Комментарии 428
Пока сами пользователи не опустят приложения банков на дно в плеймаркете, они не пошевелятся.
Вы не правы, гугл закручивает гайки на эту тему. Они просто делают это мягко, потому что ленивые разрабы не хотят апдейтить приложения под новые правила. Потому ужесточения касаются, как правило, таргетированных под последние API приложений. И у «редисок» есть долго прокатывающий вариант просто не поднимать target API.
— Малое уточнение, претензия всё же должна быть никак не к разработчикам, но к заказчикам, к тем кто лично утверждает ТЗ на приложение, т.е. — к банкстерам.
Не могу согласиться. Думаю, те кто утверждает ТЗ вообще не в курсе как в андроиде работает камера или микрофон. А разработчик выбирает пойти ли ему простым путем, или более правильным.
Если бы не целенаправленные усилия гугла в сторону прайваси, мы до сих пор бы аппрувили простыню нужных и не очень прав сразу при установке приложения. Потому что лень, потому что "так привык", потому что "а что, иначе можно?".
Подозреваю, что ваш комментарий из разряда "ну и чо?", и все же отвечу.
Например, сейчас я уже третий день пропихиваю в приложение на Маркете разрешение на сбор геопозиции в фоне, потому что Андроид считает такое разрешение нужным при работе с BroadcastReceiver.
Я заявил этот пермишен в манифесте, добавил экран с вопросом пользователю и опцией перейти в настройки чтобы дать доступ (декларации в манифесте не достаточно). Я даже отсек явный запрос разрешения если пользователь не использует соотв. функцию. И добавил обоснование для ревьювера гугла, приложив к тексту видео-демо.
И все равно этого мало. Нужно теперь явно написать пользователю как и зачем я использую его локейшен, пообещать никуда его не отправлять и тп. Еще и политику конфиденциальности из-за этого придумать и где-то выложить.
Мне как разработчику — сплошной геморрой и возня с вещами, которые мне совсем не интересны (тексты, политики конфиденциальности, запись видео и тп). Но пользователю от этого лучше — пользователь получает в свои руки контроль, принимает решение и тп. А гугл же явно и детально контроллирует как я соблюдаю его требования.
К примеру, еще в Андроид 7 ЕМНИП все это было не нужно — достаточно добавить пару строчек в манифест. И вот уже пользователь на все был согласен если приложение у него уже установлено.
Если это вам не пример, то дальше говорить не о чем.
Таких граблей при работе с Google Play очень много и с опытом их постепенно собираешь. И просто машинально выполняешь формальные действия при добавления того или иного функционала в приложение. Надо читать правила между строк — что НА САМОМ деле ревьювер будет проверять и смотреть исходя из своей внутренней инструкции. Да, это может звучать как-то неправильно, но из-за массовости ревьювер едва ли будет обладать серьёзной квалификацией и тем более точно не обладает полномочиями по отклонению от внутренних правил (либо имеет, но следование методички для него самый безопасный вариант поведения). Так что проще адаптироваться, чем спорить. Во всяком случае пока у тебя маленькое приложение.
Тот же telegram выложил альтернативную версию apk клиента для android на своём сайте — и в ус не дует.
Суровое имхо: не стоит прогибаться под корпоратов с их иногда невменяемыми требованиями. Хороший продукт пользователь при минимальной рекламе в тех же соцсетях, например, найдет сам — если в данном продукте реально есть необходимость.
Равно как и требование разрешения на доступ к всем контактам не является необходимой частью перевода по номеру телефона — если человек хочет ввести номер сам, не нужно отнимать у него возможность использовать приложение совсем.
По поводу контактов как я понимаю разработчики пошли по пути упрощения приложения, которое и так перегружено. Если нет доступа к контактам, нужно дописывать алгоритма чтобы приложение не считало это за ошибку и не пыталось постоянно обновить контакты.
А параноики могут воспользоваться веб версией. Если уж контакты и сольют, то это может сделать ОПСОС с куда большей достоверностью и без всяких разрешений, т.к. в смартфоне они у многих записаны как попало. А зачем они банку я не особо представляю. Номера своих клиентов у них и так есть, а навязывать рекламу по телефону не своим, чревато. Особенно в последние годы.
Если есть возможность набрать номер внешней программой, то и нажать кнопку звонка она вероятно может. А затем возможно и стереть факт звонка.
В гугле явно не дураки сидят прописывают, можно вызывать интенты звонилок.
Официальный способ открывать звонилку с номером в ней:
developer.android.com/reference/android/content/Intent#ACTION_DIAL
Еще есть интент открытия приложения камеры. Это тоже потенциальная уязвимость? Внешняя программа может ведь нажать на кнопку камеры и сохранить туда, откуда галерея не берет фото!!! Караул!!!
А вызов через приложение может нести дополнительную информацию тех поддержке, чтобы клиенту не приходилось её называть или отправлять. К примеру лог, номер сессии и другая служебная информация которая поможет быстрее решить проблему клиента, либо выявить плавающий баг.
Это не я его так называю а сбер, им виднее.
Нет, это не про звонки от мошенников, и даже если бы такой функционал у них был, он должен быть с моего согласия, а не "включай или иди нахер ничего работать не будет". А антивирус у них чтобы смотреть что за приложения у тебя на телефоне и прочих неизвестных непотребств.
Если бы Гугл требовал от разработчиков каждый доступ обязательно разбивать по параметрам и возможности выбора пользователя отключить один или несколько, такой проблемы больше не было. Но Гугл почему-то не требует и все доступы идут скопом
Заменить приложением другого банка.
Я привык у меня тут все друзья это не аргументы)
Ну либо да, продолжать есть кактус (двусмысленно получилось)
Второго? Вы хотите сказать, что большинство имеет 1 карту, которую выдал работодатель? Как минимум, на кассах в супермаркете я вижу, что в очень большом количестве случаев это не так, у людей по нескольку карт. Ну и, последние лет 15 я получаю зарплату та свою карту (в разных компаниях) и ни в каких зарплатных проектах не участвую. По закону так может сделать кто угодно, в бухгалтерию нужно всего лишь сообщить реквизиты счета, на который нужно перечислять зарплату.
Как правило, при таком варианте обслуживание карты вам придется оплачивать из своего кармана.
Как правило, обслуживание дебетовок бесплатное.
хайп с кэшбеком уже прошел, кэшбеки смешные, лень заморачиваться
Завидую вам, вы богатый человек, если для вас лишние, например, 50 тысяч рублей в год, это смешно.
Для большинства все эти случаи не являются прямо уж критичным фактором.
На кассе присмотритесь к людям, у половины точно несколько карт. У меня 7 штук, например, от 4 банков. Мира среди них нет, и электрона нет. 2 из них, мне, в общем-то не нужны, из навязали банки при получении услуг, которые мне от этих банков были нужны, но обслуживание по ним бесплатное и они у меня, тем не менее, есть.
