколько лет назад это считалось прямо-таки необходимым. Что-нибудь поменялось?

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Все больше банков переносит отдельные функции из веб-интерфейсов в телефонные приложения. Как сейчас с безопасностью этих приложений на современных андроидах? Известны случаи утечки данных, взлома счетов, кражи денег и т.п. полностью незаметно для пользователя, который в должной степени внимателен, не делает слепо всего, о чем попросят, обращает внимание на необычное поведение? Или во всех известных случаях причиной становилась невнимательность, излишняя доверчивость и подобное?

Ну, например, сколько я их не видел, чтобы актиривовать такое приложение, достаточно знать номер карты и иметь возможность принимать СМС на номер, который знает банк. По-моему, это весьма не безопасно.

Будучи активированным, приложение не присылает никаких СМС про повторных вхождениях. Достаточно ввести 4-5-значный цифровой пароль.

ЕМ>Ну и сейчас имеет смысл держать второй телефон для получения SMS с кодами подтверждения?
Можно ли поставить эти чудо-приложения в виртуалку на десктопный комп? Какой андроид актуальной версии для этого годится, и где его взять?

Здравствуйте, Osaka, Вы писали:

O>Можно ли поставить эти чудо-приложения в виртуалку на десктопный комп?

Кстати, а это тема. Как-то не думал об этом никогда.

O>Какой андроид актуальной версии для этого годится

Обычно таким приложениям достаточно Android 6.

Но боюсь, что просто установка в виртуалке может показаться приложению "небезопасной", как рутованый телефон. Там же должно быть все подписано: начальный загрузчик, вторичный загрузчик, ядро, система и так далее. Производитель телефона, делая сборку под свою модель, подписывает своими сертификатами, которые выданы доверенными глобальными УЦ. А как все это будет выглядеть в произвольной сборке — хз.

ЕМ>Но боюсь, что просто установка в виртуалке может показаться приложению "небезопасной", как рутованый телефон. Там же должно быть все подписано: начальный загрузчик, вторичный загрузчик, ядро, система и так далее. Производитель телефона, делая сборку под свою модель, подписывает своими сертификатами, которые выданы доверенными глобальными УЦ. А как все это будет выглядеть в произвольной сборке — хз.

Как минимум есть банки, которые предлагают запуск в эмуляторе как штатный способ.
Я об этом писал в начале этого года тут: Навязывание смартфона.

Pzz>Ну, например, сколько я их не видел, чтобы актиривовать такое приложение, достаточно знать номер карты и иметь возможность принимать СМС на номер, который знает банк. По-моему, это весьма не безопасно.

Определенно небезопасно.
Выходит, что даже если ты не пользуешься мобильным приложением, ничто не мешает мошеннику стащить у тебя SIM тем или иным способом и воспользоваться.

Pzz>Будучи активированным, приложение не присылает никаких СМС про повторных вхождениях. Достаточно ввести 4-5-значный цифровой пароль.

Вероятно хранит ключ доступа на файловой системе и через push-нотификации что-то получает.

Впрочем идея полного доступа к банковским услугам с карманного устройства определенно дурная.
Из-за неё и происходят истории типа этой:

Петербуржец лишился смартфона, а вскоре еще и оказался должником «Тинькофф банка» — кто-то оформил на него кредит через приложение.
После поражения в трех инстанциях «должник» нашел понимание в Верховном суде.

https://www.fontanka.ru/2023/01/12/71968268/

Должна быть модель безопасности, где я бы мог определить каждой инсталляции приложения (каждому API_KEY) свой набор прав доступа.
У некоторых банков (Qiwi, Yoomoney) такой функционал уже есть в рамках публичного API, но там не всё.

Здравствуйте, m2user, Вы писали:

M>есть банки, которые предлагают запуск в эмуляторе как штатный способ.

А как они относятся к рутованым телефонам?

M>>есть банки, которые предлагают запуск в эмуляторе как штатный способ.

ЕМ>А как они относятся к рутованым телефонам?

