Представьте ситуацию: оставили вы на 5 минут без присмотра телефон (например, на зарядке). Возвращаетесь и видите SMSку о переводе крупной суммы денег 3-ему лицу. Представили? А это ведь легко может быть реальностью… В статье пойдёт речь о не очень безопасной системе входа в мобильное приложение Сбербанка, дабы предупредить пользователей о возможности финансовых потерь.

После того, как у меня затупил телефон, мне пришлось сбросить его к заводским настройкам. Установив из Play-маркета приложение «Сбербанк Онлайн», и прождав значительное время, пока приложение сканирует телефон на наличие вирусов, создаётся полное ощущение, что тут всё хорошо с безопасностью. Но каково же было моё удивление, когда после ввода логина и готовности ввести пароль, вместо него меня просят ввести SMS-код, который тут же пришёл на этот же телефон!

Сначала я подумал, что возможно где-то на карте памяти сохранился какой-нибудь идентификатор сессии, из-за которого не надо проходить процедуру ввода пароля, а достаточно пройти упрощённую процедуру подтверждения по SMS. Но это было не так.

Тогда мы с коллегой решили проверить на его телефоне, смогу ли я войти в его приложение. Мы берём его телефон, открываем приложение, выбираем «Сменить пользователя» в меню, вводим логин (который секретным не является и используется им на разных сервисах). И, бинго, опять вводим SMS-код и оказываюсь внутри приложения с полным доступом ко всем финансам! Всё дело заняло пару минут времени.

А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше.

Кроме того, в ОС куча приложений, которые просят разрешений на чтение SMS. Не удивлюсь, если появится вирус, способный сымитировать вход в приложение с чтением и последующим входом кода из SMS.

А что Сбербанк?

Через обратную связь я писал дважды об этой проблеме сбербанку и оставил отзыв на banki.ru. Но сбербанк судя по всему не считает это проблемой. Кроме того, в условиях использования был найден следующий пункт:

Не совмещайте устройства доступа к системе «Сбербанк Онлайн» и устройства получения SMS-сообщений с подтверждающим одноразовым паролем (например, мобильный телефон, смартфон или планшет). Для мобильных устройств созданы специализированные версии системы.
При утрате мобильного телефона, на который Вы получаете сообщения с SMS-паролем, сразу же обратитесь к оператору сотовой связи и заблокируйте SIM-карту.

То есть фактически приложение нельзя ставить на тот же телефон, на который приходят SMS-ки.

Выводы

Выводы можно сделать только такие - держите телефон всегда при себе, даже когда решили выйти на 5 минут в туалет. Не устанавливайте приложений с доступом к SMS. А ещё лучше - получайте SMS с кодами на кнопочный телефон без приложений.

(далее Сайт) с уважением относится к правам посетителей Сайта. Мы безоговорочно признаем важность конфиденциальности личной информации посетителей нашего Сайта. Данная страница содержит сведения о том, какую информацию мы получаем и собираем, когда Вы пользуетесь Сайтом. Мы надеемся, что эти сведения помогут Вам принимать осознанные решения в отношении предоставляемой нам личной информации.

Настоящая Политика конфиденциальности распространяется только на Сайт и на информацию, собираемую этим сайтом и через его посредство. Она не распространяется ни на какие другие сайты и не применима к веб-сайтам третьих лиц, с которых могут делаться ссылки на Сайт.

Сбор информации

Когда Вы посещаете Сайт, мы определяем имя домена Вашего провайдера и страну (например, «aol.com») и выбранные переходы с одной страницы на другую (так называемую «активность потока переходов»).

Сведения, которые мы получаем на Сайте, могут быть использованы для того, чтобы облегчить Вам пользование Сайтом, включая, но не ограничиваясь:

— организация Сайта наиболее удобным для пользователей способом;
— предоставление возможности подписаться на почтовую рассылку по специальным предложениям и темам, если Вы хотите получать такие уведомления.