Как правило, обслуживание дебетовок бесплатное.
не знаю на сколько это повсеместное явление, но сталкивался с тем, что работодатель говорил «мы не против перечилять зп на карту другого банка, но стоимость платежки будем вычитать из твоей зп»
в одной из таких контор я даже соглашался на эти условия…
Это незаконно.
А подключенный зарплатный проект даёт снижение процента комиссии при переводе физ лицам(самому себе к примеру), даже если з.п. никому не платится.
приходилось сталкиваться со стороны того кто банк выбирает в таких случаях.
Зависит от банка.
Вполне себе бывает И сумма за платежку И комиссия, бывает что и — заградительная (особенно если переводов физикам в другой банк много).
ЦБ все устраивает (пример — https://www.tinkoff.ru/invest/news/493975/ )
Правда у вменяемых банков есть возможность сделать зарплатный проект хоть на одного человека или вообще делать зарплатный проект НЕ на свои карты.
Как я понимаю тут проблема скорее в том, что банк обнал отслеживать обязан.
Как правило, обслуживание дебетовок бесплатное.
Может что-то типа электрона и бесплатное, а так сколько в последнее время пользовался дебетовыми картами, кредитных не было вообще, всегда надо за них платить чем-то.
Обычно достаточно либо тратить определенную сумму (что вы и так делаете каждый месяц), либо получать зарплату на счет в банке (что как раз в контексте обсуждаемого вопроса), либо иметь в банке депозит и т.д.
Вариантов много, всегда можно найти тот, что подойдет именно вам. У меня все дебетовки классик-голд бесплатные.
А что плохого в том, чтобы таки немножко платить за сервис который устраивает, вместо того, чтобы есть то, что дают? Особенно если вы можете себе это позволить? Плюс у огромного количества банков есть разные условия по которым обслуживание бесплатно. Ну там вроде от какой-то суммы депозита или от какой-то суммы транзакций.
А зачем приложение? Есть же интернет банк, вот приложение Сбера так и не поставил :)
Кстати у одного из банков с картинками из статьи он функциональной чем приложение, ну разве что по штрих-коду не оплатить (а вот и причина почему доступ к камере) но у второго Банга хотя бы разрешения не обязательные, вроде...
Есть же интернет банк, вот приложение Сбера так и не поставил
Подчас иначе никак. Пример: в интернет-банке Сбера (по крайней мере так было еще год назад) не всегда отображались ОМС. Чтобы их увидеть, надо было в приложении выставить галочку (и — я уж не помню точно — вроде пополнить ОМС), тогда он появлялся. А до того — ни-ни.
Я всегда к работодателю прихожу со своей картой.
Сразу приношу заявление с реквизитами.
Это раньше было карточное рабство, хорошо что отменили.
Выше писали про несколько карт разных банков, вот это не понимаю, этот как несколько симок в телефоне. Зачем? ловить бонусы с разных банков? каждый раз думать где у тебя больший кэшбэк?
Выше писали про несколько карт разных банков, вот это не понимаю, этот как несколько симок в телефоне. Зачем? ловить бонусы с разных банков? каждый раз думать где у тебя больший кэшбэк?
Ну например чтобы не хранить в одном банке сумму большей той, которая застрахована АСВ.
вот это не понимаю, этот как несколько симок в телефоне. Зачем?
Да хотя бы в зарубежных командировках или тур.поездках (было) очень удобно. Или одна корпоративная, другая личная.
Без приложения банка можно просто обойтись. Я лично предпочитаю личный кабинет на сайте банка.
Например, у росбанка ЛК через браузер очень глюкав. Я как-то пытался минут 40 перекинуть баблишко с карты на счет. И потом еще включить бонусную опцию на карте. В итоге плюнул, поставил приложеньку и за 2 минуты все сделал.
У альфа-банка, например, перевод по номеру телефона в другой банк доступен только в приложении. Через лк на сайте это вообще не сделать.
Я поставила, куда делась. На телефон с неосновной симкой… Хотя бы родные и близкие мне туда не звонят.
(Как раз недавно писала про это — и не мой ли комментарий подтолкнул людей к созданию этой статьи.)
ПС Между прочим, ранее мне по номеру телефона уже переводили. Но в какой-то момент функция оказалась отключенной.
Выполнить перевод по СБП. Именно так. Долго держался без клиента, потом внутрисемейные переводы стали превышать лимит, и я решил попробовать. Думаю, включу и удалю. Из веба даже при включенной опции нет возможность отправить деньги по СБП.
В веб версии нет доступа к СБП , не важно включена она через приложение или нет. Получить перевод по СБП без приложения теоритически можно, если приложение рание было уствновлено , вклечены все настройки и снесено. Однако Сбер после выхода с ЛК / переустановки приложения сбрасывает настройки профиля и вопрос с получением перевода по СБП без приложения может подвиснуть, надо проверять. А вот самому отправить по СБП перевод без приложения не получиться даже если опция в приложении включена и приложение работает. Недовольство этим фактом в группе вк люди высказывали не раз.
Наверное я думаю как айтишник и в интерфейсе рассчитанном на простого обывателя не вижу очевидных настроек. Так вот я не смог разобраться ни в мобильной ни в веб версии сбера как мне отключить только исходящие активные операции по смс оставив прием уведомлений и отправку подтверждений/отмен. Первоначальное гугление этой задачи тоже к успеху не привело.
Подождите, если речь про сервис "мобильный банк" — то его можно полностью отключить в ЛК, я родителям так делал. Уведомления по смс — это другой сервис.
Уведомления по смс — это другой сервис.
А теперь нужно попробовать найти инструкцию по включению уведомлений именно по СМС(не Push), которые этот СМС-банк не упоминают.
У меня так и стоит. Оповещения об операциях нет. Пытаюсь включить...
За услугу уведомления просит 60 рублей. Что эта цена напоминает...
Идем на официальную инструкцию (PDF)
Страница 3(выделение мое):
Услуга «Уведомления об операциях»: Подключение осуществляется на номер телефона, для которого зарегистрирован доступ к SMS-банку (Мобильному банку).
Плата за услугу составит 0, 30 или 60 рублей в зависимости от типа карты. Более подробно с тарифами по услуге «Уведомления об операциях»
можно ознакомиться на официальном сайте банка, пройдя по ссылке Тарифы(Тут снова PDF)
Идем на тарифы. Там везде "Информирование об операциях и авторизациях" — "… с даты регистрации доступа к SMS банку"
Возвращаемся на инструкцию и пытаемся найти, как вот все что там написано, отключить. И как-то не находим.
Зачем подключать сервис «Уведомления об операциях» (ранее — «Мобильный банк») для регистрации в СберБанк Онлайн?
В банкомате СберБанка: «Все операции» → «Информация и сервисы» → «СМС-банк» («Мобильный банк») → «Подключить» → «Уведомления по карте и СМС-пароли».
