Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Мобильная разработка доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 80
Странные ребята. С одной стороны везде кричат про безопасность, защиту от мошенников и "не ставьте левые приложения" , а с другой же кричат: "вот левое непонятного приложение от непонятного источника, ставьте его".
Цирк какой-то.
О какой "заморозке вкладов в конце 90-х " идёт речь? При чём здесь Сбербанк? Почему не правительство?
Ну так деньги то в каком банке лежали ? Тем более что они любят рассказывать что они существуют ещё с 19 века.
С таким же успехом можно сейчас на любой выбранный банк РФ орать почему они не выдают валюту с вклада, например, и их помойным обозвать. Так что, никакими банками не пользоваться?
Деньги лежали в единственном доступным на тот момент для населения банке. Другого просто не было. Решение "о заморозке" (изъятии денег в бюджет) принимал и не руководители/акционеры банка.
Любой современный город существует (как минимум декларирует) с какого-то года (или века), иногда - весьма раннего. Зачастую на декларируемый момент времени там этого города не было. Был другой город/поселение (с другим названием), либо с таким же названием, но без статуса города и т.п. С государствами, организациями, компаниями - примерно то же самое.
Возможно все же имеется ввиду начало 90х (91), но там тоже это ЕМНИП была не инициатива руководства банка. Ну и фактически сбер в 91м и сейчас - это две разные структуры.
Как будто для эпл есть какие-то другие варианты. Официальные будут либо когда откроют возможность ставить из сторонних магазинов, либо санкции снимут…
Конечно, есть. Целых два:
Либо перестать кричать на всех углах про скам приложения, и спокойно форсить свое скам приложение.
Либо продолжать предупреждать о скам приложениях, но перестать форсить свое.
Либо крестик снять, либо трусы надеть. А иначе клоунада и цирк просто.
Есть некоторая цепочка доверия, исходя из которой мы ищем момент превращения приложения в скам: в одном случае я захожу в веб-интерфейс сбера, там ссылка на приложение. Стало быть, сбер в курсе существования этого приложения.
Если же мы предполагаем, что ссылка там может быть «левая», то почему не предположить, что и в официальный аккаунт выложено что-то опасное? Разработчики ведь в обоих случаях явно имеют доступ к инфраструктуре сбера.
Так что неплохо, по-моему, было бы вам как-то перечислить, какие критерии вы предлагаете для разделения на «скам/не скам».
Сейчас "цепочка доверия" выглядит абсолютно так же, как выглядел бы фишинговый сайт ("знакомый веб-интерфейс сбера, там ссылка на непойми-какое приложение"). Это очевидный вектор атаки для мошенников, нужно только подсунуть пользователю ссылку на своё приложение под видом нового от сбера, а дальше они скачают любой "Учет надоев" от Васи Пупкина.
Прошу прощения, можно ещё раз, помедленнее? Я захожу в свой веб-интерфейс, вижу там свои карты, счета, балансы, а ссылка там «подсунута»? Это как?
Раньше: Подсунуть "левое" приложение через социнженерию сложно, приложение Сбербанк это всегда Сбербанк; вводить свои логин/пароль от Сбербанка в другом месте было очевидной глупостью.
Теперь: Подсунуть "левое" приложение легче, ведь приложение Сбербанк может быть "Учёт надоев". Вводить свои логин/пароль от Сбербанка в приложении "Учёт надоев" теперь общепринятая практика.
Примерно как с кодами из СМС: буквально годами приучали, что "оператор никогда не попросит у вас одноразовый код", а теперь вдруг вопреки всем остальным сервисам сделали бы стандартной процедуру "продиктуйте оператору код из смс по телефону".
а можете зайти и не увидеть свои. но будет уже поздно - пароль утек
Таки как я должен так писать, чтобы вы могли помедленнее читать?
Погуглите, что такое фишинг и как он работает. Даже банально в тексте этой новости на хабре есть прямая ссылка на аппстор и кто-то оттуда приложение скачает.
Приходит СМС с подменного номера выглядящего как банковский (не знаю работает ли сейчас, но раньше как-то рассылали) "Срочно обновите банковское приложение" и ссылка на сайт который выглядит идентично нормальному и адрес имеет визуально очень похожий. Какой-то процент пользователей может на такое купиться.
