Недавно одно популярное приложение с Android потребовало у меня авторизация через Госуслуги. Сделало оно это очень просто - в своём окне оно запросило у меня логин-пароль от Госуслуг.
То есть, я ввожу эти данные в окне приложения, они утекают создателям приложения, которые в этот момент могут получить полный доступ к моему кабинету Госуслуг, так как мне придётся не только ввести логин-пароль в это приложение, а подтвердить это вводом кода с телефона. И у приложения будет сессия от моего имени в лк Госуслуг.
Т. е. такая система нормально работает в браузере, когда сайт перенаправляет тебя на другое окно сайта госуслуг, и там ты в Госуслугах авторизуешься на сайте. Но в случае приложения - твой лк может оказаться полностью под контролем разработчиков приложения, если они этого пожелают. Если я не прав - поправьте меня?
Обратился в поддержку Госуслуг - они сказали, что это целиком ответственность пользователя - что он сообщает третьим приложениям, и служба безопасности Госуслуг не будет этим заниматься. И ведь многие приложения требуют логин-пароль от Госуслуг. Как считаете, что делать?
Комментарии (70)
rsashka
16.09.2024 07:15+5Обратился в поддержку Госуслуг - они сказали, что это целиком ответственность пользователя - что он сообщает третьим приложениям, и служба безопасности Госуслуг не будет этим заниматься.
Вам ответили совершенно правильно. Если кто-то у вас требует "логин-пароль от Госуслуг" и вы его дает, то вы ССЗБ и Госуслуги тут совершено не причем.
Samyon Автор
16.09.2024 07:15Проблема в том, что куча приложений уже использует такой метод авторизации - и приходится либо его использовать, либо отказываться от сервисов. Я считаю, что СБ Госуслуг должна пресекать такие опасные попытки использовать их сервис
ovalsky
16.09.2024 07:15+6Каким образом? Ты напрямую авторизуешься на госуслугах, стороннее приложение может лишь копировать твои введённые данные. На госуслугах даже не узнают что ты даёшь логин\пароль стороннему приложению.
pes_loxmaty
16.09.2024 07:15+1А не может так статься что это приложение в WebView открывает реальную страницу логина госуслуг?
Samyon Автор
16.09.2024 07:15+1Может, только как это узнает пользователь? 9 приложений добропорядочные, а 1 приложение непорядочное, и угонит ваши госуслуги.
qw1
16.09.2024 07:15А даже если реальную, веб-страница всё равно контролируется приложением, которое может заинжектить любой js-код, проксировать запросы через свою инфраструктуру перед заворотом в SSL, логировать нажатия кнопок и т.п. прелести.
DonStron
16.09.2024 07:15+8-- Дядь, дай тыщу рублей?!
-- Конечно, ребята, держите!Заголовок: Полиция поощряет отдавать своё имущество гопникам!
WizAnd
16.09.2024 07:15+1Не понятен посыл автора. Что он хотел добиться от поддержки госуслуг? каким образом поддержка должна запретить использовать такие приложения?
Автор не поверит, что в интернете есть еще и сайты, которые требуют полные реквизиты банковской карты. Попробуйте написать в поддержку платежных систем про данные сайты.
Samyon Автор
16.09.2024 07:15Хорошо, это приложение используется десятками миллионов людей, связаться с организацией, и отрубить им использование сервиса, если они не исправят опасную авторизацию
DonStron
16.09.2024 07:15требуют полные реквизиты банковской карты
А что не так с вводом полных реквизитов?
WizAnd
16.09.2024 07:15+2полные реквизиты это включая включая cvv (cvc)
тот, кто угонит ваши данные, например, сможет заказать что-нибудь на алиэкспресс ))) смс с кодом при оплате не на всех ресурсах запрашивается
DonStron
16.09.2024 07:15включая cvv (cvc)
тот, кто угонит ваши данные, например, сможет заказать что-нибудь на алиэкспресс ))) смс с кодом при оплате не на всех ресурсах запрашивается
Ах вот оно что... Я бы понял ваше возмущение, если бы оно звучало так: требуют вводить реквизиты карты НЕ на странице банка (или известного платежного шлюза, куда переадресуется плательщик), а прямо на странице интернет-магазина (который действительно может собирать данные).
