Последние несколько лет я являюсь клиентом Т-Банка (в девичестве Тинькофф Банк) и использую их Android-приложение, наверное, каждый день. В декабре я обновил его из Huawei AppGallery, и что-то изменилось в моём пользовательском опыте… Мне стало казаться, что меня стали как-то слишком редко спрашивать отпечаток или PIN после запуска приложения тапом по иконке или по уведомлению. Так произошло раз, два, пять, и я невольно обратил на это внимание. А поскольку моя работа связана с информационной безопасностью, я решил немедленно настучать на плохое поведение разработчикам, тем более у них есть программа bug bounty.
Сказано – сделано. Это было кринжевато, так как я не был на 100% уверен в своих словах, но я всё же написал о том, что меня как-то редко стали спрашивать отпечаток/PIN. У меня была включена опция «Быстрый вход», которая в приложении объяснена так: «Если вы используете отпечаток пальца или скан лица, у вас будет 5 минут, чтобы зайти в Т-Банк без авторизации». Без этой опции поведение было ожидаемым: каждое открытие приложения просило отпечаток/PIN, а вот с ней… Когда я думал, что отпечаток/PIN не нужен, то он не был нужен; когда я думал, что он нужен, он обычно почему-то был не нужен.
Стал я экспериментировать, чтобы у меня был более членораздельный отчёт. Мой телефон разблокировался по отпечатку пальца или PIN, и внезапно оказалось, что «Быстрый вход» в приложении Т-Банка означает не то, что я думал. Я-то, наивный, рассуждал просто: залогинился в приложение – можешь его закрыть, но в течение 5 минут тебя пустят обратно без вопросов (кэширование аутентификации в рамках приложения). Мне казалось, что приложение раньше всё время так и работало, примерно до декабря. А теперь я наблюдал своими глазами нечто иное: если ты предъявил отпечаток для разблокировки телефона, то внезапно приложение Т-Банка будет пускать тебя внутрь без вопросов в ближайшие 5 минут!
Если честно, я с этого прифигел. Я постоянно кручу телефон в руках – переписываюсь, смотрю мемы. Мне удобно разблокировать его отпечатком. Но почему инженеры Т-Банка решили, что когда я разблокирую телефон для просмотра мема, то заодно стоит разблокировать приложение с моими деньгами? Я предъявил отпечаток, да, но для разблокировки телефона. Палец у меня один и тот же, не поспоришь. Но я совершенно не ожидаю, что ещё какие-то места, для входа в которые требуется отпечаток, тоже по какой-то магической причине разблокируются. Это кажется совершенно несвязанными аутентификациями для совершенно разных защищаемых объектов. Напротив, я ожидаю, что они будут заблокированы, пока я явно не предъявлю отпечаток конкретно в эти места. Я ожидаю, что кэширование моего отпечатка/PIN на 5 минут касается только того приложения, где я задал такую опцию: если я в это приложение что-то 4 минуты назад предъявил, то это ещё действует, а если я это ещё куда-то предъявил хоть секунду назад, то это не имеет никакого отношения к данному приложению и на него не влияет.
Да, конечно, можно сказать, что старая логика не намного лучше. Вот разблокировал я своё банковское приложение отпечатком, вышел оттуда, а через 4 минуты вор выхватил мой телефон и убежал, получив доступ к деньгам – тут и старый алгоритм не помог бы. Но что, если я разблокировал телефон для просмотра мема, а приложение банка давно не открывал? Почему в этом-то случае вор должен получить доступ к деньгам? Да ни почему не должен. Конечно, имея разблокированный телефон, можно много чего интересного с ним сделать, но с чего это вдруг хватает одного тапа до полного доступа к самому дорогому?
Пожаловался во всех подробностях и красках на это безобразие в своей челобитной безопасникам. Было это перед самым Новым годом, так что ответа пришлось подождать пару недель… Мне ответили, что всё работает как и задумано, так и должно быть. Такой же ответ дали вот этому возмущённому пользователю Банки.ру. «В таком процессе авторизации нет рисков» – ладно… Раз это as designed, а не уязвимость, значит, я могу с чистой совестью рассказать об этом Хабру, что я с удовольствием и делаю.
Безопасность и удобство противоречат друг другу, и по-видимому, инженеры Т-Банка решили сместить бегунок данной опции поближе к удобству, подальше от безопасности. Конечно, стало удобнее, но когда речь идёт о банке, о твоих кровных, то ставки весьма высоки. Кто сильно переживает, тот может отключить у себя «Быстрый вход», но это всё-таки не оправдывает очень странное решение, касающееся миллионов пользователей.
UPD. Оказалось, такой пост на Хабре уже был. За подсказку спасибо @slepmog!
UPD 2. В комментариях пишут, что для пущей радости эта опция включена по умолчанию. Это уж совсем ни в какие ворота не лезет.
Комментарии (224)
Sap_ru
30.01.2025 23:04Совершенно ужасная реализация. Разблокируешь телефон ребёнку или "позвонить" малознакомому человеку и они почему-то получают безусловный доступ к твоему банку.
Удобно.
ishchukin
30.01.2025 23:04В Андроиде есть "App pinning", возможность "закрепить" приложение на экране при которой нужно разблокировать телефон, чтобы переключиться на другое - Как закрепить или открепить экран - Cправка - Android . Как раз сделано, чтобы кому-то давать телефон с какой-то целью.
emoxam
30.01.2025 23:04Три раза перечитал, не понял... сможете переформулировать?)
DaemonGloom
30.01.2025 23:04Если вы даёте кому-то телефон, чтобы позвонить - можно принудительно назначить текущее приложение закреплённым, чтобы только звонки и были возможны.
tsilia
30.01.2025 23:04Nothing OS 3 про этот режим пишет, что запиненное приложение все равно может открывать другие приложения и ваши личные данные всё ещё могут быть доступны. Мол, если хотите, чтоб было безопасно, то лучше создать гостевого пользователя.
santjagocorkez
30.01.2025 23:04В ведроиде есть множественность пользователей, если что. Заводишь гостевого пользователя (или даже просто включаешь в настройках). Переключил в шторке, дал позвонить. И то не очень идея, но для семьи, особенно, детей, сойдет.
rundle
30.01.2025 23:04А я согласен с инженерами Т-Банка.
Зачем давать ваш телефон ребёнку? У ребёнка свой телефон есть, чтобы в Roblox играть.
Зачем давать ваш телефон малознакомому человеку? Я свой телефон и самому близкому человеку не буду давать.
kiff2007200
30.01.2025 23:04Не все такие параноики как вы!
Я свой телефон и самому близкому человеку не буду давать.
Почему? Не доверяете? А спать вместе ложитесь? не боитесь так рисковать?
DM_76
30.01.2025 23:04Очень часто просят телефон, чтобы что-то посмотреть на экране. Номер заявки или ещё что подобное. При этом сами сидят за окошком. Например, почта, налоговая и тп
rundle
30.01.2025 23:04Что-то не сходится. Вы хотите отдавать телефон налоговую и боитесь, что они за окном зайдут в приложение и по-быстрому себе переведут что-нибудь)
isden
30.01.2025 23:04Я лично купил небольшой термопринтер за 1.5к, и все эти номера заявок, заказов и коды заранее печатаю на бумажке и отдаю их. Принтер реально карманный, с батарейкой и BT. Печатается с телефона за минуту, можно прямо на месте распечатать что-то побыстрому.
zhka
30.01.2025 23:04модель не подскажите?
inkelyad
30.01.2025 23:04Ищется в озонах по запросу mini printer. Моделей довольно много но все плюс-минус одинаковые. Но они все - на чековой ленте печатают. Для долгого хранения результат не пригоден. Можно еще чековый принтер искать, но оно так заметно дороже.