Проблема в том, что в норме приложение ставится ОДИН раз при первичной настройке телефона и потом только обновляется. То есть ситуация ставить новое приложение для пользователя сразу красный флаг.
А сейчас пользователя приучили к тому, что регулярно переустанавливать приложение ставя в качестве банка что-то со странным названием и левым разработчиком - это типа норма.
Я с вами согласен, но данную проблему создает политика эпл. Разрешение установки из сторонних магазинов решило бы её, но, видимо, этого мы не дождемся.
А зачем его регулярно переустанавливать? У меня спокойно работает тиньковское, поставленное еще из аппстора. Или сбер с выпуском новой версии прибивает запросы со старой?
Прошу прощения, можно ещё раз, помедленнее? Я захожу в свой веб-интерфейс, вижу там свои карты, счета, балансы, а ссылка там «подсунута»? Это как?
А зачем тогда приложение если всё в веб-интерфейсе есть?
Раньше новость "скачай "Учёт надоев" в App Store и верни Сбербанк на свой айфон" вызвала бы скепсис у большинства людей, сейчас это вполне валидные новости и все пользователи яблок вкурсе.
Теперь представим кто-то начинает форсить по новостным пабликам очередную такую новость, но только приложение с трояном. Какой процент людей пойдет качать приложение по данным из новости, а не с официального сайта? Скорее всего достаточный для ощутимого профита злоумышленника.
Ещё можно рассылать спам с емейла похожего на сберовский с инструкциями, можно попытаться вывести в топ гуглояндекса статью с инструкцией как вернуть Сбер с ненастоящим приложением и т. д.
Тут как с мальчиком, который кричал "Волки!". Лучше бы PWA сделали с полным функционалом (всё кроме работы с Bluetooth можно реализовать, API есть).
Я захожу в условный плеймаркет и вижу приложение "Финансы" от разработчика "Ruslan Kuledin".
А рядом ещё может быть приложение "Финансы 2.0" от "Aslan Aslanov".
А потом на хабре новость про тинькоф/сбер: "В плеймаркете появился фейк нашего фейкового приложения. Приложение от "Aslan Aslanov" - это неправильный фейк, не скачивайте его, скачивайте только наш правильный фейк".
Вы действительно не видите в этом клоунаду и красные носы у ответственных за это?
Я достаточно ясно указал, что ссылка должна быть получена из доверенного источника. Например, из веб-аппа.
Но, справедливости ради, раньше тоже существовали подозрительные «агрегаторы банков». Защитить пользователя от абсолютно любого приложения нельзя, это должна решать модерация. В случае, если модерацией пользоваться нельзя (т.к. сносят не вредоносные, а санкционные приложения) страдает пользователь, да.
Кстати, новые приложения в качестве авторизации предлагают использовать предыдущее. Подхватывают креды и присылают на привязанный номер код подтверждения.
Варианта 2
1 - укладывается в концепцию цепочки доверия
2 - возможен фишинг под соусом неудачной авторизации
По цепочке доверия - уведомление о новой версии появилось в самом приложении. Впрочем, участникам специального обсуждения с которыми дискутируете и это не довод.
Причём тут ссылка. магазин приложений на телефоне откройте и все. Речь не про способ направления трафика, а про то, что в приложении - фейковое приложение.
Претензия не к самому приложению, а к способу распространения.
Повторю вопрос с другой формулировке, вы действительно не видите разницу, между официальным apk файлом на сайте сбера и ссылкой на приложение "Член Коня" от автора "Konevod777" в плеймаркете?
Подождите, мне тут выше доказывали, что сайт-то может быть фишинговый и там легко все подменят. Тем более какой-то apk. Если сайту доверяем, то меня и, как вы называете, «официальная» ссылка устраивает. Если не доверяем - то я не вижу разницы, да, ссылку подменять или файл. За неимением официального приложения в google play/appstore имеем то, что имеем.
Есть ещё вариант сделать PWA. С Bluetooth-вжухом, конечно, будут проблемы, но всё остальное от пушей и офлайн работы (с предварительно сохраненными данными) до входа по биометрии можно реализовать и нужные API поддерживает Safari, как и функцию добавления сайта как приложения на рабочий стол (чтобы один раз поставить по официальной ссылке и потом открывать).