Но если вы вводите данные карты на странице магазина, то уже, по сути, не имеет значения, полные вы данные вводите или не полные (без CVV ;) Потому что:
Совершать списания можно и без ввода CVV. Подробнее под спойлером
То есть даже обладая НЕ полным набором реквизитов. И да, совершать покупку можно без запроса подтверждающего кода по sms.
То есть с точки зрения злоумышленника, нет никакой разницы имеет ли он ваш cvv код (то есть полные реквизиты карты) или нет.
Вы теперь будете бояться даже только номер карты вводить?Дело в том, что какие данные карты запрашивать (полные или нет) - это на усмотрение магазина (мерчанта).
Также на усмотрение магазина - запрашивать ли sms подтверждение.Для магазинов выгода НЕ запрашивать в том, что человеку легче и быстрее заполнять реквизиты и проще быстрее совершить покупку (в том числе импульсивную).
НО если покупатель оспорит списание, то магазину придётся доказывать, что это не сам магазин где-то натырил номеров кредиток, а именно покупатель заходил и размещал заказ. И если магазину это не удастся доказать (а это почти всегда так без sms подтверждений), то платежная система возвращает деньги покупателю. То есть магазин тут рискует отправить товар и не получить денег в итоге.Если же магазин в настройках своей системы оплаты картами запрашивает sms подтверждение, то транзакция подтверждается уже самим банком, который выслал sms, и оспорить такое списание клиентом уже сильно сложнее.
У многих магазинов из-за этого стоит дилемма, на стадии ввода платежных данных, да потом ещё ожидая смс, многие покупатели передумывают. Поэтому магазины стараются уменьшить "количество ввода" и быстрее совершить транзакцию. Для этого даже отказываются от всех подтверждений. Но рискуют бОльшим количеством оспариваний, так как именно в таких магазинах будут пытаться отовариваться мошенники, которые где-то натырили номеров кредиток и размещают заказы отправляя их дропам.
В общем, резюмирую:
есть у злоумышленников ваш cvv или нет - не важно, покупку можно совершить и без этого. Поэтому если вы где-то вводите данные карты, уже пофиг полные они или нет ;)
Если списание было без подтверждения кодом - такое списание оспаривается обращение в свой банк ОЧЕНЬ легко, разве что просто занимает время на ожидание проверки.
Поэтому мошенники стараются списания делать такие, которые не привлекают внимание, чтобы жертва не заметила, что списание было и не оспорило его.
И естественно, тут выручают приходящие уведомления о списаниях, которые у многих банков платные и потому у некоторых людей отключены ;).
Именно поэтому банки стали выдавать карты без конвертов, когда любой сотрудник банка может увидеть номер карты и cvv на обратной стороне, так как конверты в современных реалиях не защищают и избыточны, а cvv ни от чего не защищает.
alprk
16.09.2024 07:15+3Очевидно, это просто страница входа в Госуслуги в WebView, с которой приложение пытается словить редирект чтобы получить токен. Т.е. будет иметь доступ только к тому на что вы его согласились предоставить. Однако, как убедиться что приложение действительно показывает подлинную страницу госуслуг, учитывая что это происходит не в обычном браузере - действительно интересный вопрос.
rsashka
16.09.2024 07:15+1А разве нельзя вместо этого залогиниться на Госуслуги в нормальном браузере, чтобы была актуальная сессия и только после этого повторно зайти в эту прогу?
Samyon Автор
16.09.2024 07:15+1Нет, нельзя. Можете залогиниться в браузере, залогиниться в приложении Андроид, но как только вы откроете это приложение Андроид, оно невозмутимо у вас потребует логин-пароль от Госуслуг. Да, это популярное приложение, им пользуются десятки миллионов людей, ну, или миллионы точно. И оно такое не одно
rsashka
16.09.2024 07:15+5Ну ок. Так может быть вы поделитесь информацией, что это такое за супер приложение, без которого нельзя обойтись и которое обязательно требует логина и пароля на Госуслугах, но не умеет использовать стандартный API для авторизации?
donatello2005
16.09.2024 07:15Сегодня столкнулся с той же проблемой после установки одного приложения. Я не уверен, что автор именно о нём говорил, но по описанию подходит:
Приложение для Android "К врачу", которое обеспечивает возможность записываться к врачам. Приложение очень нужное для пожилых людей, которым SuperApp "ГосУслуги" излишне, они там путаются, а тут - всё просто и удобно, не ошибёшься.