Ну, т.е. эти уведомления по какой-то причине намертво приколочены к тому, что в той инструкции по первой ссылке описаны.
Приходится ручками переключать обратно на смс в настройках.
В Европе например есть Open Banking API которое позволяет создавать thrid-party приложения для банков:
https://www.openbankingeurope.eu/
С одной стороны да. С другой, в моём конкретном случае вроде помогло. Крупный украинский банк, приложение требовало доступ к телефону, камере, хранилищу. Поставил кол, кинул репорт, удалил нафиг. Через какое-то время решил установить снова — и о чудо, разрешения теперь запрашиваются только по мере необходимости.
В андроиде разве есть механизм выдачи единоразово или на ограниченное время?
в 11 если долго не пользоватся — отзовут вообще все.
Смущает похоже.
Начиная с API level 30 (Android 11) — либо указывайте конкретные приложения (b и не факт что лимита там нет) которые волнуют либо отдельно approval для этой штуки в Play Store.
Но приложение должно API level 30 поддерживать.
C августа 2021 требование поддерживать API Level 30 для загрузок apk
С уважением,
Команда экспертов Газпромбанка
Предлагаю запретить деньги. Тогда их не будут красть.
вы откровенно врёте — одной программы недостаточно, надо ещё пароль для доступа к ней знать, а мой пароль мошенники не знают и узнать не могут
Вы бы ещё ножи кухонные запретили, т.к. «с помощью этого инструмента преступники могут лишить вас жизни»
вы откровенно врёте — одной программы недостаточно, надо ещё пароль для доступа к ней знать, а мой пароль мошенники не знают и узнать не могут
Я так понимаю, что логика тут такая, что неизвестно, сам ли человек программу удаленного доступа и пароль к ней поставил или это мошенники постарались. Совсем сами или убедив жертву поставить "давайте мы вам поможем деньги сохранить, только вот эти действия сделайте"
Идея атаки такая же, как на десктопах. И что еще тут можно придумать для защиты — непонятно. Вот, увы, они так себя и ведут.
А под iOS такая же картина? Интересно было бы увидеть аналогичную табличку.
Получается, что у платформы больше прав, чем у пользователя? Потому что, если пользователь не согласен с условиями приложения-пользователь идет лесом. Но если с этими же условиями приложение лезет к платформе-приложение идет лесом.
Пользователь может точно так же послать приложение лесом. Но отказ одного пользователя банк не заметит, а отказ платформы – более чем.
Вспоминается вот иск Касперского к Apple про их аналог Screen Time
https://www.theverge.com/2019/4/27/18519888/apple-screen-time-app-tracking-parental-controls-report например
удовлетворенный иск.
Ждем приложение от газпромбанка Телекард 3.0 которое будет требовать ставить MDM-сертификат и все нужные доступы выдавать а при отказе — отказываться работать?
Разумеется В целях безопасности и сохранности денежных средств
На iOS есть явный запрет на ограничение использования приложения, если пользователь не дал разрешений
You can’t offer people compensation for granting their permission, and you can’t withhold functionality or content or make your app unusable until people allow you to track them.
Потому что выглядит как тот же do not track в браузере, когда никто никому не гарантирует, что реальное веб-приложение учтёт эту опцию и не продолжит трекинг.
«разрешите нам отслеживать, иначе приложение станет платным» (сарказм)
Facebook на днях заявил что без отслеживания он будет платным, и просил пользователей не запрещать ему собирать информацию на iOS.
Была где-то информация (без пруфа) что только 4% в США предоставили доступ к личным данным.
Так что интересно будет посмотреть куда сдвинется монетизация.
сообщение о просьбе доступа к данным просмотра сайтов в сторонних приложениях (!sic) на телефонеТо есть, я так понял, раньше это всё отдавалось просто так?
Но на самом деле все было не так плохо в плане приватности — все разрешения писались при установке приложения, и если нужны были разрешения на звонки или смс, они помечались ярко как опасные. А камеру на андроиде нельзя открыть без превью — т.е. где-то на экране обязательно должно было отображаться то, что камера видит, иначе никаких фото или видео (как сейчас уже не знаю).
Под раздачу по итогу попали много полезных вещей — например раньше можно было выключенным приложеним ловить события подключения/отключения wifi сети. В итоге у нас было приложение, которое отслеживало отключение от домашней сети предполагало что пользователь покинул дом и можно включить режим обслуживания (пылесосами там по кататься, вытяжкой по крутить, кондиционер подразогнать), чтобы весь шум мимо него прошел, сейчас такое можно только из запущенного приложения ловить (как и подключение/отключение зарядки например) — пришлось это переделывать на геометки, а это больше энергопотребление и меньше точность и более агрессивные права для приложение (отслеживание местоположения)
А как же"сервисы" в Android? Или не работает?
Насколько помню на iOS приложение должно работать независимо от ответов на такие запросы
(да и получить список приложений тот же легальным способом — нельзя).
Не знаю как сейчас но ещё полтора года назад в info.plist Яндекс.Такси было указано более 20 bundle id, благодаря чему приложение могло спокойно вычислять есть ли у пользователя приложения конкурентов (и не только конкурентов, там были и совершенно не связанные ни с Яндексом ни с такси приложения). В поддержке Apple развели руками и предложили обратиться в поддержку Яндекса :)
Нет, на iOS с этим всё хорошо. Банки запрашивают довольно мало прав и по делу (например — доступ к контактам чтобы их показать при переводе по номеру телефона). Если прав не дать — просто не покажутся контакты, но номер телефона можно вбить руками.
Если нужно отсканировать QR-код в приложении банка — можно дать доступ только к одной единственной фотографии с этим кодом.
В некоторых оболочках на Android есть опция предоставить разрешение на контакты, но отправить пустой список. Ещё было бы полезным похожая опция для местоположения, только координату выбираешь сам точкой на карте, которую система всегда будет отправлять приложению
нууу.. существует fakegps , которым пользуются хитровывернутые таксисты, чтобы со своими приложениями мухлевать, с другой стороны клиенты банков это должны отслеживать как отслеживают рутованный аппарат или нет .
Тут нужно такое "железное" решение, которое будет перебивать сигнал gps для ТОЛЬКО для отдельного смартфона , а не как у власть имущих , в центре москвы, и переодически отправляющее всех находящихся недалеко от правительственных трасс во внуково или шереметьево ))
Ну да, включенные developer options можно детектить, что обычно делается заодно при проверке «на рута».
Скажите, а можно сдать телефон в сервис на наклейку пленки или пропайку разъема, а получить его обратно с установленным и скрытым рутом, так что не пользователь ни программы про него не будут знать? В то же время туда уже установлен необходимый шпион.
Точно так же с продажей телефона БУ. Продается телефон "со стертыми данными, чистый, видишь, ничего нету". Предварительно подготовленный.
