Банковские приложения на андроиде
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 16.04.22 15:22
Оценка:
Все больше банков переносит отдельные функции из веб-интерфейсов в телефонные приложения. Как сейчас с безопасностью этих приложений на современных андроидах? Известны случаи утечки данных, взлома счетов, кражи денег и т.п. полностью незаметно для пользователя, который в должной степени внимателен, не делает слепо всего, о чем попросят, обращает внимание на необычное поведение? Или во всех известных случаях причиной становилась невнимательность, излишняя доверчивость и подобное?

Ну и сейчас имеет смысл держать второй телефон для получения SMS с кодами подтверждения? Еще несколько лет назад это считалось прямо-таки необходимым. Что-нибудь поменялось?
Re: Банковские приложения на андроиде
От: Pzz Россия https://github.com/alexpevzner
Дата: 16.04.22 19:09
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Все больше банков переносит отдельные функции из веб-интерфейсов в телефонные приложения. Как сейчас с безопасностью этих приложений на современных андроидах? Известны случаи утечки данных, взлома счетов, кражи денег и т.п. полностью незаметно для пользователя, который в должной степени внимателен, не делает слепо всего, о чем попросят, обращает внимание на необычное поведение? Или во всех известных случаях причиной становилась невнимательность, излишняя доверчивость и подобное?


Ну, например, сколько я их не видел, чтобы актиривовать такое приложение, достаточно знать номер карты и иметь возможность принимать СМС на номер, который знает банк. По-моему, это весьма не безопасно.

Будучи активированным, приложение не присылает никаких СМС про повторных вхождениях. Достаточно ввести 4-5-значный цифровой пароль.
Re: Банковские приложения на андроиде
От: Osaka  
Дата: 05.11.23 20:19
Оценка: +1
ЕМ>Ну и сейчас имеет смысл держать второй телефон для получения SMS с кодами подтверждения?
Можно ли поставить эти чудо-приложения в виртуалку на десктопный комп? Какой андроид актуальной версии для этого годится, и где его взять?
Re[2]: Банковские приложения на андроиде
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 05.11.23 20:38
Оценка:
Здравствуйте, Osaka, Вы писали:

O>Можно ли поставить эти чудо-приложения в виртуалку на десктопный комп?


Кстати, а это тема. Как-то не думал об этом никогда.

O>Какой андроид актуальной версии для этого годится


Обычно таким приложениям достаточно Android 6.

Но боюсь, что просто установка в виртуалке может показаться приложению "небезопасной", как рутованый телефон. Там же должно быть все подписано: начальный загрузчик, вторичный загрузчик, ядро, система и так далее. Производитель телефона, делая сборку под свою модель, подписывает своими сертификатами, которые выданы доверенными глобальными УЦ. А как все это будет выглядеть в произвольной сборке — хз.
Re[3]: Банковские приложения на андроиде
От: m2user  
Дата: 05.11.23 21:07
Оценка:
ЕМ>Но боюсь, что просто установка в виртуалке может показаться приложению "небезопасной", как рутованый телефон. Там же должно быть все подписано: начальный загрузчик, вторичный загрузчик, ядро, система и так далее. Производитель телефона, делая сборку под свою модель, подписывает своими сертификатами, которые выданы доверенными глобальными УЦ. А как все это будет выглядеть в произвольной сборке — хз.

Как минимум есть банки, которые предлагают запуск в эмуляторе как штатный способ.
Я об этом писал в начале этого года тут: Навязывание смартфона.
Re[2]: Банковские приложения на андроиде
От: m2user  
Дата: 05.11.23 21:25
Оценка:
Pzz>Ну, например, сколько я их не видел, чтобы актиривовать такое приложение, достаточно знать номер карты и иметь возможность принимать СМС на номер, который знает банк. По-моему, это весьма не безопасно.

Определенно небезопасно.
Выходит, что даже если ты не пользуешься мобильным приложением, ничто не мешает мошеннику стащить у тебя SIM тем или иным способом и воспользоваться.

Pzz>Будучи активированным, приложение не присылает никаких СМС про повторных вхождениях. Достаточно ввести 4-5-значный цифровой пароль.


Вероятно хранит ключ доступа на файловой системе и через push-нотификации что-то получает.

Впрочем идея полного доступа к банковским услугам с карманного устройства определенно дурная.
Из-за неё и происходят истории типа этой:

Петербуржец лишился смартфона, а вскоре еще и оказался должником «Тинькофф банка» — кто-то оформил на него кредит через приложение.
После поражения в трех инстанциях «должник» нашел понимание в Верховном суде.

https://www.fontanka.ru/2023/01/12/71968268/

Должна быть модель безопасности, где я бы мог определить каждой инсталляции приложения (каждому API_KEY) свой набор прав доступа.
У некоторых банков (Qiwi, Yoomoney) такой функционал уже есть в рамках публичного API, но там не всё.
Отредактировано 05.11.2023 21:27 m2user . Предыдущая версия .
Re[4]: Банковские приложения на андроиде
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 07.11.23 17:15
Оценка:
Здравствуйте, m2user, Вы писали:

M>есть банки, которые предлагают запуск в эмуляторе как штатный способ.