Что самое забавное, рейтинг у приложения за сутки опустился до 2.9 и продолжает падать. По комментариям понятно, что авторизация через ГосУслуги больше не работает (возможно, авторизация через WebView всё же запрещена, и их просто отключили за это нарушение от ГосУслуг).
Мне это напомнило, как лет 15 назад авторизацию во ВКонтакте для сторонних приложений разрешено было сделать через iframe. В то время столько аккаунтов утекло таким способом: просто делали страничку с той же вёрсткой и закидывали вместо оригинальной формы в этот злополучный iframe.
alprk
16.09.2024 07:15Вообще нет никаких сессий, доступных приложению, есть токен который получает от ЕСИА приложение по своему client_id, используя который уже получает ваши данные чтобы залогинить/зарегистрировать.
Shaman_RSHU
16.09.2024 07:15А может быть просто приложение интегрировано со СМЭВ и идет редирект на авторизацию в Госуслуги https://habr.com/ru/companies/vsk_insurance/articles/806623/
alprk
16.09.2024 07:15СМЭВ тут ни при чем, это из другой оперы. Это штатный способ входа через госуслуги, редирект на госуслуги и редирект оттуда с токеном и в том приложении, уверен все сделано по официальной документации, нет никакого смысла хранить логины и пароли хотя бы из-за 2FA.
Но в том что мобильные приложения обычно открывают страницу входа в ЕСИА в webview и у нас действительно нет возможности убедиться что мы вводим данные на сайте госуслуг потенциально тоже может возникнуть проблема.
Shaman_RSHU
16.09.2024 07:15Сразу навскидку попробовал бы с помощью USB отладки посмотреть в логах (скорее всего URL отобразился бы). Запустил программу и выполнил что-нибудь типа
adb logcat | grep -i "WebView"Если не помогло, то посмотрел бы с помощью Charles Proxy или Fiddler (там root понадобится на телефоне).
Можно еще с помошью Packet Capture или HTTP Toolkit посмотреть, используется ли там веб-сертификат Минцифры (все госсайты перешли же на него).
ramil_trinion
16.09.2024 07:15+1Это какой то инфантилизм. Папа и мама не запретили мне разбирать электрическую розетку, и теперь если я разберу и меня ударит током, значит они виноваты.
DonStron
16.09.2024 07:15+5это приложение используется десятками миллионов людей
А чего не называете приложение? А то, знаете ли, "десятки миллионов людей" и "хомяка тапают".
freestyler8
16.09.2024 07:15Ну, например, приложение "Налоги ФЛ" от ФНС. Да, в нем пока есть возможность входить с логином/паролем. Думаю, что со временем ее уберут, как планомерно убирают во всех госструктурах.
А при нажатии "войти через госуслуги" никакого инструмента для проверки что открывшееся окно - это именно "Госуслуги", а не фишинг, мне не предлагается. Или безоглядно доверяй разработчику, или не пользуйся. И если с ФНС еще более-менее понятно, то как понять что какой-нибудь dspp.cipit.gov.spb.ru, где один и тот же студент после пар на коленке пилит и сайт и приложение, не является фишингом?
Dotarev
16.09.2024 07:15например, приложение "Налоги ФЛ" от ФНС.
https://lkfl2.nalog.ru/lkfl/ -> Войти через Госуслуги (ЕСИА) -> https://esia.gosuslugi.ru/login/
Что я делаю не так? Вы вообще на адресную строку браузера обращаете внимание?
Grey83
16.09.2024 07:15+2Или я невнимательно читал, или в статье не указано ни имя приложения, ни имени пакета (видно в инфе о приложении: долгий тап по иконке приложения – сведения – иконка в правом верхнем углу в виде буквы i в кружке, хотя некоторые элементы могут от производителя и прошивки зависеть).
Samyon Автор
16.09.2024 07:15Давайте поясню, в чём смысл моей заметки.