Есть, правда, варианты с настоящим термопереносом краски на бумагу, которые не выцветают - но те еще дороже. Лента ищется по 'риббон' (прямо кириллицей) а дальше уже смотрится в описании, к каким моделям принтеров подходит.isden
30.01.2025 23:04Для долгого хранения результат не пригоден.
Зависит от условий и даже от поверхности, на которую наклеивается. Но в целом да, может начать выцветать буквально за неделю, а может и год норм быть. Для долговременного лучше лазерный использовать.
inkelyad
30.01.2025 23:04Именно. Это к тому, что если хочется какую-нибудь маркировку на кабель печатать или что-то похожее, что будет следующие 20 лет висеть и только после этого понадобиться - то это не про эти принтеры.
isden
30.01.2025 23:04У меня вот такой. Заказывал на озон, я так понимаю их десяток разных моделей на одной платформе, отличаются только дизайном.
posthedgehog Автор
30.01.2025 23:04Ничего не показывается по ссылочке, по крайней мере из России без VPN. Можно попросить вас буквами написать название модели, пожалуйста?
isden
30.01.2025 23:04Типичный китайский нонейм с названием "Mini Portable Label Printer Thermal Printing Wireless Impresoras Paper Photo Inkless C19 Printers 57mm Sticker Android IOS". В их приложении определяется как mx10-ec39.
Вот ссылка на озон. Но именно этот там закончился, можно посмотреть кликнув на картинку принтера.
Lordbander
30.01.2025 23:04Зачем давать ваш телефон ребёнку?
А зачем 4 летке свой телефон? Пусть на моем час в день поиграет, пока я занят. Будет свой - будет зависимость и капризы.
По банкам тоже есть претензии. Почему-то у них нет "услуги" (хотя я без понятия как это безопасно реализовать) - ну что-то типа - "общая карта" на меня с женой. Просто, звонок из банка, и на вопрос от банка - а кто покупал в МСК в Пятерке продукты полчаса назад... а я в командировке в Питере, только что купил колбасы... (вторая карта у жены). И мне банк сразу блокирует счет. Доступ 3го лица. И семья без финансов - пока лично в отделении матом не наорешь.
А еще, у меня нет 2го телефона и единственном, от жены тоже скрывать нечего. "Странные" запросы задаются в режиме инкогнито! типа "как жарить котлеты" - не дай бог узнает, что я неплохо готовлю )))))
posthedgehog Автор
30.01.2025 23:04Есть такая услуга. Можно оформить карту на другого человека, но на ваш счёт, называется "Дополнительная карта": https://www.tbank.ru/bank/help/debit-cards/tinkoff-black/additional-options/additional-card/
Lordbander
30.01.2025 23:04Спасибо. Впервые вижу. У меня просто по 2 карты в банках и иногда приводило к блокировкам. Но с Тинька лет 5-7 ушел. Поизучаю. Всем бы так
idlodar
30.01.2025 23:04Да ёп выключи функцию в приложении быстрый вход и постоянно будешь вводить пин/палец/биометрию и тд и тп.
Автор поста на пустом месте нашел проблему - Так сказать из мухи слепил СЛОНА!
posthedgehog Автор
30.01.2025 23:04Автор поста может вообще не пользоваться мобильными телефонами, но даже и в таком случае он оставляет за собой право на общих основаниях критиковать то, что ему кажется странным, небезопасным, нелогичным, плохо описанным в интерфейсе. По мнению автора поста есть проблема в поведении, которая касается миллионов пользователей. Этому и посвящён текст.
Lordbander
30.01.2025 23:04Автор поста молодец. На хабре обозначил проблему. Т - откликнется.
Я давным давно с ними тоже ругался, когда оплачивал картой в магазинах и никто ПИН не спрашивал. У всех спрашивает терминал, а у Тинька - нет. Ну мысли - сопрут карту и покупай нехочу.
В Тиньке сказали, что это не Баг а Фича. Зато ты никому, кто в очереди сзади стоит, свой ПИН не засветишь.
Я с тех пор в магазинах все это наблюдаю. Ведь правда - я реально вижу Пинкоды. Стоит вырвать карту - добежать до банкомата и все деньги твои. (Гипотетически - сельский магазин без видеонаблюдения).
Не засекал время, но после разблокировки Огрызка в приложениях МКБ и Альфабанка можно между ними листаться активно. А потом все-же просят пин-код. (естественно фейс-айди на банковские приложения отключен - как его вообще туда придумали зпихнуть?)
MountainGoat
30.01.2025 23:04Я бы наоборот хотел, чтобы в Юманях реализовали именно такой вариант. Я не даю свой телефон незнакомому ребёнку позвонить. А вот в очереди у кассы достать телефон, разблокировать его отпечатком, подождать пока откроется, открыть приложение, снова разблокировать, подождать, ещё раз разблокировать потому что не прочиталось, опять подождать - задалбывает.
pavelsha
30.01.2025 23:04Пожалуйста, избавьтесь от этой привычки. Сейчас телефон стал таким же личным, как зубная щётка.
Хотя, судя по тому, что некоторые смотрят на своих смартфонах, это, возможно, даже более интимный предмет, чем зубная щётка. Как говорится "зубной щётка в таких местах краврятся не будешь".
nochkin
30.01.2025 23:04Зачем давать звонить кому-то со своего телефона особенно если это малознакомый человек? Если вдруг надо, то я сам набираю номер и включаю громкую связь. Никто не получает в руки мой телефон. Тем более если он разблокирован.
Sap_ru
30.01.2025 23:04Кроме того, пускает Тинькофф и по разблокировке графическим ключом. Про графический ключ это дельный идиотизм.
И действительно, использование отпечатка в некоторых других программах сбрасывает таймер и пять минут идут по новой.
Нужно признать, что они полные идиоты. Теперь страшно их приложением пользоваться.posthedgehog Автор
30.01.2025 23:04В моих опытах было так, что если телефон разблокируешь графическим ключом, а отпечаток предъявлял более 5 минут назад, то приложение всё-таки требует отпечаток/PIN.
Sap_ru
30.01.2025 23:04Это да, но всё равно, допустим, я специально и осознанно ЗАБЛОКИРОВАЛ телефон (так как хочу дать его кому-то недоверенному - ребёнку, сотруднику магазина/почты/банка, позвонить кому-то), а потом разблокировал его графическим ключом (либо злоумышленник подсмотрел мой ключ). А они всё равно дают доступ! Это огромная дыра в безопасности!
posthedgehog Автор
30.01.2025 23:04Тут полностью солидарен!
NetBUG
30.01.2025 23:04Короче, такое поведение с разблокировкой пусть даже и остаётся, но фича должна быть достаточно документирована для пользователя – "Да, я согласен, что мне не нужно будет аутентифицироваться для входа в приложение, если в течение 5 минут я уже разблокировал телефон"
Alexrim
30.01.2025 23:04Пользователи телефонлв китайского вредителя и главного шпиона за свои данные переживать не должны...
lex899
30.01.2025 23:04я специально и осознанно ЗАБЛОКИРОВАЛ
Если приложение сворачивается - оно не запрашивает отпечаток даже если быстрый вход выключен, нужно отключить быстрый вход и закрыть приложение чтобы гарантированно спросило отпечаток/пин при следующем запуске.
posthedgehog Автор
30.01.2025 23:04Подтверждаю ваши наблюдения. Поведение выглядит криво. В их приложении "Инвестиции" то же самое. А вот если не смахивать приложение, не сворачивать, а два раза нажать "Назад" для выхода из приложения, то приложение отображается в активных, как будто бы его свернули, но уже попросит PIN/отпечаток при попытке повторного входа.
