Комментарии 63
Версия 7.2.1 блокируется, с версией 7.2.0 всё нормально
Да, у меня тоже при обновлении на 7.2.1 это предупреждение начало выскакивать. Удивительно, что минорная версия к такому привела. Интересно, что они изменили, что так сработало.
Вот интересно - все банки проходят внешний аудит, что бы соответствовать pcidss, почему же совсем нет changelog где можно глянуть гит изменения прилы. Получается это даже не в интересах Google, раз они подобного не требуют.
Так приложения же нет в Google Play, поэтому они в любом случае уже ничего не требуют. У меня есть версия, что здесь и ранее у 2ГИС проблема в том, что раньше такие штуки отсекались при модерации приложения и фиксились до релиза, поэтому пользовали об этом не знали, а теперь разработчики узнают, что Гугл считает их приложение небезопасным уже после того, как выкатили обновление.
Ну они же его тестируют внутри))) все они знают)))
Ну нет. Они знают, что сделали, знают примерные критерии модерации, но не могут знать точного решения. Там не факт, что уже и внутри Гугла знают, по каким алгоритмам принимается решение, почему вот так ещё безопасно, а вот так уже нет.
Они знают.
Это функция самостоятельного пулла обновлений в обход гугл плей. Гугл такое запрещает и не зря - мало ли кто получит доступ к аккаунту разработчика и загрузит зловред в обход очень строгой модерации гугла
Ну а если они тестируют на реальном железе (смартфоне), то по идее этот алгоритм проверяет именно данное приложение, возможно, сравнивая с хэшами известных андпоид-вирусов, а может, проверяет и что-то в структуре кода. Сам честно не знаю, потому не берусь сказать, что это так. Но скорее всего примерно таким образом.
В одной из последних версий они добавили автообновление приложения. Гугл такое не любит :)
Росбанк своих жучков добавил, что ещё может быть
ТБ при входе в приложение (старой версии) попросил заново ввести телефон, фио и прочее...
Может быть, попробовать не собирать данные и не использовать их для слежки? 🤔 Хотя, о чем это я...
Реально подозрительное, пароль при входе просит, иногда какие-то коды из смс, в общем доверять таким точно нельзя)))
А я вот тут поставил было на телефон приложение банка РСХБ (ау, РСХБ.цифра (Россельхозбанк), что скажете?) - думал завести там карту, и заранее решил поставить приложение, познакомиться. И знаете что - после первого запуска приложение это замечательное попросило доступ к истории звонков, указав, что без этого доступа работать не будет.
Скрытый текст
Причина указана как "доступ позвонит обезопасить меня от звонков мошенников", но, признаться, так и не понял, как анализ истории звонков начал использоваться для моей защиты, причем без просьбы о включении такой защиты.
В общем, обошелся без приложения и карты. Но вот тут Гугл почему-то (пока) ничего не поблокировал!
P.S. Необходимость беспокоиться о защите понимаю. Не понимаю, почему так вот, не спросясь, и, да, куда на самом деле летят данные о звонках.
Доступ к звонкам или к истории звонков? Доступ к самим звонкам может быть нужен для звонков напрямую из приложения, возможно..
Не знаю одно ли это и то же, поэтому спрашиваю.
Скорее всего всё сразу да побольше. Хотя вообще, есть разрешение на журнал звонков и отдельно собственно на звонки.
Да, написано "доступ к звонкам". По списку в свойствах приложения оно просит:
Камера
Контакты
Местоположение
Телефон
Уведомление
Фото и видео
Телефон, по сути, широкая штука - так что и позвонить сможет, и, как понимаю, доступ к журналам звонков.
Как говорится, спасибо, что хотите меня защитить, но отказывать в работе приложения из-за невыдачи такого рода разрешения... Можно за уши тему безопасности притянуть, но я не очень уверен, что РСХБ как-то должно решать задачу предотвращения обувания меня злоумышленниками на моём телефон средствами банковского приложения. Если прямо так хочется быть героями - достаточно оформить свою систему защиты как приложения для защиты от спам-звонков, и предложить (не принудить!) пользователю это приложения выбрать в настройках телефона.