Представления не имею

Вообще все эти приложения, как правило, коммуницируют с сервером через достаточно простой web api (и через этот же API работает web-версия, иногда это вообще одно и то же PWA-приложение).
Т.е. на телефон (железо/софт) оно не очень-то и завязано, кроме пожалуй аутентификации (там может быть и SMS, и Push, и проверка IMEI).

Вот пример third-party приложения для Сбербанка: https://vikamobile.ru/sber/

Я полагаю, что в ряде случаев написать библиотечку для работы с web api может быть менее трудоемко, чем заставить работать приложение на эмуляторе.

Здравствуйте, m2user, Вы писали:

M>Выходит, что даже если ты не пользуешься мобильным приложением, ничто не мешает мошеннику стащить у тебя SIM тем или иным способом и воспользоваться.
Во-первых, банк обычно имеет доступ к IMEI телефона и при смене телефона банк это заметит. По крайней мере Сбер умеет и требуется официальное обращение в офис (уж не помню, личное или по телефону можно позвонить) и зафиксировать замену аппарата.
Во-вторых, нужно ставить пин-код на сим-карту, тогда она будет бесполезна в руках мошенника. Это единственная нормальная защита от кражи телефона и/или сим-карты в разрезе безопасности банковских приложений.

M>Во-первых, банк обычно имеет доступ к IMEI телефона и при смене телефона банк это заметит. По крайней мере Сбер умеет и требуется официальное обращение в офис (уж не помню, личное или по телефону можно позвонить) и зафиксировать замену аппарата.

Во-первых банк знает IMEI только через приложение, т.е. если приложение ранее не использовалось, то не поможет.
Во-вторых IMEI подменяется.

M>Во-вторых, нужно ставить пин-код на сим-карту, тогда она будет бесполезна в руках мошенника. Это единственная нормальная защита от кражи телефона и/или сим-карты в разрезе безопасности банковских приложений.

Т.е. даже если я не использую никаких банковских приложений на телефоне, мне придется думать об их безопасности, ставить пароль на SIM и т.п.
Приходим к тому, о чем говорил ТС: нужна отдельная SIM для банков.

Здравствуйте, m2user, Вы писали:

M>Приходим к тому, о чем говорил ТС: нужна отдельная SIM для банков.

Не нужна. Достаточно пин-код задать для своей. А IMEI да, в 75% моделей смартфонов можно перепрошить. В 25% он в специальном неизменяемом ПЗУ хранится.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Все больше банков переносит отдельные функции из веб-интерфейсов в телефонные приложения. Как сейчас с безопасностью этих приложений на современных андроидах? Известны случаи утечки данных, взлома счетов, кражи денег и т.п. полностью незаметно для пользователя, который в должной степени внимателен, не делает слепо всего, о чем попросят, обращает внимание на необычное поведение? Или во всех известных случаях причиной становилась невнимательность, излишняя доверчивость и подобное?

ЕМ>Ну и сейчас имеет смысл держать второй телефон для получения SMS с кодами подтверждения? Еще несколько лет назад это считалось прямо-таки необходимым. Что-нибудь поменялось?

Можно виртуальный номер завести.

Но вообще-то ИМХО лучшее решение — держать деньги в 2 банках. Для одного, где основные деньги — использовать вход только через браузер, да и деньги держать не на карте, а, скажем, на накопительном счете (можно снимать в любой момент, но при потере карты ничего не произойдет). Во втором банке держать сумму на текущие расходы и для него использовать мобильное приложение. Взломают — ущерб невелик, примерно то же, как если бы в советские времена украли или потерял кошелек с тремя рублями.

Кстати, с мая с.г. переводы по СБП между своими счетами в разных банках будет бесплатными в пределах 30 млн. руб.

https://pravo.ru/news/250738/#:~:text=%D0%9D%D0%BE%D0%B2%D0%BE%D0%B2%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5%20%D0%BD%D0%B0%D1%87%D0%BD%D0%B5%D1%82%20%D0%B4%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%BE%D0%B2%D0%B0%D1%82%D1%8C%20%D1%81%20%D0%BC%D0%B0%D1%8F,%D0%B2%20%D0%BC%D0%B5%D1%81%D1%8F%D1%86%20%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D0%BE.

