Как стать автором
Обновить

«Сбер» раскрыл метод установки мобильного приложения «СБОЛ» на iPhone клиентов в отделениях банка

Время на прочтение4 мин
Количество просмотров135K
Всего голосов 34: ↑31 и ↓3+35
Комментарии158

Комментарии 158

По мнению специалистов…

Также эксперты по кибербезопасности предупредили…

Кто все эти люди? У любого специалиста и эксперта есть фамилия, имя и отчество. Время безымянных авторитетов в сфере ИБ прошло. А так - другие эксперты заявляли, что этот способ более безопасный и надёжный в случае Сбера, чем использование магазина приложений.

А по теме - люди из Сбера молодцы, реализовали неплохой способ частично решить проблему. Но не очень понятно, зачем об этом растрезвонили журналистам.

Но не очень понятно, зачем об этом растрезвонили журналистам.

Для того, чтоб оповестить клиентов.

Айфоны конечно понятно, но про приложение для айпада людям приходи СМС от Сбербанка, что оно скоро умрет (как я понимаю протухнут сертификаты, потому что они его не обновляли сто лет) и предлагают придти к офис для установки.

— руководитель департамента iOS-разработки Red_mad_robot по региону Центральная Азия Влад Марков.
— руководитель направления «Расследование инцидентов информационной безопасности» FBK CyberSecurity Игорь Собецкий.
— директор центра разработки Artezio Дмитрий Паршин.

В чем они молодцы?
Некий "специалист из Сбера" берет ваш полностью разблокированный телефон и подключает его к ноутбуку....
Скачивает всё что там есть с него себе и непонятно что устанавливает вам...
Ну да... надежный план, как швейцарские часы. Безопасно! Мышь не проскочит...

Вот видите, USB 2.0 в айфоне – это фича! Сотрудник Сбера просто не успеет ничего себе скачать! /s

Достаточно авторизоваться в сервисах Элп, чтобы потом, не спеша, скачать все — что хочется

Вот этот момент я не понимаю. Как они авторизуются в сервисах Apple? Разблокирован телефон, а не Apple ID.

UPD: И, главное, зачем им авторизоваться в сервисах Apple, если они это делают?

UPD2: Возможно, я неправильно понял, что и как они ставят. Я предполагал, что они используют Enterprise Dev Program просто, а тут, видимо, поинтереснее?

Человек, получивший физический доступ к разблокированному телефону — может очень многое.

Нет, давайте с конкретикой. Что конкретно может сделать человек с моим разблокированным телефоном, чтобы получить, с Ваших слов, доступ к моему Apple ID? А то нагнетать все горазды, я хочу понять, какой конкретно вектор атаки. С разблокированного телефона можно скачать то, что доступно на разблокированном телефоне и только за время, что телефон у вас в руках. Выше Вы говорите про авторизацию в сервисах Apple, "с которых потом можно, не спеша, скачать всё". Пожалуйста, поясните.

Вам никто не мешает узнать почту от icloud в настройках, сбросить пароль от нее через письмо в почтовом клиенте на телефоне, и т. о. получить доступ ко всем резервным копиям и данным

Отчасти принимается. А есть какой-то способ, который не спалят в течение дня, а с высокой долей вероятности – немедленно? И это даже с учётом отключённой 2FA. Неинвазивный, так сказать.

Сдаётся мне, что нет.

90% среднестатистических пользователей iPhone даже через неделю не чухнут, в чём дело... ваша проблема в том, что вы смотрите на ситуацию только своими глазами...

А пользователи Андроид — все сплошь одним только гики, проверяют даже дату ssl сертификата и достоверность центра, который его выпустил?

И никогда ни один айтишник не возьмёт Айфон в руки?

Мне казалось, что такая примитивная сегрегация по типу телефона даже на всяких школолопикабу уже вышла из моды

90% среднестатистических пользователей iPhone даже через неделю не чухнут, в чём дело...

Оставшихся 10% хватит чтобы такой шум поднять, что мало не покажется

В какой стране, лол? Кому не покажется?

Напомните, хоть какой-то из банков, которые неделями сидели с heartbleed'ом и всем лечили, что все сливы - это враки, наказали?

Вообще-то сейчас везде использована верификация с помощью надёжных устройств.

Поэтому с помощью одной почты сбросить не получится.

Я два дня назад сходил в сбер поставить это чудо юдо. Скажу так. Телефон я из выпускал только когда кабель подключали. Потом его разблокировал и в течении 10 секунд туда залетел ipa. Телефон отключается от их компа. Запускается приложение и требует авторизацию Apple ID того кто подписал /установил изначально это приложение. Сотрудница вводит их почту пароль тут же авторизирует на айпаде мой телефон. Приложение запускается. Все.

Сотрудница вводит их почту пароль

А это безопасно?

