Прошедший год наш проект "Лаборатория свободного интернета" провел, разбираясь в различных, часто не очень приятных аспектах взаимодействия операторов мобильной связи и их пользователей. В процессе мы наткнулись на несколько интересных юридических моментов, о которых ни я, ни мои коллеги даже не подозревали. Обобщив этот опыт, решил поделиться.
Вы задавались вопросом, кому принадлежит ваш номер телефона? На номер завязано многое — доступы к соцсетям и мессенджерам, на него приходят СМС авторизации в банковских приложениях, телефонный номер привязан к сайту Госуслуг…
Пока мы работали над нашим расследованием про «пробив», мы обнаружили такую нелегальную услугу, как перевыпуск чьей-либо сим-карты без ведома владельца телефонного номера. На самом деле, как нам кажется, поигрывать с этой опцией могут и сами операторы. Вспомним нашумевший кейс Романа Доброхотова (признан иноагентом в РФ), чей номер испарился из баз МТС; или даже внезапные ночные отключения сервисов на телефонных номерах у активистов.
Пока абонент отдыхал…
Злоумышленники с чужой симкой могут натворить всякого. Например, нам попалось интересное судебное решение в деле с перевыпуском сим-карты.
Абонент МТС из Москвы поехала отдыхать в теплые края, где с ее сим-картой произошли неполадки, и она перестала работать. В это время некие злоумышленники в салоне сотовой связи получили дубликат этой сим-карты (что, вероятно, и явилось причиной прекращения работы основной сим-карты), а с его помощью — доступ к онлайн-банку. После чего аккуратными суммами, не вызывающими подозрений у банка, вывели со счета средства на общую сумму, явно имеющую значение для абонента.
Вернувшись с отдыха, абонент не оценила такого способа избавления от сбережений, и подала в суд. На компанию МТС. Третьим лицом в иске стали собственно банк и АО «Русская телефонная компания» (РТК), «дочка» МТС, теперь переименованная в «МТС. Розничная сеть». Там и была перевыпущена сим-карта, пока законная хозяйка номера отдыхала.
Как именно была перевыпущена сим-карта, сказать сложно: ни доверенностей, ни заявлений в деле так и не возникло. А о том, кто имеет доступ к вашим данным, читайте в нашем расследовании про мобильный пробив.
Банк развел руками: с его стороны все действия выглядели нормально, суммы не вызывали подозрений.
СУДЕБНОЕ РЕШЕНИЕ
Дело № 2-1068/18 от 23.07.2018 года
Линия защиты компании МТС нас впечатлила: они сообщили, что истцом не подтверждено, какая именно информация передается вместе с дубликатом сим-карты, и указали на то, что данные по банковской карте недоступны для оператора связи, в связи с чем вина ПАО МТС в причинении убытков истцу отсутствует.
То есть до 2018 года в компании МТС, видимо, не догадывались о том, что номера телефонов используются для авторизации в банках. И что это свойство не утрачивается после перевыпуска сим-карты. Хотелось бы также понять, где та форма, заполнив которую клиент информирует провайдера сотовой связи о том, что этот номер очень дорог для него, поэтому не надо его отдавать случайным людям.
Суд, кстати, встал на сторону абонента и деньги ей присудил вернуть.
Чей номер?
Номер телефона изначально принадлежит Российской Федерации, то есть государству, которое выделяет номера операторам связи, а те в свою очередь — абонентам. Причем российские телефонные номера являются частью международной системы нумерации.
Согласно пунктам 1, 2, 3, 7 и 18 Постановления Правительства РФ от 13.07.2004 N 350 (ред. от 25.09.2018) «Об утверждении Правил распределения и использования ресурсов нумерации единой сети электросвязи Российской Федерации» —
настоящие Правила, разработанные в соответствии с законодательством Российской Федерации в области связи, определяют порядок распределения и использования ресурсов нумерации единой сети электросвязи Российской Федерации, в том числе российских сегментов международных сетей связи, с учетом рекомендаций международных организаций, участником которых является Российская Федерация, в соответствии с российской системой нумерации и планом нумерации сетей связи единой сети электросвязи Российской Федерации (далее — российская система и план нумерации).
Регулирование ресурсов нумерации единой сети электросвязи Российской Федерации является исключительным правом государства.
Ресурсы нумерации единой сети электросвязи Российской Федерации являются частью ресурса нумерации международной сети связи и состоят из ресурсов нумерации телефонной сети связи, телеграфной сети связи, сетей передачи данных, телематических служб, кодов идентификации сети Интернет, а также служебных кодов идентификации сетей связи, их элементов и оконечного оборудования.
Выделение ресурса нумерации для сетей электросвязи осуществляется Федеральным агентством связи по заявлению заявителя — оператора связи, обладающего лицензией на осуществление деятельности в области оказания услуг связи (далее — лицензия на оказание услуг в области связи), владельца сети связи специального назначения.
Оператор связи, владелец сети связи специального назначения, получившие ресурс нумерации, самостоятельно выделяют номера для абонентов и пользователей услугами связи, назначают идентификационные коды элементов сети, коды доступа к услугам связи на своих сетях связи из выделенного им ресурса нумерации.
Как отметил Сергей Половников, руководитель агентства Content Review, «номерная емкость принадлежит государству, а операторы получают номера за фиксированную плату на определенный срок с привязкой к конкретному региону».
Важные моменты:
договор об оказании услуг связи является публичным;
оператор не вправе отказать в заключении договора об оказании услуг связи абоненту, исключение — невозможность заключения договора в силу отсутствия технической возможности у оператора.
Может ли оператор взять и поменять телефонный номер абонента?
Да! Согласно пункту 46 Правил оказания услуг телефонной связи, оператор связи по своей инициативе имеет право заменить выделенный абоненту абонентский номер.
Но! Только в том случае, если продолжение оказания услуг телефонной связи с использованием указанного номера невозможно. При этом оператор связи обязан письменно известить абонента и сообщить ему его новый абонентский номер не менее чем за 60 дней до даты замены, если необходимость замены не была вызвана непредвиденными или чрезвычайными обстоятельствами.
Могут ли мобильные операторы изымать абонентские номера?
Да! (Но) У каждого мобильного оператора есть определенный промежуток времени, через который он в одностороннем порядке расторгает договор и возвращает ваш номер в розничную продажу, если не использовать сим-карту и не совершать действий, подлежащих оплате (звонки, отправка СМС, выход в интернет).
Оператор также может заблокировать сим-карту в следующих ситуациях:
за рассылку спама;
если сим-карта была украдена или перевыпущена без ведома владельца;
баланс на счету абонента стал ниже минимума.
Важно: заблокированную из-за долгого неиспользования сим-карту можно активировать, обратившись в салон связи. Если за это время номер не передали другому абоненту, то карту вам разблокируют.
Многие спрашивают, почему вообще продаются сим-карты, которые уже кому-то принадлежали, и насколько это законно.«Каждому оператору выделен определенный номерной диапазон, который постепенно выбирается абонентами. Соответственно, операторы вынуждены вновь выпускать в оборот ранее изъятые номера», — поясняют в пресс-службе одного из сотовых операторов. Про МТС мы нашли данные, например, что у них 173 миллиона номеров, у Мегафона — 134, у Билайна — 132.
Тайная жизнь СМС
Еще один интересный случай связан с неоднозначными действиями оператора. Дело оказалось настолько сложным, что его не смог с первой попытки разобрать даже суд.
Москвич купил симку «Билайн» у оператора «МТК-Мобил», и этот номер привязал к аккаунту в банке Х. Однажды эта сим-карта (как и в кейсе, который мы описываем в начале) перестала работать. О чем абонент и сообщил «Билайну». Как оказалось, буквально за 2 часа до этого сим-карта была перевыпущена (что и вызвало отказ симки абонента).
Но как? От имени гендиректора «МТК-Мобил» была сделана доверенность на некое лицо, это лицо получило тот самый номер телефона, привязанный к аккаунту в банке Х, и сняло 158 402 руб. с банковской карты, пользуясь одноразовыми кодами доступа, приходившими на номер телефона.
Настоящий владелец счета и номера телефона, узнав о случившемся, написал заявление в полицию о незаконном списании денег с его счета и одновременно обратился в суд с требованием взыскать с «Билайна» похищенные деньги (158 402 руб.) и компенсацию морального вреда — 50 000 руб.
Суд отказал, сославшись на то, что причинно-следственной связи между убытками, которые понес абонент, и действиями сотрудников «Билайна» вроде как нет. Ведь «Билайн» не отвечает за дистанционное управление счетом истца в банке.
Но истец оказался упрямым человеком и пошел дальше. И уже Верховный суд отметил, что ответственность за действия лица, которому оператор поручил обслуживание абонентов, несет именно оператор, как и за соблюдение тайны телефонных переговоров и сообщений. Сим-карту выпустили по заявлению некого человека, которому истец не давал никаких прав распоряжаться его номером, отметили в Верховном суде.
Кроме того, судьи посчитали, что оператор недобросовестно исполнил свои обязанности, ввиду чего мошенники получили доступ к банковским счетам. Дело направлено на новое рассмотрение (дело № 5-КГ19-216).
Как нам кажется, в деле красной нитью проходит нежелание оператора брать на себя ответственность за то, какие сервисы абонент привязывает к своему номеру телефона.
Еще один неожиданный вопрос: а вы в курсе, что почти каждый день используете электронную подпись?
Оказывается, СМС-сообщения могут быть отнесены к простой электронной подписи. Их всего два вида (ст. 5 ФЗ 63-ФЗ "Об электронной подписи" от 06.04.2011): простая и усиленная.
Простая электронная подпись позволяет посредством использования кодов, паролей или иных средств подтверждать факт формирования электронной подписи определенным лицом. Вы получаете кодик СМС-сообщением, потом вводите его в форму… и таким образом уже используете простую электронную подпись! ПЭП применяется в банковских операциях, для аутентификации в информационных системах, для получения госуслуг и т.д.
