Comments 24
Делаем несколько "фейковых" приложений банка
Размещаем их в сторах.
Жалуемся на подделки Гуглу и Эпплу
Они из вредности их не удаляют и не блокируют.
Тихонечко говорим клиентам - "тсс, это наши приложения, можете их ставить, всё ОК"
PROFIT!
С точки зрения безопасности, как мне кажется, сомнительная история приучать людей к тому, чтобы ставить непонятно что, а тем более то, что ты сам называл вредоносным до этого. Я понимаю, конечно, что это тот же банк, что говорил «не сообщайте коды из смс никому, даже сотрудникам банка», а потом присылал смс, которые НУЖНО было сотрудникам сообщать, но тем не менее.
Есть pwa и вы можете самостоятельно создавать ярлыки на банки. Но есть нюанс - так приложение банка не будет иметь доступ к лишней информации, да и внедрить свои сертификаты в pwa пока нельзя.
Есть ещё альтернативы
Samsung Knox имеет свое хранилище сертификатов, но оно есть даже не на всех Samsung. Туда можно запихать нужные сертификаты, включая всеми нелюбимый russian trusted ca.
Ну вообще то наши банки уже второй год так делают. Буквально говорят пользователям - вот какое-то левое приложение в сторе, скачивайте, пока не удалили.
Этот тот же банк, что генерировал 4-значные коды из 2 цифр. XYXY, стабильно. Сначала я думал, что мне везет просто на них. Потом проверил всю историю кодов - все такие. Потом посмотрел историю кодов жены. Тоже самое. Спросил у друзей. Тоже самое.
Обратился в саппорт банка, сказал им, что это, тащемта, issue, вы на 2 порядка повышаете шанс случайного подбора кода. Это у вас баг такой? Ответ был - не, не баг, это ДЛЯ ВАШЕГО УДОБСТВА.
*мем с кланяющимся пингвином. жпег*
Спустя где-то год они заменили паттерн на XYXZ, что тоже очень плохо. Но лучше, чем было.
Спустя еще год, вроде, стали приходить коды XYZA.
Можете проверить у себя - если сейчас коды XYZA, то, отмотав на год назад, увидите XYXZ, даже если раньше не обращали внимание :)
это тот же банк, что говорил «не сообщайте коды из смс никому, даже сотрудникам банка», а потом присылал смс, которые НУЖНО было сотрудникам сообщать
Другие банки тоже так делают. Лично сталкивался в ВТБ и почтабанке, знакомые в сбере.
Они уже это делают. И с кодами (причём и удалённо) и приложения "скачайте с нашего сайта", подрывая безопасность и уча плохому, с псевдо-вредоносными делать, скорее, не будут - удалят раньше, да и какие из них поставят клиенты не понятно, вполне могут как раз вирусные поставить.
А еще они биометрию не собирают при просмотре сториз и вводе пин кода в банкомате. Ну да, ну да.
Патовая ситуация с доверием
Но ведь в аппсторе всё проверяется... Там не может оказаться никакой чуши, просто потому что не может... Как же так... Это же не дырявый андроид...
Никто и не гарантировал, что аппстор защитит от всего. Но уже сейчас прекрасно видно, например, от чего гугл плей защищал, а рустор нет - например, теперь банки радостно сканируют все установленные на устройстве приложения с помощью разрешения QUERY_ALL_PACKAGES, с которым в гуглплей просто не попасть. А так как с iOS вариант рустора (пока?) невозможен, то даже загружая подсанкционные приложения под видом обычных, все равно приходится следовать аналогичным правилам аппстора.
Мыши плакали, кололись, но продолжали жрать кактус. Нахрена эти мобильные приложения нужны, когда сам б-г велел делать всё в веб, с опцией мобильного представления. Ну что там нужно от железки такого что без приложения никуда?
Датчик пальца, который в браузерах все еще экспериментальный. Доступ у смс, которого у браузера нет. В остальном, все, включая пуши, есть в наличии, в общем-то.
Доступ у смс, которого у браузера нет.
Его и не должно быть. Вообще ни у кого. Вся суть 2FA в том чтобы юзер лично ручками подтверждал действия. Любая автоматизация этого процесса дискредитирует суть 2FA.
Как безопасник, ответственно могу заявить, что сам факт использования СМС дискредитирует 2FA на корню. СМС - открытый протокол, не проектировавшийся для таких вещей, да еще и перехватываемый на транспортном уровне без оставления следов. И когда вам на девайс приходит 2FA смска, ее могут украсть 1000 разными способами 1000 приложений. И кто первый кодом воспользуется - тот и чемпион. И вот тут прикол с автоматической вставкой играет не против вас, а на.
Если же вообще всем приложениям запретить доступ к сообщениям, не будет гарантий, что этого доступа нет где-то на более низком уровне с более высокими привелегиями, либо на уровне хранилища устройства. И тут мы тоже можем подставить пользователя, заставив его вводить ключ руками, если зловред может это сделать быстрее. Но даже если все закрыть вообще, СМС не станет безопаснее. Все, что прислано в СМС, априори доступно всем, надо исходить из этого. Это как HTTP без S.
В Андроиде, помню, в какой-то версии пробовали запрещать автоввод кодов. Потом вернули.
Если есть возможность - переходите на TOTP. В идеале - физический. Когда с отдельным девайсиком.
Как безопасник, ответственно могу заявить, что сам факт использования СМС дискредитирует 2FA на корню.
Согласен.
И кто первый кодом воспользуется - тот и чемпион.
Например - троян, который перешлёт это СМС кому надо с девайса жертвы, и следов этого СМС не оставит. Перехват на траспортном уровне - более сложная задача чем создание и распространение такого трояна.
Если же вообще всем приложениям запретить доступ к сообщениям, не будет гарантий, что этого доступа нет где-то на более низком уровне с более высокими привелегиями, либо на уровне хранилища устройства.
Сделать и засадить такой троян уже гораздо сложнее, жертв будет значительно меньше.
У приложения в фоне приоритет по дефолту ниже. Передний план перехватит код раньше. Обратите внимание - обычное дело, когда код в приложении появляется раньше, чем всплывашка в UI телефона.
Дело в том, что доступ к смс все равно у нас есть, ведь приложение для смс читает их как-то. И привелегия такая есть. Это данность.
а откуда знаю что этот сайт не фишинг и атакован? приложение более уверен что доступ именно к банку, только Apple c этими блокировками сбивают пользователей с толку
на самом деле как будто существенных плюсов не так много. Я раньше думал что пуши нельзя присылать на веб, но и это уже работает
5% за 3 минуты это сильно
В App Store появились фейковые приложения «Тинькофф-банка»