Можно включить режим паранои ) включить самолетик и идти домой по шнурку сгружать все а потом ресет телефона )) Да нормально все. Не знаю как в других отделениях работает. Но я бы свой телефон не оставил без присмотра. Для меня лично понятен был каждый шаг сотрудника. Я думал они вообще юзают тот же  iMazing. А они там оказывается свое что то запилили.

У меня есть вопросы к людям на форумах где выкладывают IPA сбера а кто то их ставит )) (или не ставит)

Это их заботы на самом деле )

Спасибо за информацию. Первый раз вижу чтобы надо было вводить креды владельца сертификата приложения, обычно надо просто зайти в настройки телефона и добавить сертификат в доверительные. Либо я чего-то не знаю, либо это какой-то хак, ждем подробностей от знатоков )

Это значит на трубку ставится IPA, скаченная под чужой учеткой. При скачивании из аппстор IPA привязывается к текущей учетке. И без кредов для нее не запустится. Это вполне известное поведение, связанное с DRM системой аппстора.

Добавление сертификата в доверенные это значит установка IPA, который никогда не был в аппсторе и подписан кем-то своей учеткой разработчика. Будь это корпоративная или обычная. В этом случае да, в телефон добавляется серт и его нужно одобрить в настройках трубки.

@creker Спасибо. Значит они ставят приложение удаленное из стора, теперь хотя бы ясно, что это не новое собранное, а старое удаленное, которое осталось на сберовском девайсе.
Про DRM, у меня не просило ввести креды. Вот мои шаги. Есть приложение которое недоступно в России, у меня стоит в аккаунте Россия. Я попросил друга из Европы (у него в AppleID стоит Европа) скачать ipa и скинуть ее мне. После установки на мой девайс появилась ошибка "Download Required: To use this app, you need to download if from the App Store". Но тут возможно из-за рестрикта на страну.

Действительно, скинул хабр ipa-шку человеку у кого не установлено и девайс попросил мои креды. Забавно, спасибо еще раз.

Есть же sideloadly.

Когда iPhone подключают к компьютеру первый раз, то нужно ввести пинкод на телефоне для подтверждения доверия компьютеру (без этого ничего нельзя сделать с телефоном), то есть как минимум один раз нужно ввести пинкод в Сбере. После подключения телефона к компьютеру можно запросить сделать бэкап всего телефона на локальный компьютер, для подтверждения начала бэкапа нужно снова ввести пинкод на телефоне, если пользователь будет невнимателен, а Сбер менеджер скажет: "введите пинкод еще раз, чтобы продолжить работу", то у Сбера будет полная копия всех данных с телефона.

Сегодня ходил с мамой устанавливать ей на айпад Сбол в Сбере. Не очень понимаю, зачем сотруднице Сбера данные с айпада, что она с ними будет делать и самое главное, она будет первой подозреваемой если что. Деньги будет красть? Так она и так может это сделать, без айпада.

Второй раз кстати код доступа не вводили. Бэкапов она точно не делала, судя по длительности процедуры.

Не очень понимаю, зачем сотруднице Сбера данные с айпада, что она с ними будет делать и самое главное, она будет первой подозреваемой если что. Деньги будет красть? Так она и так может это сделать, без айпада.

Получали как-то кредитку в сбере. Карту принесли не в конверте, а в открытом виде. Пин-код устанавливали на терминале который отлично виден был сотруднику принесшему карту.

Удивившись на такой подход к безопасности - задали вопрос "какого черта". Услышали ответ прям как Вы сейчас написали "а четакого что я с этими данными буду делать да меня же если что заподозрят я и так могу все украсть".

Очень удивлены слышать воплощение этого аргумента на хабре. Как по нам, так это принципиальная ошибка в самом подходе к безопасности. Обосновываться должна открытость данных и доступность, а не их закрытость и приватность.

Это старая сберовская традиция — выдавать карты просто «из ящика». Удивляет всех, кто первый раз туда приходит

Причем, сотрудники там получают не ахти и потому большая текучка. Так что, может быть, заподозрят они потом кого надо — но легче от этого не будет

Справедливости ради, всегда во все времена карты были доступны (ограниченному) кругу лиц. Раньше это были кассиры, т.к. у них была материальная ответственность, и пластиковые карты вешали на них. Основной темой безопасности было хранить в раздельных местах сами карты и конверты с пинкодами. Тогда процесс выдачи карты был довольно геморным - нужно было найти карту в одном месте, и пин конверт в другом. Выдача карты занимала чисто физически довольно много времени.

Потом, как большинство банков перешло на безбумажный пин, который ставит сам юзер через банкомат/приложение/по телефону, то всё стало проще, и карты стали выдавать менеджерам в зале, типа принеси-унеси. Даже если спалят CVC код для операций, то нужен ещё код 3d-secure. Конечно могут быть злоумышленники, которые фотают карты, но ничто не мешало им и делать так раньше (всё это время). А 3d-secure всё же защищает от большинства таких злоумышленностей.

Поэтому, я бы сказал, что сейчас с введением 3d-secure стало даже безопасней.