Ну если вы выключите аппарат, и будете контролировать наклеивание - то шанс может стремиться к нулю.
Ну значит такая атака на большинство пользователей актуальна. Люди вон ноуты на очистку вентиляции сдают, где все автовходы на все аккаунты открыты.
Shelter неплохо работает
P.S. У самого стоят Shelter и TrackerControl. С ними, конечно, чуть спокойнее, но чётко понимаешь, что это — костыли :( Думаю в сторону рута и магиска…
Хорошие нативные прилы гораздо лучше чем мобильные сайты.
Не знаю, за что именно вас заминусовали, т.к. формально вы правы.
Проблема только в том, что количество "хороших мобильных приложений" сейчас исчезающе мало, не говоря о субъективности самого определения.
Положим, что хорошее приложение должно в первую очередь хорошо решать задачи пользователя, а не владельца приложения.
Делать хорошие приложения (с точки зрения пользователя), во-первых - затратно, во вторых - все хотят выжать максимум из самого факта нахождения на смартфоне у пользователя, в связи с чем перегибают палку. Поэтому имеем то, что имеем, к сожалению.
Я может даже был бы и не против поставить (если они не требуют ни единого разрешения), но каждое такое приложение сейчас жрет по 40-200 мегабайт на абсолютно пустом месте, а терабайтных накопителей в телефоны как-то не очень завезли.
На компьютере я могу запустить приложение, попользоваться им и закрыть его, я могу ограничить его активность (убрать из автозагрузки, например), но смартфон таких возможностей мне не предоставляет. Даже root права получить часто не так просто, а у меня смартфон Samsung и корейцы за меня решили, получить мне root, тогда сработает аппаратная защита Knox и прощай оплата покупок смартфоном, либо терпеть. Максимум, что доступно — деактивировать навязанные производителем мусорные приложения (дисковую память всё равно занимают).
Нужен аналог «диспетчера задач» из коробки, чтобы было видно каждый процесс. Пока всё доступное — костыли (часто с рекламой).
В эпоху андроида 1.3 был вполне сносный диспетчер задач, предустановленный в самом первом Samsung Galaxy (то ли Simple, то ли One — за давностью запамятовал); в более поздних моделях (как минимум, с Gio) его убрали из предустановки, но можно было скачать из маркета, а сейчас, в несколько, на мой взгляд, урезанном виде, этот функционал доступен в "Настройки — Приложения", но это уже совсем другой инструмент.
Нужен аналог «диспетчера задач» из коробки, чтобы было видно каждый процесс
Диспетчеры есть, но толку от них… Андроид спроектирован так, что у юзера нет не только контроля над запуском, но и четкого представления о том, что где запускается вообще.
полностью поддерживаю
тоже писал в поддержку гугла и банков
стандартные отписки
единственное что сделал понизил рейтинг приложений
Сделал то же самое когда-то. Но большинство просто либо не понимают, либо им безразлична персональность их перс.данных. Может тут хабраэффект сработает? Рейтинг приложений упадет и поддержку жалобами завалят до такой степени, что на проблему обратят внимание те, кто там решения принимают? Наивно, конечно, но вдруг...
«Как объясняет газета, в мобильном приложении банка можно будет сгенерировать QR-код на получение определенной суммы, отправить его другому человеку, и тот сможет забрать в банкомате деньги, отсканировав код»
Банку не нужен доступ даже к диску тут. QR-код он может сгенерить на экран, а пользователь уже сам дальше скринет.
Сами технологии ограничивать или запрещать бессмысленно. Электричество постоянно убивает людей, от него пожары, которые дымом опять убивают людей, но это же не повод отказаться от электричества.
Электричество постоянно убивает людей, от него пожары, которые дымом опять убивают людей, но это же не повод отказаться от электричества.
Ну давайте ещё воду вспомним, огонь и т.п. Как это с текущим вопросом соотносится?
Допустим вам нужно быстро дать родственнику 200к, например. С QR-кодом он бесплатно снимет. А другие варианты либо перевод по безналу и ждать, либо % платить.
ЗА МКАД так вообще проблема, если дачу ремонтировать, то все строители в массе нал просят.
Так собственно это и будет почти СБП. И к СБП и сейчас можно прикрутить QR. Знатно удобнее чем набирать номер и сверять имя: https://sbp.nspk.ru/business/
Тут обратный режим, но логика остаётся прежней.
Боже, а зачем вообще такой костыль с банкоматом? Какой сценарий вообще?
У тинькова эта штука довольно давно на банкоматах, иногда пользовался.
зачем нужна наличка в 21 веке?
Отправил через СБП и все.
Если только не на сбер) не у всех там СБП автоматом подключен, они все хитрят и никак не подключат, пришлось всем знакомым настраивать.
Я в бассейн хожу, там можно либо наличкой в кассе заплатить, либо картой в автомате в холле, введя кучу персональных данных. Я выбираю наличку в этой ситуации.
Верно написано, но не стоит забывать про неявные взаимосвязи пермишенов. С доступом к звонкам, например, выдается право читать идентифицирующую инфу симки. До той поры пока банки считают симку за наш имплантированный ID-модуль, это важно. Или, если приложению зачем-то нужен блютус, могут требоваться и права на геолокацию. Потому что гугл считает что опрос эфира BT может скомпрометировать местоположение пользователя. Таких исключений в андроиде дофига.
В перечисленных же банках, как мне кажется, эксплуатируется принцип «все равно вы будете юзать сберчтототам, даже если вам что-то там не нравится. Потому плевать на это ваше ‘не нравится’».
Кстати, Сбер у нас победил в плане лайфхака для получения страховки для поездок на семью. Там получалось дешевле, чем если просто покупать страховку на семью.
Им все пользуются. Иногда он нужен, когда кто-то просит скинуть денег именно на Сбер. Я им почти не пользуюсь, т.к. кэшбека нет.
Ну вот видите, вы все равно пользуетесь, хоть и редко, хоть и без особого желания. И таких большинство, кому проще сделать что от них хотят, чем упорствовать. К слову, я вот зеленым не пользуюсь. Вообще, принципиально. И когда мне нужно скинуть кому-то «на сбер» — я скидываю по номеру телефона или карты. Благо, мой банк не делает из этого проблемы
Но в принципе тогда, можно уже и по реквизитам.
Вот вы сами и ответили. Заодно, доп. защита от неверных координат при отправке большой суммы
А про выбор в плане предоставления прав доступа прогресс значительный. Раньше разрабы запрашивали список прав в формате манифеста, и вы соглашались сразу на все и без условий, если устанавливали приложение. А теперь можно рулить правами отдельно, некоторыми еще и с опциями (местоположение всегда, либо только при работе с приложением, и тп)
Требовал обязательно установить мобильное приложении и отправить запрос на продление карты из него. Подумал и послал его нафиг, а сам взял карту в другом банке с более лучшими условиями и без охамевших требований Сбера.
