Комментарии 268
Спасибо большое, вписал в свою статью и в комментах к той статье отписался!
Странно думать что приложение банка-мошенника (в девичестве) будет себя вести не как троянец (хотя у меня только сбер и я не уверен в нём на 100%). Из того что написано я делаю вывод - что приложение получило доступ к отпечатку для разблокировании телефона, а значит может с ним делать все что угодно (про деньги само собой разумеется). Судя по всему это разрешение дается настройкой - упрощенный вход. А теперь подумайте, есть ли гарантия что этот отпечаток это приложение не отправит на свои (чужие) сервера (например при удалении в отместку или просто так).
Необходимо удалить такое приложение и сделать полный вайп телефона с заведением нового пользователя на гугле ...
Особенно странно это услышать от человека занимающегося какой-то ит безопасностью ...
Это не так работает, приложения используют системный АПИ и не имеют доступа к изображению отпечатка.
У устройств нет изображения отпечатка. Только хэш)
Я тоже так думал про СКУД на прошлой работе, пока не отреверсил его СУБД и не нашёл в блобах практически не защищённые BMP с пальцами всех сотрудников - за каким-то лешим, тот СКУД при заведении в базу сохранял и картинки, получаемые при регистрации со сканера отпечатков пальцев Smartec, хотя в работе явно оперировал не картинками, а каким-то математическим представлением этих картинок ("хэшем" или каким-то иным преобразованием - не углублялся в тему).
В смартфонах, говорят, такого беспредела нет, но всё равно как-то задевает внутреннего параноика.
В смартфонах используются три вида сканеров (ёмкостной, оптический и ультразвуковой). Все они получают рисунок, но сами ос сразу после получения рисунка должны (и вроде как делают именно так) рассчитать хэш, а сам рисунок удалить. Вот по этому на мобильных платформах такое маловероятно.
Тем не менее разблокировку по лицу и отпечаткам я не использую, т.к. лицо у меня одно, пальцев всего 10. Свистнуть и то и другое - не так сложно, как кажется. При этом обычный пин код из 4 цифр - это 10⁴ возможных комбинаций, что на 3 - 4 порядка больше, чем с лицом и пальцами. Остаётся только правильно выбрать набор цифр, который не будет очевиден (дабы использование социальной инженерии не сработало).
Ну для разблокировки телефона, надо его ещё свистнуть. Это целую операцию провести, т.к. кража не случайная. Плюс вероятность попасться куда выше. Потому, паранойя может спать относительно спокойно.
Вот разблокировка банкомата по лицу/отпечатку, это уже не есть хорошо.
комбинацию можно подсмотреть, камеры повсюду. спереть палец несколько сложнее
У устройств нет изображения отпечатка. Только хэш)
Сами вы ей очевидно точно не занимаетесь, я смотрю.
Не слишком громкое заявление про банк-мошенник? Если есть доказательства, может обратитесь в соответствующие органы?
А смысл - товаришь Т признан иногентом и съ-ся в недоступное место, если вернется (что маловероятно) ему посерьезней статья светит, а за день до признания в его банке сменили вывеску ... сам делай вывод можно им доверять.
Не очень понял логическую связь. То есть, если иноагент, то это автоматически мошенник? Или критерий в недоступности места? Мне действительно интересно.
нет это автоматически -5 к доверию всех его действий, в случае банка (банковского приложения) -10, что не понятного?
Тут скорее наоборот в плане доверия. Обычно иноагенты -- это люди, которые умеют думать и могут позволить себе иметь своё мнение отличное от телевизора.
Иноагенты это те, чьи мысли финансируют из за рубежа.
Странно слышать такое утверждение от хабрапользователя. Впрочем, я не знаю почему меня это продолжает удивлять. Наверно, я всё ещё наивно надеюсь на существование здравого смысла.
Все же по соотношению стрелочек, перевес в сторону здравого смысла.
Стоит начать говорить что думаешь и соотношение резко поменяется.
Из той картины, что я вижу, сторонники того, что здравый смысл вреден для мозга, потихотьку набирают карму на нейтральных публикациях, чтобы потом загонять в ограничение всех инакомыслящих. "Инакомыслящие" же, привыкли жить на минном поле и высказываются крайне осторожно.
У меня в карме, десятка три отметилось за комментарии не соответствующие политике партии. Откуда они по вашему разводятся?
Ну, я лишь сказал определение. А пруфов ни в одну из сторон у меня нет.
Скорее уж не мысли, а какую-то часть деятельности ;)
Верно. Но какой интерес иностранным компаниям и/или спецслужбам финансировать мысли, которые их не устраивают?
Возможно, реклама. Возможно, какой нибудь Додж хочет разрекламировать свои машины в России, но это техническая лазейка для финансирования иных вещей.
Поэтому, если кто либо из медийки финансируется изза рубежа, ему вешают шильдик иноагент. В этом нет ничего, кроме информации о том, откуда ему платят.
Ну только со мной этот банк-мошенник сделал следующее (по некоторым пунктам даже идёт судебное разбирательство):
1) перевёл доллары ИП по своему курсу на валютном контроле весной 22го года, хотя 80% выручки должен был поменять я, где угодно, в течение 21 дня на тот момент
2) не удалил мою биометрию (фотку десятилетней давности курьера) к 1 июня 23го года, как предписывает закон, более того, без моего согласия и разрешения в феврале 24го года добавил ее в ЕБС
3) отказывается выдавать швейцарские франки, оказавшиеся на счете далеко до 22го года, по курсу «не ниже ЦБ» - опять же нарушает постановление ЦБ
Это самое наболевшее, не считая мелкого жульничества. Можно ли после такого мне использовать эпитет «жулики» в их отношении?
Совершенно ужасная реализация. Разблокируешь телефон ребёнку или "позвонить" малознакомому человеку и они почему-то получают безусловный доступ к твоему банку.
Удобно.
В Андроиде есть "App pinning", возможность "закрепить" приложение на экране при которой нужно разблокировать телефон, чтобы переключиться на другое - Как закрепить или открепить экран - Cправка - Android . Как раз сделано, чтобы кому-то давать телефон с какой-то целью.
Три раза перечитал, не понял... сможете переформулировать?)
Nothing OS 3 про этот режим пишет, что запиненное приложение все равно может открывать другие приложения и ваши личные данные всё ещё могут быть доступны. Мол, если хотите, чтоб было безопасно, то лучше создать гостевого пользователя.
В ведроиде есть множественность пользователей, если что. Заводишь гостевого пользователя (или даже просто включаешь в настройках). Переключил в шторке, дал позвонить. И то не очень идея, но для семьи, особенно, детей, сойдет.
в iOS кстати для этого же есть "гид-доступ"
А я согласен с инженерами Т-Банка.
Зачем давать ваш телефон ребёнку? У ребёнка свой телефон есть, чтобы в Roblox играть.
Зачем давать ваш телефон малознакомому человеку? Я свой телефон и самому близкому человеку не буду давать.
Не все такие параноики как вы!
Я свой телефон и самому близкому человеку не буду давать.
Почему? Не доверяете? А спать вместе ложитесь? не боитесь так рисковать?
Что-то не сходится. Вы хотите отдавать телефон налоговую и боитесь, что они за окном зайдут в приложение и по-быстрому себе переведут что-нибудь)
Я лично купил небольшой термопринтер за 1.5к, и все эти номера заявок, заказов и коды заранее печатаю на бумажке и отдаю их. Принтер реально карманный, с батарейкой и BT. Печатается с телефона за минуту, можно прямо на месте распечатать что-то побыстрому.
модель не подскажите?
Ищется в озонах по запросу mini printer. Моделей довольно много но все плюс-минус одинаковые. Но они все - на чековой ленте печатают. Для долгого хранения результат не пригоден. Можно еще чековый принтер искать, но оно так заметно дороже.
Есть, правда, варианты с настоящим термопереносом краски на бумагу, которые не выцветают - но те еще дороже. Лента ищется по 'риббон' (прямо кириллицей) а дальше уже смотрится в описании, к каким моделям принтеров подходит.