В целом — да, просто с фотки карты не всегда можно что-то плохое сделать. Но таки мне попадались сервисы, которые никаких кодов по смс не просят

В таких сервисах очень легко вернуть деньги даже в РФ. У них повышенные риски из за неподтверждений 3ds, и выше комиссия, больше возвратов.

Вопщем — да, что не отменяет дополнительного гемора и нервотрепки

Там обычно привязка идет, вот и не требует. Ali и Яндекс маркет. Вы можете посмотреть к каким сервисам выша карта привязана через Сбер приложение.

Кому-то может показаться, что вы пишете, как оно есть, но это, на самом деле, ерунда.

Во-первых, "раньше" получение пластиковой карты в запечатанном "защищенном от просвечивания" конверте вместе с бумагой, на которой напечатан PIN таки было нормой, физическое разделение получения карты и PIN не было универсальной практикой.

Самостоятельная возможность смены PIN - в общем случае - лучше отсутствия этой возможности, но в конкретных случаях не гарантирует дополнительную безопасность автоматически, так как это зависит от действий пользователя и того, как это организовано банком.

В-третьих, трехсторонняя авторизация хоть и добавляет дополнительный фактор (в принципе), но этим только несколько снижает риск для держателя карты, потому что (сюрприз для многих) если платежный шлюз merchant-а не поддерживает ее, то транзакция по карте эмитента, поддерживающего ее, пройдет без трехсторонней авторизации. Так что кардерам это не помеха. Помеха - только тому дураку, который попытается платить случайно украденной или найденной картой в произвольном магазине в интернете.

Трехсторонняя авторизация более всего защищает не держателя карты, а продавца.

Кому-то может показаться, что вы пишете, как оно есть, но это, на самом деле, ерунда.

Да бросьте вы. Я отвечал на комментарий, в котором обвинялся чисто Сбер, и указал, что во многих банках была такая-же история, не только у Сбера. Я сам не долюбливаю сбер, но я не люблю, когда обвиняют кого-то в чем-то, когда и у остальных также.

Так что кардерам это не помеха.

Речь же была не про кардеров, а про то, что сотрудники банка вдруг стали мочь воровать данные карт:

Это старая сберовская традиция — выдавать карты просто «из ящика». Удивляет всех, кто первый раз туда приходит

То есть в одном предложении сразу две ошибки: первое - так было во всех банках. Второе - такое не может удивлять, т.к. так было всегда.

Ваш комментарий конечно же верен, всегда есть способы украсть денег, всегда могут быть нечистые на руку сотрудники, всегда были и будут кардеры, что самое безопасное - платить наличкой или криптой. Но как это относится к комментарию, на который я давал ответ?

Сейчас пинконверта больше нет. Хотя наверное изначальный пин на картах и записан, но не в случае новых МИР сбера. Они не персонализированы вообще. То есть cardpeek их почти не считывает, только метаданные.

Ни 3d-secure, ни cvc в принципе не нужен, тот же amazon. Но сейчас конечно, amazon не примет карты россии. Хе

Карту всегда несут в конверте, в сейфах. Странно что вы это не знаете, все работающие в Сбере в курсе. Конверт составляет тайну, он доступен только сотрудникам.

А и да, пинконверт уже запретили. Все карты современные не имеют пинконверта и пин код из приложения на телефоне и на карту вносится при первой операции по чипу (лично проверил через Cardpeek).

Да когда это было и в каких банках, чтобы карту несли в сейфе или конверте? Я довольно давно пользуюсь банковскими картами, еще году в 1999-м нам стипендию на них начисляли и что-то не припомню, чтобы хоть раз карту выдавали в конверте. Пин - да, но не карту.

В ВТБ (тогда еще оно было 24) выдавали.

Да не, бред. Кому нужны ваши данные? Вы же когда устанавливаете какое-либо приложение из AppStore, вы же задумываетесь о том, а вдруг украдут какие-то данные. Тут вопрос только лишь в доверии. Хз, но лично я доверяю Сберу, не думаю, что они преследуют цель что-то уrрасть.

Зарегистрирован 2 января 2023 г.
И первый же камент — «я доверяю Сберу»

Вот это, кстати, интереснее, спасибо. Попробовал сделать backup – всё как Вы говорите (давно не делал backup на компьютер, а не в облако). И можно сделать нешифрованный backup.

А Вы не знаете, содержимое backup-а можно просмотреть без логина / пароля Apple ID? Восстановить backup на другое устройство без ввода пароля от Apple ID, насколько я помню, не получится. Просто если содержимое backup-а защищено, то ну и хорошо. Если нет – то надежда только на бешеные скорости USB 2.0)) С другой стороны, зачем бы тогда нужна была опция шифрования backup-а, если нешифрованный без пароля Apple ID не посмотреть...