А как они относятся к рутованым телефонам?
Re[5]: Банковские приложения на андроиде
От: m2user  
Дата: 07.11.23 17:59
Оценка:
M>>есть банки, которые предлагают запуск в эмуляторе как штатный способ.

ЕМ>А как они относятся к рутованым телефонам?


Представления не имею

Вообще все эти приложения, как правило, коммуницируют с сервером через достаточно простой web api (и через этот же API работает web-версия, иногда это вообще одно и то же PWA-приложение).
Т.е. на телефон (железо/софт) оно не очень-то и завязано, кроме пожалуй аутентификации (там может быть и SMS, и Push, и проверка IMEI).

Вот пример third-party приложения для Сбербанка: https://vikamobile.ru/sber/

Я полагаю, что в ряде случаев написать библиотечку для работы с web api может быть менее трудоемко, чем заставить работать приложение на эмуляторе.
Re[3]: Банковские приложения на андроиде
От: Maniacal Россия  
Дата: 08.11.23 10:46
Оценка:
Здравствуйте, m2user, Вы писали:

M>Выходит, что даже если ты не пользуешься мобильным приложением, ничто не мешает мошеннику стащить у тебя SIM тем или иным способом и воспользоваться.

Во-первых, банк обычно имеет доступ к IMEI телефона и при смене телефона банк это заметит. По крайней мере Сбер умеет и требуется официальное обращение в офис (уж не помню, личное или по телефону можно позвонить) и зафиксировать замену аппарата.
Во-вторых, нужно ставить пин-код на сим-карту, тогда она будет бесполезна в руках мошенника. Это единственная нормальная защита от кражи телефона и/или сим-карты в разрезе безопасности банковских приложений.
Re[4]: Банковские приложения на андроиде
От: m2user  
Дата: 08.11.23 11:38
Оценка:
M>Во-первых, банк обычно имеет доступ к IMEI телефона и при смене телефона банк это заметит. По крайней мере Сбер умеет и требуется официальное обращение в офис (уж не помню, личное или по телефону можно позвонить) и зафиксировать замену аппарата.

Во-первых банк знает IMEI только через приложение, т.е. если приложение ранее не использовалось, то не поможет.
Во-вторых IMEI подменяется.

M>Во-вторых, нужно ставить пин-код на сим-карту, тогда она будет бесполезна в руках мошенника. Это единственная нормальная защита от кражи телефона и/или сим-карты в разрезе безопасности банковских приложений.


Т.е. даже если я не использую никаких банковских приложений на телефоне, мне придется думать об их безопасности, ставить пароль на SIM и т.п.
Приходим к тому, о чем говорил ТС: нужна отдельная SIM для банков.
Re[5]: Банковские приложения на андроиде
От: Maniacal Россия  
Дата: 08.11.23 13:30
Оценка:
Здравствуйте, m2user, Вы писали:

M>Приходим к тому, о чем говорил ТС: нужна отдельная SIM для банков.


Не нужна. Достаточно пин-код задать для своей. А IMEI да, в 75% моделей смартфонов можно перепрошить. В 25% он в специальном неизменяемом ПЗУ хранится.
Re: Банковские приложения на андроиде
От: Pavel Dvorkin Россия  
Дата: 23.01.24 14:05
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Все больше банков переносит отдельные функции из веб-интерфейсов в телефонные приложения. Как сейчас с безопасностью этих приложений на современных андроидах? Известны случаи утечки данных, взлома счетов, кражи денег и т.п. полностью незаметно для пользователя, который в должной степени внимателен, не делает слепо всего, о чем попросят, обращает внимание на необычное поведение? Или во всех известных случаях причиной становилась невнимательность, излишняя доверчивость и подобное?


ЕМ>Ну и сейчас имеет смысл держать второй телефон для получения SMS с кодами подтверждения? Еще несколько лет назад это считалось прямо-таки необходимым. Что-нибудь поменялось?


Можно виртуальный номер завести.

Но вообще-то ИМХО лучшее решение — держать деньги в 2 банках. Для одного, где основные деньги — использовать вход только через браузер, да и деньги держать не на карте, а, скажем, на накопительном счете (можно снимать в любой момент, но при потере карты ничего не произойдет). Во втором банке держать сумму на текущие расходы и для него использовать мобильное приложение. Взломают — ущерб невелик, примерно то же, как если бы в советские времена украли или потерял кошелек с тремя рублями.

