Пару лет назад мы делали обзор премиальных банковских карт и обзор как экономить на страховках, если нет премиалки. А сейчас мы проанализировали порядка сотни приложений банков на права доступа, которые они требуют при установке их мобильного приложения на андроид. Результаты свели в таблицу.
Банковские приложения и сами банки ведут себя очень наглым образом. Уже при установке они запрашивают права доступа, которые им необязательны или совсем не нужны для работы. Например, приложение Сбербанка сразу требует доступ к звонкам и фоткам. Я категорически против. Отказываю. А приложение не хочет работать при таком раскладе.
Банки, конечно, говорят, что всё во благо народа.
Нам же и пенсионный возраст, и НДС повышают по просьбам трудящихся, и даже старого деда до 2036 года продлили. Мы не хотим. А они делают всё, чтобы нам было им проще дать, чем объяснить почему не хочется.
Ответ Сбера просто поражает.
Сбер не одинок. Такая же ситуация и с ВТБ, с которым мы год судимся за закрытие счёта.
Кто-то даёт добро банкам к с своим личным данным не глядя, а потом банки используют эти данные.
Когда сталкиваешься со СПАМом целенаправленным и понимаешь, что кое-кто слил персональные данные, то уже начинаешь относиться к ним куда бережнее.
Ещё у нас тут Ситибанк и Совкомбанк отличились, если вы клиент этих банков и живёте за границей, то банк считает, что приложение вам не должно быть доступно.
Анализ приложений известных банков
Мы решили сделать анализ приложений основных банков. Проанализировать три типа мобильных приложений банка:
- для физических лиц;
- для юридических лиц;
- и брокерские приложения для инвестиций в ценные бумаги.
Все сведения мы свели в таблицу. Теперь вы можете заранее выбирать нормальный банк, которые не лезет вам нагло в штаны ваш смартфон за вашими данными.
Ситуация не такая уж и угрожающая. Но пока неизвестно куда тренд идёт. Важно, чтобы все клетки в таблице стали зелёными, а не количество красных увеличилось.
Права доступа запрашивают почти все. И в идеале надо зелёными отмечать только тех, кто не запрашивает никаких прав доступа, а жёлтым цветом отмечать тех, кто запрашивает, но работает, если в правах доступа отказано. Если представители банков всё же отреагируют на наши недовольства, то через годик будет уместно повторить тестирование.
Проблема копий паспорта
И чтобы два раза не вставать поговорим про копии паспортов ещё. Нигде никаким законом не предписано коллекционировать копии паспортов. Смысла в их коллекционировании нет. Например, у нас в ITSOFT были перегибы на местах, когда сотрудники брали копии паспортов, но я это запретил делать категорически.
Рынку вообще нужна система идентификации по одному ИНН+TOTP вместо кучи реквизитов и персональных данных.
Никогда никому старайтесь не давать копии паспортов. Всегда требуйте законное обоснование, чтобы потом кредит на вас не повесили или ещё что, а вам не пришлось доказывать, что подпись не ваша. Если же там упираются, то когда снимаете копию с паспорта нужно приложить 2-3 листочка на пустое место в паспорте с указанием куда предоставляется копия паспорта. Потом такой копией невозможно воспользоваться, если она уйдёт на чёрный рынок. А у вас будет хотя бы теоретическая возможность привлечь виновника к ответственности в суде.
Банки пока в массе не применяют ЕБС (единую биометрическую систему).
63-ФЗ об электронной подписи принят уже лет 10 как. Но банки его игнорируют и упорно не хотят работать с документами подписанными УКЭП, хотя согласно п. 1 ст. 6 63-ФЗ они обязаны. По сути мы уже год с ВТБ за это и судимся.
Возможные решения проблемы
Пинать и стыдить постоянно банки и всех, кто пытается без нужды получить доступ к нашим данным. Проверьте какие права имеют все ваши мобильные приложения и запретить всё лишнее. Это можно сделать в Настройки → Приложения → Менеджер настроек. Не бойтесь запретить нужные права, если потребуются, потом можно всегда разрешить.
Если вы не пишете видео со звуком из Facebook и Instagram, то этим приложениям не нужен доступ к микрофону.
Если вы используете приложения соцсетей только для чтения и не постите фотки, то и доступ к камере им ни к чему.