Абсолютная влааасть

Не вводите людей в заблуждения! Чтобы зайти в мой Apple ID почты и пароля не достаточно! Нужно подтвердить вход кодом который приходит на второе устройство или по смс…

Неким "специалистам Apple" вы доверяете больше, они также "скачивают всё что там есть с него себе и непонятно что устанавливают вам... " и если завтра политики решат сказать волшебное слово "санкции" с радостью всё это будут использовать против вас. От услуг "специалистов Сбера" хотя бы отказаться можно.

Да.
Но это не делает "Специалистов сбера" - "молодцами". Нельзя оправдывать одно зло - другим.
"Специалисты сбера" (и других банков) были бы молодцами, если бы сделали полнофункциональное безопасное веб приложение - сайт, а не занимались откровенным вредительством.
(Если не в курсе, функционал сайтов банков сейчас сильно ограничен в сравнении с приложениями, хотя еще 5-10 лет назад, было все хорошо с сайтами, потому многим и приходится в принудительном порядке ставить серый софт серыми способами и называть себя "специалистами")
И да. от услуг "Специалистов Apple" тоже можно отказаться, как ни странно.

Не везде так. Например у многих Шведских банков на сайте можно сделать все то же самое, что и в приложении (и даже чуть чуть больше, вроде международных переводов по европе, оформление ипотеки и другие относительно редкие функции).

Ну есть же отдельный уровень защиты BankID, без него ничего серьёзного не сделать и даже не войти в аккаунт.

Оно принципиально ничем от обычной двух-факторной авторизации не отличается. Например, тот же сайт SEB вполне себе работает через авторизацию через коды из устройства с кнопочками, а не BankID. Более того SEB авторизацию по устройству с кодами вообще считает более надежной. Некоторые вещи, как, например, добавление нового получателя для SEPA переводов, вообще только через такую авторизацию на сайте и делаются.


А еще, 5 лет назад в Финляндии вообще в одном банке карточку с кодами выдавали для этих целей (сайт помимо пароля спрашивает, например, 5-ый код в 11-ой строке). И сайт отлично работал на смартфонах.


BankID тут вообще не при чем. Это удобная штука для всяких гос услуг и бизнеса в интернете. Но никак функциональность сайтов банка она не определеяет.

Устройство это и есть BankID, приложение — Mobile BankID, его слегка ограничивают часто. Понятно. Nordea, просто, каждый чих заставляет подтверждать, думал, у всех так. Карточки с кодами тоже встречал, до сих пор вроде есть у банка «Авангард».

Нет! Устройство называется digipass. На сайте seb.se посмотрите — есть варианты при логине BankID, mobilt BankID и digipass. И этот digipass нельзя использовать на других сайтах, только на seb.

Понял, спасибо. Там ещё кардридер и приложение к нему, никогда не видел такого.

Соглашусь с тем, что путь установки таким образом приложения - это тупик. Сделать сайт, которым было бы удобно пользоваться с мобильных, значительно более правильное решение. И в плане безопасности и в плане универсальности.

Если смотреть с этой позиции, вы даже из официального магазина ставите себе на телефон кучу непонятно каких приложений, написанных непонятно кем. Это вопрос доверия.

Вопрос рисков и возможностей эти риски минимизировать. Приложение из магазина, пока ему права не дашь, даже пукнуть не сможет. А вот человек с разблокированным девайсом может сделать с ним очень много всего. Причем ответственности у этого человека, судя по постоянным сливам данных из банков, с гулькин нос.

Приложение из магазина, пока ему права не дашь, даже пукнуть не сможет.

Клиент скачивает приложение, чтобы оно выполнило клиентскую задачу. Приложение взамен требует себе то и другое и третье. Клиент стоит перед выбором: либо дать ему права, либо остаться без решения задачи.

А значит, приложение из магазина получит желаемые права.

Как раз на айфоне так не выйдет. Политики Apple в этом случае играют на пользу пользователей, обязывая работать даже при отказе пользователя предоставить разрешения ;) - у меня разрешения для всех приложений установлены по минимуму,

для Сбера вот так

и он при этом отлично работает и не жужжит. Поставлено так после того эпизода лет 5-7 назад, когда приложения банков стали сливать телефонные книги у пользователей.

Или не получит. В случае с приложением решение информированное - вы знаете, что от вас просят, и можете оценить риски. Когда вы отдаете устройство - вы не знаете.

Это как с доставкой. Одно дело пустить домой грузчиков, чтобы они при вас занесли ваш холодильник. Другое - отдать им ключи от квартиры и надеятся на лучшее.

Приложения перед попаданием в стор проходят ряд проверок от владельца стора. Владелец стора следит чтобы в стор не попадал скам.

Да, вопрос доверия. К стору самой дорогой компании в мире больше доверия.

Так вы уточните, на каком основании самая дорогая компания в мире удалила приложение из стора. Там проблема немножко в другой плоскости, чем скам. Все равно больше доверия? )

На основании действующего закона, выпущенного в стране, в которой размещены юридические и финансовые активы "самой дорогой компании в мире".
Выбор между "потерь немного денег" или "потерять много денег" у любой коммерческой организации делается идентично, без особых оглядок на моральную сторону выбора.