Сочетание логина, пароля, номера телефона для контрольных СМС является простым подтверждением личности и намерений клиента. Такой комплекс может расцениваться как подпись клиента под совершаемыми действиями. Конечно, при соблюдении законодательных требований. Особенностью ПЭП является то, что она указывает на подписавшее документ лицо, но не дает возможности установить неизменность электронного документа после подписания. Для сравнения: усиленная электронная подпись использует криптографию, что не позволяет изменять сам электронный документ; а при бумажном документообороте стороны ставят свои подписи на каждой странице соглашения и это также гарантирует, что после подписания документа (договора) условия, оговоренные в нем, останутся неизменными. В случае с ПЭП гарантий неизменения условий в одностороннем порядке нет.
Открываем глаза на очевидное!
Нам кажется, что давно нужны некоторые улучшения в части обращения операторов с номерами абонентов. Сейчас не 2001 год, когда многие хранили контакты в телефонной книжке и в случае замены номера просто слали контактам СМС. На сегодняшний день на номер телефона завязано множество весьма и весьма чувствительных сервисов. Поэтому операторам пора прекратить прятать голову в песок, наконец-то открыть глаза и признать, что, например, СМС-сообщения уже очень продолжительное время используются не для общения и переписки, а именно в качестве ПЭП или для простого информирования.
Какие улучшения нужны?
Первое и самое нужное: обдумать возможность внедрения механизма проверки оператором привязки номера телефона к аккаунту на госуслугах (ЕСИА — Единой системе идентификации и аутентификации). И если номер привязан к аккаунту, не возвращать его в пул свободных номеров во избежание мошенничества. Или разработать процедуру отвязки аккаунтов при возвращении номера оператору.
Деньги за обслуживание взимаются и при «простаивании» телефонного номера: таким образом сначала с баланса «съедаются» все деньги, а потом этот номер отключается. Призываем пересмотреть условия блокировки, особенно, опять же, для номеров с привязанными аккаунтами на государственных сервисах.
Дать возможность пользователю проинформировать оператора о неиспользовании телефонного номера определенный период времени: например, на время длительных командировок. Чтобы не оказаться в другой стране без доступа к государственным сервисам и банкам.
Если уж оператор в суде сообщает, что он не знал, что абонент использует для доступа к разным сервисам этот номер телефона, необходимо создать процедуру, позволяющую это узнать, проконтролировать и более внимательно подходить к операциям с подобными номерами.
Комментарии (238)
ktod
26.05.2022 14:00+17имхо, смс вообще не должны использоваться для передачи важных данных. И предложенные меры по его "усилению", суть есть костылестроение. "Pure gsm" изначально небозопасная среда и использование ее в банковской сфере - глупость. Опять же имхо, минимальным решением было передача данных исключительно по шифрованным каналам, организованным непосредственно через банковские мобильные приложения.
Plusodin Автор
26.05.2022 14:33+4да, решения в этой области есть, и хотелось бы хотя бы альтернатив СМСкам. Я понимаю, что часть пользователей не обрадуется усложнениям. Но хорошо бы начать с того, чтобы признать, что телефонный номер - это важная часть доступа к различным ресурсам
unixbsd
26.05.2022 15:38-6Сейчас уже многие банки используют Push уведомления. Удобно и безопасно. Принцип такой, что подтверждение придет через приложение, а не на номер телефона.
SpiritOfVox
26.05.2022 15:50+21Идея получения второго фактора на устройство с которого осуществляется доступ идеологически ошибочная. Пуши конечно снижают риск перевыпуска сим карты или перехват смс, но не могут бороться с захватом контроля над устройством.
RTFM13
27.05.2022 00:14+1Идея получения второго фактора на устройство
Если бы он был второй. Через СМС можно получить полный доступ практически к чему угодно. Потому как "восстановление доступа" или привязка приложения происходят по единственной СМС. В РФ это требование спецслужб.
Balling
27.05.2022 05:38На сбере в мобильном нужен логин (супер длинный) или номер карты.
RTFM13
27.05.2022 11:43+4Номер карты (телефона и т.п.) это практически публичные данные. Использование для авторизации недопустимо.
Balling
27.05.2022 11:47Номер карты и даты достачно, чтобы сделать транзакцию. CVV любой из 3, в чипе, на магнитке или на обратной стороне карты не нужны. Пример: американский amazon.
RTFM13
27.05.2022 12:14Это операция по сути проводимая без авторизации.
В цивилизованных странах продавец с банком могут взять на себя такой риск.
Popadanec
27.05.2022 12:35Не так. Некоторые магазины(обычно крупные) могут работать без 3D S, но риски и возврат средств в таком случае берут на себя.
RTFM13
27.05.2022 13:24+1Тут нет противоречия с тем что я написал выше.
Перед клиентом за его деньги отвечает банк. А как он дальше будет перекладывать ответственность - это его дело.
Balling
27.05.2022 15:23Это не правда. CVV код достаточно подтверждает транзакцию. Вообще 3-D secure только для p2p всегда ативна.
Я говорил про отстутствие и CVV тоже.
lmxrm
27.05.2022 13:09но по какой то неведомой причине не нужен пароль
Balling
27.05.2022 13:10Именно! Я им жаловался! Но вообще сама идея по номеру карта это жесть.
RTFM13
27.05.2022 13:27Потому что много балбесов теряют пароли. По этому всё можно восстановить через СМС и публичные данные.
А если что не так, банк отморозится - типа деньги клиента он сам за них отвечает, это его проблемы (по материалам реальных судебных дел).
vak0
27.05.2022 15:16+2В Сбере достаточно подобной жести. Хотите пример? В ЛК их интернет-банка есть замечательная функция, позволяющая определить, в каких системах (физический офис, интернет-банк, мобильное приложение, банкомат) будет доступ к тому или иному счету клиента. Очень хорошая задумка, можно, например, разрешить для мобильного приложения доступ к текущему счету и запретить к депозитному, где хранится крупная сумма. Тогда при потере телефона или вынужденном входе в приложение, условно, с ножом у горла потери ограничатся текущим счетом, депозитный будет не виден. Но! Эти гении сделали в мобильном приложении опцию включения/выключения видимости ВООБЩЕ ВСЕХ счетов, в том числе и тех, видимость которых в приложении до этого была отключена! Какого, а? Сколько не думал, так и не смог понять, какой логикой они руководствовались…
RTFM13
27.05.2022 18:37+1Как правило у всех есть опция "я потерял пароль" и тогда тебе пришлют волшебную СМС по которой всё можно установить с нуля на новый смартфон с полным доступом. По этому если на симке нет пароля то просто воткнул ее в другой смартфон и вот у тебя полный доступ.
NNikolay
27.05.2022 11:16СМС же приходит на тот же телефон, куда и пуши приходят. Где здесь второе устройство?
SpiritOfVox
27.05.2022 11:24+4Вы можете использовать сим карту на которую приходят смс в отдельном телефоне.
leshakk
27.05.2022 11:48У Сбера когда-то была возможность распечатать в банкомате (т.е с авторизацией по физической карте + PIN) список одноразовых паролей. Но потом почему-то эту опцию прикрыли, а жаль.
Balling
27.05.2022 11:51+1Это как раз небезопасно, так как там же можно распечатать новый логин пароль.
stalinets
29.05.2022 02:26У Яндекс.денег когда-то была альтернатива смс - шифроблокнот с таблицами. Три раза спрашивают два символа в заранее выданной таблице, называя строку и столбец, если ответил верно - авторизовывали. Но вот убрали, увы.
andreishe
26.05.2022 17:20+4Безопасно в каком месте? Пуши вместо инфраструктуры оператора идут через инфраструктуру держателя платформы. Ему доверия, наверно, больше, но можно вообще без доверия обойтись.
TOTP как минимум.
event1
26.05.2022 18:03чтобы злоумышленник получил пуш-уведомление вместо жертвы ему надо угнать учётку гугла или эппла. Что, видимо, на практике, много сложнее чем перевыпустить симку. Возможно операторам просто стоит взять на вооружение подходы к учёткам принятые в указанных компаниях
Sap_ru
26.05.2022 18:42+2Либо физически украсть телефон. А там и номер и СМС и push.
event1
26.05.2022 18:52+2С одной стороны, да. А с другой, это, во-первых, совсем другая статья. А, во-вторых, значительная часть граждан запирают телефон на отпечаток или face id. Так что, пока вор будет смотреть на запертый телефон, хозяин его очистит удалённо.
utente
27.05.2022 13:11+2Из заблокированного телефона можно просто достать симкарту, и если на ней нет PIN кода переставить в другое устройство и войти в любой сервис по смс.
dartraiden
26.05.2022 21:29Если пользователь не защищает свой телефон, то это уже проблема и вина пользователя.
Потому что точно так же можно представить ситуацию, когда пользователь не запер дверь в квартиру, а там у него лежит телефон без блокировки, стоит компьютер без пароля, лежит блокнотик с логином и паролем от онлайн-банка, а также аппаратный USB-токен. От раздолбайства нет надёжной защиты.
Именно поэтому, кстати, уважающее себя банковское приложение в обязательном порядке требует придумать пин-код на вход в приложение, как раз на случай, если пользователь пренебрегает блокировкой смартфона.
nronnie
26.05.2022 22:14+7Тут, понимаешь, дело в другом. По это уже неоднократно писали. На твой номер телефона очень много чего завязано, в т.ч. серьезного, типа банковских счетов. Но при этом вопрос привязки твоего номера персонально к тебе законодательством вообще никак не регулируется. Даже если, допустим, МТС или Билайн или Теле2 вдруг возьмут и ни с того ни с сего отдадут твой номер кому-то другому, то совершенно непонятно насколько реально их за это можно нагнуть. Вот, кстати, аналогия с банками - может быть неожиданностью, но твоя банковская карточка (как физический объект) юридически является не твоей собственностью, а собственностью банка (раньше так по крайней мере почти всегда было), вот с номерами телефона точно так же непонятно - в случае тяжбы вполне может неожиданно оказаться, что он собственность твоего оператора.
Balling
27.05.2022 04:39Карта собственность платежной системы, которая в свою очередь просит банки писать о возврате карт. Тем не менее закрыть карту И ЕЁ СЧЕТ можно даже не выходя из дома в сбере прям в приложении, да и до этого никто не требует уничтожать карту прям в Банке, вы вообще можете её не взять.