Зачем доступ к камере смартфона имеют некоторые банковские приложения вообще непонятно. Ещё они доступ к диску имеют. Они вполне могут работать и без него.
Тем банковским приложениям, которые отказываются работать без прав ставим единицу в рейтингах Google Play, пишем отзывы на банкиру.
С этим нужно что-то делать на законодательном уровне. Отчасти даже сделано — ст. 5 152-ФЗ. Там сказано, что собирать персональные данные можно только те, которые реально нужны. Есть ст. 15 152-ФЗ, где запрещено без нашего согласия использовать наши данные для того, чтобы нам что-то впарить. Но банки в своих кабальных договорах уже получают от нас согласие и большинство это подписывает не глядя. Хотя согласно закону мы можем отказать банку в части его хотелок. Тут нужно внимательно читать договор и приложения к нему.
Совсем отвратительно то, что согласно ст. 14 152-ФЗ мы не можем получить информацию об обработке наших данных указанную в п. 7., так как согласно подпункту 3) п. 8 наше право может быть ограничено. Банк же всегда может сослаться, что он залезает к нам в трусы смартфон не чтобы лучше нам рекламу показывать и продвигать свои услуги, а чтобы с терроризмом бороться. Мало ли кто чего не то думает про власть.
Банки ловили уже за руку на утечке персональных данных, но им ничего не было по сути, а пострадавшие клиенты существенных компенсаций не получали.
Сейчас пора предвыборных кампаний начинается. Можно обратиться к депутатам и к кандидатам в депутаты, что есть конкретная проблема. Отличный повод с ними познакомиться. Со своими я знакомился в битве за поправками против судебных приказов. В очередной раз напишу письма со ссылкой на данную статью. Тема очень больная. Статей и откликов много. Давно пора навести порядок в том, какие данные банки могут получать, а какие не могут. Ст. 5 152-ФЗ должна работать, а те, кто без необходимости собирает данные, должны за это дело отвечать очень серьёзно и не перед государством, а перед физическими лицами. А то права нарушаются наши, а штрафы собирает государство обычно. В результат я, конечно, не верю, но времени это тоже много не занимает.
В ЦБ РФ жалобы писать бесполезно, они там одни отписки дают, что не вправе вмешиваться в деятельность банков.
Если у вас есть возможность совсем не пользоваться телефонной связью, то лучше не пользуйтесь. Банки почему-то не внедряют общение через Telegram. Мы давно внедрили и всем рекомендуем телебота. Телефонная связь пишется в нескольких местах. Все данные озвученные по телефонной связи почти в открытом доступе. Прослушки сливают регулярно в сеть и к вашим телефонным переговорам имеет доступ большой круг лиц.
Не светите личную мобилу для банков.
В идеале СМС принимать на одном телефоне, а приложение банка на другом.
Совсем в идеале банкам уйти от СМС и сим-карт. Сим-карты бывает и подделывают в смысле перевыпускают незаконно. И СМС-ки дорого стоят. Ведь TOTP куда безопаснее и дешевле. Но банкам, за редким исключением, почему-то проще за смски платить, чем перейти на аппаратные токены. Сейчас начали внедрять некоторые банки программные генераторы кодов, но они инициализируются через смс, т.е. деньги они экономят, а безопасности не дают.
Дата-центр ITSOFT — размещение и аренда серверов и стоек в двух дата-центрах в Москве. За последние годы UPTIME 100%. Размещение GPU-ферм и ASIC-майнеров, аренда GPU-серверов, лицензии связи, SSL-сертификаты, администрирование серверов и поддержка сайтов.
Мда, честно, но это уже паранойя.
P.S. Доступ к камере нужен для оплаты счетов через QR.
Его можно просить в момент попытки сканирования кода, а не безальтернативно при первом запуске приложения. Как, в прочем, и со всеми остальными правами.
Игорь, полностью с вами согласен. Спасибо за статью.
"Кол" ВТБ я влепил после того как они доступ к телефону просить стали, а ведь до этого прекрасно без него обходились. Сбер просто сразу снёс как увидел что там просят, благо есть и другие банки.
Хотел бы ещё обратить внимание на тему, что вы вскользь затронули. Ещё одна из любимых уловок банков и сотовых операторов: предлагать пользователю отказаться от дополнительных услуг, а не наоборот. Сам недавно на такое попался у Тинькофф, с подключёнными по-умолчанию СМС- оповещениями. В договоре была опция отказаться, которую я пропустил. Думаю, что закон о запрете такого трюка был бы очень полезен.