У меня вот такой. Заказывал на озон, я так понимаю их десяток разных моделей на одной платформе, отличаются только дизайном.
Ничего не показывается по ссылочке, по крайней мере из России без VPN. Можно попросить вас буквами написать название модели, пожалуйста?
Типичный китайский нонейм с названием "Mini Portable Label Printer Thermal Printing Wireless Impresoras Paper Photo Inkless C19 Printers 57mm Sticker Android IOS". В их приложении определяется как mx10-ec39.
Вот ссылка на озон. Но именно этот там закончился, можно посмотреть кликнув на картинку принтера.
Зачем давать ваш телефон ребёнку?
А зачем 4 летке свой телефон? Пусть на моем час в день поиграет, пока я занят. Будет свой - будет зависимость и капризы.
По банкам тоже есть претензии. Почему-то у них нет "услуги" (хотя я без понятия как это безопасно реализовать) - ну что-то типа - "общая карта" на меня с женой. Просто, звонок из банка, и на вопрос от банка - а кто покупал в МСК в Пятерке продукты полчаса назад... а я в командировке в Питере, только что купил колбасы... (вторая карта у жены). И мне банк сразу блокирует счет. Доступ 3го лица. И семья без финансов - пока лично в отделении матом не наорешь.
А еще, у меня нет 2го телефона и единственном, от жены тоже скрывать нечего. "Странные" запросы задаются в режиме инкогнито! типа "как жарить котлеты" - не дай бог узнает, что я неплохо готовлю )))))
Есть такая услуга. Можно оформить карту на другого человека, но на ваш счёт, называется "Дополнительная карта": https://www.tbank.ru/bank/help/debit-cards/tinkoff-black/additional-options/additional-card/
Да ёп выключи функцию в приложении быстрый вход и постоянно будешь вводить пин/палец/биометрию и тд и тп.
Автор поста на пустом месте нашел проблему - Так сказать из мухи слепил СЛОНА!
Автор поста может вообще не пользоваться мобильными телефонами, но даже и в таком случае он оставляет за собой право на общих основаниях критиковать то, что ему кажется странным, небезопасным, нелогичным, плохо описанным в интерфейсе. По мнению автора поста есть проблема в поведении, которая касается миллионов пользователей. Этому и посвящён текст.
Автор поста молодец. На хабре обозначил проблему. Т - откликнется.
Я давным давно с ними тоже ругался, когда оплачивал картой в магазинах и никто ПИН не спрашивал. У всех спрашивает терминал, а у Тинька - нет. Ну мысли - сопрут карту и покупай нехочу.
В Тиньке сказали, что это не Баг а Фича. Зато ты никому, кто в очереди сзади стоит, свой ПИН не засветишь.
Я с тех пор в магазинах все это наблюдаю. Ведь правда - я реально вижу Пинкоды. Стоит вырвать карту - добежать до банкомата и все деньги твои. (Гипотетически - сельский магазин без видеонаблюдения).
Не засекал время, но после разблокировки Огрызка в приложениях МКБ и Альфабанка можно между ними листаться активно. А потом все-же просят пин-код. (естественно фейс-айди на банковские приложения отключен - как его вообще туда придумали зпихнуть?)
В Тиньке сказали, что это не Баг а Фича. Зато ты никому, кто в очереди сзади стоит, свой ПИН не засветишь.
Жесть. А зачем вообще тогда на карте пин они не сказали?
Жесть. А зачем вообще тогда на карте пин они не сказали?
Для того, чтобы платёжная сеть могла отказать в откате транзакции.
В данном случае, если я не ошибаюсь, можно все что без пина - писать заявление (банки, правда, очень старательно прячут, какое именно и как правильно) и деньги обязаны вернуть.
Получается, что банку как раз невыгодно, если без пина.
Получается, что банку как раз невыгодно, если без пина.
Оно как-то компенсируется другими факторами.
Как именно банку может быть выгодно - не знаю, но когда платежные сети уже пинками загоняли США переходить на чипованные карты - один из аргументов магазинов был что ввод пина тормозит очередь. И похоже, не очень врали - оно действительно влияло так, что это было заметно. Правда, там все странно было. Потому что ввод пина местами предлагали заменить автографом по экрану специальной кассовой машинки.
Для того, чтобы воспользоваться картой в банкомате и снять деньги, а также для покупок свыше 3 тыс. рублей.
Я бы наоборот хотел, чтобы в Юманях реализовали именно такой вариант. Я не даю свой телефон незнакомому ребёнку позвонить. А вот в очереди у кассы достать телефон, разблокировать его отпечатком, подождать пока откроется, открыть приложение, снова разблокировать, подождать, ещё раз разблокировать потому что не прочиталось, опять подождать - задалбывает.
Для оплаты телефоном достаточно открыть приложение(до экрана отсканируйте отпечаток) и можно оплачивать t-pay. Так же не обязательно входить, для получения пуш уведомлений.
На телефоне настроено, что почти все приложения в "глубоком сне".
Это оплата по карте, которая регулярно глючит у продавцов, а деньги на несколько дней блокируются у меня. Предпочитаю оплату по QR коду, она или прошла или нет.
Предпочитаю оплату по QR коду, она или прошла или нет.
Ошибаетесь. Я тоже раньше так думал, оказалось, сценарий, когда в мобильном приложении оплата по QR прошла, а терминал выдал "таймаут операции" - более, чем реальна - я попал в такую ситуацию, оплачивая гостиницу в условиях неуверенной связи - пока бегал к окну, чтобы приложуха авторизовала транзакцию, терминал бодро выплюнул слип с таймаутом. С тех пор - только NFC - он, по крайней мере, и оффлайн работает, да, с рядом оговорок, но работает.
В моём случае деньги "заблокировались" не на несколько дней, а до тех пор, пока я из администрации гостиницы не вытряс возврат средств - со стороны банка операция была фискализирована, и отменять её "не было оснований" - пришлось ждать закрытия квартала бухгалтерией гостишки, добиваться сверки, и только на основании этой сверки они согласились, что одна и та же услуга была оплачена дважды, после чего вернули повторную оплату.
Пожалуйста, избавьтесь от этой привычки. Сейчас телефон стал таким же личным, как зубная щётка.
Хотя, судя по тому, что некоторые смотрят на своих смартфонах, это, возможно, даже более интимный предмет, чем зубная щётка. Как говорится "зубной щётка в таких местах краврятся не будешь".
Зачем давать звонить кому-то со своего телефона особенно если это малознакомый человек? Если вдруг надо, то я сам набираю номер и включаю громкую связь. Никто не получает в руки мой телефон. Тем более если он разблокирован.
Думаю, вам следует либо отключить быстрый вход в Т-Банке, либо не давать телефон малознакомому человеку.
Кроме того, пускает Тинькофф и по разблокировке графическим ключом. Про графический ключ это дельный идиотизм.
И действительно, использование отпечатка в некоторых других программах сбрасывает таймер и пять минут идут по новой.
Нужно признать, что они полные идиоты. Теперь страшно их приложением пользоваться.
В моих опытах было так, что если телефон разблокируешь графическим ключом, а отпечаток предъявлял более 5 минут назад, то приложение всё-таки требует отпечаток/PIN.
Это да, но всё равно, допустим, я специально и осознанно ЗАБЛОКИРОВАЛ телефон (так как хочу дать его кому-то недоверенному - ребёнку, сотруднику магазина/почты/банка, позвонить кому-то), а потом разблокировал его графическим ключом (либо злоумышленник подсмотрел мой ключ). А они всё равно дают доступ! Это огромная дыра в безопасности!
Тут полностью солидарен!
Короче, такое поведение с разблокировкой пусть даже и остаётся, но фича должна быть достаточно документирована для пользователя – "Да, я согласен, что мне не нужно будет аутентифицироваться для входа в приложение, если в течение 5 минут я уже разблокировал телефон"
Пользователи телефонлв китайского вредителя и главного шпиона за свои данные переживать не должны...
дыра в безопасности!
