Наблюдаемый эффект
Поступают уведомления обо всех операциях другого клиента банка ВТБ в виде всплывающих сообщений. При запуске приложения и до авторизации в нем (ввода PIN-кода) отображаются операции другого клиента, хотя в заголовке формы ввода PIN-кода указаны мои учетные данные. После ввода PIN-кода и до момента выхода из сессии отображаются только мои уведомления об операциях.
Немного деталей
PUSH-уведомления не активированы, в моменты отображения на экране телефона уведомлений о чужих операциях я не авторизован в личном кабинете, приложение оставалось запущенным «в фоне».
В случае, если на момент совершения операций «чужим» клиентом приложение ВТБ в фоне не работало, то на экране уведомление об операции в виде всплывающего окна не отображалось. Однако если запустить приложение, то в окне авторизации можно увидеть число пропущенных уведомлений у символа «колокольчик», по нажатию на который открываются пропущенные «чужие» уведомления.
Уведомления о моих операциях никогда не отображались в приложении (прим.: логичный вопрос — а кому же тогда поступают мои уведомления?)
Переустановка приложения с очисткой памяти и сменой пароля учетной записи не устранила проблему (история, разумеется, сбросилась, но «чужие» уведомления продолжали поступать).
Гипотезы
Предположу, что возможна ошибка в работе Android приложения, вследствие чего на сервер формируется запрос (идентификатор сессии) с признаком «другого клиента», а сервер не проверяя авторизацию выдает данные о транзакциях.
При этом вероятно наличие критической ошибки на стороне сервера, т.к. фактически без авторизации пользователя (пароль/PIN-код пользователем не вводится) предоставляется конфиденциальная информация.
Если так, то существует ненулевая вероятность, что «специальным образом» модифицированное приложение способно предоставлять злоумышленнику данные об операциях целевого клиента.
Примеры данных
- «Карта *4716: Оплата 250.00 RUB; Сити Ресторант; 20.11.2018 15:59, Доступно 22903.61 RUB»
- «Списано 2884,00р Счет *0885 получатель Иван У. Баланс 27925,11р 16:59» от 19.10.2020
- 11.09.2020, 11:58, «Списано 50013,66 RUB Счет *1306 перевод между счетами/картами Баланс 0,00 RUB 11:58»
Вместо заключения
Надеюсь, что это поможет разработчикам найти и исправить ошибку.
Хотелось бы верить, что я ошибаюсь и наблюдаемый эффект — это только следствие неверной записи в базе данных пользователей.
Считаю возможным опубликовать эту информацию здесь с учетом того, что с 2019г. я уже четыре раза обращался по этому вопросу в техническую поддержку и мое лучшее достижение — ответ «Уважаемый клиент! Ваша заявка SD-*** в службу технической поддержки рассмотрена. С уважением, ВТБ (ПАО)»
Комментарий недоступен
У меня новое устройство из Европы, в РФ не было до меня. Вишенка - приложения заблокирована возможность сбора телеметрии, аналитики и т.п. (XPrivacy). Если, как вы говорите, программисты ВТБ привязываются к идентификатору телефона - это огромная брешь в безопасности, т.к. его можно легко менять, копировать и т.п. Даже пародия на cookie тут была бы более безопасна.
Как проект зловреда - получаем список установленных у пользователя приложений, если есть ВТБ, то запрашиваем идентификатор телефона и выгружаем эти данные на внешний сервер. Профит. Дальше осталось подключиться к серверу и получать нужные данные.
Комментарий недоступен
Я специально не перехожу на PUSH-уведомления несмотря на активные предложения приложения ВТБ. В моем случае они не активированы (я так думаю).
Я в исходном посте отметил, что сбросил все данные приложения, все данные своей учетной записи и заново все настроил - ничего не изменилось. Моих уведомлений нет, чужие приходят.
Комментарий недоступен
Идею уловил. Если сделано так - то, думаю, для банковских приложений это неправильно. Пример выше я привел как этим можно воспользоваться.
Тогда вам нужно писать в Google и Apple. Рассылка всех push-уведомлений производится только через их серверы.
Google тут не причем, у меня PUSH-уведомления не активированы в настройках онлайн-банкинга ВТБ.
Повторюсь, запускаю фирменное приложение ВТБ и в его графическом интерфейсе еще до авторизации могу просматривать операции другого клиента за последние пару лет. Все чужие операции отображаются в интерфейсе приложения ВТБ.
Вы сами написали:
думаю, для банковских приложений это неправильноНо это именно тот механизм, который предоставляют вендоры платформ.
ВТБ ваш идентификатор прикрепили к другому пользователю. Вот и всё. Никаких специальных аутентификаций и разрешений, чтобы отправлять вам сообщения о чужих транзакциях более не предусмотрено. Далее просто ВТБ стучится в Гугл и говорит: отправь это сообщение на ID такой-то. Всё равно, как если бы они в профиле поставили ваш номер телефона и слали на него смски.