Alexrim
30.01.2025 23:04То есть вам не страшно хранить деньги не в пойми какой стране 5 мира , пользоваться не пойми каким банком страны 5 мира, находится в стране 5 мира, и хотеть что бы в этой помойке, что то работало так как надо? Статус страны лосей не даром выдан.
posthedgehog Автор
30.01.2025 23:04Простите, не понял, о какой вы стране. Погуглил "страна лосей" -- чаще всего пишут про Швецию, чуть менее часто -- про Канаду. Вы какую страну имели в виду и на основании чего её так исступлённо костерите, позвольте вежливо поинтересоваться?
Anfet
30.01.2025 23:04Это все потому, что биометрия никак не шифрует. То что вы видите как тач или фейс айди, это проверка на уровне системы. Ты как разраб, говоришь системе - проведи биометрическую авторизацию и скажи мне результат. Всё. Ответа будет - да или ошибка.
И что палец, что лицо, что ключ - это разные способы проверить вас, не более.
Даже скажу по другому. Приложение всегда имеет доступ к своему закрытому хранилищу. И может оттуда дёрнуть что хочет. Нет такого, что ты авторизоваться и только на это время доступ открывается.
j_aleks
30.01.2025 23:04разблокировать по пальцу телефон, может быть, войти по отпечатку в какой нибудь форум, потрепаться, наверно. НО в критичные приложения, НИКОГДА... Не тот уровень развития технологии, попробуйте, ради интереса, тыкать не тем пальцем, для входа, и получите некий процент удачных срабатываний...
Sap_ru
30.01.2025 23:04Там довольно низкий процент ложноположительных срабатываний и буквально через несколько неудачных попыток вход по отпечатку будет отключён до ввода графического ключа.
SupRo
30.01.2025 23:04История из жизни. Купил OnePlus 12r. Настроил 4 отпечатка 2 больших и 2 указательных пальца. Друг попросил посмотреть. Взял, приложил палец и телефон разблокировался. Мы были очень удивлены. Примерно каждая 3 попытка давала положительный результат. При чем на его OnePlus 9r мой палец не подходит. После перезаписи пальцев на своем телефоне, отпечаток друга перестал подходить.
Popadanec
30.01.2025 23:04Очередная история из жизни с китайским телефоном. Уж сколько можно твердить, что не бывает так чтобы дешевле и не хуже.
SupRo
30.01.2025 23:04Если по вашему дорогой китайский ( OnePlus явно выше среднего бренд) брать не надо, то что брать? И не будет ли в дорогом "не китайском" стоять датчик отпечатка пальца той же модели?
castelloalex
30.01.2025 23:04Владельцы Pixel 6 (флагман Google, не хухры мухры) заставляют очень частно икать производителя при пользовании сканера отпечатка. Это же не Китай?
Popadanec
30.01.2025 23:04Я говорю в целом про китайфоны. Так то у любого производителя, независимо от страны/бренда, встречаются косяки. А вот про китайцев можно сказать, что у них встречаются не сильно косячные смартфоны.
Metotron0
30.01.2025 23:04У меня и "тем" пальцем получается раз через два. В прошлом телефоне той же фирмы работало очень надёжно, а в новом только вот так. Я даже завёл два отпечатка одного и того же пальца, чтобы его со всех углов отсканировало — не помогло.
Hoy_cMoKuHr
30.01.2025 23:04Poco m5, сканер отпечатка очень всратый, срабатывает только на идеально сухом пальце, а ладони у меня потеют, в кармане, к примеру
antitectress
30.01.2025 23:04поэтому у меня настроены отпечатки для сухих и мокрых рук
anka007
30.01.2025 23:04На экранном сканере всё равно какие руки, и мокрые и сырые одинаково срабатывают или нет.
Hoy_cMoKuHr
30.01.2025 23:04я чет недопер, думал мокрую вообще не считывает, попробую тоже так сделать
Popadanec
30.01.2025 23:04На m31s не удалось добиться. Зато когда правильным пальцем, разблокирует в 100 из 100 случаев, не считая мокрых/грязных рук(тогда 50/50).
takkenname
30.01.2025 23:04Есть такой момент, что подсмотреть пин довольно просто, особенно когда кругом камеры, пальцы собирать по мне сложнее, особенно в общественном месте.
xSVPx
30.01.2025 23:04К сожалению, нет совершенно никакой надежды, что ползунок простота-безопасность сместят хоть на сколько-то вправо. Помочь тут могут только какие-то меры регулирования в результате которых любой увод у клиента денег будет всегда проблемой банка, а не клиента.
Сейчас у нас ровно наоборот. Чтоб кто не делал - это проблемы клиента. Банк при любом раскладе "в шоколаде", ему выгодны транзакции, а риск для банка нулевой.
Это всё началось, когда вместо двухфакторной авторизации ввели однофакторную. И я не знаю банков из топ 10, где можно было бы себе нормальную двухфакторку подключить :(.
MountainDew33
30.01.2025 23:04Это не так! При краже денег (если они не были сделаны с вашего согласия, дали кому то код из смс и т.д.), в банке пишется заявление и подаётся заявление в ментовку. Далее, банк через 7 дней, вам возможно, ответит на словах, что мы не будем ничего компенсировать. Но вот если попросить их письменно это подтвердить, то они не смогут! И все компенсируют. А в большинстве случаев, компенсируют без вопросов. Надо только письменное заявление, а не звонок в тех поддержку, какому то студенту, который там подрабатывает! Проверено на личном опыте, у меня клонировали карту (тогда ещё были карты без чипов) несколько лет назад и сняли деньги, причем, как свои, так и кредитные (овердрафт). Банк все вернул по заявлению и после проверки.
Другое дело, если вы сами перевели кому то деньги войдя в приложение со своего телефона или сказали злоумышленникам код 2фа. Тогда, конечно, банк не несёт ответственности за ваши действия.
xSVPx
30.01.2025 23:04Совершенно не факт, что каждая история закончится успехом. У банка фактически есть подписанный вами электронно документ, что вы просите деньги куда-то перевести. А дальше уже его добрая воля.
Как вы собрались доказывать, что у вас из рук телефон злоумышленник выхватил и потом деньги слил, а не это вы сами перевели ?
Допускаю, что в случае, когда банк смог деньги притормозить, т.е. их не смогли обналичить по каким-то причинам, он вам их вернет. Себе не присвоит. Но если деньги ушли, вы получите письменную отписку.
Вы что думаете, банк не будет вам письменно отвечать даже и в разрез законодательству ?. Да у меня пачка ответов от банков, где они отказывают в законных требованиях, т.е. на требование "верните украденное" просто отвечают "не вернем и всё". И только неэфемерные угрозы судом их убедили, что "не надо так".
При этом как что-то в суде доказать в описанном выше кейсе (некто вырвал у вас в метро из рук телефон и быстренько слил деньги) я очень слабо себе представляю. Как это всё от сговора отличить?
Ну т.е. для клиента тут только гемморой огромный видится. Из преимуществ: возможность быстро потерять свои деньги... И может быть, если повезет, потом их вернут.
isden
30.01.2025 23:04Как вы собрались доказывать, что у вас из рук телефон злоумышленник выхватил и потом деньги слил, а не это вы сами перевели ?
Поэтому и нужно заявление в полицию. Там уже опрос свидетелей, проверка камер и т.п. Насколько помню, при таком раскладе банк блокирует счета получателя до окончания разбирательства.
неэфемерные угрозы судом их убедили
Дальше угроз, я так понимаю, дело не пошло? А почему, если вы на 100% уверены что правы?
xSVPx
30.01.2025 23:04Деньги с ваших счетов испарятся раньше, чем вы успеете набрать номер полиции. Арестовывать нечего будет. Напомню, мы говорим о фиче, которая действует только пять минут после разблокировки отпечатком.
Совершенно не понимаю как я мог бы пойти в суд, если банк вернул деньги в процессе формирования досудебных претензий? При этом ранее письменно отказывался их вернуть явно нарушая закон. Могу ли я быть неправ в случае, если цб и банк согласны с тем, что я прав :)?