Государственный монополист сделал сервис по авторизации, который хочешь-не хочешь будут использовать все россияне, и права отказаться нет (Можете поспорить? Я не буду)
При этом этот монополист слабо озаботился безопасностью. Когда его внимание обратили на проблему с безопасностью, он переложил недоработки с безопасностью своего сервиса на плечи пользователя.
Соответственно, это попытка привлечь внимание общественности к этой проблеме. Но, для этого нужно хотя бы поплюсовать статью. Сейчас она в минусе.Как можно было исправить проблему на Госуслугах?
1 Административный способ - связаться с разработчиком мобильного приложения, и потребовать сделать безопасно (вопрос, есть ли такая возможность?), иначе отрубить этой организации возможность пользоваться методом авторизации через Госуслуги. Конечно, в обращении в службу тех поддержки я указал название приложения.
2 Технический способ, к примеру - дать пользователю логин-пароль только для авторизации в сторонних приложениях, без права доступа к ЛК, или ещё 100 разных способов придумать, как сделать безопасно и удобно.Если ты делаешь сервис по авторизации - делай это безопасно, если есть проблемы с безопасностью - исправляй, и улучшай. А так конечно легко - не нравится - не пользуй, но всё равно ты никуда не денешься, так как без этого не обойдёшься.
Называть приложение не вижу смысла - оно не одно так делает (и в комментариях уже называли подобные приложения), да и начнётся обсуждение этой компании - создателя приложения, а не технических проблем гос монополиста Госуслуг.
Кто тут пишет про инфантилизм - в чём он? Что пользователь хочет пользоваться безопасными сервисами, а не которые могут угнать твои перс. данные, и оформить на тебя кредит?
abutorin
16.09.2024 07:15+1Кто тут пишет про инфантилизм - в чём он?
Думаю что большинство негативных комментариев вызвано тем что вы пр....сь к Госуслугам. А почему на пример не разработчику ОС, который сделал операционную систему в которой можно делать небезопасные приложения, или к производителю смартфона, который сделал "небезопасное" устройство на котором запущена небезопасная ОС с небезопасными приложениями.
Samyon Автор
16.09.2024 07:15Потому, что это монополист, от которого не уйти. Хорошо, я так понял, тема безопасности не актуальна, и смысла в обсуждении нет. Будем пользоваться чисто на доверии
DonStron
16.09.2024 07:15+3Что вам мешает НЕ пользоваться приложениями?
У всех гос.ведомств есть веб.версии. У меня нет ни одного государственного приложения. Во все ведомства обращаюсь авторизовываясь на соответствующих страницах в интернете, либо напрямую, либо с авторизацией через гос.услуги.
В том то и дело, что вы умалчиваете про приложение зачем-то. А там может и проблемы то нет.
Samyon Автор
16.09.2024 07:15Хорошо, уговорили, это BalancePay от wildberries. Да, у многих приложений есть веб версия. У этого кошелька такой возможности нет
DonStron
16.09.2024 07:15+3Хорошо, уговорили, это BalancePay от wildberries
А ранее вы писали, что проблема в том, что:
Госуслуги - это монополист, от которого не уйти
Вот и получается, что Госуслуги тут вообще ни при чём. Тут вообще никакой связи с государственным монополистом. Никто не заставляет пользоваться этим "типа банком".
Вопросы:
1) Если я правильно понимаю, это приложение "типа банка". Там нет возможности авторизовываться НЕ через госуслуги? Неужели там это единственный вариант? Вы не обязаны иметь госуслуги, не верю, что нет простого обычного входа по логину-паролю, коду из смс.
2) Насчёт того, что этим приложением пользуются миллионы - охотно поспорю :) Количество скачиваний 500к+.
3) У данного сервиса нет вебверсии?
4) В общем, получается, что если не пользоваться этим сервисом/приложением/маркетплейсом, то ничего страшного и не произойдет. А учитывая, что ноги растут от WB, то я бы и палкой не трогал.Samyon Автор
16.09.2024 07:15В моём случае нет - мне не удалось найти, как сделать те действия, что нужно, без этой опасной авторизации. И служба техподдержки указала мне только этот вариант.
