Приложение Сбербанка следит за пользователями

Приложение Сбербанка следит за пользователями

Показать новость
Источник: Cryptoworld
1

Приложение Сбербанка следит за пользователями

В России разгорается скандал: специалисты по информационной безопасности обнаружили, что мобильное приложение Сбербанка «слишком много себе позволяет». Или, иначе говоря, просто хозяйничает на мобильном устройстве пользователя, попутно шпионя за ним.

Речь идет об известном многим пользователям приложении под названием «Сбербанк Онлайн». Это мобильный клиент одноименного банка, причем, по отзывам, клиент качественный и приятный в использовании. Он удобен, функционален, у него прекрасный интерфейс и есть встроенная защита от фишинга и утечек данных.

Приложение Сбербанка

Однако с информбезопасностью разработчики переборщили — или просто превратно ее поняли. «Сбербанк Онлайн» не дает использовать себя без знания PIN-кода, при первом запуске он обязательно проверит смартфон на наличие прав root и, если они есть, не даст переводить деньги куда угодно, ограничив функциональность шаблонами. У него есть встроенная клавиатура, которая защищает от шпионских приложений, реализованных в виде сторонних клавиатур. Для взаимодействия с сервером он использует токены и зашифрованный канал.

Однако хорошее изначально приложение стало жертвой бесконечного наращивания функциональности. Это привело к тому, что «продвинутым» пользователям приходится либо удалять его со своих устройств, либо применять специальные методики, чтобы свести его вредное воздействие на систему к минимуму.


Источник: Cryptoworld
2

Проблемы хорошей программы

Первая проблема мобильного «Сбербанка» — это его размер. APK-файл с приложением «весит» ни много ни мало 41 Мбайт. Для сравнения: игра Smash Hit с отличной трехмерной графикой «весит» 80 Мбайт, игра Geometry Dash с кучей уровней и музыкальных треков — 48 Мбайт, а Google Chrome — те же 41 Мбайт. Причем в данном случае мы сравниваем сложный комплексный софт с клиентским приложением, единственная задача которого — получать данные с сервера и отправлять их обратно в ответ на действия пользователя.

На устройствах с разным объемом памяти и различными настройками размер приложения в оперативной памяти может варьироваться от 40 до 80 Мбайт. Опять же для сравнения: одно из самых «прожорливых» приложений Google Chrome с одной открытой вкладкой потребляет ~90 Мбайт. Причем «Сбербанк Онлайн» висит в памяти в виде сервиса все время работы смартфона. Если его отключить — клиент перезапустится, если перезагрузить смартфон — он запустится при загрузке, если применить таск-киллер — получится «пинг-понг» под названием «Прощай, батарея»: таск-киллер «убивает» сервис, система его запускает, и так продолжается бесконечно.

Приложение Сбербанка

При этом сервис не просто висит в памяти, он регулярно активирует смартфон, чтобы обновить информацию о местоположении устройства и выполнить какие-то другие свои дела. Получается, что приложение, которым человек пользуется раз в неделю, чтобы положить деньги на телефон или проверить баланс, постоянно висит в фоне и регулярно «будит» смартфон. Возникает вопрос: почему?

Источник: Cryptoworld
3

Чрезмерная забота о безопасности

Примечательный момент: прямо в программу «Сбербанк Онлайн» встроен антивирус Касперского. То есть сервис не только висит в фоне и постоянно «будит» смартфон, он еще и активируется каждый раз, когда владелец устанавливает новое приложение. Кроме того, у него есть определенный распорядок проверки. Человек сидит, читает книгу на смартфоне — и вдруг «просыпается» «Сбербанк» и начинает сканировать систему. Как это влияет на батарею — пояснять не надо.

Самая же парадоксальная черта «Сбербанка» в том, что, обвиняя другие приложения в возможности отправки SMS, он сам может не только их отправлять, но и читать, и даже изменять. Также клиент умеет читать контакты, делать снимки, управлять Bluetooth, звонить, изменять настройки смартфона, настройки Wi-Fi, узнавать местоположение, «убивать» фоновые процессы, читать и изменять историю браузера, менять настройки APN, следить за запущенными приложениями, отслеживать установку и удаление приложений, читать и писать логи звонков.

Не каждая троянская программа обладает таким внушительным списком полномочий. Вряд ли всё это нужно антивирусу — трудно придумать, зачем ему может понадобиться возможность звонить, снимать, управлять Wi-Fi или читать логи звонков. Отдельная тема — списки контактов. «Сбербанк Онлайн» использует доступ к ним, чтобы совершать быстрые переводы денег. Но при этом, не спрашивая владельца смартфона, отправляет в Сбербанк его книгу контактов.

Источник: Cryptoworld
4

Как примириться с приложением-шпионом

Понятно, откуда в клиенте Сбербанка взялась подобная функциональность. Проще встроить в приложение антивирус, чем разбираться с тысячами пользователей, у которых украли деньги. Да и многие любят гиперфункциональные приложения, способные даже варить кофе. Тот же ES File Explorer очень популярен, несмотря на фантастическую перегруженность всевозможными функциями.

Как же пользователю «обуздать» «Сбербанк Онлайн» или другое чрезмерно «прожорливое» приложение? Вопрос важный, учитывая, что и белорусские банки активно продвигают собственные мобильные приложения, и излишней «стеснительностью» они тоже не страдают.