Вы за что топите? Что так и надо делать ? Надо делать так, чтобы по умолчанию у клиентов банка приложение не требовало отпечатка если несколько минут назад человек этот отпечаток использовал для разблокировки телефона ? Вам кажется это безопасным ? Вы уверены на 100%, что денег не потеряете ?
isden
30.01.2025 23:04Я топлю за то, что если вы считаете что правы и банк нарушает закон - идите в суд/полицию. Технически банк может откатить транзакцию. А по решению суда еще и выплатить компенсацию. А гневно плакать в комментах на хабре неконструктивно и бессмысленно.
xSVPx
30.01.2025 23:04Может откатить. А может не откатить. И сейчас у него есть куча оснований, чтобы ничего не откатывать.
А я топлю за то, чтобы не транзакции откатывать, а законодательную базу как-то причесать. Причесать так, чтобы банк был 100% уверен, что придется деньги вернуть при любых раскладах.
И тогда, подобные практики моментально прекратятся. И ползунок безумие--безопасность сдвинется в сторону безопасности на разумное расстояние.
К сожалению, банк зарубив на корню 2фа никаких законов не нарушает. И это реально беда...
isden
30.01.2025 23:04Я тоже хочу чтобы все было хорошо и правильно.
И чтобы все хорошие люди собрались и жестоко убили всех плохих людей.Но до этого еще эволюционно далековато.
jhoag
30.01.2025 23:04Пользователь: активирует разблокировку отпечатком пальца и непонятную функцию «Быстрый вход».
Также пользователь: «Караул, небезопасно!».Я не защищаю банк: «Тинькофф» скатился десять лет назад. Но ваше недоумение, особенно в свете профессиональной принадлежности, звучит смешно.
Artur_Averin
30.01.2025 23:04Тоже не особо понимаю суть претензии, когда у тебя есть выбор.
Но, вероятно, можно сделать атата банку, если опция быстрого входа ДЕЙСТВИТЕЛЬНО активировалась сама, о чём упоминается в начале повествования
shaseer
30.01.2025 23:04Android 15, приложение Т-Банка версии 6.44
Раньше (некоторое время назад, не могу сказать точно) нужно было авторизовыватсья каждый раз при входе в приложение. Сейчас проверил - действительно пускает в течение 5 минут после разблокировки телефона отпечатком. Но я точно уверен, что не включал никаких функций для быстрого входа в настройках
Gobl1n
30.01.2025 23:04Сама. Проверил у себя - тоже включена, хотя я о ней узнал из статьи, и точно не включал сам.
Rubilnik
30.01.2025 23:04Давным давно ещё было об этом уведомление при входе, видимо мы привыкли их скипать автоматом...
ZyFun
30.01.2025 23:04Не так давно устанавливал их приложение. И как раз, почти сразу после входа, появилось это уведомление. Можно было нажать только 1 кнопку – продолжить. И после этого, самому идти в настройки и отключать эту фичу. Учитывая как много всякого рекламного появляется при входе в приложения, не удивительно что многие просто на автомате нажали продолжить, и даже не поняли что там было написано.
Cerberuser
30.01.2025 23:04Пользователь: смотрит в документацию на функцию - она выглядит в целом вменяемо
Функция: работает не так, как задокументировано
Пользователь: "так, стоп, на это я не подписывался!"
aik
30.01.2025 23:04Функция по-умолчанию активирована, насколько помню.
По крайней мере, я её отключал, а не включал.
VanishingPoint
30.01.2025 23:04Хакер в столовой (с)
HiItsYuri
30.01.2025 23:04Приходит хакер в столовую, а во все солонки уже насыпан яд?
VanishingPoint
30.01.2025 23:04Да нет тут никакого яда. Это не такое большое ослабление безопасности. Если телефон разблокирован, то с ним и так можно наверное много чего сделать, например использовать его для двухфакторной авторизации на тот же Т-банк или любой другой.
Я понимаю, если бы вообще никакой защиты не было. Но ведь она есть, 5 минут дается, наоборот это довольно удобно, не надо постоянно прикладывать палец, зачем это делать, если ты ТОЛЬКО ЧТО это уже сделал, и вообще, возможно, для этого и взял его в руки 10 секунд назад - чтобы войти в банк?
Какая-то излишняя зацикленность на безопасности. Мне сложно представить сценарий, в котором эту уязвимость можно было использовать.
posthedgehog Автор
30.01.2025 23:04Сценарий я описал в статье. Если бы интервал времени был бы в 10 секунд, как у приложения Сбера, у меня вопросов бы не было, но здесь целых 5 минут.
Okeu
30.01.2025 23:04У меня сбер - никаких 10 секунд из коробки. Всегда спрашивает пальчик)
posthedgehog Автор
30.01.2025 23:04Да, в Сбере раньше была такая опция, есть скрины старых версий, а потом её видимо убрали.
Olegun
30.01.2025 23:04Эта функция была включена у всех текущих пользователей принудительно. Возможно Т-банк проводил тест внимательносьти/настороженности клиентов.
SuAlUr
30.01.2025 23:04Где вообще эта функция? У меня приложение из Рустора.
piton_nsk
30.01.2025 23:04"Еще" - Безопасность - Вход в приложение - Быстрый вход
Ради интереса проверил, у меня отключено. Описание функции да, не совсем понятное.
SuAlUr
30.01.2025 23:04У меня там только «Устройства» и «Контрольные вопросы».
piton_nsk
30.01.2025 23:04Интересное кино. У меня там еще крыжики "По отпечатку пальца или скану лица" и как раз "Быстрый вход". Остальные пункты те же что и на вашем скрине.
Abyss777
30.01.2025 23:04На рутованых телефонах нет входа по отпечатку и лицу. Соответственно и быстрого входа тоже нет.
Harwest
30.01.2025 23:04Подтверждаю.
На свеже установленной Линейке с Magisk (hide тоже сделан сразу) установил приложение Тбанка, отправил его в Deny list, запустил авторизовался.
Зато истеричка Мирпей при аналогичных условиях заработал сразу.
Olegun
30.01.2025 23:04Профиль (верхний левый угол) -> (вкладка) Безопасность -> (раздел) Вход в приложение -> (строка раздела) Быстры вход
JustasZT
30.01.2025 23:04Не была она у всех включена. Как минимум, у меня не была, я ее именно сам включал для проверки работы и выключил тоже сам. Однако же, сейчас из других комментариев обнаружил и проверил, если не закрыть приложение, а свернуть его, заблокировать телефон и разблокировать телефон - приложение банка доступно без повторного ввода пин/отпечатка. Обычно я его именно закрываю, потому не замечал такого поведения раньше, но это не то поведение, которое я ожидаю при отключённой настройке быстрого входа.
posthedgehog Автор
30.01.2025 23:04Перепроверил за вами. Подтверждаю ваши наблюдения и разделяю ваше мнение, что поведение выглядит криво. В их приложении "Инвестиции" то же самое. А вот если не смахивать приложение, не сворачивать, а два раза нажать "Назад" для выхода из приложения, то приложение отображается в активных, как будто бы его свернули, но уже попросит PIN/отпечаток при попытке повторного входа.
forgot10
30.01.2025 23:04В новых версиях андроида давно добавили функцию защиты от воровства вида "выхватил телефон из рук". Там отслеживаются датчики и в случае резкого обнаружения бега телефон моментально блокируется что бы ни было открыто, включено или выключено. У Huawei такой нет?
aik
30.01.2025 23:04У самсунга по-умолчанию выключено и, если не знаешь, что такая функция вообще есть, то хрен её найдёшь.
the_PROTECTION
30.01.2025 23:04Это функция от Гугла. Мне иногда выплывает уведомление, что теперь на андроид доступны новые приколюхи, давайте я вам про все расскажу. Вот, к примеру, защита от воровства, включить можно в настройках гугл аккаунта.
aik
30.01.2025 23:04Так всё равно надо знать.