Зато хоть что то в безопасности
я специально и осознанно ЗАБЛОКИРОВАЛ
Если приложение сворачивается - оно не запрашивает отпечаток даже если быстрый вход выключен, нужно отключить быстрый вход и закрыть приложение чтобы гарантированно спросило отпечаток/пин при следующем запуске.
Подтверждаю ваши наблюдения. Поведение выглядит криво. В их приложении "Инвестиции" то же самое. А вот если не смахивать приложение, не сворачивать, а два раза нажать "Назад" для выхода из приложения, то приложение отображается в активных, как будто бы его свернули, но уже попросит PIN/отпечаток при попытке повторного входа.
То есть вам не страшно хранить деньги не в пойми какой стране 5 мира , пользоваться не пойми каким банком страны 5 мира, находится в стране 5 мира, и хотеть что бы в этой помойке, что то работало так как надо? Статус страны лосей не даром выдан.
они полные идиоты
И-Банк?)
Это все потому, что биометрия никак не шифрует. То что вы видите как тач или фейс айди, это проверка на уровне системы. Ты как разраб, говоришь системе - проведи биометрическую авторизацию и скажи мне результат. Всё. Ответа будет - да или ошибка.
И что палец, что лицо, что ключ - это разные способы проверить вас, не более.
Даже скажу по другому. Приложение всегда имеет доступ к своему закрытому хранилищу. И может оттуда дёрнуть что хочет. Нет такого, что ты авторизоваться и только на это время доступ открывается.
разблокировать по пальцу телефон, может быть, войти по отпечатку в какой нибудь форум, потрепаться, наверно. НО в критичные приложения, НИКОГДА... Не тот уровень развития технологии, попробуйте, ради интереса, тыкать не тем пальцем, для входа, и получите некий процент удачных срабатываний...
Там довольно низкий процент ложноположительных срабатываний и буквально через несколько неудачных попыток вход по отпечатку будет отключён до ввода графического ключа.
История из жизни. Купил OnePlus 12r. Настроил 4 отпечатка 2 больших и 2 указательных пальца. Друг попросил посмотреть. Взял, приложил палец и телефон разблокировался. Мы были очень удивлены. Примерно каждая 3 попытка давала положительный результат. При чем на его OnePlus 9r мой палец не подходит. После перезаписи пальцев на своем телефоне, отпечаток друга перестал подходить.
Очередная история из жизни с китайским телефоном. Уж сколько можно твердить, что не бывает так чтобы дешевле и не хуже.
Если по вашему дорогой китайский ( OnePlus явно выше среднего бренд) брать не надо, то что брать? И не будет ли в дорогом "не китайском" стоять датчик отпечатка пальца той же модели?
Владельцы Pixel 6 (флагман Google, не хухры мухры) заставляют очень частно икать производителя при пользовании сканера отпечатка. Это же не Китай?
У меня и "тем" пальцем получается раз через два. В прошлом телефоне той же фирмы работало очень надёжно, а в новом только вот так. Я даже завёл два отпечатка одного и того же пальца, чтобы его со всех углов отсканировало — не помогло.
На m31s не удалось добиться. Зато когда правильным пальцем, разблокирует в 100 из 100 случаев, не считая мокрых/грязных рук(тогда 50/50).
Есть такой момент, что подсмотреть пин довольно просто, особенно когда кругом камеры, пальцы собирать по мне сложнее, особенно в общественном месте.
К сожалению, нет совершенно никакой надежды, что ползунок простота-безопасность сместят хоть на сколько-то вправо. Помочь тут могут только какие-то меры регулирования в результате которых любой увод у клиента денег будет всегда проблемой банка, а не клиента.
Сейчас у нас ровно наоборот. Чтоб кто не делал - это проблемы клиента. Банк при любом раскладе "в шоколаде", ему выгодны транзакции, а риск для банка нулевой.
Это всё началось, когда вместо двухфакторной авторизации ввели однофакторную. И я не знаю банков из топ 10, где можно было бы себе нормальную двухфакторку подключить :(.
Это не так! При краже денег (если они не были сделаны с вашего согласия, дали кому то код из смс и т.д.), в банке пишется заявление и подаётся заявление в ментовку. Далее, банк через 7 дней, вам возможно, ответит на словах, что мы не будем ничего компенсировать. Но вот если попросить их письменно это подтвердить, то они не смогут! И все компенсируют. А в большинстве случаев, компенсируют без вопросов. Надо только письменное заявление, а не звонок в тех поддержку, какому то студенту, который там подрабатывает! Проверено на личном опыте, у меня клонировали карту (тогда ещё были карты без чипов) несколько лет назад и сняли деньги, причем, как свои, так и кредитные (овердрафт). Банк все вернул по заявлению и после проверки.
Другое дело, если вы сами перевели кому то деньги войдя в приложение со своего телефона или сказали злоумышленникам код 2фа. Тогда, конечно, банк не несёт ответственности за ваши действия.
Совершенно не факт, что каждая история закончится успехом. У банка фактически есть подписанный вами электронно документ, что вы просите деньги куда-то перевести. А дальше уже его добрая воля.
Как вы собрались доказывать, что у вас из рук телефон злоумышленник выхватил и потом деньги слил, а не это вы сами перевели ?
Допускаю, что в случае, когда банк смог деньги притормозить, т.е. их не смогли обналичить по каким-то причинам, он вам их вернет. Себе не присвоит. Но если деньги ушли, вы получите письменную отписку.
Вы что думаете, банк не будет вам письменно отвечать даже и в разрез законодательству ?. Да у меня пачка ответов от банков, где они отказывают в законных требованиях, т.е. на требование "верните украденное" просто отвечают "не вернем и всё". И только неэфемерные угрозы судом их убедили, что "не надо так".
При этом как что-то в суде доказать в описанном выше кейсе (некто вырвал у вас в метро из рук телефон и быстренько слил деньги) я очень слабо себе представляю. Как это всё от сговора отличить?
Ну т.е. для клиента тут только гемморой огромный видится. Из преимуществ: возможность быстро потерять свои деньги... И может быть, если повезет, потом их вернут.
Как вы собрались доказывать, что у вас из рук телефон злоумышленник выхватил и потом деньги слил, а не это вы сами перевели ?
Поэтому и нужно заявление в полицию. Там уже опрос свидетелей, проверка камер и т.п. Насколько помню, при таком раскладе банк блокирует счета получателя до окончания разбирательства.
неэфемерные угрозы судом их убедили
Дальше угроз, я так понимаю, дело не пошло? А почему, если вы на 100% уверены что правы?
Деньги с ваших счетов испарятся раньше, чем вы успеете набрать номер полиции. Арестовывать нечего будет. Напомню, мы говорим о фиче, которая действует только пять минут после разблокировки отпечатком.
Совершенно не понимаю как я мог бы пойти в суд, если банк вернул деньги в процессе формирования досудебных претензий? При этом ранее письменно отказывался их вернуть явно нарушая закон. Могу ли я быть неправ в случае, если цб и банк согласны с тем, что я прав :)?
Вы за что топите? Что так и надо делать ? Надо делать так, чтобы по умолчанию у клиентов банка приложение не требовало отпечатка если несколько минут назад человек этот отпечаток использовал для разблокировки телефона ? Вам кажется это безопасным ? Вы уверены на 100%, что денег не потеряете ?
Я топлю за то, что если вы считаете что правы и банк нарушает закон - идите в суд/полицию. Технически банк может откатить транзакцию. А по решению суда еще и выплатить компенсацию. А гневно плакать в комментах на хабре неконструктивно и бессмысленно.
Может откатить. А может не откатить. И сейчас у него есть куча оснований, чтобы ничего не откатывать.
А я топлю за то, чтобы не транзакции откатывать, а законодательную базу как-то причесать. Причесать так, чтобы банк был 100% уверен, что придется деньги вернуть при любых раскладах.
И тогда, подобные практики моментально прекратятся. И ползунок безумие--безопасность сдвинется в сторону безопасности на разумное расстояние.
К сожалению, банк зарубив на корню 2фа никаких законов не нарушает. И это реально беда...