Пффф, банк вам легко введет комиссию и опубликует новые условия использования на своем сайте, который зарегистрирован как сми, а если вы в течение двух недель не откажетесь от их принятия, ваши проблемы, считается, что вы согласились.
Дело в другом. У меня основной счет не привязан к карте. Точнее, карточный счет открывался как дополнительный к основному и основной договор мне закрывать нет нужды, а карточный счет банк не продлил по собственной инициативе. Конечно, через месяц я обязательно уточню этот момент, но мне кажется, что тут подобных подстав быть не должно.
Еще Сбер теперь при заявке на кредит требует указывать два номера телефона. Когда обращаешься в техподдержку и говоришь что у тебя один единственный номер и как быть, отвечают указывать номер родственников. А когда говоришь что родственники не являются их клиентами и не давали согласия на обработку персональных данных, то разводят руками - изворачивайтесь как хотите
Ну в местном офисе Альфы стоит в уголочке планшет с приложением, так как некоторые функции недоступны с ЛК в браузере.
Просто пестня — поставь и авторизуй банковское приложение на общедоступном планшете и надейся что ты достаточно аккуратно его снес после завершения работы ;)
так как некоторые функции недоступны с ЛК в браузере.
Что именно не доступно, можете сказать? Я не пользуюсь мобильными приложениями, мне правда интересно.
Кажется что-то с заказом карт/открытием счетов и получением кэшбека. Я не вникал, просто меня сильно удивило, когда мне предложили этот сервис при оформлении карты. Самому тоже функций в ЛК хватает.
СБП, это перевод по номеру телефона? Работает в интернет-банке, недвно переводил.
Ну, выше речь про альфу. Сейчас проверил, похоже, что, действительно, по номеру телефона можно перевести только другому клиенту альфы в интернет-банке. Хорошо, что эта фича мне не нужна, плохо, что другие фичи тоже постепенно останутся доступны только в приложении, похоже.
vc.ru/finance/173905-alfa-bank-podklyuchilsya-k-sisteme-perevodov-po-nomeru-telefona-ot-sberbanka
По крайней мере — было.
Как и в Сбере, впрочем.
И в Тинькове, хотя, возможно, там нельзя только редактировать (один номер у меня уже был подключен туда).
Единственное место, где получилось — банк Авангард.
И что ещё: буквально месяц назад в веб версии Сбербанк Online в левом нижнем углу было: «Перейти на старую версию Сбербанк Online», но больше такого нет. А лично мне новая версия абсолютно неудобна, я в ней теряюсь!
Биометрическая авторизация, признаться, вызывает еще больше подозрения - не думаю, что её точность высока (кстати, ни один банк так и не смог пояснить мне, как работает биометрия, и в чём её точность) и не думаю, что данные, необходимые для подделки биометрической авторизации, не сольют так же, как сканы паспортов.
С паспортами вообще любопытно: если человек хоть раз в жизни кому-тт давал скан своего паспорта (а, положа руку на сердце, мы все это делали сильно не раз), то сканы уже утекли. Конечно, возьмись человек после прочтения поста отправлять только сканы с указанием, для какой цели их отправил, шанс злоупотребления новыми сканами уменьшается, но старые-то ходят «по стране», разве нет? Ну и да, как понимаю, сканы не столько для авторизации используют, сколько просто «подшивают в дело», т.е. на момент взятия кредита на имя другого человека можно подсунуть вместо скана настоящего паспорта подделку (главное - чтобы вид был как у скана, и данные «бились» с данными из утекающих из госорганов БД паспортов), и кредит таки выдадут, не придравшись.
В общем, система вообще паспортов и копий документов дырява настолько, что ничего не улучшает в смысле безопасности, с какой стороны на неё не взгляни.
Вопросы к ЕБС есть, но они всё же лучше, чем вопросы к экспертизе вашей подписи.
Голос, сетчатку глаза может и можно подделать, но явно сложнее, чем подпись. У многих людей подписи одинаковыми не получаются.
Проблема есть с идентификацией. Но так надо работать над ней, а не упираться в копии паспортов и сим-карты. Думаю, что там в итоге можно выработать куда более надёжные варианты.
Да и речь про использование для приложений в первую очередь. Лучше палец чем ОТП на смску в любом случае, т.к. даже если украдут телефон и даже если разблокируют, добавить новый палец не работает — нормальные прилы сбрасывают авторизацию в таком случае.
Не нравится не устанавливайте эти приложения? Но большинству и система прав непонятна (разрешить - дадда не глядя)
Кому удобно пусть использует. Такси проще по телефону,пиццу с сайта,также и банк. Чем обновлять еженедельно полсотни приложений, качество большей части которых 'чтобы было'. Размер экрана современного смартфона позволяет забыть о "неполных версиях сайтов', хотя гуглхром не оставит тебе выбора,кроме как постоянно ставить галку...
****
Нашёл: habr.com/ru/company/jugru/blog/422457
— Отличается очень строгим подходом к личным данным пользователя. Какая-либо утечка — это огромные риски. У нас есть отдел безопасности, который перед каждым релизом тестирует наше приложение. Если есть замечания, работа над ними переходит той команде, которая отвечает за функциональность с обнаруженной уязвимостью.
В маленьких компаниях, думаю, зачастую нет отдела безопасности, который будет пентестить приложение. Если какие-то косяки и обнаружатся, они могут всплыть на 4pda.ru или аналогичном ресурсе.
Также к безопасности относится то, что у нас в приложении используется антивирус. Некоторые пользователи недовольны его наличием, но внедрение антивируса дало нам очень заметное снижение мошенничества. Например, в нашем SMS-банке, где можно смской написать «перевести на X карту Y сумму», с антивирусом уровень фрода в данном направлении удалось снизить до минимума.
Например, в нашем SMS-банке, где можно смской написать «перевести на X карту Y сумму», с антивирусом уровень фрода в данном направлении удалось снизить до минимума.
Это недоразумение под названием "SMS-банк" давно пора выключить. Фрод в данном направлении 100% пропадет. Для каких целей оно все еще только существует?
Вот да, если на телефоне стоит аппликуха - то нафига мне СМС переводы? А если у меня бабушкофон и поэтому мне нужен смс банк - то как мне антивирус где-то там поможет? Что то этот сберовский человек или неумен, или других считает ннеумными.
недавно (в пределах трёх месяцев), была проблема с одним из обновлений мобильного хрома, и многие приложения падали при запуске, так как хром был выбран в качестве стандартного web view, в том числе и приложение сбера. Вот тут то и помогла функция отправки денег по СМС. Да есть и другие выходы, но этот самый быстрый.