Нереально их за это нагнуть, все прописано в договоре. МТС включает 3 рубля в день счетчик после 90 дней, а потом начинается еще 90 до передачи в рынок.
reid77
27.05.2022 13:31Телефон защищаем.
Но вот все, что выходит и заходит в устройство по каналам связи - это уже оператор.
Пин-код пусть "доверенные приложения банков" в жопу себе засунут, пока то не регулируется законом
Balling
27.05.2022 05:36Заблокировать сим карту можно в личном кабинете МТС. Лично проверял, блокировка 30 секунд.
Sap_ru
27.05.2022 14:03Можно и номер в банке сменить и просто деньги снять и под подушку спрятать.
Речь о том, что «второй фактор» оказывает физически связан со всеми остальными, что ставит под вопрос эффективность защиты.
vikarti
27.05.2022 07:50И остается дыра с первоначальной установкой приложения. Там вполне может быть СМС. Ну и возможность получать подтверждения на аппарат который вообще не умеет использовать приложения — пропадает.
Hvorovk
26.05.2022 14:36-1У тинькова вроде как раз с помощью пушей подтверждения работают, но не везде.
Balling
27.05.2022 05:39+2Так перейдите на SMSoWifi и SMSoLTE, купив Galaxy S21 FE и МТС сим. Заодно уберете 2 секунды ожидания пока прийдет смс.
>минимальным решением было передача данных исключительно по шифрованным каналам,
И wifi и lte зашифрованы, но и сам пакет SMS в IMS зашифрован.
vikarti
27.05.2022 07:48И что делать с теми ресурсами (причем не только в России) кто его использует причем безальтернативно? А с операторами у некоторых из которых которых последнее (после начала спецоперации) смс от не-российских сервисов приходят как попало?
Мне вот почему то вспоминается что некоторые западные карточки пополняемые криптой(Bankoff и прочие) при привязке к Samsung Pay имеют либо больше чем одну опцию проверки (не только смс как обычно но и e-mail) либо только e-mail. Если привязка к *Pay в принципе допускает такой метод проверки пользователя как код на заранее привязанный к карте e-mail а не только код на телефон то почему бы не использовать такое и в России? Сделать закон что ВСЕ сервисы которые требуют входа через код по СМС — обязаны поддерживать и вход через код на e-mail. Включая банки и прочее.
С учетом как описанных в статье так и не только проблем СМС — еще вопрос пострадает ли безопасность а вот улучшить ее можно, если пользователю надо — он может озаботится сервисом который лучше по его мнению контролирует безопасность доступа к этому e-mail'у (а потенциальные сервисы могут конкурировать за то что у них лучше безопасность). А если пользователь с хабра — он может просто сделать e-mail на своем домене и если надо — на своем сервере и вот это — так просто не перевыпустишь по доверенности.Либо — аналогично потребовать стандартный TOTP использовать как одну из возможных альтернатив.
deee
26.05.2022 14:16+1Приговоры по уголовным делам говорят не в пользу аргумента о законопослушности МТС - https://sudact.ru/regular/doc/NoYRQj9AFpU1/ , https://sud-praktika.ru/precedent/547024.html
Plusodin Автор
26.05.2022 14:29+3про покупку-продажу персданных и прочей информации об абонентах мы уже писали. Все заканчивается штрафом и увольнением провинившегося сотрудника, пострадавшему от этого ни жарко, ни холодно. Компаниям бы пересмотреть это все, но зачем, если накажут все равно по мелочи (как Яндекс со штрафом в 60 тысяч)
SpiritOfVox
26.05.2022 14:39+45Вывод в статье кардинально неверный. Правильный - запрет использования номера телефона при аутентификации, отказ от привязки любых форм электронной подписи к номерам.
Телефонная сеть не была создана для таких целей и пытаться на ней ехать в этом направлении сначала просто, а потом закончится очень больно.
DEamON_M
26.05.2022 15:03Я согласен, но какие альтернативы? Опять ходить к банкомату и ждать очереди, чтобы распечатать 12 одноразовых паролей? Пуш уведомления с кодом от приложения, возможно, могут решить проблемы (и они у многих уже есть), но изначально то человеку как-то надо в этом приложений авторизоваться, а это тоже делается (во всяком случае в 3-х банках, которые мне известны) тоже через телефон-sms.
SpiritOfVox
26.05.2022 15:11+11TOTP через приложение, часы или OTP прямо на карте или через отдельное устройство.
DEamON_M
26.05.2022 15:32+2TOTP может быть, но все, кто не в состоянии поставить приложение (или на его телефон его поставить нельзя) окажутся в пролете, хотя это и можно решить выбором в банке, что мол мне пароли через sms не выдавайте.
OTP через отдельное устройство, наверное, дорого будет хотя как отдельная услуга для заботящихся о безопасности пойдет.
OTP, отпечатанные на карте уже было
У ВТБ, например
Но учитывая как часто сейчас приходится вводить этот код из sms, то нужно будет напечатать очень много кодов на карточке 112 на пару месяцев, только хватит некоторым
SpiritOfVox
26.05.2022 15:39+6На карте это как у банка Авангард где за тысячу дают карту с экраном.
Отдельное устройство это штука размерами с простой калькулятор куда вставляется карта чипом и выдаётся код.
Не забывайте, что аутентификация через телефон может не работать если интернет есть, а сотовая сеть не работает. Или смс шлюз упал.
Aquahawk
26.05.2022 16:01кроме Авангарда ни один банк сейчас не даёт тотп, я искал. Да у авангарда есть карточка с дисплеем, но у них договор на столько долбанутый что ну его нафиг. Что-то ещё мне в авангарде, что чуть ли всё равно телефон остаётся средством через которое можно осуществить вход и подтверждение.
SpiritOfVox
26.05.2022 16:21Это не совсем так. Запрос в Я "google authenticatior банк интернет-банк" может помочь.
DEamON_M
26.05.2022 16:13+2Таких карт не видел. Спасибо, буду знать.
Карта выглядит интересно
Интересно, насколько надежна такая карта и откуда там питание берется
yoz
26.05.2022 16:36+1Весьма надежна, плата и батарея внутри гибкие. Питание от батарейки встроенной. При обычном бытовом использовании питания хватает на весь срок действия карты +-3 года.
Это был бы хороший вариант замены СМС.
Ivan22
26.05.2022 17:18а это случайно не так же надежно как и пинкод на карте написанный?
yoz
26.05.2022 17:25+2Нет. Это довольно безопасно. При активации такой карты вы задаете ей код разблокировки. Т.е. что бы с нее получить одноразовый код подтверждения, нужно на самой карте вбить код разблокировки, для того ей и кнопки с цифрами.
Переход с СМС на такие штуки сильно порежет возможности мошенникам различного вида.
mihmig
26.05.2022 18:26Выглядит слишком "по гиковски", люди ленивы - что-то сложнее входа по СМС отпугнёт их.
vscrub
27.05.2022 14:28+4После ввода кода 100 раз кнопки сотрутся будет почти как записанный пин сзади карточки.
XXXXPro
27.05.2022 01:52+1Использую такую с 2016 года (только не Мир, а сначала VISA, потом MasterCard), правда, делаю всего несколько операций в месяц. Работает вполне нормально, претензий к надёжности не было (хотя карту ношу с собой всё время), только иногда на кнопки приходится давить достаточно сильно, чтобы сработали. И, на мой взгляд, подтверждать операции только картой даже удобнее, чем искать мобильник, разблокировать его, разблокировать приложение SMS и вводить код.
DEamON_M
27.05.2022 08:37+1искать мобильник, разблокировать его, разблокировать приложение SMS и вводить код
Согласен полностью. Вообще сейчас что банки, что производители каких-нибудь новых умных устройств считают, что телефон приклеен к людям намертво. Я (хотя такая себе выборка) в домашних условиях вообще телефон не трогаю.
Balling
27.05.2022 04:45-1Если есть интернет, SMS приходят всегда. Можете вовсе в авиарежим перейти с включением wifi. Насколько допотопный у вас телефон, лол?
SpiritOfVox
27.05.2022 11:34+1СМС это негарантированный канал. Помимо проблем банка сверху накручивается шлюз, мобильный оператор и сеть.
Может быть доступен сайт банка, но не быть wifi и сотовой связи.
Balling
27.05.2022 11:49А что для вас гарантриванный канал? Квантовый шифрованный поток? И что значит не гарантированный? Смс центр протокол (SMPP) гарантированный.
SpiritOfVox
27.05.2022 12:34+1Связка банк-шлюз-опсос не гарантирует отправку, доставку, передачу во время и конфиденциальность смс с кодом.
Случай из жизни - в интерфейсе банка сообщается об отправке кода и тикает время в пару минут. Код не приходит. Повторный тоже. Один из них пришёл через 30 могут. При этом из другого банка в этот же момент всё прилетело за секунды.
Коды по смс это как ключи у вахтёра. Пост 24/7, но дежурный иногда (когда больше всего требуется) не на месте. А ещё он властью над ключами контролирует вашу возможность использовать замок.
Balling
27.05.2022 12:44>Код не приходит. Повторный тоже. Один из них пришёл через 30 могут. При этом из другого банка в этот же момент всё прилетело за секунды.
Открою вам секрет. Он приходит, просто авиарижим переткните, либо даже сразу питание стового модуля. Иногда #100# помогает, хотя не для ussdoverlte. За все время не было такого, чтобы это был не баг чипа и андройд, а со мной это было 20 30 раз.
Чинется smsoverlte и smsoverwifi.
А и еще может приложение сообщения сбоить, нужно открыть его само.
SpiritOfVox
27.05.2022 12:56+1Это иллюзия контроля. Никакая из этих манипуляций не помогала. Телефон не поддерживает oLTE или oWIFI. WiFi может быть недоступен для телефона.
Balling
27.05.2022 13:04Попробуйте набрать #100# проход USSD кода позволяет пройти смс. Обычно это баг, что не переходит на 3G. Handover сломался. Так бывает.