Лет 10+ назад имел малоприятный опыт - некто изготовил поддельный паспорт с моими данными и набрал потребкредитов в дюжине банков - все банки кроме одного после моего обращения аннулировали кредитные договоры, а вот с одним из банков (на тот момент активно сотрудничавшим с "много.ру") пришлось больше года разгребаться...
История тяжб с банком
Как-то субботним утром я получил СМС от банка о смене контактного телефона - я сразу позвонил на горячую линию, представился, спросил, что, собственно, за СМС я получил, на что в ответ услышал, что я только что оформил заявление на кредит для покупки какой-то техники и указал новый контактный номер - на это я попросил одобрение кредита отклонить, и вернуть прежний контактный номер - оператор согласился и мы попрощались; чуть позже был звонок из Т, в момент оформления кредита и карты, на что я сказал "отказать", и они действительно отказали... а в "первом" банке кредит всё-таки одобрили, о чём я узнал через месяц - когда пришло напоминание о необходимости вносить платёж...
В этот момент я запросил выписку из БКИ и слегка был обескуражен. Ну, список банков у меня уже был на руках, и я построил маршрут по ближайшим отделениям, где составил письменные заявления о признании кредитов мошенническими, на обратном пути зашёл в отделение (кажется, ещё милиции), где написал заявление, содержащее из подробностей только выписку из БКИ и мои заверения, что я, лично, к перечисленным кредитам непричастен... в течении ближайших пары недель я получил с сотню звонков из службы безопасности причастных банков, под конец уже заученно повествовал все подробности своей непричастности, и вроде все договоры аннулировали...
...а через полгода мне стали звонить коллекторы... я пошёл в отделение единственного банка, не признавшего "мой" кредит мошенническим, где узнал, что моего заявления у них нет (пропало), принесённую мной копию отсканировали, приняли ещё одно заявление... и опять - тишина. Ещё через пару недель я зашёл в то же отделение - узнать судьбу своих заявлений, уже ближе к закрытию, и мне повезло попасть на начальника этого отделения, который дорабатывал свой последний день, и он согласился мне максимально помочь в обход имеющихся процедур - так у меня на руках оказалась копия злосчастного кредитного договора, паспорта заявителя (бланк паспорта был более современный, чем мой, ну и визуально он не очень походил на мой, разумеется, включая фото) и моего последнего заявления - с этой "добычей" я повторно обратился к правохранителям...
Через пару месяцев я получил ответ из МВД (куда написал онлайн-обращение по поводу своих заявлений), что моё заявление из моего отделения ушло, но до отделения по адресу оформления мошеннического заявления не дошло...
Между делом мне названивали коллекторы из разных агенств, но, получив копии заявлений в банк и полицию, достаточно быстро прекращали активность, пока не попалось какое-то уж совсем упоротое коллекторское агенство - эти заспамили почтовый ящик открытками, призывающими вернуть "долг" и названивали круглосуточно с самых разных телефонов (не только российских) - это заставило меня освоить "белые списки", отключить домашний телефон (благо, рабочего они не знали) и самому взяться за активную оборону - я обратился, наверное, во все мало-мальски подходящие ведомства (ЦБ, СК и Прокуратура - точно были в списке), призывая привлечь к ответственности банк, "вероятно, находящийся в сговоре с мошенниками, оформившими по явно поддельному паспорту кредитный договор, несмотря на моё своевременное информирование банка звонком на горячую линию о подозрительных действиях от моего лица без моего согласия" и далее в том же духе, упомянув и коллекторов (не помню, было уже тогда регулирование их деятельности, или я просто давил на недобросовестную передачу и вторжение в личную жизнь без попытки цивилизованного урегулирования)... в общем, через пару недель мне позвонили из банка и очень вежливо попросили подъехать в их центральный офис, где достаточно робко попросили подписать согласие об отсутствии взаимных претензий, на что я согласился (плюнув на потраченные нервы и время).
Пользователь: активирует разблокировку отпечатком пальца и непонятную функцию «Быстрый вход».
Также пользователь: «Караул, небезопасно!».
Я не защищаю банк: «Тинькофф» скатился десять лет назад. Но ваше недоумение, особенно в свете профессиональной принадлежности, звучит смешно.
Тоже не особо понимаю суть претензии, когда у тебя есть выбор.
Но, вероятно, можно сделать атата банку, если опция быстрого входа ДЕЙСТВИТЕЛЬНО активировалась сама, о чём упоминается в начале повествования
Android 15, приложение Т-Банка версии 6.44
Раньше (некоторое время назад, не могу сказать точно) нужно было авторизовыватсья каждый раз при входе в приложение. Сейчас проверил - действительно пускает в течение 5 минут после разблокировки телефона отпечатком. Но я точно уверен, что не включал никаких функций для быстрого входа в настройках
Сама. Проверил у себя - тоже включена, хотя я о ней узнал из статьи, и точно не включал сам.
Прилетело обновление UI и включило... к сожалению, типичная картина...
Давным давно ещё было об этом уведомление при входе, видимо мы привыкли их скипать автоматом...
Не так давно устанавливал их приложение. И как раз, почти сразу после входа, появилось это уведомление. Можно было нажать только 1 кнопку – продолжить. И после этого, самому идти в настройки и отключать эту фичу. Учитывая как много всякого рекламного появляется при входе в приложения, не удивительно что многие просто на автомате нажали продолжить, и даже не поняли что там было написано.
Пользователь: смотрит в документацию на функцию - она выглядит в целом вменяемо
Функция: работает не так, как задокументировано
Пользователь: "так, стоп, на это я не подписывался!"
Функция по-умолчанию активирована, насколько помню.
По крайней мере, я её отключал, а не включал.
Тем более что банк предупреждал об этом поведении при запуске)
Не баг, а фича!))
Хакер в столовой (с)
Приходит хакер в столовую, а во все солонки уже насыпан яд?
Да нет тут никакого яда. Это не такое большое ослабление безопасности. Если телефон разблокирован, то с ним и так можно наверное много чего сделать, например использовать его для двухфакторной авторизации на тот же Т-банк или любой другой.
Я понимаю, если бы вообще никакой защиты не было. Но ведь она есть, 5 минут дается, наоборот это довольно удобно, не надо постоянно прикладывать палец, зачем это делать, если ты ТОЛЬКО ЧТО это уже сделал, и вообще, возможно, для этого и взял его в руки 10 секунд назад - чтобы войти в банк?
Какая-то излишняя зацикленность на безопасности. Мне сложно представить сценарий, в котором эту уязвимость можно было использовать.
Эта функция была включена у всех текущих пользователей принудительно. Возможно Т-банк проводил тест внимательносьти/настороженности клиентов.
Где вообще эта функция? У меня приложение из Рустора.
"Еще" - Безопасность - Вход в приложение - Быстрый вход
Ради интереса проверил, у меня отключено. Описание функции да, не совсем понятное.
У меня там только «Устройства» и «Контрольные вопросы».
Профиль (верхний левый угол) -> (вкладка) Безопасность -> (раздел) Вход в приложение -> (строка раздела) Быстры вход
Безопасность настройки, как бэ
Не была она у всех включена. Как минимум, у меня не была, я ее именно сам включал для проверки работы и выключил тоже сам. Однако же, сейчас из других комментариев обнаружил и проверил, если не закрыть приложение, а свернуть его, заблокировать телефон и разблокировать телефон - приложение банка доступно без повторного ввода пин/отпечатка. Обычно я его именно закрываю, потому не замечал такого поведения раньше, но это не то поведение, которое я ожидаю при отключённой настройке быстрого входа.
Перепроверил за вами. Подтверждаю ваши наблюдения и разделяю ваше мнение, что поведение выглядит криво. В их приложении "Инвестиции" то же самое. А вот если не смахивать приложение, не сворачивать, а два раза нажать "Назад" для выхода из приложения, то приложение отображается в активных, как будто бы его свернули, но уже попросит PIN/отпечаток при попытке повторного входа.