Так вы, внезапно, в правильном направлении мыслите. Но возникает другой вопрос: с какой радости в такой ситуации к стору самой дорогой компании больше доверия? Одна самая дорогая компания - выполняет требования законодательства. Другая, одна из самых дорогих компаний в России, пытается в недобросовестной ситуации как-то выкрутиться и продолжить предоставлять качественный сервис своим пользователям.

Но все верно: я не понимаю - это другое.

Ну, когда есть проблема с забитой памятью, то уже не до доверия

Во-во, я точно такого же мнения. Да и к тому же, какой толк Сберу с ваших данных? Возможно, приложуха Сбера и собирает какую-нибудь статистику, но не более. Вопрос действительно в доверии, но лично я доверяю, не знаю, чего вы боитесь.

Зарегистрирован 12 декабря 2022 г.
И тоже — первый каент про «я доверяю Сберу»

Ну вы хоть так откровенно то не палитесь ))

Дело не в Сбере, а в сотрудниках. Сбер свои хотелки из приложения может реализовать.

А по теме - люди из Сбера молодцы, реализовали неплохой способ частично решить проблему

Конечно "молодцы" теперь "Службе безопасности банка и сотрудникам угрозыска" даже звонить не придется. Сразу все смогут на "безопасный" счет клиента перевести нужную сумму денег.

Эксперты критикуют заявления экспертов! Говоря словам анекдота, «и как там наши»?

те Вы не считаете что поделится Всеми своим данными/паролями информацией о счетах в других финансовых организациях и своими фин операциями, личными фотками видео и тд со специалистами Сбера это нормально и безопасно ? Вы в Самом деле так думаете да ? Я не готов делится таким данными даже с самым близким человеком например:)

Вы неправильно поняли. Самый безопасный способ это выкинуть айфон на помойку и на фоне его способ Сбера все таки опаснее

Как бы там ни было, самое главное, что это работает и работало бы в будущем. Мда уж, санкции уже достали...

Только санкции достали, а причина этих самих санкций не достала?

Человек просто пытается заработать себе 15 рублёв на ужин.

А что можно покушать на 15 рублёв нынче? На нормальный ужин надо комментариев 7-8 еще оставить.

Доширак вкусный в перекрестке стоит 70р картошка.

Так что, какой то "не богатый" ужин.

Слишком мало для ужина

Пустой аккаунт, созданный с целью набрасывать — можно не кормить таких ботов, а просто звать модера?

Сейчас тут развернется лютый срач с одного тупого наброса, оно надо?
А в посте так и видно, альфа и ник «модератор»

Причину бы и так нашли

Только санкции достали, а причина этих самих санкций не достала?

Как будто это взаимоисключающие вещи.


Достали и сами санкции, и их причина, и отдельно методы накладывания санкций, а также методы используемые причиной...

НЛО прилетело и опубликовало эту надпись здесь

<sarcasm>

Да куда мне до таких глобальных теорий. Я все лишь про смерти каких-то там жалких десятков тысяч обычных людишек

</sarcasm>

Люди всегда умирали, умирают и будут умирать во славу геополитики. Текущая локальная грызня даже ничем особо не выделяется на общем фоне.

Обстрел крылатыми ракетами ГРАЖДАНСКИХ объектов в суверенном государстве это не "локальная грызня", как вы выражаетесь. Это военные преступления. А поддержка этого - соучастие в военных преступлениях.

Вы вольны считать как вам будет угодно.
Я обитаю по большей части на англоязычных ресурсах, и явно видно что конфликт уже вышел из мировых трендов и основной новостной повестки, людям тупо надоело. Глобально в мире мало что изменилось, кому надо договорятся между собой и через десяток лет о сегодняшних событиях будут помнить разве что сами участники и историки. Это и называется мелкой грызнёй, подобное в мире происходит постоянно.

У вас какие-то конкретные предложения или вам нужно просто вбросить на вентилятор ?

Ну если санкции достали - читайте русских авторов про попаданцев - там точно будет минимум +100 к самоконтролю. +100500 ко всему остальному. Правда, надо найти адамантий или уговорить дракона полинять. А еще можно "сидеть на жопе ровно". Тоже хороший вариант.

...надо только взять старый советский...

... термоядерный взрыв.

НЛО прилетело и опубликовало эту надпись здесь

По мнению специалистов, установка приложений через iMazing и аналогичные утилиты никогда не считалась надёжной, а Apple может скоро закрыть эту лазейку или начать удалённо блокировать доступ к приложениям, установленным через подобные инструменты.

Что это за "специалисты" такие? Всегда это было надежным и удобным способом установки корпоративных приложений. Убрать его это значит удалить штатный функционал iOS - iMazing и прочие полагаются на проприетарные протоколы, которые iTunes и компоненты macOS сами же и используют. Даже если это невероятным образом закроют, то всегда остается установка по сети по ссылке. Убрать все это значит нагнуть корпоративный рынок.