И спам от гуглов читать обо всех "новинках", чем очень немногие занимаются. Некоторые даже не в курсе, что к их гуглоаккаунту почта привязана.
Sadok
30.01.2025 23:04м.... а если я в машине на светофоре стою? "газ-в-палас" и заблокируется? оригинально
Tomasina
30.01.2025 23:04Амплитуда движений кисти в зажатым с ней телефоном сильно отличается от амплитуды движения автомобиля, даже если он дергается "газ-тормоз-газ", то вертикальные колебания по сравнению с рукой почти отсутствуют. Современные 3D-гироскопы все это видят, у меня часы Huawei очень точно различают когда я иду пешком, а когда держу руль.
castelloalex
30.01.2025 23:04В андроид ещё есть фича определять ДТП и действовать по какому-то сценарию. Наверняка это сделано сложнее, чем можно представить.
Mishootk
30.01.2025 23:04А как беговую тренировку начинать? Случай, конечно, сильно утрированный, когда сразу в начале бега нужно к телефону обратиться, но все же.
withkittens
30.01.2025 23:04Телефон просто блокируется, не становится кирпичом и не взрывается. Его можно разблокировать и продолжить свои дела.
Mishootk
30.01.2025 23:04Если после повторной разблокировки и продолжении бега он снова не блокируется, то вроде бы годный сценарий. Иначе либо бегу либо в экран тыкаю.
forgot10
30.01.2025 23:04У меня блокировался только однажды во время бега по лестнице (торопился и не дождался лифта). Но в целом не проблема. Просто разблокируешь как обычно отпечатком. А так чаще всего никто не бегает на тренировки с основным телефоном-флагманом под 300грамм веса.
tsilia
30.01.2025 23:04А что именно делает эта фича и как у неё с false positive? Условно, если я куда-то резко побегу с телефоном в руках, я сам вообще смогу его потом разблокировать?
Alxgr
30.01.2025 23:04Просто переходит в экран блокировки, скриншот настроек под спойлером.
Там еще есть Offine Device Lock. Был телефон в держателе с беспроводной зарядкой в авто, включен навигатор и музыка. Выехал за город - связь на глухом участке пропала - экран заблокировался.
Езжу аккуратно, без гонок и резких действий - Theft Protection не срабатывал.
Но еще на А14 (А эта фича вроде как с А15 появилась) - примерно после 4 часов включенного экрана телефон сам блокируется. И ему пофиг, что работает навигатор с плеером. Виновен сам Android, мой производитель (Sony - почти AOSP) или там может в навигаторе нет какого-то apiшного момента, который говорит, что телефон используется, не блокируйте - не знаю, я не разраб.
Скрытый текст
GennPen
30.01.2025 23:04У Альфы была похожая функция когда то, причем не помню что она где то включалась. Через некоторое время ее убрали, либо засунули в настройки опцией.
navion
30.01.2025 23:04Альфа уже год не может починить слетающий вход по отпечатку с "Keystore operation failed".
Alxgr
30.01.2025 23:04А другие приложения нормально работают?
У меня есть относительно редкий баг с Тиньком и KeepassDX. Тинек начинает писать, что устройство не соответствует требованиям безопасности и отключает вход по пальцу, Keepass - всплывает toast "System error (internal Keystore code: 4, message: system/security... ". Вход возможен только по пин-коду. А остальные приложения с биометрическим входом чувствуют себя нормально.
Если перезагрузить телефон - всё проходит на неопределенный срок.
Сначала было нормально, но после некоторых обновлений смарта сломалось. Дописаться до производителя смартфона - это одно дело, а чтобы еще этот тикет передали разработчикам, и чтобы они хоть что-то сделали - это уже фантастика. Sony такие Sony. Плачу, продолжаю есть кактус.
navion
30.01.2025 23:04Проблема была только с Альфой с марта 2024, но в последнем обновлении пару дней назад похоже наконец исправили. До этого откроешь-закроешь приложение несколько раз и вылезает ошибка с отключением биометрии.
aik
30.01.2025 23:04если ты предъявил отпечаток для разблокировки телефона, то внезапно приложение Т-Банка будет пускать тебя внутрь без вопросов в ближайшие 5 минут!
Ну вроде там так и написано, что после предъявления отпечатка будут пускать пять минут. А не после "предъявления отпечатка для входа в приложение". Опция, в целом, право на жизнь имеет, но проблема в том, что она включена по-умолчанию и надо отключать, если не нравится. Должно быть наоборот.
Мне вот, к примеру, не нравится то, как мирпэй работает - позволяет платить без разблокировки телефона и выбора карты. А если включать опцию подтверждения платежа, то там какие-то танцы с бубнами были - то требует, то не требует, то не принимает...
Olegun
30.01.2025 23:04Частичное решение - сделать карту с лимитом и поставить её по умолчанию (первой).
aik
30.01.2025 23:04Если интересует вопрос безопасности, то можно просто для платежей не ставить мирпэй умолчальным приложением. Тогда надо будет разблокировать телефон и запустить мирпэй для оплаты.
Sdolgov
30.01.2025 23:04Там, судя по всему, сделано такое же подтверждение как обсуждаемое. Т.е. если телефон разблокировали отпечатком то в течение 5 минут можно оплатить. Если прошло больше, то требует предъявить отпечаток. Ежедневно пользуюсь мирпэй, галочку подтверждения включил т.к. странно когда можно оплатить даже не разблокируя. Ни разу не было каких-то вопросов, все ожидаемо.
aik
30.01.2025 23:04Не, там приколы вида "жду подтверждения" - прикладываю палец, оно как бы перезапускает сам процесс платежа и снова подтверждения просит.
gelioson
30.01.2025 23:04Гуглопей же вроде так же работает. Если телефон был разблокирован сильной биометрией - достаточно просто приложить к терминалу и плата пройдет, если слабой биометрией или вообще не разблокирован - потребует разблокировку. В МирПей просто аналогично сделали.
aik
30.01.2025 23:04Гуглопеем я не пользовался практически, только самсунгопеем. Там свайпом с выключенного экрана или прикосновением к терминалу открывал приложение и прикладывал палец для платежа умолчальной картой. Ну или можно было карту нужную по быстрому выбрать.
А в мирпей по-умолчанию достаточно просто включить экран, чтобы заплатить. Даже разблокировать не надо. Само же приложение для выбора карты запускается хрен знает сколько, иногда может вообще без интернета не запуститься.
gelioson
30.01.2025 23:04Про самсунгПей подтверждаю, надо самому запускать приложение, но там это изначально было сделано для поддержки эмуляции магнитной полосы (MST (Magnetic Secure Transmission), на Хабре про это есть, например, тут: https://habr.com/ru/companies/fondy/articles/322822/), что позволяло платить телефоном даже на терминалах, не оборудованных NFC. И тогда, помню, SamsungPay за это хейтили, мол, что это такое, какие-то приложения запускать, в ApplePay/GooglePay достаточно просто телефон приложить, 21 век же на дворе.