Смс оповещение лучше в тысячу раз. Push при определенном сценарии может не поступить. Было пару расходных операций, по котором не поступило не каких оповещений из за подключеных сбером по умолчанию Push. Захожу в обед в магазин за сигаретами. Оповещение о покупке не поступает. По приходу на работу звоню в сбер с вопросом "где оповещение" Сначало сказали что Push было направлено, потом сказали , что было сформировано смс и отправлено, так как апарат был " не в сети" ( и это при покупе через безконтакную оплату телефоном!) . Звоню оператору, оперератор завереят , что не каких смс от банка в указанный переуд небыло. Концов не нашел. И так два раза. Отключил Push и проблемы исчезли.
Смс оповещение лучше в тысячу раз.
При чем тут оповещение? SMS-банк — это возможность переводить деньги, присылая SMS-ки. Ну, т.е. Сбербанк убеждает, что одного без другого не бывает, но очевидно же, что можно сделать и по другому.
А по другому это как? Как возможно получать оповещения об операциях по смс , при этом заблокировать возможность отправки средств по смс?
Не понял вопроса. По другому — это именно так как написано. Оповещения "со счета XYZ сняли ABC рублей в пользу DEF" банк шлет, и больше ничего делать через них не умеет. Очевидно, что банк способен это сделать, если захочет.
Проблема в том , что такое банк делать не будет. Все что они смогут предложить, отключить услугу мобилбный банк полностью. Сбер жутко неповоротлив в плане функцианала. Вообще бы ущел от них , если был бы конкурент в шаговой доступности. Вопросов к ним и обращений было создана масса. Один только Салют чего стоит, котрый вообще может выполнить чужую команду на перевод.
Есть такое недоразумение. У приложения блокировка по паролю (палец, морда, код...), телефон открыт, нету в нем конфиденциалки, удобно мне так.
В таком случае в чужих руках через смс есть доступ к банку.
Как самый примитивный блок от пионеров — установка спам-фильтра на сообщения подтверждений банка и спрятать этот фильтр другой прогой и под пароль. Как минимум это чуть увеличит время необходимое для наладки деструктивного смс-общения с банком.
Это костыль на уровне клиента а не банка, хотя имеет право на жизнь.
Как минимум это чуть увеличит время необходимое для наладки деструктивного смс-общения с банком.
Если PIN на саму SIM-ку не поставлен — не увеличивает. Потому что она вытаскивается, переставляется в телефон злоумышленника. И дальше он уже делает все что хочет со своего телефона.
Бесконтактная оплата телефоном НЕ требует обязательного наличия связи у телефона в момент оплаты. Несколько транзакций пройдут и так.
То есть можно не включать мобильные данные перед оплатой? Вопрос по сути в другом : при некорекной работе мобильной связи, для доставки Push уведомлений банком в приложении, может провацировать проблемы с доставкой уведомление по операциям вообще в любом виде. Даже при оплате картой в магазине , пользователь может не получить никого оповещения о расходной операции, при выборе канала связи для уведомлений в виде Push. Банк поясняет в этом случае, что если по каким то причинам Push не доставлено, то будет сформировано смс уведомление, однако выше я описал ситуацию, при каторой с кучей разборок правды не нашол. Причина не ввиде оплаты(карта или безконтактная оплата) а в доставке оповещений.
P.S. проверил, действительно самсунг пей не ругается на отсутствие интернет соединения
Бесконтактная оплата телефоном НЕ требует обязательного наличия связи у телефона в момент оплаты. Несколько транзакций пройдут и так.
Задумался, как это можно обычной картой заплатить практически бесконечное число раз?
Я так понимаю что NFC только информацию по карте передает терминалу, а он уже запрашивает у банка возможность списания.
Именно. Т.е. и смартфону связь не нужна для оплаты. Хотя, когда терминал срабатывает, на экране смартфона (я про Samsung Pay) появляется "галочка", как индикация этого события. Вот откуда она берется?
Offline оплате, в принципе, может существовать.
отсюда
- How are transactions authorized with EMV?
EMV transactions can be authorized online or offline. For an online authorization, transaction information is sent to the issuer, along with a transaction-specific cryptogram, and the issuer either authorizes or declines the transaction in real time.
In an offline EMV transaction, the card and terminal communicate and use issuer-defined risk parameters that are set in the card to determine whether the transaction can be authorized. Offline transactions are used when terminals do not have online connectivity (e.g., at a ticket kiosk) or in countries where telecommunications costs are high.
Chip cards can be configured to allow both online and offline authorization, depending on the circumstances. Due to improvements in telecommunications infrastructure worldwide, most EMV transactions are now authorized online.- How does contactless technology relate to EMV?
Issuers are now issuing EMV cards that support contact and/or contactless EMV transactions. Contactless EMV transactions use the ISO/IEC 14443 protocol for communication, with EMVCo defining the EMV Contactless Communication Protocol Specification that is common for all payment networks. EMVCo has also published specifications for contactless POS readers that work with the payment networks’ contactless applications.
The EMV specifications provide a basis for contactless EMV payments, but do not specify all payment application functionality. Payment networks can implement contactless payment for EMV transactions to function in both offline and online transaction environments and to leverage the EMV cryptogram security function to validate the authenticity of the card and the transaction.
Что именно проверяет антивирус?
Может проверять ссылки в сообщениях, но насколько помню в мире всего два или три антивирусных движка которые могут быть интегрированы в стороннее приложение.
Могу конечно ошибаться но производители этих движков никак не озвучивали своё сотрудничество с нашими банками. Может в наших банках сидят непризнанные гении способные создать приложение в кратчайшие сроки.
Правильно ли, что любое приложение может посчитать себя авнтивирусом и начать что- чистить?
А что будет, если таких приложений будет в телефоне несколько?
я, если что, сам против такой самодеятельности, и тоже интересно, что будет если их поставить пачку. хотя, подозреваю, если они все из одной страны, то эти пауки уже договорились и друг друга не тронут.
у сбера там не то дрвеб, не то каспер под капотом и стоит. на 4пда можно посмотреть, что у него там под капотом, народ lite-сборками этого монстра во всю увлекался.
У пользователя должен быть выбор. Не должно быть принудиловки.
нужно отдельный планшет для отдельного приложения
Я не очень мобильный и телефон использую только как фотоаппарат, соотв не сильно в теме всех функций и тем более - разных приложений. Но удивлён - тут несколько лет назад, через одну были статьи про docker - почему всего этого нет для телефона? По аналогии - полностью настраиваемой среды для каждого приложения/юзеря/профайла и желательно - номера телефона
В самсунгах есть knox, где по умолчанию всё свое, в том числе и список контактов. Заодно и лишний уровень защиты при краже телефона.
