Приложение «Тинькофф» несанкционированно использует данные из буфера обмена

#жалобатинькофф

4747

Автор ожидал срыва покровов, но осрамился.

В каждой ОС есть Clipboard API, который отвечает за буфер обмена и с которого это приложение взяло данные. Пока приложение не стащит данные оно не знает что там находится: пароль, номер карты или мем с доге. Вполне логично что этот API используется для определенного функционала вроде распознавания номера карты дабы ускорить процесс передачи денег другому юзеру. Наивно полагать что банковскому приложению нужно знать о вас еще больше — информации у них и так достаточно.

И да, для хранения паролей и данных карт уже давно придумали менеджеры паролей вроде Keychain на устройствах Apple, не нужно их хранить в текстовом документике. А самое интересное то, что любой сайт может вставить маленький скрипт, который будет стягивать данные буфера и при этом уведомления не будет. И рядовой Васян становится обладателем священного пароля юзера, который случайно зашел на его сайт чтобы почитать как приготовить оладьи.

15
Ответить

Я не отрицаю, что я могу лажануть, в таком случае открыты другие вопросы касательно качества службы поддержки и тех фраз, которые они сказали. Например, что собирают информацию согласно постановлению ЦБРФ. И что на основе буфера обмена создаётся отпечаток устройства для безопасности, и что сбор этого согласован с ЦБ и Москвой и входит в пункт сбор идентификаторов, а не пользовательских данных. Вот это в первую очередь и интересно, что это значит в их понимании

5
Ответить

Любой сайт не может без палева взять данные из буфера. Первый раз в любом случае всплывёт уведомление о том, что сайт лезет в буфер и будут варианты разрешить или нет. 

2
Ответить