ВТБ запустил переводы по СБП через своего Telegram-бота Статьи редакции
Это первый этап развития банка в мессенджере — ВТБ планирует добавить в него переводы между своими счетами, оплату по QR-коду и другие функции.
- ВТБ запустил мобильный банк через чат-бота в Telegram как альтернативу мобильному приложению, рассказали в компании. Его будут развивать на базе уже существующего в сервисе чат-бота банка.
- С 19 января 2023 года клиенты смогут воспользоваться ботом для проверки баланса, перевода денег через СБП и пополнения мобильного счёта. Функции добавили при помощи технологии Telegram, позволяющей создавать веб-приложения внутри чат-ботов, пояснил руководитель департамента цифрового бизнеса ВТБ Никита Чугунов.
- В течение 2023 года в бота добавят историю операций, оплату по QR-коду, переводы между своими счетами или с карты другого банка на карту ВТБ и другие функции.
- Чтобы воспользоваться функциями, в чате с ботом нужно нажать на кнопку «ВТБ Онлайн» рядом с полем для ввода сообщения. Откроется окно авторизации: войти можно по номеру карты или логину в банке, а затем получить SMS с кодом подтверждения. В дальнейшем для авторизации понадобится только код из SMS.
- Воспользоваться банком можно только с российского IP-адреса: при входе с включённым VPN или из другой страны кнопка авторизации не загружается, проверил редактор vc.ru.
- ВТБ находится под «полными блокирующими санкциями» с конца февраля 2022 года. Его приложения удалены из магазинов App Store и Google Play, так как санкции запрещают работу с американскими контрагентами.
- В июне 2022-го банк анонсировал запуск Telegram-бота с функциями мобильного приложения.
18K
показов
8.2K
открытий
1
репост
Добрый день!
Наверное, вопрос глупый и не к месту...
А каким образом обеспечивается безопасность таких интеграций?
Даже если допустить аксиомой, что сам телеграмм не имеет доступа к трафику (что, конечно, не гарантировано), доступ к клиентам ТГ (как и к смс) на взломанном мобильном устройстве достаточно легко реализуется и можно делать со счетом что угодно в полностью автоматическом режиме.
Само приложение (клиент) ТГ открыто публично и даже имеет (сам не проверял) интерфейсы взаимодействия с другими приложениями.
Вот, думаю, что это мега дыра если это массово начнет использоваться (
Не совсем понял какую конкретно ситуацию вы себе представляете. Что значит доступ к клиентам ТГ?
Авторизация в боте всё равно через форму в webview(грубо говоря параллельно открывается вкладка браузера) с подтверждение по смс коду.
При этом ВТБ получает данные вашего аккаунта ТГ. Как минимум user id, как максимум все ваши членства в группах/каналах и всё что доступно по интеграции. После авторизации время сессии (отрезок времени до автоматического выхода или проще сказать сброса авторизации) ограничено. То есть не будете пользоваться например 10 минут и придётся заново по коду из смс авторизовываться. Если даже они не ограничили время сессии, то тогда нужен другой механизм для защиты. Тогда это например подтверждение 3Ds - когда каждую операцию надо также подтверждать кодом из смс, которая и так есть.
Авторизоваться же в ВТБ на одном устройстве и использовать банк на другом - ну не пробовал, но такое допустить это надо быть "сказочным *дебилом". Так что эту лазейку думаю можно не рассматривать.
"Взломанный смартфон" это очень неопределённо. Взломанный смартфон может лежать у специалиста из органов на столе, а может на смартфон установлено приложение, дающее полный доступ по удалёнке. И в том и в другом случае безопасность бота уже не имеет значения.
Потенциально алгоритм следующий:
Клиент подключает бота ВТБ, для чего проходит web-авторизацию. Дальше все коммуникации проходят через бота с подтверждением нескольких типов операций через СМС.
Если web-авторизацию нужно проходить регулярно через условные 10 минут, то нафига оно нужно. Проще палец приложить к телефону для авторизации в приложении.
Если телефон взломан, то на нем легко и не заметно ставится и запускается APK, которая имеет возможность писать в чаты телеги (есть, встречал) и смотреть СМС (есть, встречал).
Алгоритм софтины:
1. Убедится, что в телеге подключен бот втб
2. Пообщаться с ним про баланс и инициировать перевод
3. Прочитать СМС и передать код боту.
Вуаля, баблосики улетели.
Накрутить дополнительные вопросы, чтобы процесс было сложнее автоматизировать можно, но, убежден, что телега (при всей моей любви к ней) не может являться банковским приложением.
Такие "нехорошие apk" есть и с кейлогерами (запись ввода с клавы) и записью/возможностью повторить LUA-скриптов (запись и выполнение тапов/свайпов не только по координатам экрана, но и на конкретной активити-странице приложения) и со скрытой отправкой и также со скрытым получением смс с переотправкой и даже с удалённым скрытым звонком на смартфон чтобы слушать с микрофона, я уж не говорю про фото и видео в скрытом режиме. Приложения с таким функционалом были уже лет 10 назад. Так что с использованием такого софта не составит труда по удалёнке отследить время бездействия устройства и выполнить вход в любой приложение даже через смс код.
Для того чтобы сделать операцию через банковское приложение (даже при наличие большого количества информации, что само по себе проблема) должно сложиться много пазлов.
Для банка в телеге достаточно трёх шагов выше и в полностью автоматическом режиме.
На больших числах это крайне заметно получится.
Насколько я понимаю, это не полнофункциональный бот. Бот у них просто как "ярлык" для запуска webwiew (просто не во всех случаях полноэкранного, а в стиле виджета или сайдбара что ли). То есть команды не отправляются боту в сообщении. Только самый первый запуск /start просто для вывода приветственного сообщения. А дальше всё взаимодействие уже по веб-страничке.
Так что канал взаимодействия тут не телеграм в общем-то. А чтобы получить доступ к чтению смс всё таки нужен другой софт.
Может быть на неофициальных приложениях-клиентах телеги и есть лазейки для чтения смс. Потому что в документации API (интеграции со своим софтом) чтения смс просто нет. SDK не читал, там может и есть, но это подразумевает установку на смарт стороннего приложения. А значит раз устанавливать как-то надо, то зачем ставить ограниченный функционал.
Поэтому:
1. Пообщаться с ботом не получится. У него просто нет команд для проведения операций.
2. Чтение смс из телеграма без стороннего софта недоступно. Как минимум на официальном приложении (будь то веб или нативное).
Ну и думаю таймаут сессии всё таки есть. На официальном приложении банка точно есть.