Единственный способ это запретить это отозвать корпоративный аккаунт, которым сбер подписывает приложения. Тут у эпл уже руки развязаны. Уже сейчас они палки в колеса вставляют и просят подтвердить, что у вас больше 100 человек в компании, иначе корпоративный аккаунт вам не подходит, и мы не дадим вам его продлить.

Также эксперты по кибербезопасности предупредили, что при использовании аналогов iMazing третьи лица могут получить доступ к данным пользователя на смартфоне, включая фотографии, сообщения, бэкапы и другую информацию

А вот это правда реальная угроза. И тут не поможет смотреть через плечо кому-то. Данные могут спокойно скачиваться в фоне. Как только пользователь подключил свой девайс к ПК и разрешил доступ, то все двери открыты.

А вы в корпоративной среде что-то про ABM\MDM слышали ? Сейчас бы через IMazing на 800 устройств приложения катать.

Если такой хай поднялся от iMazing, который теряет доступ к устройству после отключения кабеля, я боюсь фантазировать что было бы написано используй они MDM который выкурить немного сложнее.

Выкурить MDM не так уж и сложно - вопрос кто в здравом уме даст ставить профиль на свою мобилку. Да и речь не совсем про доступ после отключения кабеля

Пользователи айфона и здравый смысл в одном предложении. В интересные времена живём.

Ну у вас может для вас это и так, но таки вы не поверите - такие имеются.

Я практически уверен что все кто воспользовался сервисом от Сбера были в здравом уме. Недоинформированы - однозначно, больны - нет. Ровно те же люди дали бы поставить себе профиль Сбер-MDM, в силу той же недоинформированности, при этом больными на голову они точно так же бы не стали.

Да вы выразили мою мысль точнее. Спасибо !

И тут мне вспоминается как именно Maxima Telecom в Москве делала Wi-Fi в метро и даже прямо описали
https://habr.com/ru/company/maximatelecom/blog/462031/
Ну да — тут профиля ставятся чуть другие (и ведь всем же понятно прям сразу что-тут только настройки WiFi а не полноценный MDM-сертификат)


Безотносительно того что у сбера похоже выбора нет (ну кроме отказа от iOS) — вот представим чисто абстрактную схему — добрые люди публикую на авито объявления что без очереди и выходных (как в отделениях) ставят СБОП желающим, за небольшую копеечку. В обоснование безопасности процедуры — ссылаются на статьи того же сбера. И реально таки ставят. СБОЛ*. И предлагают даже видеозапись процедуры для желающих и тех кто боится чего то. Но есть один ньюанс…
И как с этим боротся сберу? Объяснять что только у них в отделении можно ставить и это безопасно а в других местах — не безопасно?

И как с этим боротся сберу? Объяснять что только у них в отделении можно ставить и это безопасно а в других местах — не безопасно?
Будто у них есть выбор. Население то, в основном — довольно темное. Вон тут недавно кто-то рассказывал, как еле отговорили родственницу от покупки «правильных » глистов, для похудения

Это чистой воды фишинг, с которым бороться именно так - информирование. Ровно тоже самое, когда звонят с неизвестных телефонов и представляются сбером. Других вариантов здесь нет.

Притом что мне вот — банки звонили.
С левых номеров.
Были даже случаи что перезапрос потом банку на тему "а этот номер — ваш?" давал отрицательный ответ, сначала отрициательный а потом выяснялись детали.
По хорошему — тут бы еще помогло на уровне закона:


  • Банк(и любая финансовая организация вообще, "платежные системы виза и мастеркард" — тоже) имеет право звонить только с официального контактного номера (пусть подставляют да)
  • Перезвон на этот номер с вопросом "вы мне тут звонили 5 минут назад" должен давать либо ответ "да, звонили"(и по возможности с "вас соединить с тем отделом"?) либо "нет, не звонили. можно мы у вашего оператора запросим логи для передачи в полицию? да/нет". Любые технические сбои из-за которых пришлось дат ответ "нет" = клиент может считать что звонка вообще не было (даже если там что-то важное было)
  • Если звонящий представляется банком(причем понимать это… максимально либерально) а отношение к банку не имеет (независимо от предыдущего пункта) и это вскрылось — автоматом дело о мошенничестве. Ну да, любители карты рассрочки предлагать потому что вы лояльный клиент пс виза и мастеркард (а потом Совкомбанк говорит а мы не звонили)
  • возможно исключение — для данных официально полученных через госструктуры (в смысле ИП/ООО счет предлагают открыть — пусть звонят)

Слышали. Способов установки миллион. В том числе через самостоятельное использование тех же библиотек, через которые iMazing работает. Слова "специалиста" менее глупо от этого не звучат. Если в эпл кто-то все таки стукнется головой сильно и решит вырезать установку приложений по USB, то MDM никуда не денется и сбер тоже сможет ставить через него приложения.

что потребует как минимум установку профиля, тут жеж тоже понимать надо:)

Так а кто понимает, что это такое вообще? Простым смертным это темный лес.