Да, посмотрел, но и эта цифра немаленькая
Похоже что нужный функционал только в приложении
Да, но это не единственное приложение с такой авторизацией, поэтому и вопрос к Госуслугам.
Skipy
16.09.2024 07:15+1Вы не поверите, я НЕ пользуюсь приложением WB. Я НЕ пользуюсь кошельком WB. Я НЕ пользуюсь приложением для кошелька WB. И прекрасно себя чувствую. Мне везде хватает браузера.
Более того, я принципиально не пользуюсь вообще никакими приложениями, если есть сайты. Я НЕ пользуюсь приложением банка, в котором работаю и в котором у меня зарплатная карта. И опять-же прекрасно себя чувствую.
Вам кошелек на WB зачем?
gmastrum
16.09.2024 07:15Дело не в том кто монополист, а в том что подобная авторизация (предназначенная для сайтов изначально) разработана самими Госуслуг-ами. (Ну если быть точными то это ЕСИА и министерство цифрового развития) И ими же продвигаться в приложения....
gmastrum
16.09.2024 07:15Автор сам не понимая почему пришел с вопросами к тому кому нужно.
Поясню - механизм авторизации такой это разработка Госуслуг. Это в общем то хорошо работает для сайтов где подлинность перехода на сайт госуслуг можно легко проверить пользователю. Для приложений подобный механизм использовать как все понимают нельзя. Ну кроме программистов "Госуслуг" (естно это минцифры) которые уверенны что абсолютно безопасно доверять разработчикам приложения и вводить логины и пароли от их экосистемы внутри этих приложений....
Grey83
16.09.2024 07:15слабо озаботился безопасностью
А посмотреть разработчика в магазине откуда скачано приложение? И заодно что он ещё сделал.
Ну и на официальных ресурсах обычно указываются ссылки на официальные приложения.
Вот минимум, который нужно смотреть перед установкой софта.
igorich
16.09.2024 07:15не знаю почему хейтят автора, посыл абсолютно здравый. ГУ имеют все инструменты/рычаги для привязки других юзеров и сервисов к себе (о чём речь в посте). И так же у них есть все инструменты/рычаги для борьбы с вводом кредов в сторонних приложениях. Запретить использовать такой метод авторизации и дать разработчикам приложений другой, безопасный, метод
DonStron
16.09.2024 07:15Изначально топик стартер озвучил всё как очень важную и глобальную проблему, что госуслуги монополист и прочее.
А на деле оказалось, что "где-то в гаражах пацаны просят сказать свой пароль к госуслугам, иначе не пускают в нарды с ними поиграть".
И украшено это было желтушным "госуслуги поощряют рассказывать пароль".
Запретить использовать такой метод авторизации
Пока существует обычный вход через web, то никак не запретить. Приложуха может прикидываться браузером Chrome, как это делают обычные парсеры данных. С точки зрения Госуслуг, будет выглядеть будто какой-то обыкновенный комп с обыкновенным браузером пытается войти в кабинет госуслуг.
А вот НЕ вводить пароль от госуслуг в "левой" приложухе пользователь может сам! Это ведь одно из правил цифровой гигиены.
А если вводит, то он сам себе злобный буратино.Samyon Автор
16.09.2024 07:15Ну да, "Левая приложуха" крупнейшего онлайн маркетплейса России. И пользователь не собирается играть в нарды с пацанами, а совершить определённые действия через систему госуслуг.
Я вижу, что почему-то большинство комментаторов считают что это какая-то блажь автора, и безосновательный наезд на Госуслуги. Хорошо, у каждого своё мнение.
rsashka
16.09.2024 07:15крупнейшего онлайн маркетплейса России
И что, это индульгенция для различного рода разводов и махинаций?
DonStron
16.09.2024 07:15И пользователь не собирается играть в нарды с пацанами, а совершить определённые действия через систему госуслуг.
но ведь дело в том, что вы никаких действий через госуслуги не делаете, а именно гаражные пацаны просят вас сказать свой пароль от госуслуг, иначе не пустят внутрь гаража. И вы даже не знаете зачем они просят. Мол просто просят и всё.