PD>Но вообще-то ИМХО лучшее решение — держать деньги в 2 банках. Для одного, где основные деньги — использовать вход только через браузер, да и деньги держать не на карте, а, скажем, на накопительном счете (можно снимать в любой момент, но при потере карты ничего не произойдет). Во втором банке держать сумму на текущие расходы и для него использовать мобильное приложение. Взломают — ущерб невелик, примерно то же, как если бы в советские времена украли или потерял кошелек с тремя рублями.

Всё несколкько хуже: взломщики кредит могут взять и быстро вывести.
Но вроде как ЦБ в конце прошлого года анонсировал новые требования, согласно которым будет опция самозапрета на дистанционное получение кредита.

M>Всё несколкько хуже: взломщики кредит могут взять и быстро вывести.
M>Но вроде как ЦБ в конце прошлого года анонсировал новые требования, согласно которым будет опция самозапрета на дистанционное получение кредита.
На "опцию" в госуслугах маринка/робот может тупо не посмотреть.
Начать надо с того, чтобы не иметь с банком кредитного договора вообще ни в каком виде.

Здравствуйте, m2user, Вы писали:

M>Но вроде как ЦБ в конце прошлого года анонсировал новые требования, согласно которым будет опция самозапрета на дистанционное получение кредита.

Это уже можно сейчас делать. Я связался с банком в чате и попросил сделать. Сказали, что сделали. Теперь только при моем личном присутствии.

А ЦБ обещает, что будет в пределах России. Вроде как на Госуслугах написать заявление, и ни один банк не сможет дать кредит без личного присутствия.

А еще есть запрет на любые действия с квартирой без личного присутствия. Это уже сейчас есть, я оформил.

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>лучшее решение — держать деньги в 2 банках.

Я этим банкам скоро счет потеряю, а у некоторых тут еще больше.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Я этим банкам скоро счет потеряю, а у некоторых тут еще больше.

Так вопрос не в их количестве, а в отношении к ним. В одних хранишь серьезные суммы, но без легкого доступа. В других — суммы на карманные расходы с легким доступом.

Здравствуйте, Pzz, Вы писали:

Pzz>Ну, например, сколько я их не видел, чтобы актиривовать такое приложение, достаточно знать номер карты и иметь возможность принимать СМС на номер, который знает банк. По-моему, это весьма не безопасно.

Ну нет, далеко не все такие. Некоторые таки просят пароль для личного кабинета. Но самые популярные — типа Альфа, Сбер, Тинькофф — именно такие. Видимо, дофига денег уходит на поддержку в обратном случае

Здравствуйте, Maniacal, Вы писали:

M>Здравствуйте, m2user, Вы писали:

M>По крайней мере Сбер умеет и требуется официальное обращение в офис (уж не помню, личное или по телефону можно позвонить) и зафиксировать замену аппарата.
у меня сбер не требуют, ставил на 5 разных телефонах, как по очереди так и одновременно, менял и сим и номера телефона.
А вот альфа иногда блокировал несколько раз все операции на сутки, например после восстановления пароля.

Здравствуйте, yoyozhik, Вы писали:

Y>у меня сбер не требуют, ставил на 5 разных телефонах, как по очереди так и одновременно, менял и сим и номера телефона.
Y>А вот альфа иногда блокировал несколько раз все операции на сутки, например после восстановления пароля.

Значит, про IMEI они только хотели. При смене номера по-любому надо банку сообщать, а то по телефону если в банк позвонишь, то не узнают и если код по СМС приходит, при оповещении через push-сообщения, наверное, пофиг. Странно, что пишут что при смене симки при сохранении номера могут заблокировать. Вообще, эта суматоха началась в 2019ом году. В каком году что-то внедрили — хз