SpiritOfVox
27.05.2022 12:38+1И с СМС ещё хорошо, что они пока много где проходят. Это происходит из-за договоренностей между операторами. Были периоды когда СМС не отправлялись в отдельных городах между федеральными операторами. Если вы оказались за границей, то там ситуация может быть ещё сложнее и экскоммуникация сотовых сетей более вероятна чем блокировка интернета.
Balling
27.05.2022 12:41-3Смс идет по wifi. Включаете авиарежим и wifi и все. Можно еще gnss подделать, чтобы наверняка.
SpiritOfVox
27.05.2022 12:58+2Вы экстраполируете свой личный набор доступных технологий на всех. Большинство связок телефон-оператор не поддерживают oLTE и oWIFI.
Balling
27.05.2022 13:03-3Билайн недавно включил, так что все операторы. А насчет телефонов, ну да. Там все же желательна android 12 для USSDoLTE и SMSoLTE.
SpiritOfVox
27.05.2022 13:16А если это банк или шлюз заддосили? Или обстановка стремительно меняется и возникла очередь из желающих получить свой код? Мы не контролируем этот канал передачи кодов. Да можно костылями что-то иногда поправить, но всего этого можно было бы избежать при правильном дизайне безопасной системы. СМСки придумали для общения между людьми так их и следует использовать.
Balling
27.05.2022 13:19Ну никогда такого не было. Все время получалось, что переткнув телефон смс приходит. У мен snap 835 на том плохом устройстве.
И вообще смс шлюз необязательно должен смотреть в интернет.
vikarti
27.05.2022 21:55так что все операторы.
А почему мне поддержка ТиньковМобайл говорит что они это не поддерживают?
SpiritOfVox
26.05.2022 15:52+1Кстати, для подтверждения перевода средств неплохо бы было использовать практики бухгалтерских аутентификаторов где надо было ввести сумму и иногда счёт получателя чтобы получить верный код.
Popadanec
26.05.2022 18:05Слишком сложно. От одноразовых кодов то некоторые банки уже избавились.
Было бы достаточно обязать все банки наглухо блокировать симку при её перевыпуске, с последующим походом ножками в отделение или хотя бы активация голосом по заданному слову, но лучше дать возможность выбрать.
Aleshonne
26.05.2022 19:58Когда я симку менял, в Сбербанк пришлось звонить и говорить кодовое слово, а ВТБ (тогда ещё 24) просто игнорировал меня одну неделю и убедить его, что симку перевыпустил я сам, не удалось даже при личном визите в отделение. Но это было лет 5 назад, и что происходит сейчас — мне неизвестно.
Balling
27.05.2022 04:49А мне не пришлось, так как я запретил передавать такие сведенья в банки и другим 3-им лицам. Да и меняю сим часто, мало ли что там в прошивке. Её раз в полгода обновляют что ли у МТС.
SpiritOfVox
26.05.2022 21:05Это совсем не сложно. А отношение легко бы поменялось получи клиенты возможность быстро и гарантировано взыскивать свои убытки по мошенническим операциям.
Balling
27.05.2022 04:48Так это и есть в МТС. Есть опция заблокировать перевыпуск по доверенности.
SpiritOfVox
27.05.2022 11:37Сомнительно чтобы кто-то понес ответственность за перевыпуск по доверенности даже если вы передали такое заявление. Это костыль к неправильному использованию системы.
askharitonov
26.05.2022 18:16+1Вот кстати плохо, что SMS требуются часто. Например, если отключить в браузере сохранение кук (чтобы после закрытия браузера требовалось заново логиниться на сайтах), то на многих из них в этом случае требуется получать одноразовый код из SMS, что неудобно. То есть, по сути, двухфакторная аутентификация через SMS в определённых условиях снижает безопасность, потому что заставляет пользователя сохранять сессию на устройстве.
Я понимаю, что можно держать данные на зашифрованном разделе и т.д., и это конечно правильно, но всё равно можно представить ситуацию, когда сохранение сессии может навредить пользователю.
Balling
27.05.2022 04:52Это не от кук зависит, а от ip адреса. Но это конечно не касается газетенок, кроме разве что Gardian. Те блокирует чтение с 4 статьи просто по кукам. Может и еще какие плохие банки есть, но они вроде все не имеют функции запомнить все равно.
vikarti
27.05.2022 07:55У них тогда же был и InterPro(тулза на комп которая при работе в браузере дает возможность подписать паролем, просто всплывает попап приложения(не браузера!))(работало это через локальный прокси).
И насколько помню генератор кодов тоже был. Кстати у ВТБ-Бизнес коды до сих пор можно включить (генератор в мобильном приложении).
rrrad
27.05.2022 10:38очень похоже не на ВТБ, а на МКБ, они именно такие карты одноразовых кодов раздавали для МКБ-онлайн
DEamON_M
27.05.2022 10:49Фото брал с вики. Там написано ВТБ24, а в жизни я таких не видел)
rrrad
28.05.2022 13:51Подозреваю, что такие карты с кодами производятся там же, где и обычные банковские карты, соответственно, банк просто заказывает такую карту с нанесением собственного рисунка с обратной стороны. Дальше всё зависит от готовности банка тратиться на такие карточки.
inkelyad
26.05.2022 21:38+1Я согласен, но какие альтернативы?
В контексте банков:
Для карты и телефона с NFC - "приложите карту к телефону, чтобы подтвердить транзакцию/залогиниться в банк-клиент". Потому что карты без NFC стремительно исчезают.
Но если его таки нет: "Вставите банковскую карту в ридер". Потому что контактный ридер смарт-карт, вообще говоря, стоит не больше ридера флеш-карт.
Дальнейшая паранойя - по вкусу.
Теоретически вроде бы должны быть еще экзотические возможности в виде заливания генератора OTP непосредственно в чип SIM-ки (чтобы не по сети оператора коды ходил, а генерировались на месте, используя неизвлекаемый из карты секрет), но, похоже, это какая-то страшная черная магия, которую никто не может осилить или не хочет с этим связываться.
Balling
27.05.2022 04:56CVV в чипе, на магнитной ленте и на обратной стороне все разные, так как сервис код разный, поэтому приложить недостаточно. Нужно приложить и вбить cvv с обратной стороны.
Карты без NFC уже давно исчезли, VISA и mastercard запретили их, так как чип требует ввода пина, что не безопасно.
vikarti
27.05.2022 08:00Карты без NFC уже давно исчезли, VISA и mastercard запретили их, так как чип требует ввода пина, что не безопасно.
Интересно, а Почта-банк в курсе об этом? А то лежит у меня истекающая в следующем году их карта где чип и полоса есть а никаких признаков NFC нет и оплата по NFC — не работает. Там правда МИР.
MonkAlex
27.05.2022 11:34Годами пользуюсь сберовской маестро, никакой nfc там нет =)
Balling
27.05.2022 11:411 июля 2023 Маестро выпилится, приказ mastercard. https://www.mastercard.com/news/europe/en/perspectives/en/2021/blog-from-valerie-nowak-why-this-maestro-is-retiring-after-30-years/
MonkAlex
27.05.2022 11:46Тем не менее, карты не исчезли на данный момент, и уж точно не исчезли "давно".
Balling
27.05.2022 11:54+1Вам такую в сбере правда уже не выдадут. Социальная Маестро это сейчас Мир, и причем уже вторая итерация.
https://www.sberbank.ru/ru/person/bank_cards/debit/card_classic/maestro
MonkAlex
27.05.2022 12:00Вот это грустная информация. Особенно с учетом платного обслуживания, потому что моя бесплатна полностью.
Balling
27.05.2022 12:05Крдитные карты тоже бесплатные, золотая имеет период 52 дня, раз в 30 выплаты чтобы не платить банку проценты. Там и смс бесплатные.
Popadanec
27.05.2022 12:33МИРовские бесплатны. Если с них идут покупки минимум в 5тыр в месяц. Или она зарплатная/социальная.
Если нет, то обслуживание карты стоит 150р в месяц, у визы 450р в год.
inkelyad
27.05.2022 19:23CVV в чипе, на магнитной ленте и на обратной стороне все разные, так как сервис код разный, поэтому приложить недостаточно.
Ну, это зависит от того, какое приложение для авторизации в чип карты вшить и как его инициализировать.
comargo
27.05.2022 18:34А что делать, если карты физически нет? И никогда не было .
Реальная ситуация у меня: Уже давно перестал пользоваться банком В* (полностью ушел на банки А* как зарплатный и С* как популярный) но при этом там пара копеек осталась, и некоторым людям при сборе в родительский комитет почему-то проще отправить деньги в банк В* (может не знают про СБП, может просто лень морочиться). Соответственно, когда пришел срок, и физическая карта вымерла я выпустил виртуалку, и иногда с нее что-нибудь оплачиваю.
Таки что к чему мне прикладывать в это случае?
inkelyad
27.05.2022 19:21Карту, физическую. Которую таки надо сходить и получить ни основании позиции "нет аппаратного токена - нет удаленного доступа к счету".
Ну или залогинится через Госуслуги(будем считать что свой OAuth они правильно сделали), от которых тоже надо давно всю авторизацию по SMS отодрать и заставить использовать те же самые аппаратные токены.
rrrad
28.05.2022 13:56Не знаю как сейчас, но пару лет назад NFC-модуль не ставили на бюджетные телефоны. По вашему, получается, что если ты нищеброд и не можешь хотя-бы в кредит взять какой-нибудь флагман или близкую к флагману нему модель телефона, значит и защита банковского приложения тебе не нужна :) В эту же категорию записываем тех, кто не видит смысла покупать небюджетный телефон.
inkelyad
28.05.2022 14:34В моем комментарии выше по ветке было
Но если его таки нет: "Вставите банковскую карту в ридер". Потому что контактный ридер смарт-карт, вообще говоря, стоит не больше ридера флеш-карт.
Если нет NFC - покупаем ридер, цепляющийся либо по USB, либо по bluetooth Которые ну реально не дороже паршивого калькулятора. То что security фирмы ухитряются дикий ценник за них выставлять- это уже другой вопрос.
А то что в магазинах (и прямо в банках, кстати), этих ридеров нет - так потому что никому до сих пор особо и не надо.