В новых версиях андроида давно добавили функцию защиты от воровства вида "выхватил телефон из рук". Там отслеживаются датчики и в случае резкого обнаружения бега телефон моментально блокируется что бы ни было открыто, включено или выключено. У Huawei такой нет?
У самсунга по-умолчанию выключено и, если не знаешь, что такая функция вообще есть, то хрен её найдёшь.
Это функция от Гугла. Мне иногда выплывает уведомление, что теперь на андроид доступны новые приколюхи, давайте я вам про все расскажу. Вот, к примеру, защита от воровства, включить можно в настройках гугл аккаунта.
м.... а если я в машине на светофоре стою? "газ-в-палас" и заблокируется? оригинально
Амплитуда движений кисти в зажатым с ней телефоном сильно отличается от амплитуды движения автомобиля, даже если он дергается "газ-тормоз-газ", то вертикальные колебания по сравнению с рукой почти отсутствуют. Современные 3D-гироскопы все это видят, у меня часы Huawei очень точно различают когда я иду пешком, а когда держу руль.
В андроид ещё есть фича определять ДТП и действовать по какому-то сценарию. Наверняка это сделано сложнее, чем можно представить.
А как беговую тренировку начинать? Случай, конечно, сильно утрированный, когда сразу в начале бега нужно к телефону обратиться, но все же.
Она поддерживается на Android 10+. Но добавили не давно, а осенью.
А что именно делает эта фича и как у неё с false positive? Условно, если я куда-то резко побегу с телефоном в руках, я сам вообще смогу его потом разблокировать?
Просто переходит в экран блокировки, скриншот настроек под спойлером.
Там еще есть Offine Device Lock. Был телефон в держателе с беспроводной зарядкой в авто, включен навигатор и музыка. Выехал за город - связь на глухом участке пропала - экран заблокировался.
Езжу аккуратно, без гонок и резких действий - Theft Protection не срабатывал.
Но еще на А14 (А эта фича вроде как с А15 появилась) - примерно после 4 часов включенного экрана телефон сам блокируется. И ему пофиг, что работает навигатор с плеером. Виновен сам Android, мой производитель (Sony - почти AOSP) или там может в навигаторе нет какого-то apiшного момента, который говорит, что телефон используется, не блокируйте - не знаю, я не разраб.
Скрытый текст
У Альфы была похожая функция когда то, причем не помню что она где то включалась. Через некоторое время ее убрали, либо засунули в настройки опцией.
Альфа уже год не может починить слетающий вход по отпечатку с "Keystore operation failed".
А другие приложения нормально работают?
У меня есть относительно редкий баг с Тиньком и KeepassDX. Тинек начинает писать, что устройство не соответствует требованиям безопасности и отключает вход по пальцу, Keepass - всплывает toast "System error (internal Keystore code: 4, message: system/security... ". Вход возможен только по пин-коду. А остальные приложения с биометрическим входом чувствуют себя нормально.
Если перезагрузить телефон - всё проходит на неопределенный срок.
Сначала было нормально, но после некоторых обновлений смарта сломалось. Дописаться до производителя смартфона - это одно дело, а чтобы еще этот тикет передали разработчикам, и чтобы они хоть что-то сделали - это уже фантастика. Sony такие Sony. Плачу, продолжаю есть кактус.
если ты предъявил отпечаток для разблокировки телефона, то внезапно приложение Т-Банка будет пускать тебя внутрь без вопросов в ближайшие 5 минут!
Ну вроде там так и написано, что после предъявления отпечатка будут пускать пять минут. А не после "предъявления отпечатка для входа в приложение". Опция, в целом, право на жизнь имеет, но проблема в том, что она включена по-умолчанию и надо отключать, если не нравится. Должно быть наоборот.
Мне вот, к примеру, не нравится то, как мирпэй работает - позволяет платить без разблокировки телефона и выбора карты. А если включать опцию подтверждения платежа, то там какие-то танцы с бубнами были - то требует, то не требует, то не принимает...
Частичное решение - сделать карту с лимитом и поставить её по умолчанию (первой).
Там, судя по всему, сделано такое же подтверждение как обсуждаемое. Т.е. если телефон разблокировали отпечатком то в течение 5 минут можно оплатить. Если прошло больше, то требует предъявить отпечаток. Ежедневно пользуюсь мирпэй, галочку подтверждения включил т.к. странно когда можно оплатить даже не разблокируя. Ни разу не было каких-то вопросов, все ожидаемо.
Гуглопей же вроде так же работает. Если телефон был разблокирован сильной биометрией - достаточно просто приложить к терминалу и плата пройдет, если слабой биометрией или вообще не разблокирован - потребует разблокировку. В МирПей просто аналогично сделали.
Гуглопеем я не пользовался практически, только самсунгопеем. Там свайпом с выключенного экрана или прикосновением к терминалу открывал приложение и прикладывал палец для платежа умолчальной картой. Ну или можно было карту нужную по быстрому выбрать.
А в мирпей по-умолчанию достаточно просто включить экран, чтобы заплатить. Даже разблокировать не надо. Само же приложение для выбора карты запускается хрен знает сколько, иногда может вообще без интернета не запуститься.
Про самсунгПей подтверждаю, надо самому запускать приложение, но там это изначально было сделано для поддержки эмуляции магнитной полосы (MST (Magnetic Secure Transmission), на Хабре про это есть, например, тут: https://habr.com/ru/companies/fondy/articles/322822/), что позволяло платить телефоном даже на терминалах, не оборудованных NFC. И тогда, помню, SamsungPay за это хейтили, мол, что это такое, какие-то приложения запускать, в ApplePay/GooglePay достаточно просто телефон приложить, 21 век же на дворе.
А вот мирПей у меня не так работает. Если экран включен при заблокированном телефоне или телефон был разблокирован слабой биометрией (лицом), то приложение запустится, но при оплате затребует сильную биометрию (палец) либо пин. Если телефон был изначально разблокирован сильной биометрией, то оплата пойдет без вопросов. Возможно, в вашем случае у вас отключена настройка "Запрос подтверждения при оплате", тогда да, платежи на сумму до 3т.р. будут проходить и с заблокированного устройства. Собственно, как и в случае с бесконтактной картой
Ну так это и непонятно, что значит предъявление отпечатка
пользуюсь их приложением лет 3-5 наверное, может даже больше, отпечаток оно у меня спрашивало раза два за всё время, при этом телефоном как таковым я пользуюсь очень редко, по всей видимости когда я его разблокирую отпечатком то и начинают тикать те самые 5 минут, а так как я "зависаю" в телефоне никогда, то и получается что приложение банка, когда бы я к нему не обратился всегда у меня разблокировано. Трудно считать это уязвимостью, так как без разблокирования телефона тем же отпечатком в приложение никто не зайдёт, а если сумеет зайти, то в чем проблема зайти так же с тем же способом и в приложение банка?
Вы как статью читали ? У вас попросили телефон мем посмотреть. Вы разблокировали телефон и дали человеку, уверенные в том, что если он попытается зайти в банк и ТД то у него не получится, так как попросит снова отпечаток. А по итогу человек заходит в банк и сливает все ваши деньги. Надеюсь теперь до вас дошло)
Давать посторонним свой телефон уже само по себе очень не умная идея, если что.
Мир, в котором мы живем -- один аккаунт на всех на домашнем компьютере. Аналогично, на Android мультиаккаунты не прижились. А на желание "покажи фотографию" тоже без договора и росписи телефон из рук не пускать?
Подтверждение входа в приложение здесь именно что является ожидаемым вторым фактором. Это не уровень "надо было знать, что полезет чаты глядеть".
А на желание "покажи фотографию" тоже без договора и росписи телефон из рук не пускать?
А зачем его в принципе из рук выпускать? Повернул экран человеку и всё. Или в месседжере переслал.
Ну это для параноиков типо вас. А я говорю про нормальных людей)
Но это не означает, что такой сценарий не используется пользователями.
я много чего читаю, но совсем не значит что я разделяю те алгоритмы использования телефона, которые указывают другие. какой мем? перешлите ссылку, пусть смотрит мем на своем телефоне. моим телефоном может пользоваться только моя жена, но воровать у себя же деньги это сильно конечно, но может с вашей женой у вас другие отношения.