Приложение даже может без разрешения открыть стандартную звонилку с уже набранным номером. Пользователю останется только нажать кнопку вызова. Всё остальное - это уже попытка получить доступ сверх требуемого.
У меня есть карта от РСХБ, тоже думал возобновить использование, денег положить, и тоже потребовали доступ к звонкам. Удалил приложение. И счёт закрою.
Не понимаю, почему так вот, не спросясь, и, да, куда на самом деле летят данные о звонках.
Для "почему" есть как минимум одно разумное объяснение. Еще летом в признаки мошеннических операций Центробанк добавил нетипичные телефонные звонки, совершенные клинетом в момент либо накануне операции. Тогда мне было непонятно откуда банки вообще смогут получать такие данные? Возможно приложения теперь стали каналом для сбора банками такой информации.
Ну а каким образом ещё будет использоваться полученная информация - вопрос, конечно, интересный.
Как минимум в моем случае:
телефонов - больше одного
на один из них них приложение поставить нельзя, вообще нельзя, вообще. Потому что это не смартфон даже близко.
совсем не факт что смартфон на котором приложение банк использует симку с контактным номером который в этом банке
Хотя чую что моим новым основным телефоном будет Pixel Fold - на Pixel'ах проще решать проблемы с приложениями которые слишком много чего хотят.
Хотя чую что моим новым основным телефоном будет Pixel Fold - на Pixel'ах проще решать проблемы с приложениями которые слишком много чего хотят.
Наивное предположение. Местами Пиксели кривее, чем Самсунги и Сяоми. А по поводу кастомизации, вы даже блок с поиском Гугл с главного экрана не уберёте.
Хорошо. Верю.
Но подскажите пожалуйста почему я не вижу ничего от Samsung/Xiaomi например на https://grapheneos.org/faq#supported-devices или хотя бы на https://calyxos.org/install/
Побуду адвокатом дьявола. Защита от мошенничества заключается не только в анализе звонков в режиме реального времени.
Приложение смотрит историю звонков и если видит странные отклонения накануне (много звонков с подозрительных номеров, например) то при попытке перевести деньги, антифрод может заблокировать подозрительный перевод и клиенту отзвонится служба поддержки. Возможно это распространяется и на снятие крупных сумм, тут можно только гадать.
Честно говоря, если хотя бы кого-то это убережет от перевода всех своих денег мошенникам – уже того стоило. Только представьте, каково это – подарить кому-то всё нажитое за долгие годы?
И ведь гугл прав.
С 115-фз они совсем оборзели. Целыми днями названивали и просили данные, в приложении при входе на весь экран история с требованием данных и пугалками что чуть ли не в теорористов запишут если не сдашь, среди счетов появлялся блок с требованием данных, и в чате бот писал с требованием данных.
Но в реальности если пойти в госуслуги то причина запроса данных "Формирование финансовых и нефинансовых предложений", то есть буквально для того что бы пихать еще больше рекламного мусора.
Спустя ПЯТЬ обращений в поддержку мне отключили весь этот хлам и о чудо, без жизненно важных данных все прекрасно работает. Та же ситуация у друзей и знакомых. Не банк а контора Плохих людей.
Вспомнилась еще история со скрытным сбором биометрии без ведома пользователя. Чем не мошенническая техника без уведомления юзера? https://habr.com/ru/news/775720/
Кто то этот тормозитель телефона ( Google Play Защита) еще не отключил?
Как его отключить? Он же периодически, при установке по из сторонних источников, просит позволить ему работать.
Рутом. Современный телефон без рута и допиливания - не Ваш телефон, а "этот телефон".
Ну хз. Рутом баловался на нексус5 лет 10 назад. Что интересно, время работы оставалось +/- таким же, зато отваливались пуши, переставала работать камера в режиме фотосферы и панорамы, вылетали оповещения об ошибках и т.д. На нынешнем пикселе даже не думаю о руте, ибо и так всё отлично работает.