На самом деле ваша проблема в том, что вы хотите пользоваться приложением гаражных пацанов, которые зачем-то спрашивают пароль от госуслуг. Вам это не нравится. Но гаражные пацаны обставили всё так, что у вас другого варианта нет (нет веб.версии почему-то). И если вы скажете гаражным пацанам, "мол как так то, а если у меня смартфона нет, а если у меня гос.услуг нет?", пацаны скорей всего вообще вам не ответят (поддержка WB славится этим ;), а в лучшем случае будет "не хочешь - не пользуйся".
Так что проблема лишь в том, что вам нужно взаимодействовать с WB, но они предлагают вам дырявый вариант, на который человек в здравом уме не согласится.
Госуслуги то тут в чём виноваты? Если что-то требовать, то нужно требовать от рукопопов WB, чтобы они сделали 1) Альтернативные варианты (веб.версию) 2) Правильное подтверждение без компрометации пароля в стороннем приложении.
gmastrum
16.09.2024 07:15В вашем посте много ложных утверждений.
Это не какие то левые приложения прикидываются браузером и далее по тексту. Это сами Госуслуги (минцыфры конечно) "разработали" такой метод авторизации (есиа) для писателей в том числе и приложений. Т.е. заход браузером из приложения, авторизация на госуслугах и отдача в конце токена это механизм придуманный программистами из госпредприятия минцифры.
И активно продвигаемый ими же для сторонних приложений. О чем собственно и спич автора....
qw1
16.09.2024 07:15Я надеюсь, разработчики ГосУслуг сделали правильно. Для сайтов авторизация - то, что есть. Для приложений - нужно ставить приложение ГосУслуги, логиниться там, и это приложение авторизовывает все остальные приложения (как это делают гугл-сервисы).
То, что WB неправильно используют 1-й метод для своего приложения вместо 2-го, это не проблема ГосУслуг. Они же не могут это задетектить или запретить. Ну, кроме как дружески проконсультировать, как надо правильно реализовать вход.
AlexLive27
16.09.2024 07:15+1Это же классический фишинг. Автор, не ведитесь на уловки таких сервисов/сайтов/приложений. Будьте бдительны.
dmitrmax
16.09.2024 07:15По-моему, это больше классическая шапочка из фольги. Если бы автор провел нормальное исследование, сделал бы MITM, убедился бы, что он не имеет дело с OAuth, то можно было бы что-то обсуждать.
Efrem3112
16.09.2024 07:15+1Прежде, чем начать пользоваться этим приложением, порекомендовал бы почитать отзывы... И подумать ещё раз.
big17
16.09.2024 07:15+1ГосУслуги и ЕСИА - разные вещи. ЕСИА - единая система идентификации и авторизации. Госуслуги (и другие системы, например, банк-онлайны) используют ЕСИА для авторизации.
Когда вы заходите в какую-то систему, эта система перенаправляет вас на страничку логина ЕСИА, где сама ЕСИА проверяет корректность логина и пароля (и введенного кода смс), а затем возвращает системе в токен, в котором зашита та информация, которую запросила система и которую вы разрешили при первом входе, например ФИО и телефон.
Т.е. это не сессия с ГосУслугами, а всего-лишь токен.
Samyon Автор
16.09.2024 07:15+1Это в случае добропорядочного приложения. А злонамеренное приложение не только получит логин-пароль, подставив вместо странички ЕСИА свою формочку, но и откроет сессию из своего браузера, абсолютно с любого узла, используя эти логин-пароль. После чего вы подтвердите вход через код на телефоне, думая, что входите в приложение, а на самом деле подтвердится вход в госуслуги на узле мошенников. После этого с вашим ЛК можно делать что угодно.
Если я где-то ошибся - поправьте.
Да, я посмотрел, как обращается один из крупных банков к Госуслугам - через приложение на телефоне. Так что безопасный метод точно есть, просто приложение WB кривое.
Ну чтож, я пока воздержусь пользоваться этим приложением, всем спасибо.
Но всё равно - по моему мнению Госуслуги должны реагировать на то, что приложения могут потенциально мошенничать, и банить такие приложения, или бороться как-то иначе.
rsashka
16.09.2024 07:15Да, я посмотрел, как обращается один из крупных банков к Госуслугам - через приложение на телефоне. Так что безопасный метод точно есть, просто приложение WB кривое.