И да - это большая проблема - потому что опыта администрирования яблочных девайсов в России вообще не особо много к сожалению

как минимум, все крупные и не очень авиакомпании, некоторые сотовые операторы

 В процентном соотношении это увы совсем мелочь

Почти любая инструкция, касающаяся iMazing, содержит пункт об обязательной смене пароля AppleID после завершения операции.

Т.е. добавление корпоративной УЗ на телефон, с правом управления = безопасно?

  • Давайте ваш ноутбук введём в домен Сбера?

  • - Зачем?!

  • Программу ярлык для браузера с антивирусом поставить...

А они что, прямо настраивают корпоративную учётку (MDM)? Если да, это же дичь. Я думал, они просто используют Enterprise Developer Program, оформленную на левую фирму (возможно, на несколько левых фирм).

Мне кажется нет. Написано же, что аналогично imazing.

Мне думается так. Они взяли сбол.ipa с устройства, где он был загружен с корпоративного appleid. Чтоб установить такой ipa на другое устройство, нужно ввести данные этого appleid на пк, с которого идет установка ipa. Всё.

Если у них корпоративный Apple ID (Enterprise Developer Program), то им не нужен iMazing. ipa кладётся куда угодно, откуда его можно скачать, закидывается на телефон любым удобным способом, а на телефоне нужно просто ткнуть в настройках галочку "Да, разрешить запускать приложения компании 'Сбер-рога-копыта LLC'". То есть AppleID вообще не нужен ни на каком этапе.

Кстати при установке в Сбере не просят вводить пароль от Apple ID.

А еще можно просто не использовать этот банк, ну, как вариант.

Так и не заставил себя поставить на андроид их мобильное чмо, которое при установке требует миллион доступов вплоть до рута. А "способ установки" из новости - это вообще некстлевел.

Ну тут такое. Если я ушёл банка потому, что банк мне не нравится - это одно. А если я ушёл от банка, потому, что левый дядя потребовал уйти от банка - то тут уже могут возникнуть такие эмоции как возмущение и благородное желание сопротивляться насилию со стороны постороннего лица. (Оставляя за скобками вопрос о приемлемости руководства эмоциями в принятии финансовых решений, как и вопрос об идентификации кто тут свой а кто чужой - на такие вопросы каждый отвечает для себя сам. )

Не понял, честно говоря, к чему щас были эти рассуждения о битве бобра с ослом.

Я не хочу пользоваться банком, в котором приложение на андроид запрашивает триллион разрешений, приложение на ios вообще ставится через отладчик, а в отделениях при выпуске карты просят ввести ее номер и пин-код на планшет сотрудника банка. Также я не очень приветствую банк, который несколько лет назад слил в паблик весь список клиентов с их номерами карт, телефонов и паспортными данными, чем запустил волну карточного мошенничества по всей стране.

Мне такое отношение к работе не очень нравится. Посоветовать такой банк друзьям я тоже вряд ли захочу.

Мы тут в декабре перепиской на N лиц выяснили и выяснили, что это изменилось в лучшую сторону (которая показана на скриншоте), не так уж и давно.

Т.е. требования кучи разрешений было правдой, но больше не является.

Не был в курсе по естественной причине неиспользования. Скрины со списком разрешений искать лениво, так что придется поверить мне на слово. Или загуглить, интернет все помнит.

Пару лет назад приложение отказывалось работать при отзыве разрешений на контакты и звонки.

На моем стареньком Honor под управлением Android 8.1 их приложение не запускается и никогда не запускалось пока ему не предоставишь доступ к звонкам (приложение регулярно обновляется до последних версий). Проверял на нескольких других телефонах и там такой проблемы нет. Вобщем, мне не понятно что там за логика.

Лень гуглить, но какие-то из способов получить id девайса закрыты теми же разрешениями, что и доступ звонкам. Этот id потом используется получения fingerprint'a девайса, который потом используются для антифрода, rate limit'ов и так далее. Ну и гугл регулярно перетрясает, что можно, что нельзя, что работает, что нет, еще и вендоры сверху волшебства добавляют, так что да, поведение может быть очень неконсистентным.

Если точнее, эти права нужны для получения IMEI и подобных вещей. Когда-то очень давно (во времена Android 4.x, когда у приложения нельзя было отозвать права) это были раздельные разрешения, а потом их объединили. (Аналогичная ситуация — для получения информации о Wi-Fi сетях нужно разрешение на доступ к местоположению)

Я не смог все комментарии прочитать, но cmd+f по слову "этика" вхождений не дал. Так вот вопрос: а почему у комментаторов и собственно автора статьи даже мысли не возникло, то как-то не стыкуется этически слово "банк" и слово "взлом". Банк, который просто даже подумал о том, что взламывать устройства (а это же взлом, буквально, в обход требований производителя устройства) это нормально — это не банк. Ну, потому что а завтра они же решат, что изъять рубль со всех счетов клиентов — это тоже нормально. А потом просто не отдавать деньги. Ну, то есть, в банке работают, мягко говоря, непорядочные люди.