Первое, что необходимо сделать, — это отозвать у приложения полномочия. Если на устройстве установлен Android 6.0, то сделать это можно, открыв «Настройки Приложения Сбербанк» и отключив в меню «Разрешения» всё, кроме «Память». При следующем запуске приложение вновь запросит разрешения, и их надо отклонить.

Если нет Android 6.0, но есть CyanogenMod, то же самое можно сделать в меню «Настройки — Конфиденциальность — Защищенный режим — Сбербанк». Если нет ни Android 6.0, ни CyanogenMod, но есть root, следует поставить Xposed, через него установить модуль Xprivacy и уже с его помощью отозвать полномочия.

Далее необходимо сделать так, чтобы «Сбербанк Онлайн» не висел в фоне и не высаживал батарею. Для этого обязательно нужны права root и приложение Greenify. Устанавливаем приложение, соглашаемся предоставить ему права root, нажимаем кнопку «+» в тулбаре и видим список «будящих» смартфон приложений. Наверняка «Сбербанк» окажется где-то в начале — выделяем его и нажимаем круглую кнопку внизу экрана. Теперь приложение будет заморожено сразу после выключения экрана и уже не запустится самостоятельно.

Источник: Office Life
5

Как регулируются персональные данные в Беларуси

Главная претензия к приложению «Сбербанк Онлайн» — то, что оно собирает и отправляет в Сбербанк чересчур большой объем персональных данных своего пользователя. В России это рассматривают как проблему, а вот в Беларуси пока не было слышно громких скандалов со сбором личных данных людей кем бы то ни было — то ли частными, то ли государственными структурами.

В Беларуси тема защиты персональных данных выглядит побочной повесткой: только в этом году планируется утвердить концепцию закона о персональных данных и в 2018 году уже принять сам закон. При этом уже действующие законы и сейчас достаточно жестко защищают наши права, но, с другой стороны, они не очень конкретны.

В соответствии с Законом Республики Беларусь от 10.11.2008 №455-З (ред. от 11.05.2016) «Об информации, информатизации и защите информации» (далее — Закон об информации) персональные данные — основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами РБ внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо. Персональные данные относятся к информации, распространение и предоставление которой ограничено.

Закон Республики Беларусь от 21.07.2008 №418-З (ред. от 04.01.2015) «О регистре населения» (далее — Закон о регистре населения) определяет следующие основные персональные данные: идентификационный номер, фамилия, собственное имя, отчество, пол, число, месяц, год рождения, место рождения, цифровой фотопортрет, данные о гражданстве (подданстве), данные о регистрации по месту жительства и (или) месту пребывания, данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным.

Дополнительными персональными данными по Закону о регистре населения являются: данные о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица, о высшем образовании, ученой степени, ученом звании, о роде занятий, о налоговых обязательствах и некоторые иные.

Закон об информации содержит расширительную формулировку «и иные данные, позволяющие идентифицировать такое лицо», что свидетельствует о том, что белорусское законодательство не ограничивается перечнем, установленным Законом о регистре населения, но распространяет свое действие на любую информацию, способную идентифицировать определенное лицо.

Закон об информации, тем не менее, не уточняет, о какой идентификации идет речь — прямой или косвенной. Некоторые виды данных (например, IP-адрес) могут лишь косвенно идентифицировать субъекта — в совокупности с иными данными. В законодательстве большинства западных государств подобный аспект урегулирован, и «косвенные» персональные данные также подлежат такой же защите, как и «прямые». Белорусское законодательство пока не содержит таких деталей.

В соответствии с Законом об информации при сборе, обработке, хранении персональных данных необходимо получать согласие физического лица, к которому эти персональные данные относятся. При этом согласие должно быть дано в письменной форме.

Ни Закон об информации, ни иные нормативно-правовые акты не уточняют, что подразумевается под согласием в «письменной форме». Гражданский кодекс лишь содержит определение того, чем является совершение сделки в письменной форме — к ней, например, относится и обмен факсимильными подписями, и иными аналогами подписей.

Применение подобного положения возможно по аналогии и к выражению согласия на сбор, обработку, хранение и пользование персональными данными. Тем не менее в отсутствие четкого указания на форму согласия в законодательстве многие субъекты (например, визовые центры при обработке анкет) вынуждены собирать подписи «вручную» — при помощи форм-согласий, которые подписываются лицом, к которому относятся персональные данные.

Подобное положение затрудняет работу многим компаниям — простых кликов «я согласен» в некоторых случаях бывает недостаточно, и формально может возникнуть нарушение Закона об информации. Некоторые компании (в частности, онлайн-магазины) включают согласие на сбор персональных данных в публичные договоры (договоры присоединения), заключение которых возможно простым присоединением (например, покупкой товара в магазине). Законодательно они приравниваются к письменным. Тем не менее здесь речь опять-таки идет о письменной форме договора, а не согласия как такового.

Как и в случае со сбором персональных данных, любая их передача третьей стороне нуждается в отдельном письменном согласии лица, к которому эти персональные данные относятся. Такое согласие может быть получено непосредственно при сборе персональных данных. Здесь, тем не менее, также возникает вопрос о возможности получения электронного согласия.

С учетом того, что трансграничная передача данных сейчас стала нормальной практикой (особенно в ИТ-сфере), необходимость получения согласия в письменной форме не способствует упрощению и ускорению информационного обмена.

Поделиться:
Курс бел. рубля 20.11.2019
Нал. (банки Минска)
покупкапродажа
$12.04802.0510
12.26502.2690
p1003.19503.2000
Б/нал. (НБРБ)
$12.0457
12.2646
p1003.2080