Ну или, как тут рядом сказали - используем генераторы OTP, которые по хорошему тоже должны в любом банке за небольшую сумму приобретаться (и быть более-менее универсальными, разумеется, т.е. подходить к любой карточке, выпущенной российским банком).
rrrad
28.05.2022 22:45Готовы ради того, чтобы посмотреть баланс с телефона, таскать с собой отдельное устройство?
inkelyad
29.05.2022 10:17Хардварный токен - для подтверждения транзакции и первичного логина в приложение. Для readonly доступа так параноить, разумеется не нужно. Первый раз получил ключ сессии - и пускай он потом переиспользуется и обновляется.
Хотя для 'посмотреть баланс' я бы вообще хотел бы отдельное приложение, которое принципиально ничего больше не умеет.
Потому что полный банковский клиент - тормозной, толстый и вообще на отдельном, специально выделенном для этого смарте живет, на котором никакой повседневной активности не производится и который большую часть времени лежит в тумбочке в выключенном состоянии и в котором, кстати, SIM-ки нет.
event1
26.05.2022 18:09+1Телефонная сеть не была создана для таких целей
Так себе аргумент. Телефонная сеть не была создана для высокоскоростной передачи данных. Тем не менее вполне с ней справляется.
Правильный - запрет использования номера телефона при аутентификации
Просто надо сделать так, чтобы угнать номер было бы так же сложно, как угнать учётку гугла или эппла. Невозможно представить, чтобы случайный человек пришел в магазин эппла с доверенностью и сбросил пароль на icloud
Balling
27.05.2022 04:54В то время это было очень даже высоко. Сама идея коммутация каналов это жесть. А уж как международное сообщение по SS7 устроено (сечас правда это суперядро IEEE для IP скорее, а не SS7).
>Невозможно представить, чтобы случайный человек пришел в магазин эппла с доверенностью и сбросил пароль на icloud
Ну дак и у МТС то же самое, если ты заблокировал эту опцию.
SpiritOfVox
27.05.2022 11:41+1Не следует относиться к номеру телефона как к персонифицирующему фактору. Ваша личность вообще не должна по нему определяться. Сегодня у вас один номер. Завтра другой. Послезавтра 100 номеров. Это просто цифры.
Balling
27.05.2022 11:43Контракт и паспортные данные синхр. по ЕСИА правда одни и те же.
SpiritOfVox
27.05.2022 11:50+1Это может показаться странным, но на самом деле привязка номера к есиа или паспортным данным не в ваших интересах. Вполне можно было счастливо жить без этого.
За вертикальную интеграцию всех персонифицированных сервисов мы ещё дорого заплатим и тем больше чем продвинутей будет эта система.
event1
27.05.2022 12:24Почему нет? Это удобно и логично: у каждого человека есть идентификатор и, используя этот идентификатор, с человеком можно связаться. Телефонный номер, адрес электронной почты или номер паспорта, какая по большому счёту разница? Достаточно описать уровни достоверности для разных типов идентификаторов и предоставлять сервисы в зависимости от них.
SpiritOfVox
27.05.2022 12:45+2Это может казаться удобным, но алогично и опасно. Если человек не нарушил закон и нет оснований для розыска, то связаться с ним должно быть возможно только по его желанию и удобными ему способами. Из ФИО или номера паспорта не должен быть доступен телефон если человек сам его не опубликовал с такой привязкой.
event1
27.05.2022 13:49-2Конечно, если везде вокруг видеть злоумышленников, то надо прятать свои номера телефонов, адреса электронной почты и просто адреса. А так же прятать лицо под маской и руки в перчатки. С соседями не знакомится, детей в школу не отдавать. А то они там разболтают неавторизованым одноклассникам как вас зовут и даже ваш домашний адрес.
Если же снизить градус паранойи до нормального, то возможность найти человека при необходимости — это удобно и полезно. И для того, кто ищет и для того, кого ищут. Причём, исторически это никогда не было проблемой. В фильме "Терминатор-2", например, Терминатор находит Сару Конор, пролистав справочник в телефонной будке. И никого, в конце 80-х это не волновало.
K0styan
27.05.2022 14:02Эх, хорошо было, когда способом связи по умолчанию аська была. UIN можно было без особого стеснения публичным держать - и приватность приемлемая, и проблемы упустить контакт не было.
SpiritOfVox
27.05.2022 14:06+2Мир стал сложней. В фильме Терминатор по открытому справочнику выполнил свою задачу. А могло быть несколько сложнее т.к. даже у нас можно было удаляться из справочников и ответа 09.
Сейчас к терминаторам добавились дистанционные воры и мошенники использующие украденные персональные данные.
Третья группа это различного рода информационный бизнес пытающийся продать вас или вам воруя или вымогая ваши данные.
Абсолютно оправдано минимизировать испарение любой информации при этом не обязательно переходить в крайнее состояние с переездом в лес.
RTFM13
27.05.2022 13:35Это удобно и логично: у каждого человека есть идентификатор и, используя этот идентификатор
Вам же написали, номер может меняться и контролировать это сложно. Вы даже не можете законно проверить действительность этого идентификатора.
А если у меня нет телефона? А если у меня он на двоих с кем-то?
Abyss777
26.05.2022 15:01+2А был же законопроект № 978343-7 https://sozd.duma.gov.ru/bill/978343-7#bh_histras
Что с ним стало?
> Авторы законопроекта предлагают статью 45 Закона от 07 июля 2003 № 126-ФЗ «О связи» дополнить пунктом 7, который будет закреплять, что «пользователь мобильной связи вправе сохранить выделенный абонентский номер за собой, а также распоряжаться им, в том числе передавать третьему лицу на возмездной или безвозмездной основе с уведомлением об этом оператора мобильной связи. Данная возможность является дополнительной услугой и оговаривается отдельно. Пользователь мобильной связи вправе в любой момент отключить дополнительную услугу, обратившись к оператору мобильной связи. В случае неподключениядополнительной услуги обслуживание производится согласно стандартным условиям договора об оказании услуг связи.
В случае подключения дополнительной услуги и отсутствия в течение 6 месяцев оплаты оказываемых абоненту услуг мобильной связи оператор мобильной связи вправе более не оказывать дополнительную услугу».
ifap
26.05.2022 15:37+3Предсказуемым фейлом, т.к. номер телефона - не имущество, соответственно передавать, завещать, дарить и т.д. по своей воле его
нельзяневозможно.Balling
27.05.2022 05:00Номер телефона это наследуемое имущество, но неделимое. Поэтому если наследником не 1 (мой случай), получить номер затруднительно. Но можно передать как пользующийся, только аккуратно, не упоминаете, что владелец того.
ifap
27.05.2022 13:13Это не наследуемое потому что не имущество вовсе. Операторы идут навстречу и балансируя на тонком льду передают право пользования номером единственному наследнику.
Balling
27.05.2022 13:15Ну ну. Это уже тонкости. А если там дофига денег? А лицевой счет? А если номер 7 семерок в 916? Мда.
ifap
27.05.2022 13:35+1Это не тонкости, а практика, от которой суть явления не меняется. А если денег дофига, то деньги - это имущество и они прекрасно наследуются, прекрасно делятся на наследников пропорционально доле и т.д. Т.е. номерок может уже давно тю-тю, а деньги у оператора лежат и ждут, пока наследники пересудятся между собой. Мухи - отдельно, котлеты - отдельно. А "красивый" номер - как и "некрасивый" - передается наследнику исключительно в силу доброй воли оператора.
RTFM13
27.05.2022 13:39Баланс счета де юре делится между наследниками.
Номер в пролёте, если оператор не пойдёт навстречу.
gumanzoy
26.05.2022 15:37+2По состоянию на март 2021. Beeline шлет СМС в котором сообщает о том что SIM была перевыпущена.
И блокирует на новой SIM получение SMS с коротких номеров на сутки.
Не знаю насколько эффективны такие меры, но хоть что то.
staticmain
26.05.2022 15:54+2Справедливости ради сутки - это очень мало. Если вы находитесь вне зоны действия родной сети то вы либо а) в горах в походе где связь "одна палка если подбросить", либо б) за границей. За границей вы можете выключить телефон/gsm чтобы не нажрать много в роуминге.
И информирование через СМС - тоже ужасный ход. Они вообще не гарантируют доставку. Если информировать через gsm - то надо делать звонок на старую SIM и пока не получат информированное согласие - не перевыпускать/не разблокировать входящие.
comargo
26.05.2022 19:33Если информировать через gsm - то надо делать звонок на старую SIM и пока не получат информированное согласие - не перевыпускать/не разблокировать входящие.
unrar.rar:) Что делать если карта "сдохла"? Физически (утопил, протерял, да элементарный выход из строя, что тоже случается)Balling
27.05.2022 05:04-5Как может выйти из строя набор ключей? Вы шутите? Только вместе с телефоном. Или вы еще не на eSIM? О...
K0styan
27.05.2022 13:04Шанс выхода из строя телефона гораздо выше, чем у кусочка пластика с замурованным в него кремнием. Причём тот компонент, который хранит ключи, может остаться нетронутым, просто недоступным.
Я как-то уронил телефон, разбил экран. Картинка есть, а сенсор - не работал. Всё б ничего, но когда он разрядился и выключился, ввести пароль для расшифровки ФС уже не получалось.
staticmain
27.05.2022 08:29Идти ножками в салон связи. А не иметь проблему в виде перевыпущенной карты за 5000 км от вас.
comargo
27.05.2022 18:46Так ты же сам говоришь, что не выдавать новую симку, пока до старой не дозвонишься. Вот я и задал вопрос, что делать если старая считается "потраченой".
staticmain
27.05.2022 20:02ИЛИ звонок с подтверждением, ИЛИ личное присутствие. Мой посыл в явно выраженном согласии
comargo
27.05.2022 21:40В изначальном сообщении не было слова "или" а было указано четко "вместо сообщения по смс делать прозвон, и пока не ответят не перевыпускать"
Balling
27.05.2022 05:02Достаточно wifi, чтобы получить SMS от 900. Это шутка такая? МТС даже не смотрить вашу GNSS позицию.