Логика конечно итересная, но есть подводные камни. На примере сбера скажу, что они пытаются всячески отказаться от смс информирования. После выхода с профиля/ переустановки приложения, банк сбрасывает настройки профиля к "дефолтным", в которых смс оповещение полностью заменено Push уведомлениями. Оповещение о входе не поступает вообще не в каком виде, якобы это ваше устройство, сядьте на него "пятой точкой" и не сводите с него глаз( сценариев когда родные и близкие но не совсем порядочные люди узнают пинкод от приложения может быть масса). И исходя из того , как они стремяться отключить смс , они скоро от них откажуться полностью. А носить с собой постоянно два устройства не всегда возможно/удобно. Пока конечно можно вернуть все настройки к смс, но появились и полностью неотключаемые Push, которые не возможно заменить на смс. Держать в таких условиях устройство с приложением банка вне "кармана" как то не безопасно от слова совсем.
Так вот, стали постепенно отрезать функции с пометкой «идите в мобильное приложение». Ну ок. Установил — запросило кучу прав. Отменил. Внезапно, работает! Но старается замучить неудобством: понятно, что СМС ей нужно для авторизации операций, но я руками ввожу, подсмотрев код в шторке уведомлений. Но самое прикольное то, что оно пишет «ошибка сервисов гугльплей», когда оно узнаёт, что у неё нет прав на какое-либо действие.
Кстати, у меня альфа не имеет доступа к смс, но когда смс от них прихожит, меня андроид спрашивает, можно ли код приложению альфы отдать. Удобно.
Насколько я понял, это вот эта фича гугл плей сервисов: https://developers.google.com/identity/sms-retriever/
P.S. С мобильной лисы в режиме для телефонов не постится комментарий. Там вообще ни одна кнопка не нажимается.
В вашем списке контактов слишком мало людей. Познакомьтесь с большим числом людей для продолжения использования нашего приложения.
На вашем устройстве слишком мало приложений. Посмотрите эти полтора часа рекламы и поставьте все приложения и игры из нее для подтверждения того, что вы не робот.
Был как то интересный баг где надо было от 3к(а лучше 6к) контактов для тестирования. (было подозрение что там кривой алгоритм, N^2 где даже N — перебор)
экспорт в csv
создание Иванова Ивана Ивановича с телефоном +7 999 123456
дублирование строки 3к раз
импорт
Обнаружена подозрительная идентичность ваших контактов. Проверьте предоставленные данные и обновите приложение.
Картинка с вашей камеры не изменяется уже 3 часа, переместите устройство для продолжения. Рекомендуем произносить фразы "здравжелаютоварищмайор" или "божецаряхрани" не реже чем раз в 15 минут на расстоянии не более 1 метра от телефона.
Не удается установить связь с ректальные криптоаналиатором. Поправьте или зарядите устройство. Если ошибка повторится обратитесь с ближайшее отделение по работе с населением.
Вообще с таким подходом приложений и давлением правительств на Google/Apple, пора добавлять фичу dummy data — нужна телефонная книга? Берите пустую либо со случайными/специально приготовленными данными. Хотите звонки? Сорри, три слота симок, ни одну не установил (или слотов вообще нет). Геолокация? Ну так вот, в самом сердце страны, на Красной Пло.. в аэропорту Внуково.
А если совсем серьезно, нужны какие-то изолированные виртуалки с одним приложением, чтобы поднимать только когда нужно. Разумеется потеряются пуши и прочая (иногда важная) ерунда, но это уже какой-то беспредел. Самое же неприятное, что если Google/Apple прижмут такие приложения, определенные судари взвоют о западной агрессии и попытаются заблокировать все что можно в угоду отечественным импортозамещенным аналогам (привет Яндексу), эффективно окирпичивая яблочную технику и парализуя все остальное.
А если совсем серьезно, нужны какие-то изолированные виртуалки с одним приложением, чтобы поднимать только когда нужно.
Дык идеология iOS и Android как раз в том, что каждое приложение изолировано от всех остальных. Нужны данные других приложений или системы — получи разрешение у пользователя. Просто эту идею извратили разработчики приложений, требуя себе все разрешения, какие есть. Перейдем на виртуалки — разработчики начнут проверять факт запуска на виртуалке, появится API для доступа к «настоящей» операционке, приложения начнут писать: «дай доступ к „настоящей“ ОС, а то работать не буду»… :-(
пора добавлять фичу dummy data
XPrivacyLua это делает очень много лет, я им пользовался, если не путаю, начиная с андроида 4.4 ещё.
Резюме: фейковые сайты ВТБ не отслеживает, для перевода по СБП суммы 33800руб не требуется никаких смс-кодов. Будьте бдительны.
Сейчас в перечне операций в личном кабинете есть перевод некоему Евгению в банк «Открытие» указанной суммы. Заявление в полицию написано, со всеми прилагаемыми материалами. От ВТБ на электронное обращение получен не менее электронный ответ «сами дураки».
А как, интересно, были все деньги переведены? У банка же нет галочки "перевести все деньги с карты". Что б такой перевод оформить, надо знать, сколько денег на карте. Откуда негодяи это знали?
ВТБ еще недавно обновил свой ЛК до стандартной современной блевотины в виде кучи декоративных свистелок-перделок, может в нем есть какие-нибудь особенности в этом плане. Мы дома пользуемся старой версией, сохраненной в закладках. А жена переводила на работе, отсюда и яндекс, и фейковые сайты в выдаче.
тыкнула одну из первых ссылок, заколотила логин/пароль/смс-код
Мне казалось, что это самый СМС код идет с текстом "для перевода суммы X в сторону Y"? Неужели просмотрели?
Некоторые организации пишут код подтверждения в самом начале СМС, плюс текст не всегда умещается целиком. Если у жертвы не возникло подозрений, она просто вводит код, не читая сообщение полностью.
А 33800р — это были все средства, имевшиеся на карте на тот момент, это мошенник мог видеть в ЛК сразу на первой странице. То есть после его действий на балансе осталось 0.
К ВТБ в этом плане претензии есть — почему переводы из ЛК в адрес юрлиц нужно подтверждать смс-кодом, независимо от суммы (хотя юрлицо проще найти и наказать в случае мошенничества), а в адрес физлиц по СБП — шли сколько хочешь в пределах немаленького лимита безо всяких смсок.
Ну и отслеживать фейковые сайты, мне кажется, одна из обязанностей службы безопасности банка (если она у них, конечно, есть). Особенно те сайты, которые появляются в топе выдачи поисковиков при соответствующем запросе.
