Дисклаймер! Я описываю штатную функцию, которая работает так, как замыслили раз��аботчики. Но поведение этой функции было крайне неочевидно, по крайней мере для меня. Эту функцию можно отключить, если не нравится, как она работает.
Но раз уж на Хабре неделя Тинькофф, то я решил написать историю, которую раньше заленился рассказывать.
Я являюсь клиентом Тинькофф и использую их приложение. В июне 2023 года лазил я по сайту tinkoff.ru. Увидел рекламу симкарты и перешёл по ссылке оформления. К моему удивлению, я попал в приложение Тинькофф на страницу оформления новой симки. Я решил, что это такая уловка UI/UX, чтобы я сразу оформил заявку и не тратил лишнее действие на экране блокировки приложения. Я был абсолютно уверен, что в конце заявки у меня переспросят отпечаток пальца или код приложения, но НЕТ! Заявку я оформил! Потом вышел на главный экран и начал просматривать свои счета.
Думаю со стороны в этот момент я выглядел как-то так
Не буду сразу спойлерить развязку. Можете сразу листать вниз, или проследить логику мне со мной:
Написал в техподдержку банка, чтобы понять, что это сейчас было
Переписка с техподдержкой, скрин 1
Получается я сам это включил? Но что за настройка позволяет смотреть на мои счета/карточки/истории переводов и вообще на всё?
Та самая настройка
Исходя из опыта использования десятков телефонов и сотен приложений, я ожидаю, что меня запустит в приложение без пароля и отпечатка, если я уже заходил В ЭТО приложение в течение последних пяти минут. Но как это работает в желтом банке?
Тем временем в чате техподдержки. Скрин 2
То есть достаточно ранее воспользоваться сканером отпечатка в любом месте!!! Неважно где: разблокировать телефон, зайти приложение другого банка, в мессенджер, или ещё куда-то, где требуется отпечаток. Этого будет достаточно для того, чтобы разблокировалось приложение с доступом к деньгам! Если я дам ребёнку посмотреть ютуб, то могу не удивляться, если он оформил мне кредитку в Тинькофф (если он успеет в эти 5 минут зайти в приложение). Если я дал кому-то из родственников посмотреть фото с телефона, он может глянуть, сколько на самом деле денег у меня на счёте. Удобно? Кому как.
Повторю, что это не какой-то взлом, или использование дипфейков. Эта функция работает так, как должна работать. Но должна ли она так работать? Я не знаю ни одного приложения с таким поведением, и если в банке решили, что так будет удобнее для клиентов, то я не буду спорить. Это вполне может понравиться многим (может даже всем, кроме меня). Но я бы хотел увидеть явное предупреждение об этом нюансе на окне включения этой функции. Для меня было откровением, что приложение вообще может иметь доступ к информации, когда отпечаток пальца использовался в системе или другом приложении!
У меня всё. Всем безопасных переводов и удобных приложений!