Раз вы прислушались к коллективному разуму, значит ваша статья оказалась не напрасна.
big17
16.09.2024 07:15+1Да нет же. Не получит злонамеренное приложение ни логин ни пароль, т.к. логин и пароль вы вводите на страничке ЕСИА. Вот такой алгоритм:
Пользователь в "злонамеренной" системе жмет кнопку "Войти через Госуслуги"
Злонамеренная система открывает страничку ЕСИА (при этом ЕСИА должна знать про эту систему, это настраивается в техническом профиле организации, которая владеет злонамеренной системой)
Пользователь на страничке ЕСИА вводит логин и пароль. ЕСИА проверяет его, никуда не отправляя эту информацию! И если они правильные, то формирует токен, который отправляет злонамеренной системе. В этом токене нет ни логина, ни пароля, только информация, которую пользователь разрешил узнать о себе, например ФИО и телефон.
Злонамеренная система получает токен (т.е. подтверждение того, что пользователь правильно ввел логин и пароль) и запускает пользователя "в себя".
Этот полученный токен никому не нужен, с помощью него никуда не зайти, никаких сессий он не содержит, он бесполезен. Этот токен нужен только "злонамеренной" системе и все.
Samyon Автор
16.09.2024 07:15Обманутый пользователь вводит логин пароль не в ЕСИА, а в формочке приложения. А мошенник на другом компьютере вводит полученный через формочку логин пароль обманутого пользователя в реальных Госуслугах. Так понятно?
big17
16.09.2024 07:15+1А это фишинг чистой воды. Здесь нужно внимательно смотреть на адрес странички логина. ЕСИА, если что, не разрешает встраивание своей страницы логина ни в какие фреймы.
Но вообще, даже если логин и пароль утечет - вход возможен только с подтверждением через смс-код, а это еще одна задача для фишинговой страницы.Samyon Автор
16.09.2024 07:15Это происходит в ПРИЛОЖЕНИИ. Там нет адреса страницы.
После того, как мошенник введёт логин пароль у себя на компьютере, обманутому пользователю придёт СМС код подтверждения. А приложение покажет ему формочку, похожую на ответ ЕСИА. Пользователь туда введёт код, мошенник его получит, и введёт у себя на компьютере. Вуаля, ЛК у мошенника
DonStron
16.09.2024 07:15даже если логин и пароль утечет - вход возможен только с подтверждением через смс-код, а это еще одна задача для фишинговой страницы.
если в данной приложухе сделали прямой ввод пароля от чужого сервиса, то уж затребовать доступ к смс для считывания кода они тоже могут в системных разрешениях ;) И бедные люди, которые вынуждены этим поделием пользоваться, будут соглашаться такие разрешения давать. Альтернативы то у них нет.
ABATAPA
16.09.2024 07:15+2Есть же уже работающий (на ряде сервисов) механизм: приложение или сайт отправляет запрос через API, и ты видишь эти запросы в ЛК и уже там решаешь что делать.
grvelvet
Не пользоваться приложениями где требуются п/л от госуслуг..?
Samyon Автор
Пока что я так и делал - но это становится всё сложней
asdfddsa
Ну попробуйте это сделать в современном мире, где со всех сторон требуют персданные, биометрию, смски, учетки и т.д. Натуральный цифровой концлагерь...
Мне недавно просто заблокировали звонки с моего номера телефона, которым лет 20 владею. Можно на их сайте "подтвердить" паспортные данные (что конечно же не работало), либо переходом на госуслуги с целой портянкой разрешений. Ну еще был вариант найти салон связи и подарить скан своего паспорта хрен знает кому...
Skipy
А есть еще вариант - написать заявление на переход к другому оператору. Волшебным образом телефон разблокируется.
qw1
Не уверен, что оператор захочет так рисковать. Сейчас регуляторы требует идентифицировать всех абонентов по паспорту, и если оператор закроет глаза на потенциального "перебежчика", а потом его номер засветится в какой-нибудь неприятной истории, случится проверка и руководители полетят со своих мест.
Player17
Не всегда. И паспорт все равно нужно подтвердить.