Удалять все подряд, разумеется, не стоит, но по своему опыту скажу, что автономность повышалась заметно и главное каждая вторая погань больше не лезла в Интернет, а оставшаяся блокировалась файрволом. А вот неожиданные зависимости да, всплывали: на Самсунге рушилось штатное приложение для SMS после удаления пользовательского словаря (!)
А вот неожиданные зависимости да, всплывали: на Самсунге рушилось штатное приложение для SMS после удаления пользовательского словаря (!)
Ну не сразу рушилось-то! Оно запускалось и показывало список SMS, где были видны адресаты и даже количество непрочитанных SMS в строке каждого отправителя. Далее, при попытке открыть и прочитать список от конкретного отправителя, были видны последние SMS, но через пару секунд приложение издевательски падало, да. Это когда оно пыталось активировать клавиатуру, а уже та не запускалась и падала вместе с приложением сообщений из-за отсутствия пользовтельского словаря. Причём любое иное приложение для сообщений так же падало с точно такими же "симптомами". А в иных местах клавиатура или альтернативные клавиатуры полне нормально работали ))
А я просто отключил автоматические обновления, вручную раз в неделю запускаю
Рутом начал "баловаться" тоже как раз на Нексусе, только ещё на 4-м) И с тех пор каждый мой телефон рутован - удаляю, что хочу, лакипатчером сношу рекламу в приложениях (не переношу рекламу в принципе), даже в телеге можно отключить бесячие блоки рекламы в конце ленты групп, посредством модуля для магиска. Естественно, надо понимать, что делаешь, иначе рут из инструмента по созданию удобства превратится в инструмент убийства системы.
Рутом, после которого половина приложений сразу отлетает? Или вы все ещё на 8 версии Android, во времена которого таких проблем не было?
Современный телефон без рута и допиливания - не Ваш телефон, а "этот телефон".
Ну начинается...)
Практически все данные в вашем телефоне хранятся в том или ином облаке
Телефон с рутом - это телефон без важнейших периметров защиты.
Вы и в компьютере под учетной записью суперпользователя работаете?
Ну, у меня на андроид 14 выскакивает периодически попап с предложением включить Play защиту, но я просто каждый раз отказываюсь. Вроде принудительно он сам не включается.
По-прежнему не понимаю почему банки так держатся за приложения.
Например, ВТБ сделала онлайн версию практически никакой отличимой или ощутимой разницы между приложением и онлайн нет. Также входишь на страницу по face ID или отпечатку, выполняешь все нужные функции. И абсолютно пофигу заблокирует приложение в AppStore или google play.
Отдел маркетинга останется без 90% работы, если потеряют такой инструмент давления как пуши.
Плюс приложения гораздо легче открываются пользователем, чем браузер, где надо ещё в строку что-то вбить и открыть, а для этого надо ещё помнить как писать.
В общем приложение это как микротранзакции в мобильных играх - минимум кликов - максимум дофамина прямо сейчас без напряга.
А браузер на телефоне это уже давно для опытных пользователей, что-то на уровне открыть консоль.
браузер на телефоне это уже давно для опытных пользователей, что-то на уровне открыть консоль.
Упоминаемая мной онлайн приложение ВТБ выглядит точь-в-точь как обычное приложение. Просто ссылка на страницу добавлена на экран. Пользователь просто разницы не заметит
Просто ссылка на страницу добавлена на экран.
С другой стороны - эту ссылку можно и изменить или другую рядом поставить? Содержимое рабочего стола на телефоне - как защищается? Пользователь точно так же не заметить, что теперь он работает не с сайтом банка, а с сайтом мошенника.
Это называется PWA. И штука относительно новая. Сейчас, действительно, много кто на них переходит. Причём их можно качать и на десктопе. Даже у хабра вон есть - вверху страницы значок скачивания.
Но это и не веб версия, и не полноценное приложение, а что-то по середине.
Это называется PWA.
А можете пояснить более детально? Насколько я вижу это обычная ссылка на страницу которая открывается браузером.
