Дисклаймер! Я описываю штатную функцию, которая работает так, как замыслили разработчики. Но поведение этой функции было крайне неочевидно, по крайней мере для меня. Эту функцию можно отключить, если не нравится, как она работает.
Но раз уж на Хабре неделя Тинькофф, то я решил написать историю, которую раньше заленился рассказывать.
Я являюсь клиентом Тинькофф и использую их приложение. В июне 2023 года лазил я по сайту tinkoff.ru. Увидел рекламу симкарты и перешёл по ссылке оформления. К моему удивлению, я попал в приложение Тинькофф на страницу оформления новой симки. Я решил, что это такая уловка UI/UX, чтобы я сразу оформил заявку и не тратил лишнее действие на экране блокировки приложения. Я был абсолютно уверен, что в конце заявки у меня переспросят отпечаток пальца или код приложения, но НЕТ! Заявку я оформил! Потом вышел на главный экран и начал просматривать свои счета.
Думаю со стороны в этот момент я выглядел как-то так
Не буду сразу спойлерить развязку. Можете сразу листать вниз, или проследить логику мне со мной:
Написал в техподдержку банка, чтобы понять, что это сейчас было
Переписка с техподдержкой, скрин 1
Получается я сам это включил? Но что за настройка позволяет смотреть на мои счета/карточки/истории переводов и вообще на всё?
Та самая настройка
Исходя из опыта использования десятков телефонов и сотен приложений, я ожидаю, что меня запустит в приложение без пароля и отпечатка, если я уже заходил В ЭТО приложение в течение последних пяти минут. Но как это работает в желтом банке?
Тем временем в чате техподдержки. Скрин 2
То есть достаточно ранее воспользоваться сканером отпечатка в любом месте!!! Неважно где: разблокировать телефон, зайти приложение другого банка, в мессенджер, или ещё куда-то, где требуется отпечаток. Этого будет достаточно для того, чтобы разблокировалось приложение с доступом к деньгам! Если я дам ребёнку посмотреть ютуб, то могу не удивляться, если он оформил мне кредитку в Тинькофф (если он успеет в эти 5 минут зайти в приложение). Если я дал кому-то из родственников посмотреть фото с телефона, он может глянуть, сколько на самом деле денег у меня на счёте. Удобно? Кому как.
Повторю, что это не какой-то взлом, или использование дипфейков. Эта функция работает так, как должна работать. Но должна ли она так работать? Я не знаю ни одного приложения с таким поведением, и если в банке решили, что так будет удобнее для клиентов, то я не буду спорить. Это вполне может понравиться многим (может даже всем, кроме меня). Но я бы хотел увидеть явное предупреждение об этом нюансе на окне включения этой функции. Для меня было откровением, что приложение вообще может иметь доступ к информации, когда отпечаток пальца использовался в системе или другом приложении!
У меня всё. Всем безопасных переводов и удобных приложений!