Сайт собирает только личную информацию, которую Вы предоставляете добровольно при посещении или регистрации на Сайте. Понятие «личная информация» включает информацию, которая определяет Вас как конкретное лицо, например, Ваше имя или адрес электронной почты. Тогда как просматривать содержание Сайта можно без прохождения процедуры регистрации, Вам потребуется зарегистрироваться, чтобы воспользоваться некоторыми функциями, например, оставить свой комментарий к статье.

Сайт применяет технологию «cookies» («куки») для создания статистической отчетности. «Куки» представляет собой небольшой объем данных, отсылаемый веб-сайтом, который браузер Вашего компьютера сохраняет на жестком диске Вашего же компьютера. В «cookies» содержится информация, которая может быть необходимой для Сайта, - для сохранения Ваших установок вариантов просмотра и сбора статистической информации по Сайту, т.е. какие страницы Вы посетили, что было загружено, имя домена интернет-провайдера и страна посетителя, а также адреса сторонних веб-сайтов, с которых совершен переход на Сайт и далее. Однако вся эта информация никак не связана с Вами как с личностью. «Cookies» не записывают Ваш адрес электронной почты и какие-либо личные сведения относительно Вас.

Кроме того, мы используем стандартные журналы учета веб-сервера для подсчета количества посетителей и оценки технических возможностей нашего Сайта. Мы используем эту информацию для того, чтобы определить, сколько человек посещает Сайт и организовать страницы наиболее удобным для пользователей способом, обеспечить соответствие Сайта используемым браузерам, и сделать содержание наших страниц максимально полезным для наших посетителей. Мы записываем сведения по перемещениям на Сайте, но не об отдельных посетителях Сайта, так что никакая конкретная информация относительно Вас лично не будет сохраняться или использоваться Администрацией Сайта без Вашего согласия.

Чтобы просматривать материал без «cookies», Вы можете настроить свой браузер таким образом, чтобы он не принимал «cookies» либо уведомлял Вас об их посылке.

Совместное использование информации

Администрация Сайта ни при каких обстоятельствах не продает и не отдает в пользование Вашу личную информацию, каким бы то ни было третьим сторонам. Мы также не раскрываем предоставленную Вами личную информацию за исключением случаев предусмотренных законодательством (укажите страну, где расположен сервер).

Администрация сайта имеет партнерские отношения с компанией Google, которая размещает на возмездной основе на страницах сайта рекламные материалы и объявления (включая, но не ограничиваясь, текстовые гиперссылки). В рамках данного сотрудничества Администрация сайта доводит до сведения всех заинтересованных сторон следующую информацию:

1. компания Google как сторонний поставщик использует файлы cookie для показа объявлений на Сайте;
2. файлы cookie рекламных продуктов DoubleClick DART используются Google в объявлениях, показываемых на Сайте, как участнике программы AdSense для контента.
3. использование компанией Google файлов cookie DART позволяет ей собирать и использовать информацию о посетителях Сайта (за исключением имени, адреса, адреса электронной почты или номера телефона), о Ваших посещениях Сайта и других веб-сайтов с целью предоставления наиболее релевантных объявлений о товарах и услугах.
4. компания Google в процессе сбора данной информации руководствуется собственной политикой конфиденциальности;
5. пользователи Сайта могут отказаться от использования файлов cookie DART, посетив страницу с политикой конфиденциальности для объявлений и сети партнерских сайтов Google.

Отказ от ответственности

Помните, передача информации личного характера при посещении сторонних сайтов, включая сайты компаний-партнеров, даже если веб-сайт содержит ссылку на Сайт или на Сайте есть ссылка на эти веб-сайты, не подпадает под действия данного документа. Администрация Сайта не несет ответственности за действия других веб-сайтов. Процесс сбора и передачи информации личного характера при посещении этих сайтов регламентируется документом «Защита информации личного характера» или аналогичным, расположенном на сайтах этих компаний.