MonkAlex
26.05.2022 15:55+1Я как то актуализировал паспортные данные по своей симке.
СберОнлайн меня перестал пускать по смс и пришлось явно входить по логину и паролю, что явно неплохо.
Остальные банки (ВТБ и кто-то ещё был тогда на телефоне) не среагировали.
Balling
27.05.2022 05:05+1Я вам больше скажу. СберОнлайн никогда и не пускал по SMS, только через QR или потянуть в приложении, ПРИЧЕМ ДВА ПОСЛЕДНИХ требуют блокировки (вроде даже с биометрией).
При первом входе требует логин и пароль, а затем код, при втором только пароль и SMS код.
На android грубо говоря пароль не нужен.
comargo
27.05.2022 18:49Так вот почему СберОнлайн не впускает жену по СМС/Push и QR. Только по логину/паролю. У нее телефон без блокировки. Теперь я понял. Спасибо!
Graner
26.05.2022 15:38В свете статьи - а может кто прокомментировать периодически мелькающие объявления о продаже на сайтах типа алиэкспресс такой вундервафли, как SIM reader/writer. Такой девайс функционален или все-таки это игрушка со звучным названием?
пример сабжа - http://www.clcr.ru/aksessuary/programmator-simcard-reader/writer.html
staticmain
26.05.2022 15:57С учетом того, что указывается что не работает для SIM-карт нового образца - скорее всего имеет внутри угнанные приватные ключи и\или может за адекватное время вскрыть старую длину. Еще в 2013м году смогли вскрыть DES радугой: https://www.kaspersky.ru/blog/uyazvimost-shifrovaniya-sim-kart-naskol-ko-velika-problema/14803/
Neom1an
26.05.2022 17:08+3Я могу ошибаться, но мне кажется, что при получении такого устройства на почте рядом с вами неожиданно могут оказаться сотрудники ФСБ и потом попробуют вас закрыть за нелегальный ввоз шифровальной/шпионской аппаратуры
Balling
27.05.2022 05:11Это ПО. На github. Там https. Указать точно? Я пользуюсь woron scan, но есть и открытые.
vindy123
26.05.2022 17:08в начале нулевых работало (уже тогда - не со всеми операторами), я зашивал себе несколько копий симок на одну болванку, правда переключение между виртуальными симками через ребут телефона и (естественно) оффлайн всех других номеров кроме одного в каждый момент времени сильно снижали пользу. Сейчас-то уже поди все опсосы на более сильную криптографию в симках пересели.
Aelliari
26.05.2022 18:01Сейчас есть вариант вида несколько esim в карточке типа обычной симки. Но это относительно "честный" вариант, не копирование симки левой приблудой
Balling
27.05.2022 05:13Копирование Milenage невозможно, кроме как под электронным микроскопом. Вы думаете там в 3GPP совсем идиоты сидят? Типо компьютер и CardOS они запилить сумели в SIM, в крипту нет?
Aelliari
27.05.2022 11:18+1Какое копирование? Речь о штатном режиме для esim. Для телефона это выглядит обычной симкой, а для опсос-а - обычной esim. Данные в карточку заносятся через приложение - компаньон на телефоне каждым пользователем самостоятельно. Отсканировав qr/введя строку
Balling
27.05.2022 11:46Копирования ключей, 5G, LTE OPC, Ki. Ну и еще приватные ключи IEEE, ассиметричная пара.
Aelliari
27.05.2022 12:30+1Ничего что их никто не копирует?
Внутри должна быть вся та же криптография, что и в любой embedded sim в современном телефоне. Ты когда добавляешь esim в свой айфон/пиксель/самсунг - вскрываешь криптографию в обычной симкарте? Ты просто сканируешь QR-код полученный от оператора, содержащий немного параметров. Остальная настройка от тебя скрыта "под капотом"
Balling
27.05.2022 12:39+1>скрыта "под капотом"
>должна быть вся та же криптография
Мда. Хаха. Нет, криптография там намного сложнее.
>Ничего что их никто не копирует?
Говорите за себя.
Aelliari
27.05.2022 13:02Ты говоришь со мной на другом языке. Исходя из твоей логики на последнем айфоне/самсунге/пикселе никогда не заработает 4G/5G при использовании esim. Но практика показывает что это не так. Как это работает? Ключи же не скопировать
Мда. Хаха. Нет, криптография там намного сложнее.
Криптография в embedded sim намного сложнее криптографии в embedded sim. Круто.
Говорите за себя.
Большой опыт в копировании esim иначе чем по qr от оператора?
Balling
27.05.2022 15:29Ключи прилетают с сервера (Machine to Machine) по ссылке в qr коде и считываются trust engine внктри eSIM. Мда. Они другие от тех, что в sim карте, те зашивают на заводе, да и оператор получает только хеш от них в криптомодуле. Нигде в чистом виде их нет.
Aelliari
27.05.2022 16:44+1Так ведь я и не говорил про обычную сим. Ссылка на то что я дал - это esim. Да, оно в формфакторе обычной симки, да, при залитом профиле её можно даже по идее в кнопочной звонилке пользовать, но это esim. И оператор сотовой связи с ней будет взаимодействовать как с esim. Кроме того, это не стартап, а вполне коммерческий проект и некоторое количество живых отзывов есть в интернете, пусть и мало
Balling
27.05.2022 05:10Зачем если сейчас все не скрывая использует персонализацию ключами по E2E каналам? Вы вообще? Зачем взламывать Milenage LTE или новые 5G KEY (причем это невозможно кроме как тибериумным реверсингом или если у вас есть AFM2 ключ SIM, а они есть только у Gemalto), если можно просто написать эмулятор eSIM?
vikarti
27.05.2022 10:44+1Чисто теоретически — попросить суд выдать ордер что Gemalto должна выдать ключ. Ради защиты детей от педофилов-террористов разумеется. -:).
Правда возможно потребуется ордер суда какой то конкретной юрисдикции а не любой.Balling
27.05.2022 12:49ADM2 ключ требует доступа к sim карте. Физический, т.е. вытащил из смарта. Android поддерживает только флаг для пин и пук. ADM2 это флаг 0b.
Нвпример, команда для ADM2 моей карты,
A0 20 00 0B 08 2908301120150927
20 команда 0b флаг 08 длина и дальше ключ.
DaneSoul
26.05.2022 17:19Банк развел руками: с его стороны все действия выглядели нормально, суммы не вызывали подозрений.
Вроде у сим-карт был какой-то специальный уникальный идентификатор меняющийся при перевыпуске. И вроде как у банков была техническая возможность этот идентификатор проверять.
Если я ничего не напутал, то почему это не используется?
Как вариант, законодательно обязать сотовых операторов создать базу, куда писать дату выпуска сим-карты, которую могли бы проверять банки перед отправкой секретных данных. Если сим-карта была перевыпущена — добро пожаловать в банк с паспортом лично.K0styan
26.05.2022 17:25+1Используется. Один раз заменил SIM-карту (физически, с mini на nano), после чего пришлось звонить в колл-центр, называть слово и подтверждать, что это я её поменял.
Но это было чёрт знает когда.
Schayba9
27.05.2022 13:08Сбер, два года назад /т.е.2020/ ещё была такая петрушка. И, да, что интересно и Почта России, в связи с этой заменой тела SIMки, "потеряла" мою регистрацию. Сам удивился ...
Popadanec
26.05.2022 17:54+1В том то и дело, что закон есть(ссылку можете поискать в моих недавних комментах). Симку перевыпустили, банк обязан заблокировать передачу смс на неё. Проблема в нём что не указаны сроки.
В результате некоторые ОПСОСы закон вообще не исполняют, некоторые устанавливают срок блокировки(от нескольких часов до недели) и лишь в избранных случаях(лично знаю только про сбербизнес) симка полностью блокируется до прихода абонента в офис ножками.
А по факту даже банальное уведомление абонента о перевыпуске есть не у всех ОПСОСов.dartraiden
26.05.2022 21:35банк обязан заблокировать передачу смс на неё
В результате некоторые ОПСОСы закон вообще не исполняют, некоторые устанавливают срок блокировки
Если банку нужно заблокировать отправку своих смс на номер, банку достаточно их не отправлять со своей стороны. От опсоса требуется лишь предоставить банку сведения, что симку заменили, и опсосы, вроде как, это предоставляют в виде некоего идентификатора, только большинство банков на него кладут большой болт.А по факту даже банальное уведомление абонента о перевыпуске есть не у всех ОПСОСов.
А куда опсос должен информировать клиента, если в момент перевыпуска симка, которая на руках у клиента, превратилась в тыкву и смс на нее уже не дойдет? Или я должен давать опсосу свои соцсети и почту для этого? (как-то не очень хочется, вдобавок, при замене симки у меня мобильный интернет тоже отвалится, так что ни почту, ни соцсети я не увижу, пока не доберусь до дома)Balling
27.05.2022 05:15До момента превращения в тыкву. И вообще-то дойдет разумеется по smsoverwifi (IP SIP через IMS не требует SIM после первичной авторизации никогда у мтс) и email.
Popadanec
27.05.2022 11:12+1Я слово неправильное написал. Вместо ОПСОСы, там должно быть банки.
А ОПСОСы(видимо некоторые) при перевыпуске посылают смс на старую симку. По крайней мере Теле2 так год назад делал, когда я менял симку.
HexenM
26.05.2022 17:21+4Элементарное решение проблемы: дать возможность клиенту банка задавать дополнительный код для добавления к кодам в СМС.
Например, банк присылает код для входа - 8721. Клиент добавляет свой код, например, 5585 (да даже банальной конкатенацией, если уж не сложением!) - получается 87215585. И вводит именно его.
4 цифры запомнить легко. Можно даже 7 (задай номер телефона бабушки мужа). Подобрать невозможно. Решает все проблемы с перевыпуском SIM, с утерей или кражей телефона и с перехватом СМС. И даже с социнженерией (у банка-то такой код должен быть!).
Вот так бы делать банкам.
Popadanec
26.05.2022 17:51Банку вашу часть кода знать и не обязательно, достаточно хеша.