Я б на вашем месте уже бежал бы доставать деньги из Сбера. Если они там есть, конечно. И закрыть счет.

...в обход требований производителя устройства

Будем объективны --- это больше не их устройство. Это устройство принадлежит человеку, который его приобрел.

Будьте объективны, это их устройство согласно лицензии, а человек просто взял его в бессрочную аренду, а не приобрёл.

Вам не кажется, что такие лицензии противоречат здравому смыслу?

Ох уважаемый, если бы меня кто-то спрашивал...

Будьте объективны, это их устройство согласно лицензии, а человек просто взял его в бессрочную аренду

Я именно что купил. При этом даже не у эпл --- а у какой-то русской компании.

Я видел ваше переписку, даже пытаться вступать в полемику с вами не имею желания. Убегаю в страхе.

Мысли не возникло, потому что ни о каком взломе речи не идет. Сбер пользуется штатными средствами установки приложений

Будем объективны. А что Сберу делать надо было? Закрыться или потерять сегмент людей побогаче? Так себе решения.

Они нашли неплохой выход из ситуации и сделали все максимально удобно для клиентов. А организации процесса вообще позавидовать стоит. Такое развернуть в 5000 отделений это совсем непростая задачка.

Потому что это не взлом. Требования производителя устройства не имеют значения, имеют значение только желания хозяина устройства.

Чего только не сделаешь лишь бы мобильную версию сайта Интернет банкинга не делать.

Вот именно!
Вообще, поражает это стремление всех сделать именно приложение.
Зачем человеку для взаимодействия со всеми нужными хоз. субъекаами иметь у себя в телефоне десятки или сотни приложений?
Гораздо проще открывать их сайты.
Разве я не прав?

Особенно забавно, что некоторые из таких приложений по сути являются сайтами обёрнутыми в WebView.

Т.е. размер аховый...
Да ещё и обновлять нужно регулярно.

В случае банкинга, для сайтов сложнее доступ к камере для сканирования QR для оплаты. Сложнее сделать вход по отпечатку пальца. Кто-то может ошибиться и попасть на фишинговый сайт, что в случае приложения исключено. Плюс доступ к контактам чтобы выбрать проще кому кинуть деньги по списку. И ещё много причин.

Это всё "сложно" или "невозможно"?

Да есть же мобильная версия. Ей и пользовались, пока приложение было заблочено

Насколько я знаю, её функциональность сейчас урезана по сравнению с приложением.

Может, хоть эта муть заставит банки вспомнить о том, что ЛК на сайтах все еще отличный способ выполнять нужные действия, а то впаривание своих приложений каждой захудалой шаурмячной уже достали до печенок.

Можно попасть на фишинговый сайт, а с приложение такое не получится. Да и есть другие моменты по функционалу. Ну и Сбер это вообще не шаурмячная по масштабу.

Один раз зайти на правильный сайт и занести в закладки - какой тут фишинг.

Я не против приложений, но желаю возможности выбора. Мне лично не сдалось держать этих жирных монстров только ради эпизодических операций. Особенно когда они начинают что-то требовать от меня и моего смартфона якобы в целях моей же безопасности.

Можно подробнее про установку произвольных приложений не из App Store? Моя пиратская антисанкционная душа требует подробностей.

  1. Подписать корпоративным сертификатом, ipa собранная таким образом может быть установлена на 10к девайсов (что будет если будет больше я не знаю). ipa файл можно отправить по почте или просто скинуть через Airdrop (нужно только в настройках телефона выставить доверие сертификату, после чего приложение запустится). Теоретически можно попробовать создать с десяток пустых левых фирм и для них получить сертификаты, а это уже 100 тыс установок. Возможно есть подводные камни о которых я не знаю.

  2. Делать как firebase для developer сертификатов, но на такой сертификат можно только 100 девайсов. Условно каждому разработчику в Сбере купить девелопер программу (100$ в год). Пользователь в веб версии регистрирует свой девайс, потом этот девайс добавляется в девелопер сертификат где есть место, потом этим сертификатом собирается ipa и становится доступна в веб версии данному пользователю.

  3. Сделать инструкцию по переподписи личным сертификатом человека как будто он разработчик (нужен Mac и AppleID). Описывают как правильно создать provisioning profile для подписи через Xcode, то есть создать другой bundle ID но с таким же набором Capabilities, потом руками переподписать сберовскую ipa, вроде должно сработать.

  4. Попробовать прикруть к https://altstore.io, это таже технология, что и в пункте 3, но автоматизированная.

  1. Sideloadly

Были на совке(Савеловский рынок в Москве) с супругой, покупали чехол на айфон, бородатый специалист из палатки предложил установить сбер за 500р)

В ответ на то, что это не безопасно, сказал - пол москвы ходит , все нормально.

Есть же sideloadly.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости

Истории