Хорошо для небольшой по обёему функциональности. Если же делать полнофункциональный клон - возникнут проблемы.
К тому же, код нативных приложений уже написан, уже инвестированы приличные суммы. Переписывать всё под PWA значит снова вложить n-значную сумму.
Пока выкупать акк разработчика (хотя скорее это заранее созданные разработчики под плановые релизы) дешевле и проще.
Можно выложить пакет для альт сторов и инструкцию как ставить и что делать =)
Источник у приложения вполне самый официальный. Официальнее не существует в природе источников приложения для Apple iOS. Другое дело, что разработчик непонятный и неофициальный... Но если у нас всё теперь такое неофициальное (серый импорт, танкерный флот и т.д.), а Сбер подтверждает валидность именно этого приложения от этого разработчика, то в чём проблема ? Тут "либо шашечки, либо ехать" ....
Вы-то не одиноки, но, видимо, заюзать их «вжух» из веб-аппа сложновато. А эпл великоват, чтобы переживать о бесплатных приложениях без встроенных покупок, с которых ему 30% не капнет в любом случае. Так что да, мы откатились, в том числе и по безопасности.
Ну сделайте вы удобный веб-апп
Так вроде сделали же?
Сделать "эпплу будет самому хуже, если меня тут не будет" это действие из разряда "назло бабке уши отморожу" ...
Так тут можно стрелочку крутить, как ту сову на глобусе. ;))
Топ1 банк в стране делает все возможное, чтобы сохранить сервис для своих клиентов, включая даже а.... огороженную платформу Apple. И мне это нравится.
Да, и то, что Apple ценит своих клиентов в РФ (и получаемые от них деньги и данные) настолько, что не стала хлопать дверью, как та же IKEA - мне тоже нравится. Да, поддержка формально хлопает размещаемые приложения, но дает достаточно времени, чтобы клиенты Сбера их себе поставили.
Я то как раз понимаю. И ещё я понимаю, что эта самая репутация - она зеркальна. Работает в обе стороны... И если потрудитесь посмотреть на ситуацию с другой стороны зеркала, то всё станет гораздо проще и понятнее. По факту все обсуждаемые "проблемы" с приложением вытекают из фактически уже отстутвующей репутации у топ 1 банка, что и является причиной всех ухищрений с публикациями его приложений в appstore.
Это даже непросто "не солидно", это буквально противоречит безопасности. Приучать пользователь скачивать левые приложения от левых издателей - это ровно то, против чего борется весь мир: левые сайты ,левые источники приложений ,левые приложения: годами юзерам в головы закрепляют, что это плохо, и тут сбер приходит и говорит: "нет, это нормально".
По той же логике, в установке официального сертификата от Минцифры, который втюхивался на официальной странице Сбера одно время, казалось нет ничего плохого, верно?
Эти приложения и сносят. С учётками.
Эти приложения заведомо выкладываются под снос, но они проживут от нескольких часов до нескольких дней и за это время кому надо скачает. А с телефонов уже установленные приложения не исчезают.
По сути это такой краник для тех, кто купил новый айфон или сбросил к заводским настройкам.
А аккаунты скорее всего регистрируют из всяких Грузий и Армений, где о санкциях, конечно, слышали, но не слишком фанатично их исполняют, так что никого сажать не будут.
Плюс ничто не мешает не жить в этих странах, а просто получить нужные документы, уехать и выложить приложение.
У Сбера денег много, оплатить сотруднику не собирающемуся эмигрировать ВНЖ в СНГ под ключ ничего не стоит. Разработка приложения обошлась на несколько порядков дороже.
Совершенно очевидно, что Ruslan Kuledin является, как минимум, лицом аффилированным со Сбербанком, иначе его приложение ну никак не подключилось бы к онлайн сервисвам Сбербанка. А приложение Cбербанка для Андроида, скачиваемое с их сайта именно потому и не нуждается в обозначает автором непонятно какого человека, что его можно установить с этого самого сайта и вообще любого другого источника, кроме PlayStore...