Balling
27.05.2022 05:20Это не безопасно. Вы явно из тех людей, что думали, что хешировать md5 номера паспортов это безопасно. Ан нет за 11 минут подбирается на моей 2080 Ti вся база 4+6.
Popadanec
27.05.2022 12:05+1А если банк говорит только валидна сумма или нет, а с третьей подряд неудачи блокирует наглухо до похода в отделение ножками. Как вы тогда подберёте?
Balling
27.05.2022 12:55На взломать сервера сбера и слить базу. Вот только они не хранят базу открыто, она не подключена к интернету прям напрмую и все хранится в крипто хранилищах.
K0styan
27.05.2022 12:40Ну это по сути логин по паролю + СМС коду. Только пароль строго цифровой и вводится в то же поле, что и код.
nivorbud
26.05.2022 17:58+5Имхо, проблема прежде всего в банках. Основные проблемы:
1) Разрешение восстановления пароля через СМС. В некоторых случаях можно установить запрет, но... см. далее.
2) В некоторых банках установка мобильного приложения с помощью одной смс полностью нивелирует запрет дистанционного восстановления пароля из п.1.
3) Сообщение о привязке нового мобильного устройства совпадает с сообщением о простом онлайн входе. По крайней мере в одном известном банке. Это вводит в заблуждение.
4) Своеобразная трактовка банками понятия кода из смс как цифровой подписи. Я вот по обывательски думал, что цифровой подписью я должен подписывать каждую операцию. Ан нет, оказалось, что по логике банков достаточно однократной авторизации через смс при установке мобильного приложения, а далее... все операции через приложение считаются подписанными...
Так что прежде всего банкам надо решать эту проблему, а не операторам связи.
Мне раньше даже в голову не могло прийти, что банки могут свести всю защиту доступа ко всем счетам (да еще кредитам) к одной единственной смске...
Balling
27.05.2022 05:25>однократной авторизации через смс при установке мобильного приложения, а далее... все операции через приложение считаются подписанными...
Сбер: смена налогового резидента требует смс пароль. МТС банк: вообще оплата ЕПД требует смс пароль. Все переводы с карты на карту (p2p) требуют 3-D Secure.
AlexanderS
26.05.2022 18:29+3Как нам кажется, в деле красной нитью проходит нежелание оператора брать на себя ответственность за то, какие сервисы абонент привязывает к своему номеру телефона.
Я статью прочитал и вроде бы как-то согласен. Но подумал… А вот почему оператор должен желать брать на себя ответственность за то, какие сервисы абонент привязывает к своему номеру телефона? Я вообще считаю, что ОПСОСы в современных реалиях должны «вымереть» в обычных провайдеров беспроводной связи. Их задача — предоставление стабильных и надёжных каналов связи, а не обеспечение вот этого всего. А банки, госуслуги и всякие сервисы путь лучше надежные и более предсказуемые механизмы аутентификации развивают, тот же упоминаемый TOTP, например. А то получается ситуация, когда меняешь обычного провайдера связи и у тебя всё перестаёт работать.Какие улучшения нужны?
Все дальнейшие предложения направлены хоть и на повышения надёжности, но на усугубление пагубной зависимости от сотового провайдера вместо освобождения от неё. Допускаю, что автор просто не попадал в ситуации, когда авторизоваться где-то срочно надо, а СМС тупо не приходит. И самое плохое в этой ситуации то, что у граждан выбора просто нет.Plusodin Автор
26.05.2022 19:42+2с одной стороны - да, конечно, ответственность брать не должен. Но номера уже используются, а операторы вроде как не в вакууме существуют, есть же все эти многочисленные отраслевые и межотраслевые ассоциации, на что они нужны-то? Вот собрались бы операторы да и сформировали позицию - что ответственности нести не желают и не будут, придумывайте другие способы, товарищи, например, банки. А так крайний как всегда абонент, хотя именно у него минимум рычагов воздействия
zgen
27.05.2022 13:08Оператор несёт ответственность за передачу номера третьим лицам
AlexanderS
27.05.2022 15:16Безусловно! Но это никак не отменяет того, что я написал выше.
zgen
27.05.2022 15:39+1Отменяет.
Тогда я ключ от вашей квартиры начну раздавать всем кому ни попадя, а когда вас ограбят и пристрелят - скажу что я не виноват что вы там ценные вещи хранили и вообще сами приняли решение там находиться при таких грустных обстоятельствах.
Я думал я просто кусочком железа делюсь, подумаешь, готов понести наказание по рыночной стоимости ключа.
Оператор ради своей выгоды забил болт на мои права, в следствие его желания получить больше выгоды я пострадал - т.е. он прямо финансово заинтересованное лицо и с этой целью осознанно выдает мой номер телефона кому хочет во владение.
Поэтому и несет за это ответственностьГК РФ Статья 1064. Общие основания ответственности за причинение вреда
Позиции высших судов по ст. 1064 ГК РФ >>>
КонсультантПлюс: примечание.
О выявлении конституционно-правового смысла п. 1 ст. 1064 см. Постановления КС РФ от 10.03.2017 N 6-П, от 08.12.2017 N 39-П.
1. Вред, причиненный личности или имуществу гражданина, а также вред, причиненный имуществу юридического лица, подлежит возмещению в полном объеме лицом, причинившим вред.Законом обязанность возмещения вреда может быть возложена на лицо, не являющееся причинителем вреда.Законом или договором может быть установлена обязанность причинителя вреда выплатить потерпевшим компенсацию сверх возмещения вреда. Законом может быть установлена обязанность лица, не являющегося причинителем вреда, выплатить потерпевшим компенсацию сверх возмещения вреда.
(в ред. Федерального закона от 28.11.2011 N 337-ФЗ)
(см. текст в предыдущей редакции)
2. Лицо, причинившее вред, освобождается от возмещения вреда, если докажет, что вред причинен не по его вине. Законом может быть предусмотрено возмещение вреда и при отсутствии вины причинителя вреда.3. Вред, причиненный правомерными действиями, подлежит возмещению в случаях, предусмотренных законом.В возмещении вреда может быть отказано, если вред причинен по просьбе или с согласия потерпевшего, а действия причинителя вреда не нарушают нравственные принципы общества.
AlexanderS
27.05.2022 16:07Тут просто палка о двух концах. Я-то просто рассмотрел с той стороны, с которой ОПСОСы и не хотели бы, чтобы их номера становились ключами. Но как выше Plusodin заметил для этого тогда надо что-то делать, а не только лишь высказыть своё фи. Хотя, с другой стороны, если государство, банки и прочие сервисы сами навязывают мне такие безальтернативные ключи без какого-либо выбора, то тогда именно они и должно прорабатывать вопросы безопаснсоти с ОПСОСами, а не скопом стоять от проблемы в сторонке. В принципе вся эта система замечательно и сама отбалансировалась бы при потоке успешных судебных решений в пользу граждан. Но с судами у нас, да как и везде, всё непросто…
zgen
27.05.2022 16:19Конец один для всех - этот трюк всем давно известен, и оператор занимается этим ИМЕННО потому что ему ничего за это нет.
Ущерб возник из-за противозаконных действий оператора? Да/нет
Да. Всё. Остальное - не меняющие суть дела детали.
завтра оператор не захочет чтобы его номер не использовался для передачи звуков "у", и что? Мало ли что он хочет там себе, если оператора спрашивать - то он хочет чтобы ты ему платил миллион долларов в день, а он бы вообще никаких услуг не предоставлял.
А посему, есть договор и его условия, и в нём никакого запрета нет. Если оператор допускает незаконные действия - он несёт ответственность за последствия.
Не хочет? пусть пишет в договоре что это не мой телефон, а общественный, таксофон блин, и что разговоры, данные, смс и прочая будут передаваться неопределенному кругу 3х лиц по желанию левой пятки непонятно кого.
Посмотрим, как долго такой оператор проживёт.AlexanderS
27.05.2022 17:08Ущерб возник из-за противозаконных действий оператора? Да/нет
Да. Всё. Остальное — не меняющие суть дела детали.
…
Не хочет? пусть пишет в договоре что это не мой телефон
Если ущерб причинён противозаконными действиями оператора, то тут и так всё понятно. Вопрос-то не в этом. В договорах и так прописано, что номер не ваша собственность от слова совсем. И если вы попали в форс-мажорную ситуацию и за 3 месяца свой баланс «прохлопали», то номер уже не ваш. А дальше уже как повезёт. Оформит его мошенник и вся ваша «надёжная» авторизация на сервисах внезапно оказывается под неиллюзорной угрозой. Поэтому «остальные детали» очень даже суть меняют: либо этот номер должен быть реально моим и не отчуждаться 100 лет по любым причинам любыми третьими лицами, либо нафиг такую аутентификацию.zgen
27.05.2022 17:35Как это не в этом?
Если бы не было противозаконных действий оператора, то третье лицо не получили бы доступ, либо получили бы доступ по чьей-то еще вине.
Никто баланс не прохлопал, сотрудник оператора выдал симку с номером третьему лицу без законных оснований.AlexanderS
27.05.2022 18:46С противозаконными действиями оператора и так всё понятно. Чего об это говорить-то? Я-то рассматривал вопрос в целом о пагубности современного механизма аутентификации — оператор может соблюдать договор от и до, но при определённых условиях и бездействии клиента номерок от вас «утечёт». Но почему-то под угрозой оказываются сервисы, которые к ОПСОСу никакого отношения формально не имеют.
zgen
27.05.2022 19:20Я как-то не заметил что вы обсуждаете вопрос пагубности аутентификации, я заметил что вы говорите что опсос не должен за свои действия нести ответственность, и продолжаете его выгораживать.
Итак.
а. Механизм аутентификации через номер телефона плохой
б. ОПСОС _должен возмещать ущерб_ который произошёл вследствие его незаконных действий т.е. перевыпуска симкарты, либо иного способ незаконной передачи ОПСОСом или его представителем доступа к телефону. Решается в суде и суд решил.
в. В случае когда пользователь недоглядел за _законными_ действиями ОПСОСа - ОПСОС возмещать ущерб вероятно не должен. Решается в суде.