далее, если я вдруг, по какой-то причине и буду показывать кому-то какой-то мем, то мой телефон будет у меня в руке. Даже допустим что я такой дурачок и дал кому-то телефон в руки, то я буду смотреть на экран и буду видеть что он с ним делает. Для того чтобы сделать перевод нужно не просто стоять и смотреть на мем, нужно активно долбить по экрану, плюс у вас останется история перевода. В общем я не знаю каким таким бомжам вы даёте свой телефон на пол часа "посмотреть мемы", но поведение уже вызывает интерес докторов.
Я говорил о нормальных людях, а не параноиках типо вас) Так что зря вы свою простыню накатали.
Лихо вы безалаберность назвали нормой. Я правильно понимаю когда вы в магазине закупились товарами и всё сложили в машину на стоянке, то двери у машины вы не закрываете, ну а зачем? Вы же нормальный. Оставили двери незапертыми, а на сиденьях у вас три новых айфона, два макбука, фен дайсон, пылесос кирби и коробка с 1000 ЦПУ Core i9 нового поколения. Так? Это у вас норма? Или вы всё же имеете хотя бы грамм здравого рассудка и понимаете последствия поступков?
Скажу больше, я в принципе не оставлю товары в машине, максимум в багажник, зачем соблазнять прохожих, среди которых может оказаться кто угодно - кирпичиком бум по стеклу и готово.
Мне кажется, что такой профит в юзабилити может быть полезен только тем, кто пишет "спс" вместо спасибо для экономии времени.
Я эту "дико полезную" функцию их приложения в августе не то в 22, не то в 23 года обнаружил. Я тогда проверял, получалось в их приложение попасть даже после перезапуска телефона. Благо можно было отключить в настройках.
Я надеюсь эта галочка не стоит по умолчанию. Если нет, то жить можно -- может быть у фичи и плохой дизайн, но пользователю тоже стоит разобраться (что автор и сделал) как работает галочка, которую он включает.
Как человек, входящий в интернет банк по паролю и смс (и считающий, что и тут есть что улучшить) с недоумением смотрю на ваши мелкие драмы.
А телефон для смс отдельный?
Не знаю, как у автора комментария выше, но у меня - отдельный, без доступа в интернет. Понимаю, что от забэкдоренных левых трубок не спасёт, но от банальных зловредов - более, чем...
И нет, я не сотрудник ИБ - просто давно уже привык по максимуму использовать многофакторную авторизацию/аутентификацию (где доступно - OTP, где недоступно - одноразовые пароли из СМС...). Меня не напрягает таскать с собой два смартфона и кнопочную звонилку. Понятно, что это не мэйнстрим, но не думаю, что я уникален в этом вопросе.
Блин ну что вы страдаете - не нравится фича не используйте (я кстати не использую), функциональность описана корректно.
Но это штатный механизм используемый в Андроиде, когда приложение может использовать ключ через разблокировку главного экрана. То есть при сохранении ключа указывается что он доступен после разблокировки в течение энного времени. Других вариантов там на самом деле нет - либо требовать при каждом открытии приложения, либо полагаться на системную разблокировку. Точно так же работает оно в эппле и в каком нибудь Сбербанк онлайне - ибо это один из механизмов предлагаемый вендором операционной системы.
То что тинек и сбер это включили по умолчанию при установке приложения или когда выкатили фичу впервые это не есть хорошо, но и в общем то не смертельно.
Можно в самом приложении проверять когда надо запросить отпечаток
Так они эту хрень сами втихоря включили!
Если фича сделана очень странно, то почему бы не пожаловаться об этом кому-то, даже если решишь больше ей не пользоваться? Многие люди пользуются ей и неверно её понимают, как следует из этого поста и более раннего поста на Хабре на эту тему.
Приложение само выбирает, когда ему спрашивать отпечаток, а когда не спрашивать, и по какой логике. Я так понимаю, разработчики в этом вопросе не были жёстко ограничены API системы, чтобы принять именно такое решение -- это была их явная воля сделать вот именно так.
Что за бред? Функция работает, как и должна. Есть описание и там все четко написано! Функция НИКОГДА не была включена по умолчанию, но пару раз приходили пуши где предлагали включить. Если кто то не читая, нажал согласен, то вот вы и включили эту функцию, а теперь на банк жалуетесь! Всегда читайте внимательно, прежде чем пользоваться чем то! Если что то не поняли, лучше спросите в поддержке, чем подумывать самому, а потом говорить, что "я думал это не так работает"
Простите, но Тиньков-банк столько раз вляпывался, что ему доверия нет.
У нее непонятное описание
Если вы используете отпечаток пальца или скан лица, у вас будет 5 минут, чтобы зайти в Тинькофф без авторизации
Функция совершенно точно была включена по-умолчанию. Я никогда в здравом уме её не веключил. А слать пуши "мы тут включили какую-то новую функцию", это так себе отмазака, так как иногда 10 пушей прилетает сразу - покупки, три рекламы, и ещё что-то, - а ты в это время отчаянно пытаешься QR-кодом заплатить. И просмотреть, что там где мелькнуло - это очень неочевидная задача. Кстати, там нет возможно просмотреть многие сообщения из пушей, если сразу не прочитал.
«В таком процессе авторизации нет рисков»
Для банка.
На самом деле нужен баланс между юзабилити и безопасностью - тут явно перебор с первым, а в медицинских приложениях со вторым, где нельзя включить автовход и раз в месяц надо подтверждать авторизацию паролем.
Обожаю эту функцию, потому что бесит по 100500 раз вводить пароли после того как я 5 секунд назад разблокировал своей биометрией телефон. Если эта функция вам не нравится - вы можете её (сюрприз!) отключить, а вот требовать чтобы её для всех выключили не надо.
В посте на эту же тему, на который я ссылаюсь в статье, был скрин, что в Сбере есть такая же функциональность, но там временной интервал равен 10 секундам. Это в 30 раз короче, чем 5 минут у Т-Банка. Если бы интервал был бы в 10 секунд, у меня вопросов тоже не было бы.
Я считаю, что вне зависимости от того, кто чем предпочитает пользоваться, каждый может на общих основаниях критиковать и то, чем он не пользуется, почему бы и нет.
Все не читал - я бы сделал так быструю разблокировку оставил, но если человек хочет сделать перевод на сумму больше заданной( например 10тыс рублей) то спрашивать отпечаток повторно. А то оно бесит часто подтверждать при входе.
Довольно много времени я пользовался ЯБраузером в том числе из-за удобного менеджера паролей. Потом все-таки меня ЯБ достал и я переехал на Хром. Но оказалось, что в хроме неприятная фича в том, что в нем нет мастер-пароля! И в поддержке отвечают, что стандартной защиты при входе в винду достаточно и идите нафиг) Пришлось, наконец, переезжать в Битварден (не жалею, но телодвижения были нужны). Так вот Т-банк пошел по пути Хрома: стандартной защиты хватит всем!
Вообще - если вам нехватает стандартной защиты
Опция 1. Отключите быстрый вход в настройках (в хроме мастер пароль не появится а тут оба - и всё, проблема решается одной галкой)
Опция 2. Выходите из аккаунта каждый раз когда закрываете приложение - ну если принудительной пиновой защиты нехватает, почему бы и нет - это работает.
Опция 3. Удаляйте приложение каждый раз после завершения действий - тогда даже теоретически данных для авторизации не останется.
Опция 4. Не устанавлийте приложение - пользуйтесь доступом через браузер в режиме инкогнито.
Как по мне - есть опции почти на любой уровень беспокойства о безопастности. Мне нехватает опции - "не спрашивать пин никогда", но реализация быстрого входа почти решает эту проблему.
Это не поможет примерно никак. До тех пор, пока в банках не появится полноценная 2fa, не связанная с смс и пока банки не перестанут пускать в ИБ по номеру карты, который вообще не является секретным. Пока что от слова безопасность в банках нет ничего. Более правильно это называть словом решето.