Да все всё понимаю, но волнение, б....ть (с)
Ну логика даже какая-то есть, если допустить, что есь правильные левые ноунейм приложения и неправиьные левые ноунейм приложния.
Смотри, юзер, не перепутай
Имхо: либо веб приложение, либо просто отказ поддержки эппл, пока они не разрешат сторонние приложения. Вот это все выглядит несерьезно для крупнейшей по фин. показателям компании РФ.
Но что делать с хомячками которые хотят и трусы снять и крестик надеть? Банки и пытаются этим хомячкам дать возможность тратить свои деньги
Да фиг знает, может хомячкам действиями объяснить (ну вот прекращением поддержки, например), что надо выбор уже делать более осознанный, почти 4 года уже санкциям то. Причем, в основном то это не бедные люди (хотя тут наверное и кроется причина этих танцев с бубном), и они занимаются установкой банковских приложений от Вась Пупкиных, которое надо срочно бежать ставить, т.к. пропадает за несколько дней, или наклейкой "стикеров" вместо использования нормальных приложений для оплаты, самим то не смешно?
Ну на мой взгляд как и писал выше: соломоново решение - нормальная веб версия все же для пользователей эппла, пусть и с не полным функционалом в виде супераппа, который большинству и не нужен.
А им-то какая разница? Вот есть некий богатый человек - из тех, кому не жалко за айфон в первый день продаж 300-400 тыщ отвалить.
Он в ответ на слова про осознанный выбор посмотрит проникновенно в глаза и скажет: "Я привык платить телефоном, и провожу через вас столько, что не вам меня выборам учить. И я буду продолжать делать так, как мне нравится, с вами или без вас. Обходные пути, замаскированные приложения - пофиг, у меня есть обученные люди, разберутся."
Не в первый раз. Вроде бы уже было приложение "Удои онлайн"
Причём в App Store это приложение было уже давно, но только недавно получило обновление с доступом к сервисам «Сбера».
На одну из прошлых новостей про попытки банка выпустить приложение в комментариях было сказано, что политика аппстора запрещает подменять функциональность. Т.е. по модерации выпущено одно приложение, а после подкачивает обновление, которое делает его совсем не тем, что проходило модерацию. Оказывается, все-таки так можно? Или есть нюансы?
не думал, что скажу это, но пока новое приложение сбера мне нравится больше, чем тинек и альфа. Убрал с главной страницы все мусорные категории и теперь ничего не отвлекает. Разве что рекламный баннер с предложением кредитов нужно каждый раз скрывать, если не нравится, но тут ничего не поделаешь(
История обновления приложения примечательная:
редко, на много версий сразу, карточку с августа прогревали.
А как они обошли модерацию - просто удивительно. Бывает, что индусы до запятых цепляются, а тут такой сложный "функционал" и прокатило. Хотя мы не знаем сколько у них было попыток до этого.
А мне вот забавно - как именно они аккаунты яблокостроителей фармят?
Вываливают на ххру пачку вакансий "наймем 100500+ синьоров-помидоров со своим инструментом для краткосрочной высокотехнологичной работы"
Размещают на авито объявление "куплю 100500 электротяпок для яблони с пробегом 3+ года. Дорого!" А потом
перекупысуровые ИБ-шники, закатав рукава дорого костюмчика, ковыряются в потрохах - действительно ли небит/некрашен.Подходят к участникам конференции "высокие технологии гдетотам зачемто" в каком-нибудь закутке с "пссс! есть чего?!"
Ваш вариант.
Почему этот левый сбербанк онлайн от Руслана на iOS весит 534 Мб, а на андроид официальный весит 119 Мб. Почему такая огромная разница в размере? Что туда засунули?
У них там один лишь бинарник на 400+ мегабайт. Детально не смотрел, но его так могло жмыхнуть из-за статически слинкованных библиотек (в IPA даже нет Frameworks) и возможной обфускации. Еще довольно легко в бинарнике заметить несколько мегабайта бессвязного текста (см. спойлер), о точном предназначении которого сказать сложно.
Скрытый текст
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Сбер» выпустил в App Store мобильное приложение для iOS под названием «Финансы Онлайн» от разработчика Ruslan Koledin