Всё. Предмета спора нет.
sim31r
27.05.2022 14:46+1когда меняешь обычного провайдера связи и у тебя всё перестаёт работать
Номер можно сохранять за собой.
AlexanderS
27.05.2022 15:24Можно. Только зачем так завязываться, если можно не завязываться? А если завязываться, то пусть номер не отчуждается 100 лет. А то получается, что я впал в кому, а очнувшись чере3 2 года обнаружил, что на телефоне из-за полугодового бездействия включился спецтариф, баланс «съелся» и через полгода номер у меня отобрали окончательно, но какой-то ушлый человек прознал про это, выкупил номер себе, «восстановил» доступ к банку и не спеша обчистил мои счета. А вот если бы для входа в банк у меня использовался токен ТОТР, то такого бы в принципе не было!
Balling
27.05.2022 15:26Когда вы попадаете в кому вы недееспособны и все операции мед. прокси смотрит, либо вообще блокируют счета.
Есть же автоплатеж + аб. плата.
AlexanderS
27.05.2022 15:33В наших реалиях все эти «должен» сами знаете как работают) Банк может прохлопать «мертвую душу». А автоплатёж после очередных обновлений работать перестанет — я уже на такое, к сожалению, неприятно попадал.
Nubus
26.05.2022 19:31Срань господня с этими перевыпусками. Почему при выдаче сим-карты и номера телефона нельзя поставить пароль который предотвращает перевыпуск или передачу номера телефона? Или вводить проверку личности? Особенно при передаче номера от одного провайдера-другому. В США оба механизма реализованы и достаточно хорошо работают.
aMster1
26.05.2022 20:41+1Не знаю как у остальных операторов, у моего есть функция запрета выдачи сим карты по доверенности. То есть только при личном визите вы сможете получить новую симку.
С одной стороны - это хорошо, с другой, в связи со стремлением уменьшить накладные расходы - офиса рядом может и не оказаться.
dartraiden
26.05.2022 21:46+2Эта функция обычно представляет собой пометку в базе, которая технически ничему не препятствует. Если сотрудник оператора очень хочет (например, он в сговоре с атакующим), он это сделает, проигнорировав все предупреждения.
zgen
27.05.2022 13:07+1Пароль, который знает оператор, и пароль который может изменить оператор.
Тут обычное мошенничество с превышением полномочий, и пароль от него не спасет, как не спасает "доверенность" т.е. ее отсутствие
alexhott
27.05.2022 07:57Налоговая выдает всем бесплатный ЭЦП, еще вроде госключ какой-то есть.
Но пользоваться ей пока можно только в налоговой.
Надо развивать инсфраструктуру ЭЦП типа NFC токенов, приложений для подписи. Андроид тотже должен понимать что нужна подпись и какое приложение может ее дать.
Типа взять кредит в мобильном банке, а в конце подпиши договор ЭЦП и либо тотже госключ, либо токен приложи.zgen
27.05.2022 13:03Потом взламывают госуслуги и лишают тебя вообще всего имущества подписав все что можно и нельзя
RTFM13
27.05.2022 13:46...и еще кредитов наберут во всех банках. В принципе, это сей-час делается по поддельному паспорту. Имущество переходит по следующей сделке "добросовестному приобретателю" вполне легально. Прецеденты есть. С ЭЦП, конечно, всё еще интереснее.
Plovchik
27.05.2022 08:10+1Статья интересная и действительно полезная. Спасибо.
Давайте посмотрим на эту ситуацию со стороны оператора связи. Операторов связи несколько, идет здоровая конкуренция и борьба за абонентов и новые подключения. Операторы делают все возможное чтобы подключение осуществлялось как можно быстро с уменьшением бюрократии. Приходится сокращать издержки в виде перевыпуска использованных ранее неактивных номеров. Сажать доп процедуры на оператора это создавать неудобства всем абонентам. Ведь кроме симок для физ лиц есть еще очень много сфер где они используются - одни умные счетчики чего стоят.
Как мне кажется логика операторов такая что они обеспечивают клиентов связью, смс, интернетом. Оператор не заставляет клиента привязывать к симке банковские приложения. Неужели банк со своей стороны не может сделать двух-трех ступенчатую аутентификацию и регистрацию через гос услуги. Для того чтобы сохранить свои деньги в банке я готов пройти все это, но чтобы получить обычную симку там для умного дома не готов.
zgen
27.05.2022 13:02Левые чуваки управляют твоим номером, но ты оператор не причем.
Все нормально у вас?
RTFM13
27.05.2022 13:51Умные счетчики у умных операторов могли бы не использовать номера вообще.
Проблема в том, кто решил повесить всё на СМСки. Они для этого не предназначены, не надо вокруг почти публичного канала строить забор из костылей.
Меня сложно упрекнуть в симпатии к опсосам, но тут я считаю они ничего никому не обязаны. Есть в договоре фраза "информация может быть доступной третьим лицам" - давай досвидания. Вы же не передаете пароли от онлайнбанка через случайных людей на улице? Чем СМС принципиально отличается?
smart_alex
27.05.2022 08:37Резюме по статье: в текущем виде (многие) электронные сервисы небезопасны. Надёжных (концептуальных) способов исправления ситуации нет (и не предвидеться в обозримом будущем).
Вывод?
valkumei
27.05.2022 09:22На днях наблюдал странную и слегка пугающую вещь.
У наших собак раньше были гпс трекеры но долго лежали без дела.И вот сегодня понадобился один и я начал оживлять их.
У обоих не было связи с сервером.Вытащил сим-карты и начал тестить связь с помощью смартфона. Вставил одну из симок, зарегистрировался в сети. Интернет заработал, вытащил сим-карту.
А потом забыл про это и позвонил на ее номер. И звонок прошел. При этом телефон без сим-карты показывал сеть, и корректно обрабатывал вызовы.
На фоне использования смс и звонков для аутентификации, выглядит даже немного страшно.
zgen
27.05.2022 12:55+1Нужно всем банкам использовать многофакторную авторизацию не привязанную к номеру телефона
Balling
27.05.2022 12:58Тогда они будут привязаны к самому телефону типо биометрия. Например, alà оплата Сбер Pay на мвидео или еаптека, разблокируй сбер онлайн и сделай платеж. Да и samsung pay. В нем не нужен пин код при даже очень больших суммах! Так как биометрия или пин код код knox samsung pay.
zgen
27.05.2022 13:49Вы как-то мыслите примитивно, как будто тут есть только номер телефона и сам телефон.
Что угодно может быть, что решит банк. Но смс и симки уязвимы по-определению и их использовать нельзя вообще никак. Просто всем насрать, ибо "а что ты мне сделаешь я ни за что не отвечаю".
net_men
27.05.2022 13:16Предложенное не выгодно операторам, именно поэтому вводятся такие тарифы, которые всегда держат абонента в долгах. Простой пример: мегафон не даёт перевести мою жену в корпоративную группу (тоже мегафоновскую). Несколько лет назад этот ОпСоС ввёл тариф, где вне зависимости от желания абонента, раз в месяц списывается абонплата в 350р. При этом, если баланс отрицательный, то воспользоваться тарифом нельзя... но деньги уже были списаны в долг. Так вот, перевод в корпоратив возможен только с положительным балансом... получается, что нужно заплатить более 700р... не такие большие деньги, но это 3-5 месяцев абонплаты на других тарифах.
Я предлагаю закреплять номера телефонов за абонентом, т.е. именно продавать сам номер, а не продавать право использования.
RTFM13
27.05.2022 13:58Я предлагаю закреплять номера телефонов за абонентом, т.е. именно продавать сам номер, а не продавать право использования.
Это противоестественно относительно технической реализации. Сей-час перенос номера это по сути просто переадресация.
net_men
27.05.2022 14:01вот поэтому и возникают такие проблемы... а в будущем будет ещё хуже. Однозначно нужно усложнить этот процесс... как минимум до уровня автомобильных номеров.
mixsture
27.05.2022 15:32Мне кажется, надо всей отрасли взять за правило, что смс/пуш — ненадежный способ связи и подписью быть не может. И нормальный вариант его использования — это только с криптографией поверх.
Balling
27.05.2022 15:34Смс через wifi или volte зашифрованы на 2 уровнях.
vikarti
27.05.2022 22:06А толку с того?
Многие способы перехвата — просто игнорируют это шифрование.
Потому что это либо посторонний софт на аппарате без ведома пользователя (даже если пользователь думает что поставить левое — нельзя — см https://habr.com/ru/post/575626/ например) либо на стороне оператора (или товарища майора подключенного к оператору).Balling
28.05.2022 14:56Вообще весь трафик в идеале derives ключи с серверов GSMA (зеркала в Европе и Америке), а частично с сервера оператора. Но это в идеале.
Вообще не умерен, насколько ФСБ может расшифровать EVS (HD+ значок). Декодер open source впрочем.
Есть целая пачка уязвимостей в вышках еще.
SMSoverLTE/wifi не поддержиыает, а вот RCS поддерживает E2EE. ФСБ получит garabage, так как перехат ассим. ключей не даст расшифоровать данные, получив общий симметричный ключ. Perfect forward secrecy.
mixsture
28.05.2022 14:49Именно что пользователь сознательно подписывает своим ключом и тогда это электронная подпись. Тогда сильно сужается количество проблемных мест. Сим карту перевыпустить можно/смс или пуш перехватить, но без вашего ключа сделать ничего нельзя с этим дальше.
По сути выходит end-to-end шифрование от пользователя до сервиса важных операций. Влияние оператора таким образом исключается.Balling
28.05.2022 15:05По правилам (в eSIM так точно) простая подпись точно есть и не одна. См. https://www.iphones.ru/iNotes/mts-zapustila-esim-kak-podklyuchit-onlain-i-v-salone-11-01-2020
Согласен с условиями соглашения об эл. взаим. с исп. ПЭП.
Abyss777
Например, чтоб предотвратить портацию красивого номерка...
https://www.e1.ru/talk/forum/read.php?f=11&i=504277&t=504277
Plusodin Автор
Спасибо, это тоже отличный случай "в копилочку"