> есть опции почти на любой уровень беспокойства о безопастности
Более правильно сказать, что их нет вообще.
Хром на Win не покажет пароли сайтов без ввода пароля пользователя Win. То есть, как минимум, нужно знать этот пароль. (Как и андроид, вы разблокировали смарт отпечатком, и, чтобы увидеть пароли Хром вы снова используете тот же отпечаток). Они не лежат в открытом виде.
Тупая статья какая-то, в которой очень много лишних букав. Т-банка косяк лишь в том что он эту функцию включил по-умолчанию. Отключить её можно пройдя в настройки-безопасность-быстрый вход.
Давно ушёл с Тинька и нисколько не жалею. Банк скатился на дно.
В комментариях пишут, что для пущей радости эта опция включена по умолчанию
Странно, у меня отключена. Хотя может быть я её сразу при переустановке отключил и забыл об этом так как я чаще всего отключаю всякие упрощенные входы. Тут еще есть другая проблема, которую не очень понятно как решать -- вход по отпечатку не очень надежен в том плане, что можно твой палец силой приложить к сканеру, а при входе по пину, его довольно легко подсмотреть/заснять, особенно учитывая, что вводить его надо на сенсорном экране. И что с этим делать не очень понятно.
И что с этим делать не очень понятно.
Можно немного шаманить. Устанавливаешь какой-нибудь island или shelter. Ставишь банк внутрь получившегося профиля. Потом настраиваешь вход в телефон по биометрии а в изолированный профиль - по пину. Или наоборот. В результате, чтобы добраться до приложения нужна и биометрия и знание секрета.
Но хотелось бы, чтобы это была стандартной возможностью, без шаманств, это да.
Первый и главный вопрос к автору статьи у меня такой - а у вас в приложение смс тоже вход по паролю? Если нет, то к чему вообще претензии - забыли пароль, восстановить через смс - и никакие принудительные "введите пин" вам не помогут. Третье лицо которому вы доверили телефон (он же авторизационный токен) имеющий програмно аппаратную защиту, самостоятельно эту защиту сняв, всё равно украдёт у вас все.
Как по мне - у т-банка эта функция у единственного реализована адекватно - если я разблокировал телефон только что, я не хочу чтобы у меня спрашивали пин еще раз. Если я даю в руки свой разблокированный телефон кому-то еще - значит я ему достаточно доверяю, чтобы он не лазил в моих банковских приложениях или нюдсы не смотрел без разрешения, а если вы любите раздавать телефон первым встречным - заведите второе пространство или просто отключите функцию быстрого входа в настройках приложения и запарольте звонилку.
Куда больше бесят приложения с неадекватными безопасниками вида - "поставьте пин для приложения вашей страховой" - здравствуй bestDoctor. И сидишь, телефон разблокировал, страховую разблокируй еще раз - а что там защищать - вообще непонятно, потому что приём всё равно по паспорту, а каких-то внятных медицинских данных в приложении всё равно не выводится.
А с чего вы взяли, что пароль должен восстанавливаться через смс?
Вопрос в том, что описание не адекватное создает ложное представление о функции и включено по умолчанию, что приносит риск для тех пользователей кто на него не подписывался.
Защищённость -- это про повышение сложности, стоимости атаки. В статье я показал сценарий, где поведение, которое я ожидал, более защищённое, чем текущее. Конечно, при желании можно много чего сделать с разблокированным телефоном. Я об этом написал в статье изначально. Но вопрос в цене: насколько легко добраться до секретных данных, до ценностей? С текущим поведением в том сценарии, что я описал, достаточно одного тапа. А могло бы быть существенно сложнее.
Кроме того, на самом деле ведь не важно, стоит у меня пароль на СМС или нет, да может, я вообще не клиент Т-Банка. Какая разница, если я критикую их подход на общих основаниях? Поведение странное, с этим согласна основная масса проголосовавших в статье, на которую я сослался. Ad hominem -- неубедительный аргумент!
если я разблокировал телефон только что, я не хочу чтобы у меня спрашивали пин еще раз
С моей точки зрения, 5 минут -- не "только что", а сильно более длительный промежуток времени.
Есть подобная проблема (фича) для apple-pay на apple-watch. Когда ты надеваешь часы на руку, то надо вводить пароль только один раз вначале. Тогда apple-pay работает без всяких паролей. Если часы снять с руки, то это все детектируется, и опять заново надо вводить пароль.
Скриншот
Вроде вполне понятно описана функция. Очень давно появилась.
Статья конечно хорошая, но данная функция работает далеко не у всех пользователей. У меня приложение уже давно стоит и ВСЕГДА при любой разблокировке телефона, для входа в Т-Банк или Т-Инвестиции требуется отпечаток пальца или pin и не важно не прошло ли 5 минут или больше =)
Да и наблюдаю комментарии по поводу того, что Т-Банк мягко говоря не очень качеством, но сколько я пользуюсь им, Сбером, Альфой именно Т-Банк самый самый, красивый, удобный в плане интерфейса, многофункциональный и всё перед глазами, приложение не лагает как та же Альфа и ко всему есть куча настроек как и безопасности так и в целом, максимум контрольный вопрос снимается лишь в чате и оператором, а остальным играйся как хочешь.
У банка хорошие тарифные условия и я права удивляюсь, когда люди думают что хороший банк обязан предоставлять карту без каких-то 99 рублей в месяц за обслуживание и то! есть условия для бесплатного обслуживания и так не только в Т-Банке. Люди думаю что хороший банк обязан предоставлять им бесплатные пополнения карты даже НЕ через банки-партнёры! А то что там бесплатные переводы между счетами что своими, что людям, бесплатные переводы, пополнения в своих банкоматах и до 150К по стандартному тарифу в банкоматах партнёров - всем пофиг...
Единственное что в данном банке плохо осуществлено - это Т-Мобайл, которым привязан к тому же к вышках мобильного оператор, правда уже не помню какого
Так что люди, если Вы будете творить хрень или жалеть 99 рублей в месяц - проблема не в банке и не в его условиях, а в том что именно вам он не подходит
Без оскорблений и прочего говорю, что очень редко люди жалуются на Т-Банк, если знают что есть банк и его условия, соблюдают их и охотно общаются с поддержкой, если что-то случилось, там всегда помогают
А если у вас проблемы с обновлением паспортных данных, то всё так же просто - пишите в чат "подключить сотрудника" и присылайте туда фото, всё сделают максимально быстро и подскажут что переснять
Спасибо за комментарий, но мы же обсуждали куда более узкую тему... Дело не в том, сколько надо платить в месяц, а в конкретной нелогичной функциональности. Вы её у себя выключили, а у многих людей она работает. Ну и что, что её можно выключить -- менее странной и более безопасной она от этого не становится. На общих основаниях её есть за что покритиковать.
В приложении Сбера эта функциональность была добавлена давным давно, и из описания было понятно, что она работает именно так.
Проверил. В приложении есть только одна опция "разблокировка по отпечатку", у меня выключена. Видимо в случае, когда я не хочу разблокировать приложение пальцем, а только пином, но телефон разблокируется пальцем, данный сценарий не работает.
Это было на iOS и тогда, когда приложение ещё было в App Store и его не нужно было маскировать. Или это был ВТБ...
В приложении Сбера это было, но видимо, уже убрали. Скриншот есть в комментариях к более старой статье на Хабре, на которую я ссылаюсь.
https://habr.com/ru/articles/792556/comments/#comment_26490752
Запретил вход в приложение тинька по биометрии в принципе, когда они начали подсовывать на экран логина что-то из разряда «логинясь, вы соглашаетесь с подключением услуги ххх». Теперь только пин-код и только после того, как внимательно посмотрю на экран и удостоверюсь, что скрытых соглашений нет.
Более того, у меня там как минимум на полтора года четырёхзначная сумма зависла, потому что невозможно войти через браузер, не согласившись со сдачей биометрии. Обращение по телефону ничего не дало, а офиса их в моём городе нет (сюрприз-сюрприз, да?). Вывод: больше не связываться!