А вот мирПей у меня не так работает. Если экран включен при заблокированном телефоне или телефон был разблокирован слабой биометрией (лицом), то приложение запустится, но при оплате затребует сильную биометрию (палец) либо пин. Если телефон был изначально разблокирован сильной биометрией, то оплата пойдет без вопросов. Возможно, в вашем случае у вас отключена настройка "Запрос подтверждения при оплате", тогда да, платежи на сумму до 3т.р. будут проходить и с заблокированного устройства. Собственно, как и в случае с бесконтактной картой
Zara6502
30.01.2025 23:04пользуюсь их приложением лет 3-5 наверное, может даже больше, отпечаток оно у меня спрашивало раза два за всё время, при этом телефоном как таковым я пользуюсь очень редко, по всей видимости когда я его разблокирую отпечатком то и начинают тикать те самые 5 минут, а так как я "зависаю" в телефоне никогда, то и получается что приложение банка, когда бы я к нему не обратился всегда у меня разблокировано. Трудно считать это уязвимостью, так как без разблокирования телефона тем же отпечатком в приложение никто не зайдёт, а если сумеет зайти, то в чем проблема зайти так же с тем же способом и в приложение банка?
kiff2007200
30.01.2025 23:04Вы как статью читали ? У вас попросили телефон мем посмотреть. Вы разблокировали телефон и дали человеку, уверенные в том, что если он попытается зайти в банк и ТД то у него не получится, так как попросит снова отпечаток. А по итогу человек заходит в банк и сливает все ваши деньги. Надеюсь теперь до вас дошло)
santjagocorkez
30.01.2025 23:04Давать посторонним свой телефон уже само по себе очень не умная идея, если что.
VADemon
30.01.2025 23:04Мир, в котором мы живем -- один аккаунт на всех на домашнем компьютере. Аналогично, на Android мультиаккаунты не прижились. А на желание "покажи фотографию" тоже без договора и росписи телефон из рук не пускать?
Подтверждение входа в приложение здесь именно что является ожидаемым вторым фактором. Это не уровень "надо было знать, что полезет чаты глядеть".
konst90
30.01.2025 23:04А на желание "покажи фотографию" тоже без договора и росписи телефон из рук не пускать?
А зачем его в принципе из рук выпускать? Повернул экран человеку и всё. Или в месседжере переслал.
VADemon
30.01.2025 23:04Только если из принципа его из рук не выпускать. Обычный человек такими заморочками не страдает -- это всё, что я пытаюсь донести. Разговор безопасника с обычным человеком.
aghast
30.01.2025 23:04с одной стороны понимаю о чём вы. но после того как телефон стал в т.ч. и рабочим инструментом, я реально перестал давать его в руки кому-либо под любым предлогом. только сейчас осознал это :) только супруге.
Zara6502
30.01.2025 23:04я много чего читаю, но совсем не значит что я разделяю те алгоритмы использования телефона, которые указывают другие. какой мем? перешлите ссылку, пусть смотрит мем на своем телефоне. моим телефоном может пользоваться только моя жена, но воровать у себя же деньги это сильно конечно, но может с вашей женой у вас другие отношения.
далее, если я вдруг, по какой-то причине и буду показывать кому-то какой-то мем, то мой телефон будет у меня в руке. Даже допустим что я такой дурачок и дал кому-то телефон в руки, то я буду смотреть на экран и буду видеть что он с ним делает. Для того чтобы сделать перевод нужно не просто стоять и смотреть на мем, нужно активно долбить по экрану, плюс у вас останется история перевода. В общем я не знаю каким таким бомжам вы даёте свой телефон на пол часа "посмотреть мемы", но поведение уже вызывает интерес докторов.
kiff2007200
30.01.2025 23:04Я говорил о нормальных людях, а не параноиках типо вас) Так что зря вы свою простыню накатали.
3adnica
30.01.2025 23:04Мне кажется, что такой профит в юзабилити может быть полезен только тем, кто пишет "спс" вместо спасибо для экономии времени.
shaggyone
30.01.2025 23:04Я эту "дико полезную" функцию их приложения в августе не то в 22, не то в 23 года обнаружил. Я тогда проверял, получалось в их приложение попасть даже после перезапуска телефона. Благо можно было отключить в настройках.
TaksShine
30.01.2025 23:04Я надеюсь эта галочка не стоит по умолчанию. Если нет, то жить можно -- может быть у фичи и плохой дизайн, но пользователю тоже стоит разобраться (что автор и сделал) как работает галочка, которую он включает.
posthedgehog Автор
30.01.2025 23:04В комментариях пишут, что стоит, я сам не проверял.
Viacheslav01
30.01.2025 23:04Стоит проверено пару недель назад женой, стала клиентом желтого пришла с вопросом почему вход в приложение без ввода чего либо.
nerudo
30.01.2025 23:04Как человек, входящий в интернет банк по паролю и смс (и считающий, что и тут есть что улучшить) с недоумением смотрю на ваши мелкие драмы.
outlingo
30.01.2025 23:04Блин ну что вы страдаете - не нравится фича не используйте (я кстати не использую), функциональность описана корректно.
Но это штатный механизм используемый в Андроиде, когда приложение может использовать ключ через разблокировку главного экрана. То есть при сохранении ключа указывается что он доступен после разблокировки в течение энного времени. Других вариантов там на самом деле нет - либо требовать при каждом открытии приложения, либо полагаться на системную разблокировку. Точно так же работает оно в эппле и в каком нибудь Сбербанк онлайне - ибо это один из механизмов предлагаемый вендором операционной системы.
То что тинек и сбер это включили по умолчанию при установке приложения или когда выкатили фичу впервые это не есть хорошо, но и в общем то не смертельно.
posthedgehog Автор
30.01.2025 23:04Если фича сделана очень странно, то почему бы не пожаловаться об этом кому-то, даже если решишь больше ей не пользоваться? Многие люди пользуются ей и неверно её понимают, как следует из этого поста и более раннего поста на Хабре на эту тему.
Приложение само выбирает, когда ему спрашивать отпечаток, а когда не спрашивать, и по какой логике. Я так понимаю, разработчики в этом вопросе не были жёстко ограничены API системы, чтобы принять именно такое решение -- это была их явная воля сделать вот именно так.
MountainDew33
30.01.2025 23:04Что за бред? Функция работает, как и должна. Есть описание и там все четко написано! Функция НИКОГДА не была включена по умолчанию, но пару раз приходили пуши где предлагали включить. Если кто то не читая, нажал согласен, то вот вы и включили эту функцию, а теперь на банк жалуетесь! Всегда читайте внимательно, прежде чем пользоваться чем то! Если что то не поняли, лучше спросите в поддержке, чем подумывать самому, а потом говорить, что "я думал это не так работает"
Ratenti
30.01.2025 23:04У нее непонятное описание
Если вы используете отпечаток пальца или скан лица, у вас будет 5 минут, чтобы зайти в Тинькофф без авторизации
Sap_ru
30.01.2025 23:04Функция совершенно точно была включена по-умолчанию. Я никогда в здравом уме её не веключил. А слать пуши "мы тут включили какую-то новую функцию", это так себе отмазака, так как иногда 10 пушей прилетает сразу - покупки, три рекламы, и ещё что-то, - а ты в это время отчаянно пытаешься QR-кодом заплатить. И просмотреть, что там где мелькнуло - это очень неочевидная задача. Кстати, там нет возможно просмотреть многие сообщения из пушей, если сразу не прочитал.
navion
30.01.2025 23:04«В таком процессе авторизации нет рисков»
Для банка.
На самом деле нужен баланс между юзабилити и безопасностью - тут явно перебор с первым, а в медицинских приложениях со вторым, где нельзя включить автовход и раз в месяц надо подтверждать авторизацию паролем.
greenlittlefrog
30.01.2025 23:04Обожаю эту функцию, потому что бесит по 100500 раз вводить пароли после того как я 5 секунд назад разблокировал своей биометрией телефон. Если эта функция вам не нравится - вы можете её (сюрприз!) отключить, а вот требовать чтобы её для всех выключили не надо.
posthedgehog Автор
30.01.2025 23:04В посте на эту же тему, на который я ссылаюсь в статье, был скрин, что в Сбере есть такая же функциональность, но там временной интервал равен 10 секундам. Это в 30 раз короче, чем 5 минут у Т-Банка. Если бы интервал был бы в 10 секунд, у меня вопросов тоже не было бы.