Вообще, я думал, что это 100% раскрываемое дело — адресат перевода известен же. Но вот уже 2 месяца прошло…
Я не программист, но попадался мне на глаза бот, для сбора крипты на кранах. Писался он на джаве, работал он на старой версии фаерфокс , через расширение IMACROS. Сам код был выслан как фаил к расщирению. Так вот бот работал по принципу: пользователь открывает фаил в нотэпад, в строках с коментарием вводит логин и пароль от предоставленного списка "кранов"( изначально автор предлогал на всех сайтах использовать одну пару логин /пароль, потом доработал под каждый сайт), далее бот проходит авторизацию на первом из них, если требуется решить капчу при входе , отправляет капчу на сервис по разпознованию капч, получает ответ с сервиса, вставляет решение, авторизируется, далее по тому же приципу собирает крипту и переходит на новый "кран" . Так вот если подобие этого бота вписать в сам сайт, то после небольшой доработки такой бот будет " подхватывать " логин / пароль с формы ввода, открывать новую вкладку с реальным банком( бот умел открывать / закрывать вкладки) вводить данные "жмякать" кнопку войти и ждать так же получения пароля на вход. Считывал текст с поиском чисел/ текста он отлично, узнать какое число в строке "баланс" смог бы легко(что в принцепе делал для страницы статисти сборов), а так же после нужного перехода вставить в нужное поле. При некорекной работе бот в одной из версий чистил кеш. Так что такие сайты прекрасно могут в автомотичесуом режиме авторизировать вас и списывать деньги. Я даже думаю, что не только по системе быстрых платежей, но и получить смс подтверждение на любой перевод , с той лишь разницей, что в этом случае будет списана только та сумма которую вы хотите заплатить.
Позже, чтобы подтвердить свою теорию, пооткрывал эту рекламку еще — звонки начались с новой силой. Сейчас еще периодически позванивают.
Совсем в идеале банкам уйти от СМС и сим-карт
Смс как раз хороши тем, что можно не устанавливать приложения.
Не светите личную мобилу для банков.
Не светил, однако он у них появился. И вывести его это целый цирк с конями. Два раза писал заявления. Клятвенно клялись что всё удалили. Менял карту, попросили снова номер, сказал пошли нафиг. Но нет, они ещё больше активизировались. Пора уже проще пришёл в суд показал СМС и им штраф на миллион может тогда отстанут.
Вообще, подобным сбором информации грешат не только банки… Поэтому стараюсь всегда ставить на телефон по-минимуму приложений и по-максимум все, что возможно, использовать через веб-интерфейс браузера. Проблему, конечно, на все 100% не решает, но хотя бы хлама в телефоне меньше)))
Разве это не разные разрешения?
Т.е. — попросить систему показать адресную книгу и дать пользователю выбрать контакт (который и сообщить приложению) — это одно. А дать самому приложению все контакты прочитать — это другое.
Приложение смотрит на записную книгу, анализирует тех, кому можно что-то отправить (например, делает запрос по телефонам), и предлагает только их. Это то, как я бы навскидку реализовывал эту функцию.
Посмотрел в свою Альфу. Она просто предлагает всю записную книгу.
Как это реализовано конкретно, не знаю.
Снилось как то мне что как минимум у одного мелкого регионального банка во времена незадолго до-СБП адресная книга читалась чтобы… подставить иконку банка у тех контактов кому можно перевести (кто клиент того же банка). Просто телефоны из адресной книги (не хеши, именно телефоны) улетали на сервер и потом прилетал список кто из них — клиенты.
Что ЕЩЕ делал (и делал ли) бэк с этими телефонами — вопрос к разработчикам бэка.
Согласно приснившимся исходникам — отказаться от выдачи прав на доступ к адресной книге там было можно (приложение не отказывалось работать вообще).
Результат — приложения ничего не видят и ими можно пользоваться.
Как вариант.
В случае как минимум одного крупного и упомянутого в статье/комментах банка — после этого вы пойдете в отделение (разговоры по телефону не помогут) восстанавливать доступ потому что не сможете войти ни с какого уже телефона. Даже если у вас образ андроида с честным Google Play и без рут-доступа. Достаточно того факта что это не реальное устройство. Причем фича это новая. Правда достаточно сказать что да это мой вход, с другого устройства. Разумеется при этом зададут пару вопросов из серии — вы кому то деньги переводили? А помочь вам с этим не предлагали?
Год назад проверял — всё работало, андроид был не родной, а допиленный для виртуальной машины. И вполне себе система считала, что она там на каком-то реальном самсунге работает. И приложения от банка нормально работали.
Теперь приложения умеют видеть виртуалку?
Мне сегодня доступ не заблокировали. Вероятно, зависит от используемого эмулятора и его настроек.
Конкретно у приложения того банка что я имею ввиду — да, умеет видеть. Но речь именно про обычный Android Emulator от Google (тот что часть Android SDK).
Не что-то специализированное.
А на чем проверяли?
Мне иногда кажется, что я в другом мире живу. Тут и там говорят про глубокие аналитические системы предотвращения мошенничества, блокировки подозрительных транзакций, заморозки учётных записей.
Я скриптую веб-интерфейсы банков, чтобы получать уведомления об изменении баланса на email (почти нигде нет такой функции), везде отключены любые двухфакторки и подтверждения по sms, захожу в интерфейсы с разных IP-адресов, в т.ч. Tor exit node, и за более 10 лет подобной деятельности ни один банк не устанавливал мне ограничения, временные блокировки, и т.п.
И 146% активно пользуется полученной информацией. Я заметил, что реклама на сайтах начинает активно предлагать товары, которые я вслух обсуждал с женой.
В общем, все идет к тому, что смартфон очень скоро не будет являться личным пространством — все что ты делаешь с его помощью, будет доступно тем, кому надо, если не уже. Это надо обязательно учитывать, особенно тем, кто не лоялен действующей власти — все что вы пишете в мессенджерах, фотографируете и тп — попадает прямиком на стол к товарищу майору…
Я тоже несколько раз замечал такие случаи, когда дома или в машине просто поговорили на какую-то тему и точно не гуглили, т.к. эта тема была на "просто поболтать". На следующий день - нате получите
Это в другую сторону работает. Не Гугл заметил, что поговорили на какую-то тему, а поговорили, потому что было что Гуглу замечать.
Т.к. "поговорили на какую-то тему" — оно не просто так получилось, а потому что попали в некое информационное облако на эту тему. Которое облако гугл и вычисляет. Друзья/знакомые/находящиеся рядом/в том же городе/посещающие те же форумы итд итп темой заинтересовались, мысль о том что надо бы об этом поговорить в голову заложили — а Гугл это видит.
Корректный тест — случайно и оффлайново выбрать тему. Поговорить. И больше в онлайне никаких признаков заинтересованности не проявлять.
Где-то читал, что при отъёме права доступа к микрофону у служб гугл, данный случай перестаёт воспроизводиться; там же читал, что сервисы гугла иногда отправляют на сервер отдельные фразы, даже будучи неактивными (без произнесения "окей, гугол") — "для улучшения алгоритмов распознавания речи".
Хотя ни на одном из моих смартфонов данная ситуация (показ рекламы после обсуждения вслух) никогда не воспроизводилась (правда, так повелось, что у меня все смартфоны одного корейского производителя), ни до отключения прав доступа к микрофону, ни, тем более, после (но да, "на всякий случай" доступ отнял).
Банки ультимативно лезут к нам в ш̶т̶а̶н̶ы̶ личную жизнь