Могли бы просто пополнить с карточки счет в другом банке. Карточки же не заблокировали вам? Еще вариант - найти где в вашем городе есть их банкомат и с него отправить куда нужно.
Оффтоп: Четырёхзначная сумма - это сильно - это больше, чем 999,99 или 9,99? Ну, и как верно заметил комментатор выше - есть более одного способа вывода денег со счёта в любом банке...
Б - Безопасность
Банку пофигу, несколько лет так работает. Писал им, все "рекомендации" - снести приложение и установить заново. В итоге хранить там что-то перестал, периодически записываю на ежедневку.
Как много всем чего-то кажется, и как мало (ни одного не нашел) случаев, когда кто-то из-за этой функции реально потерял деньги. Казаться может что угодно, но время показывает реальность
Сегодня заметил, что они убрали кнопку 'оплатить' в картах и спрятали функционал в кнопке 'перевести', хотя переводить ничего не планировал... Обратился в саппорт, ответили что все хорошо, так и должно быть. Что-то там у них поменялось в худшую сторону в части UX/UI точно... С безой, как вы говорите тоже не все гладко, печально, хороший был банк...
Не пользуюсь услугами данного банка. Сомневаюсь в его надёжности и честности.
Почему-то все начинают с конца. Первое, куда надо посмотреть - это у кого права на рута. Потом посмотреть что будет, если права появятся у вас. После этого уже будет ни к чему эти глупости обсуждать.
Итак микросводка:
если стоят рут‑права или ваше устройство «подозительное», можно сделав чекап увы только через поддержку, то он будет запрашивать очепяток при логине, даже в течении этих пяти минут
Эта опция включена по умолчанию
Если в течении пяти минут «разорвать» приложение и попытаться зайти = отчепяток/пин‑код будет запрашиваться
Если попробовать обойти защиту в приложении правило пяти минут отменяется, нужно пин‑код вводить
Ну и смешной фактик о приложении: если его вырвать с одного смартфона и перенести на другой, неважно как, правило пяти минут будет работать после разблокировки и приложения не заподозрит ничего. Самый защищённый в моих личных тестах увы ренессанс. У них безопасность на уровень выше, но это не то приложение банка которое нужно всем
Капец ты душнила конечно, просто передвинь рычажок и все, зачем статью об этом целую писать, и приложение при первом таком входе тебе говорит о том что у тебя это включено. Ты бы ещё написал что перевернул телефон и у меня скрылись балансы как так куда писать, зачем мне скрывать баланс🤣🤣🤣🤣🤣. Просто статья не о чем и вот такая чепуха кликбэйтная у меня в ленте, пришлось даже регистрироваться чтобы комментарий оставить.
Спасибо, что зарегистрировались и оставили этот комментарий. Любо-дорого читать. Если душнильски посмотреть на мой текст, то можно заметить, что про рычажок я в курсе. Я-то могу его передвинуть, совершенно справедливо. Но функциональность всё равно странная и небезопасная. Не важно, пользуюсь я ей или нет, могу ли я её отключить или нет, это же ничего не меняет. Она вызывает массу вопросов в своей осмысленности у меня и не только у меня, криво описана в интерфейсе. Поэтому я и написал текст, который вызвал у вас такую бурную реакцию.
Всё же отпечаток пальца изначально был придуман для того, чтобы упростить проверку, является ли человек, взявший телефон, его владельцем. (Чтобы у вас его в тихую не стащили и не вывели деньги и аккаунты)
Ваши внутренние процессы, как вы распоряжаетесь своим телефоном - это в первую очередь ваши собственные проблемы.
Может вы зашли в Т-Банк чисто дать ребенку в 5 букв поиграть и считаете логичным сделать отдельную авторизацию для переводов? А может вы зашли в меню переводов чисто контакты полистать и хотите на кнопку "Перевести" отдельную авторизацию?
Телефон - это в первую очередь персональное устройство. Намеренно даёте его кому-то поиграться, трясясь за секурность - заводите отдельных юзеров. Выхватили телефон, пока были в приложении банка - ну вы бы ещё с пачками 5к-купюр по гетто бы гуляли.
Защищённость -- это про повышение сложности, стоимости атаки. В статье я показал сценарий, где поведение, которое я ожидал, более защищённое, чем текущее. Конечно, при желании можно много чего сделать с разблокированным телефоном. Я об этом написал в статье изначально. Но вопрос в цене: насколько легко добраться до секретных данных, до ценностей? С текущим поведением в том сценарии, что я описал, достаточно одного тапа. А могло бы быть существенно сложнее.
Если в гетто вас ограбят, то закон будет на вашей стороне. То, что вы говорите, называется "обвинением жертвы". В идеале защищённость должна обеспечиваться в разных сценариях, в том числе таких, которые с мегаосторожным человеком, которого вы описываете как пример для подражания, не случаются. Так уж вышло, что мегаосторожных людей мало. Людей очень тяжело перевоспитывать. В тех сценариях, которыми много людей реально пользуются, следует постараться их защитить по возможности, даже если эти сценарии были бы нерелевантны для мегаосторожного человека.
Похоже Т-банковцы вдохновлялись корпоративным Single Sign-On. Когда при разблокировки Windows своим доменным акаунтом пользователь может без логина входить в приложения связанные с этим акаунтом. При чем там никто не жалуется на подобную реализацию. Может потому что потенциальный вор не может выхватить кейс и убежать с ним?
Фича не новая, уже видел такой подход и до тинька. К слову, включал эту штуку сам.
По моему все вполне нормально. Если ты разблокировал значит телефон у тебя. Очень сложно себе представить чтоб ты разблокировал, но при этом телефон не у тебя... Опять таки не нравится отключи эту функцию.
Лично меня бесит когда требует пять раз палец подставлять...
Даже с этой включённой опцией, даже сейчас приложение Т-Банка не пускает без предоставления отпечатка/PIN, если прошло более 5 минут. Так что тут даже инженеры, которых я критикую за недостаточный консерватизм, более консервативны, чем вы!
У опции странный дизайн, на мой взгляд просто плохой, вот я её и критикую. Отключить её конечно можно, вы правы, но непонятно, зачем она вообще родилась и живёт в таком виде.
Вы когда-нибудь давали телефон своему ребёнку, поиграть в игры?
Я - нет. Просто, когда у моего ребёнка не было личного телефона, в моём не было мало-мальски интересных игр. И ютуба не было. И интернет-банка. А на компьютере у каждого члена семьи был свой аккаунт, а учётка с админскими правами вообще была отдельная, и никто, кроме меня от неё пароль не помнил... но всё равно доча умудрилась с маминого телефона через платные СМС спустить пару тысяч на какую-то игрушку от Алавара =)
Домохозяйки протекли в некогда сильное IT-сообщество, как жаль
Тоже столкнулся с данным банком, более того снял видео о том что приложение выгружено из "диспетчера задач" но какого то лешего пускает в ЛК. Причем интересное совпадение: если заходить в приложение (которое ранее было выгружено) через ярлык то приложение просит код/отпечаток, но вот если открыть уведомление в шторке то пускает без вопросов. Описал это в чате поддержки, но мне ответили что все норм так и работает эта функция, видимо принимать отказались ( в чат его отправить нельзя, там только картинки аттачатся)
То есть я согласен с тем что если я переключился между приложениями посредством диспетчера или даже использую ярлык в течении заявленных 5 минут эта функция вполне оправдана и работает как заявлена, но если я совершил принудительную блокировку смартфона, а перед этим смахнул приложение из запущенных, не должно ли это стать поводом для сброса счётчика? Тем более какого лешего любой может зайти в приложение просто открыв условную шторку с напоминанием зайти в "5букв"???
вор выхватил мой телефон
В русском языке такого принято называть грабителем. Вор может стащить из кармана.
Я, наконец, нашёл время и отселил все критические и шпионящие приложения на другой смарт в рабочий профиль под управлением Shelter с автозаморозкой по блокировке экрана. Сплю гораздо спокойнее.
Слишком уж «Быстрый вход» в приложение Т-Банк на Android