Не было доступа к телефону - банк не мог определить с какого устройства была совершена операция. Вы уверены, что нужна такая "безопасность"?
В Сбере есть такой прикол: тебе звонят мошенники, ты им не отвечаешь. После этого Сбер присылает уведомление, что тебе звонили мошенники. Это все, конечно, хорошо, только мошенники подсылаются самим Сбером
Комментарий недоступен
Президент — не сотрудник правительства
бред параноика
Здравствуйте, Александр. Вас приветствует служба безопасности сбербанка. Нам поступил сигнал, что по вашему счету происходят подозрительные операции. Не могли бы вы найти ближайший банкомат и перезвонить по номеру, указанному в смс? Иначе ваша карта будет заблокирована.
Здравствуйте, Александр. Вас приветствует служба поддержки Сберпанка. Мы заметили, что вы совершаете подозрительные операции и решили заблокировать вашу карту. Чтобы этого не произошло, Вы должны пройти к ближайшему банкомату и позвонить по номеру, который указан на нем
Что за мода пошла, дублировать статьи с хабра?
Наверно, их там не читают?
Скорей всего, статья не нашла там понимания
Дверь в квартиру гражданина
Не нуждается в сезаме
© Один малоизвестный гражданин второсортной эпохи
Про копии паспорта и суд иронично. Суд сам требует прикладывать копию паспорта когда отменяешь судебный приказ или подаёшь исковое заявление. Судья на заседании прям так и говорит "предъявлен паспорт, копия которого имеется в материалах дела".
Не увидел здесь ничего криминального.
Смиритесь уже с тем, что, покупая новый смартфон, за вами уже следят после первого его включения. Ныть, что везде прослушка и слежка - глупо. Да и то кнопочную мобилку через вышки сотовой связи будут отслеживать, тем самым отследив ваше местоположение.
Не хотите слежки - переезжайте в лес, предварительно выкинув всю свою технику.
Комментарий удален модератором
Я так понимаю, писал обычный пользователь?
А теперь взгляните со стороны разбирающегося пользователя:
Доступ к телефону: дело в том, что это разрешение даёт возможность получить техническую информацию о телефоне. А это в свою очередь, нужно, чтобы идентифицировать устройство и знать на какое устройство отправлять push-уведомления (некоторые приложения позволяют выбирать)
Доступ к камере нужен для сканирования штрих-кодов, напечатанных на бланках оплаты. В таких штрих-кодах обычно записаны все параметры платежа.
Доступ к хранилищу (как тут написано, для фото) нужен для сохранения файлов (чеков после оплаты).
Мы - это кто?
1. Выбрасываешь смартфон, умные часы, гироскутер.
2. Снимаешь все деньги с карты в нал.
3. Выкидываешь все банковские карты.
4. Покупаешь билет на поезд Москва - Сибирские Е5еня.
5. Приезжаешь в Сибирские Е5еня.
6. Из Сибирских Е5еней пешком идёшь вглубь сибирской тайги.
7. Живешь в шалаше в сибирской тайге без повседневных вещей обихода.
8. Профит - никто не лезет к тебе в }|{oIly через приложение банка или фоточки в Инстаграме.
Пусть лучше банки лезут, чем медведи с волками )
Отдельный смартфон для банковских приложений и приложений опсосов. Да - неудобно, а что поделать?..
Бороться законными методами, а то будем скоро "занимать очередь в пятницу".
Что поделать? Не страдать фигнёй.
Что изменится по сравнению с тем, что Вы используете основное устройство?
Вы входите под своей учетной записью в банковское приложение и банк идентифицирует устройство как Ваше. В итоге банк легко связывает Ваш номер телефона с устройством.
Спасибо большое за информацию про приложение, чтобы запускать эти банковские приложения в песочнице.
Комментарий недоступен
Интересно, сюда придут ребята из описанных в статье банков и начнут защищать свои приложения?
Ну не давай доступ к контактам. Будешь бабки переводить по номеру карты, который тебе никто не даст.
Реально многие не понимают как это работает судя по комментариям. С чего вы решили что перевод по номеру телефона не сработает если у приложения нет доступа к контактам? Что мешает в приложении просто вбить нужный номер телефона руками? Зачем ему (приложению) для этого знать как в контактах прописан этот номер?