Я считаю, что вне зависимости от того, кто чем предпочитает пользоваться, каждый может на общих основаниях критиковать и то, чем он не пользуется, почему бы и нет.
ministr
30.01.2025 23:04В том посте указана версия приложения 14.3, она больше не поддерживается. У меня установлена 15.3 и в ней нет такой функции.
sfinks7
30.01.2025 23:04Все не читал - я бы сделал так быструю разблокировку оставил, но если человек хочет сделать перевод на сумму больше заданной( например 10тыс рублей) то спрашивать отпечаток повторно. А то оно бесит часто подтверждать при входе.
andersong
30.01.2025 23:04Довольно много времени я пользовался ЯБраузером в том числе из-за удобного менеджера паролей. Потом все-таки меня ЯБ достал и я переехал на Хром. Но оказалось, что в хроме неприятная фича в том, что в нем нет мастер-пароля! И в поддержке отвечают, что стандартной защиты при входе в винду достаточно и идите нафиг) Пришлось, наконец, переезжать в Битварден (не жалею, но телодвижения были нужны). Так вот Т-банк пошел по пути Хрома: стандартной защиты хватит всем!
Spyman
30.01.2025 23:04Вообще - если вам нехватает стандартной защиты
Опция 1. Отключите быстрый вход в настройках (в хроме мастер пароль не появится а тут оба - и всё, проблема решается одной галкой)
Опция 2. Выходите из аккаунта каждый раз когда закрываете приложение - ну если принудительной пиновой защиты нехватает, почему бы и нет - это работает.
Опция 3. Удаляйте приложение каждый раз после завершения действий - тогда даже теоретически данных для авторизации не останется.
Опция 4. Не устанавлийте приложение - пользуйтесь доступом через браузер в режиме инкогнито.
Как по мне - есть опции почти на любой уровень беспокойства о безопастности. Мне нехватает опции - "не спрашивать пин никогда", но реализация быстрого входа почти решает эту проблему.sunki
30.01.2025 23:04Это не поможет примерно никак. До тех пор, пока в банках не появится полноценная 2fa, не связанная с смс и пока банки не перестанут пускать в ИБ по номеру карты, который вообще не является секретным. Пока что от слова безопасность в банках нет ничего. Более правильно это называть словом решето.
> есть опции почти на любой уровень беспокойства о безопастности
Более правильно сказать, что их нет вообще.
castelloalex
30.01.2025 23:04Хром на Win не покажет пароли сайтов без ввода пароля пользователя Win. То есть, как минимум, нужно знать этот пароль. (Как и андроид, вы разблокировали смарт отпечатком, и, чтобы увидеть пароли Хром вы снова используете тот же отпечаток). Они не лежат в открытом виде.
kpymou
30.01.2025 23:04Тупая статья какая-то, в которой очень много лишних букав. Т-банка косяк лишь в том что он эту функцию включил по-умолчанию. Отключить её можно пройдя в настройки-безопасность-быстрый вход.
M_AJ
30.01.2025 23:04В комментариях пишут, что для пущей радости эта опция включена по умолчанию
Странно, у меня отключена. Хотя может быть я её сразу при переустановке отключил и забыл об этом так как я чаще всего отключаю всякие упрощенные входы. Тут еще есть другая проблема, которую не очень понятно как решать -- вход по отпечатку не очень надежен в том плане, что можно твой палец силой приложить к сканеру, а при входе по пину, его довольно легко подсмотреть/заснять, особенно учитывая, что вводить его надо на сенсорном экране. И что с этим делать не очень понятно.
inkelyad
30.01.2025 23:04И что с этим делать не очень понятно.
Можно немного шаманить. Устанавливаешь какой-нибудь island или shelter. Ставишь банк внутрь получившегося профиля. Потом настраиваешь вход в телефон по биометрии а в изолированный профиль - по пину. Или наоборот. В результате, чтобы добраться до приложения нужна и биометрия и знание секрета.
Но хотелось бы, чтобы это была стандартной возможностью, без шаманств, это да.
Spyman
30.01.2025 23:04Первый и главный вопрос к автору статьи у меня такой - а у вас в приложение смс тоже вход по паролю? Если нет, то к чему вообще претензии - забыли пароль, восстановить через смс - и никакие принудительные "введите пин" вам не помогут. Третье лицо которому вы доверили телефон (он же авторизационный токен) имеющий програмно аппаратную защиту, самостоятельно эту защиту сняв, всё равно украдёт у вас все.
Как по мне - у т-банка эта функция у единственного реализована адекватно - если я разблокировал телефон только что, я не хочу чтобы у меня спрашивали пин еще раз. Если я даю в руки свой разблокированный телефон кому-то еще - значит я ему достаточно доверяю, чтобы он не лазил в моих банковских приложениях или нюдсы не смотрел без разрешения, а если вы любите раздавать телефон первым встречным - заведите второе пространство или просто отключите функцию быстрого входа в настройках приложения и запарольте звонилку.Куда больше бесят приложения с неадекватными безопасниками вида - "поставьте пин для приложения вашей страховой" - здравствуй bestDoctor. И сидишь, телефон разблокировал, страховую разблокируй еще раз - а что там защищать - вообще непонятно, потому что приём всё равно по паспорту, а каких-то внятных медицинских данных в приложении всё равно не выводится.
Viacheslav01
30.01.2025 23:04Вопрос в том, что описание не адекватное создает ложное представление о функции и включено по умолчанию, что приносит риск для тех пользователей кто на него не подписывался.
posthedgehog Автор
30.01.2025 23:04Защищённость -- это про повышение сложности, стоимости атаки. В статье я показал сценарий, где поведение, которое я ожидал, более защищённое, чем текущее. Конечно, при желании можно много чего сделать с разблокированным телефоном. Я об этом написал в статье изначально. Но вопрос в цене: насколько легко добраться до секретных данных, до ценностей? С текущим поведением в том сценарии, что я описал, достаточно одного тапа. А могло бы быть существенно сложнее.
Кроме того, на самом деле ведь не важно, стоит у меня пароль на СМС или нет, да может, я вообще не клиент Т-Банка. Какая разница, если я критикую их подход на общих основаниях? Поведение странное, с этим согласна основная масса проголосовавших в статье, на которую я сослался. Ad hominem -- неубедительный аргумент!
posthedgehog Автор
30.01.2025 23:04если я разблокировал телефон только что, я не хочу чтобы у меня спрашивали пин еще раз
С моей точки зрения, 5 минут -- не "только что", а сильно более длительный промежуток времени.
khdavid
30.01.2025 23:04Есть подобная проблема (фича) для apple-pay на apple-watch. Когда ты надеваешь часы на руку, то надо вводить пароль только один раз вначале. Тогда apple-pay работает без всяких паролей. Если часы снять с руки, то это все детектируется, и опять заново надо вводить пароль.
Danilka101
30.01.2025 23:04Статья конечно хорошая, но данная функция работает далеко не у всех пользователей. У меня приложение уже давно стоит и ВСЕГДА при любой разблокировке телефона, для входа в Т-Банк или Т-Инвестиции требуется отпечаток пальца или pin и не важно не прошло ли 5 минут или больше =)
Да и наблюдаю комментарии по поводу того, что Т-Банк мягко говоря не очень качеством, но сколько я пользуюсь им, Сбером, Альфой именно Т-Банк самый самый, красивый, удобный в плане интерфейса, многофункциональный и всё перед глазами, приложение не лагает как та же Альфа и ко всему есть куча настроек как и безопасности так и в целом, максимум контрольный вопрос снимается лишь в чате и оператором, а остальным играйся как хочешь.
У банка хорошие тарифные условия и я права удивляюсь, когда люди думают что хороший банк обязан предоставлять карту без каких-то 99 рублей в месяц за обслуживание и то! есть условия для бесплатного обслуживания и так не только в Т-Банке. Люди думаю что хороший банк обязан предоставлять им бесплатные пополнения карты даже НЕ через банки-партнёры! А то что там бесплатные переводы между счетами что своими, что людям, бесплатные переводы, пополнения в своих банкоматах и до 150К по стандартному тарифу в банкоматах партнёров - всем пофиг...