Кстати, с мая с.г. переводы по СБП между своими счетами в разных банках будет бесплатными в пределах 30 млн. руб.

https://pravo.ru/news/250738/#:~:text=%D0%9D%D0%BE%D0%B2%D0%BE%D0%B2%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5%20%D0%BD%D0%B0%D1%87%D0%BD%D0%B5%D1%82%20%D0%B4%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%BE%D0%B2%D0%B0%D1%82%D1%8C%20%D1%81%20%D0%BC%D0%B0%D1%8F,%D0%B2%20%D0%BC%D0%B5%D1%81%D1%8F%D1%86%20%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D0%BE.
With best regards
Pavel Dvorkin
Re[2]: Банковские приложения на андроиде
От: m2user  
Дата: 23.01.24 14:23
Оценка:
PD>Но вообще-то ИМХО лучшее решение — держать деньги в 2 банках. Для одного, где основные деньги — использовать вход только через браузер, да и деньги держать не на карте, а, скажем, на накопительном счете (можно снимать в любой момент, но при потере карты ничего не произойдет). Во втором банке держать сумму на текущие расходы и для него использовать мобильное приложение. Взломают — ущерб невелик, примерно то же, как если бы в советские времена украли или потерял кошелек с тремя рублями.

Всё несколкько хуже: взломщики кредит могут взять и быстро вывести.
Но вроде как ЦБ в конце прошлого года анонсировал новые требования, согласно которым будет опция самозапрета на дистанционное получение кредита.
Re[3]: Банковские приложения на андроиде
От: Osaka  
Дата: 23.01.24 14:27
Оценка:
M>Всё несколкько хуже: взломщики кредит могут взять и быстро вывести.
M>Но вроде как ЦБ в конце прошлого года анонсировал новые требования, согласно которым будет опция самозапрета на дистанционное получение кредита.
На "опцию" в госуслугах маринка/робот может тупо не посмотреть.
Начать надо с того, чтобы не иметь с банком кредитного договора вообще ни в каком виде.
Отредактировано 23.01.2024 14:28 Osaka . Предыдущая версия .
Re[3]: Банковские приложения на андроиде
От: Pavel Dvorkin Россия  
Дата: 23.01.24 15:16
Оценка:
Здравствуйте, m2user, Вы писали:

M>Но вроде как ЦБ в конце прошлого года анонсировал новые требования, согласно которым будет опция самозапрета на дистанционное получение кредита.


Это уже можно сейчас делать. Я связался с банком в чате и попросил сделать. Сказали, что сделали. Теперь только при моем личном присутствии.

А ЦБ обещает, что будет в пределах России. Вроде как на Госуслугах написать заявление, и ни один банк не сможет дать кредит без личного присутствия.

А еще есть запрет на любые действия с квартирой без личного присутствия. Это уже сейчас есть, я оформил.
With best regards
Pavel Dvorkin
Re[2]: Банковские приложения на андроиде
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 24.01.24 22:07
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>лучшее решение — держать деньги в 2 банках.


Я этим банкам скоро счет потеряю, а у некоторых тут еще больше.
Re[3]: Банковские приложения на андроиде
От: Pavel Dvorkin Россия  
Дата: 25.01.24 04:20
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Я этим банкам скоро счет потеряю, а у некоторых тут еще больше.


Так вопрос не в их количестве, а в отношении к ним. В одних хранишь серьезные суммы, но без легкого доступа. В других — суммы на карманные расходы с легким доступом.
With best regards
Pavel Dvorkin
Re[2]: Банковские приложения на андроиде
От: sambl74 Россия  
Дата: 17.02.24 09:59
Оценка:
Здравствуйте, Pzz, Вы писали:

Pzz>Ну, например, сколько я их не видел, чтобы актиривовать такое приложение, достаточно знать номер карты и иметь возможность принимать СМС на номер, который знает банк. По-моему, это весьма не безопасно.


Ну нет, далеко не все такие. Некоторые таки просят пароль для личного кабинета. Но самые популярные — типа Альфа, Сбер, Тинькофф — именно такие. Видимо, дофига денег уходит на поддержку в обратном случае
Re[4]: Банковские приложения на андроиде
От: yoyozhik  
Дата: 03.04.24 16:49
Оценка:
Здравствуйте, Maniacal, Вы писали:

M>Здравствуйте, m2user, Вы писали:


M>По крайней мере Сбер умеет и требуется официальное обращение в офис (уж не помню, личное или по телефону можно позвонить) и зафиксировать замену аппарата.

у меня сбер не требуют, ставил на 5 разных телефонах, как по очереди так и одновременно, менял и сим и номера телефона.
А вот альфа иногда блокировал несколько раз все операции на сутки, например после восстановления пароля.
Re[5]: Банковские приложения на андроиде
От: Maniacal Россия  
Дата: 04.04.24 07:20
Оценка:
Здравствуйте, yoyozhik, Вы писали:

Y>у меня сбер не требуют, ставил на 5 разных телефонах, как по очереди так и одновременно, менял и сим и номера телефона.

Y>А вот альфа иногда блокировал несколько раз все операции на сутки, например после восстановления пароля.

Значит, про IMEI они только хотели. При смене номера по-любому надо банку сообщать, а то по телефону если в банк позвонишь, то не узнают и если код по СМС приходит, при оповещении через push-сообщения, наверное, пофиг. Странно, что пишут что при смене симки при сохранении номера могут заблокировать. Вообще, эта суматоха началась в 2019ом году. В каком году что-то внедрили — хз
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.