Так и есть, только если оно стоит как pwa, то имеет чуть больше разрешений
Если коротко - это попытка из браузера сделать толстый клиент, аки нативные приложения. Но не каличное лагучее и жрущее ресурсы дерьмо на электроне.
А если долго, то на хабре есть неплохая статья для поверхностного ознакомления - https://habr.com/ru/articles/418923/
Через приложение шорткат мейкер сделал себе иконку со ссылкой на яндекс маркет, так как в приложении просто овердофига рекламы. А при посещении сайта всю говнорекламу яндекса прекрасно блокирует адгуард. Сайт вообще ничем не отличается от приложения. То же самое с мегамаркетом. При желании таких иконок-ссылок можно для любого сайта наделать, если его функционал не уступает приложению.
Чтобы избежать угона кукис из браузера как и некорректной работы приложения из-за настроек безопасности и конфиденциальности и блокировщиков рекламы.
Я долго плевался от приложения ВТБ, а потом случайно узнал, что по умолчанию их приложение работает неким браузером, внутри себя открывая веб-версию - и работает это всё крайне неловко и тормозно. И что нужно зайти в настройки приложения, и там включить работу в нативном режиме, т.е. в режиме приложения. И - о чудо! - приложение снова стало быстрым и удобным.
Ну, как может детище маркетологов быть удобным - скажем, оно очень часто спрашивает, не переключить ли мне уведомления с бесплатного базового пакета на платный "расширенный" (т.е. просто начать присылать уведомления обо всех операциях, а не на выбор маркетологов - я говорю "нет, спасибо, подавитесь", и получаю точно такой же запрос при следующем старте, напр.
Что характерно, ни один банк для физиков не предоставляет API для управления своим счетом или акаунтом в банке. Не то чтобы я очень нуждаюсь в методе открыть из скрипта счет в банке, но состояние баланса и список последних операций, список полученных для меня одобрений кредитов (а то и самих кредитов) я бы с удовольствием мониторил - тупо по крону раз в час запрашивал бы.
Но, так понимаю, тогда и правда маркетологи останутся без куска хлеба. Сейчас они еще верят, что, запилив в банковском приложении эти дебильные сторисы (да-да, ВТБ, Сбер, Т-Банк и иже с ними - неотключаемые сторисы!), они получат более счастливых клиентов, и что клиенты запускают аппликуху банка, чтобы почитать жеванные-пережеванные тридцать раз содранные друг у друга копирайтерами мысли, что пин-код никому говорить не стоит.
нужно зайти в настройки приложения, и там включить работу в нативном режиме, т.е. в режиме приложения
Имеется ввиду отключение "гибридной технологии"? Другого в настройках не нашел, если не это, то подскажите куда заходить?
Если же это, то у меня оно отключено, но тормоза в приложении те ещё, прямо достало каждый раз по 30-40 секунд ждать пока прогрузится очередная страница интерфейса.
Согласен, хочу апиху. Это бы даже возможно решило проблему с удалением из магазинов приложений. Но как быть с безопасностью
К сожалению оно как раз отличимо. Особенно в условиях не-идеальной связи или медленного телефона.
Ну, это еще и не блокировка.
Недавно встроенный антивирь (от нелюбимого мной Avast) стал считать https://play.google.com/store/apps/details?id=com.samiadom.Shutdown программу Shutdown (электронный аналог кнопки питания, вызывающий мменюшку от вендора) вирусом:
В этом случае больше похоже на ошибку алгоритма, т.к. последний апдейт у этой прги был в середине декабря. А вот ТБ похоже внедряют новые алгоритмы слежки, на чём и спалились :). Только недавно обновил до 7.2.0, нефиг плодить столько обнов ;). И многовато весит их прога, забита мусором. А код небось и комментариями.
Вот это поворот конечно! Чудеса расчудесные и что гугл жалуется на отечественное по, и что банковские приложения(и приложения имеющие доступ к интернету в общем) собирают данные...
Google Play Защита начала блокировать приложение Т-Банка