Единственное что в данном банке плохо осуществлено - это Т-Мобайл, которым привязан к тому же к вышках мобильного оператор, правда уже не помню какого
Так что люди, если Вы будете творить хрень или жалеть 99 рублей в месяц - проблема не в банке и не в его условиях, а в том что именно вам он не подходит
Без оскорблений и прочего говорю, что очень редко люди жалуются на Т-Банк, если знают что есть банк и его условия, соблюдают их и охотно общаются с поддержкой, если что-то случилось, там всегда помогают
А если у вас проблемы с обновлением паспортных данных, то всё так же просто - пишите в чат "подключить сотрудника" и присылайте туда фото, всё сделают максимально быстро и подскажут что переснятьposthedgehog Автор
30.01.2025 23:04Спасибо за комментарий, но мы же обсуждали куда более узкую тему... Дело не в том, сколько надо платить в месяц, а в конкретной нелогичной функциональности. Вы её у себя выключили, а у многих людей она работает. Ну и что, что её можно выключить -- менее странной и более безопасной она от этого не становится. На общих основаниях её есть за что покритиковать.
usrsse2
30.01.2025 23:04В приложении Сбера эта функциональность была добавлена давным давно, и из описания было понятно, что она работает именно так.
Mishootk
30.01.2025 23:04Проверил. В приложении есть только одна опция "разблокировка по отпечатку", у меня выключена. Видимо в случае, когда я не хочу разблокировать приложение пальцем, а только пином, но телефон разблокируется пальцем, данный сценарий не работает.
usrsse2
30.01.2025 23:04Это было на iOS и тогда, когда приложение ещё было в App Store и его не нужно было маскировать. Или это был ВТБ...
posthedgehog Автор
30.01.2025 23:04В приложении Сбера это было, но видимо, уже убрали. Скриншот есть в комментариях к более старой статье на Хабре, на которую я ссылаюсь.
https://habr.com/ru/articles/792556/comments/#comment_26490752
ilyamodder
30.01.2025 23:04Запретил вход в приложение тинька по биометрии в принципе, когда они начали подсовывать на экран логина что-то из разряда «логинясь, вы соглашаетесь с подключением услуги ххх». Теперь только пин-код и только после того, как внимательно посмотрю на экран и удостоверюсь, что скрытых соглашений нет.
NickKolok
30.01.2025 23:04Более того, у меня там как минимум на полтора года четырёхзначная сумма зависла, потому что невозможно войти через браузер, не согласившись со сдачей биометрии. Обращение по телефону ничего не дало, а офиса их в моём городе нет (сюрприз-сюрприз, да?). Вывод: больше не связываться!
isden
30.01.2025 23:04Могли бы просто пополнить с карточки счет в другом банке. Карточки же не заблокировали вам? Еще вариант - найти где в вашем городе есть их банкомат и с него отправить куда нужно.
DM_76
30.01.2025 23:04Ещё интересно, когда приложение даёт что делать, а потом оказывается, что токен доступа давно протух
uncle_dima
30.01.2025 23:04Банку пофигу, несколько лет так работает. Писал им, все "рекомендации" - снести приложение и установить заново. В итоге хранить там что-то перестал, периодически записываю на ежедневку.
aksenator
30.01.2025 23:04Как много всем чего-то кажется, и как мало (ни одного не нашел) случаев, когда кто-то из-за этой функции реально потерял деньги. Казаться может что угодно, но время показывает реальность
indicar
30.01.2025 23:04Сегодня заметил, что они убрали кнопку 'оплатить' в картах и спрятали функционал в кнопке 'перевести', хотя переводить ничего не планировал... Обратился в саппорт, ответили что все хорошо, так и должно быть. Что-то там у них поменялось в худшую сторону в части UX/UI точно... С безой, как вы говорите тоже не все гладко, печально, хороший был банк...
lambda_tmn
30.01.2025 23:04Не пользуюсь услугами данного банка. Сомневаюсь в его надёжности и честности.
worldaround
30.01.2025 23:04Почему-то все начинают с конца. Первое, куда надо посмотреть - это у кого права на рута. Потом посмотреть что будет, если права появятся у вас. После этого уже будет ни к чему эти глупости обсуждать.
mnnoee
30.01.2025 23:04Итак микросводка:
если стоят рут‑права или ваше устройство «подозительное», можно сделав чекап увы только через поддержку, то он будет запрашивать очепяток при логине, даже в течении этих пяти минут
Эта опция включена по умолчанию
Если в течении пяти минут «разорвать» приложение и попытаться зайти = отчепяток/пин‑код будет запрашиваться
Если попробовать обойти защиту в приложении правило пяти минут отменяется, нужно пин‑код вводить
Ну и смешной фактик о приложении: если его вырвать с одного смартфона и перенести на другой, неважно как, правило пяти минут будет работать после разблокировки и приложения не заподозрит ничего. Самый защищённый в моих личных тестах увы ренессанс. У них безопасность на уровень выше, но это не то приложение банка которое нужно всем
slepmog
https://habr.com/ru/articles/792556/
posthedgehog Автор
Спасибо большое, вписал в свою статью и в комментах к той статье отписался!
Lev3250
Это объясняет, почему внезапно посыпались плюсы в карму. Никак не мог понять, что произошло. Похоже не только мне это поведение приложения кажется странным.
cda2023
Странно думать что приложение банка-мошенника (в девичестве) будет себя вести не как троянец (хотя у меня только сбер и я не уверен в нём на 100%). Из того что написано я делаю вывод - что приложение получило доступ к отпечатку для разблокировании телефона, а значит может с ним делать все что угодно (про деньги само собой разумеется). Судя по всему это разрешение дается настройкой - упрощенный вход. А теперь подумайте, есть ли гарантия что этот отпечаток это приложение не отправит на свои (чужие) сервера (например при удалении в отместку или просто так).
Необходимо удалить такое приложение и сделать полный вайп телефона с заведением нового пользователя на гугле ...
Особенно странно это услышать от человека занимающегося какой-то ит безопасностью ...
gxcreator
Это не так работает, приложения используют системный АПИ и не имеют доступа к изображению отпечатка.
ZooMMaX
У устройств нет изображения отпечатка. Только хэш)
ZooMMaX
У устройств нет изображения отпечатка. Только хэш)
AgentFire
Сами вы ей очевидно точно не занимаетесь, я смотрю.
Radish
Не слишком громкое заявление про банк-мошенник? Если есть доказательства, может обратитесь в соответствующие органы?
cda2023
А смысл - товаришь Т признан иногентом и съ-ся в недоступное место, если вернется (что маловероятно) ему посерьезней статья светит, а за день до признания в его банке сменили вывеску ... сам делай вывод можно им доверять.
nochkin
Не очень понял логическую связь. То есть, если иноагент, то это автоматически мошенник? Или критерий в недоступности места? Мне действительно интересно.
ivazhu
Ну только со мной этот банк-мошенник сделал следующее (по некоторым пунктам даже идёт судебное разбирательство):
1) перевёл доллары ИП по своему курсу на валютном контроле весной 22го года, хотя 80% выручки должен был поменять я, где угодно, в течение 21 дня на тот момент
2) не удалил мою биометрию (фотку десятилетней давности курьера) к 1 июня 23го года, как предписывает закон, более того, без моего согласия и разрешения в феврале 24го года добавил ее в ЕБС
3) отказывается выдавать швейцарские франки, оказавшиеся на счете далеко до 22го года, по курсу «не ниже ЦБ» - опять же нарушает постановление ЦБ
Это самое наболевшее, не считая мелкого жульничества. Можно ли после такого мне использовать эпитет «жулики» в их отношении?