После того, как у меня затупил телефон, мне пришлось сбросить его к заводским настройкам. Установив из Play-маркета приложение «Сбербанк Онлайн», и прождав значительное время, пока приложение сканирует телефон на наличие вирусов, создаётся полное ощущение, что тут всё хорошо с безопасностью. Но каково же было моё удивление, когда после ввода логина и готовности ввести пароль, вместо него меня просят ввести SMS-код, который тут же пришёл на этот же телефон!
Сначала я подумал, что возможно где-то на карте памяти сохранился какой-нибудь идентификатор сессии, из-за которого не надо проходить процедуру ввода пароля, а достаточно пройти упрощённую процедуру подтверждения по SMS. Но это было не так.
Тогда мы с коллегой решили проверить на его телефоне, смогу ли я войти в его приложение. Мы берём его телефон, открываем приложение, выбираем «Сменить пользователя» в меню, вводим логин (который секретным не является и используется им на разных сервисах). И, бинго, опять вводим SMS-код и оказываюсь внутри приложения с полным доступом ко всем финансам! Всё дело заняло пару минут времени.
А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше.
Кроме того, в ОС куча приложений, которые просят разрешений на чтение SMS. Не удивлюсь, если появится вирус, способный сымитировать вход в приложение с чтением и последующим входом кода из SMS.
А что Сбербанк?
Через обратную связь я писал дважды об этой проблеме сбербанку и оставил отзыв на banki.ru. Но сбербанк судя по всему не считает это проблемой. Кроме того, в условиях использования был найден следующий пункт:
Не совмещайте устройства доступа к системе «Сбербанк Онлайн» и устройства получения SMS-сообщений с подтверждающим одноразовым паролем (например, мобильный телефон, смартфон или планшет). Для мобильных устройств созданы специализированные версии системы.
При утрате мобильного телефона, на который Вы получаете сообщения с SMS-паролем, сразу же обратитесь к оператору сотовой связи и заблокируйте SIM-карту.
То есть фактически приложение нельзя ставить на тот же телефон, на который приходят SMS-ки.
Выводы
Выводы можно сделать только такие — держите телефон всегда при себе, даже когда решили выйти на 5 минут в туалет. Не устанавливайте приложений с доступом к SMS. А ещё лучше — получайте SMS с кодами на кнопочный телефон без приложений.
Комментарии (224)
basilbasilbasil
19.09.2017 18:11благо на самсах есть knox, туда его и запихнул.
осталось отрубить перевод по смс на 900.monster2106
20.09.2017 10:14А это можно как-то сделать? В Сбербанке заявили, что если подключена услуга «Мобильный банк», то такие смс отключить нельзя.
StorkZZ
20.09.2017 13:21+1Это называется «быстрый платеж». Нужно отправить «ноль» на 900 для отключения.
dmalov
20.09.2017 13:48Более того, в Сбере мне сообщили, что при отключении опции мобильный платеж (SMS на номер 900) автоматически отключатся и Сбербанк-онлайн (банк на компьютере) и Сбербанк-мобайл (на телефоне).
При этом мобильный платеж — это огромная дыра в безопасности: если за небольшую мзду сотруднику перевыпустить вашу симкарту (например, в желтом салоне связи в городке Кукуево), то можно переводить деньги с вашего счета просто отправляя SMS. Не нужен не только логин-пароль, но и сам телефон.
Единственный вариант который удалось найти для закрытия этой дыры — это установить нулевые лимиты на перевод в мобильном платеже (можно сделать через call центр).icetinte
20.09.2017 13:53Перевыпустите симку и попробуйте сделать перевод. Удивитесь
5ergunka
21.09.2017 09:33подтверждаю — после потери телефона и замены сим-карты пришлось заново всё отключать и подключать в сбербанке
непонятно, какой именно «логин» у автора является «общеизвестным и используетс яна разных сервисах» — в мобильном банке надо знать банковский идентификатор/создать таковой, при этом смс приходит на номер, подключенный через банкомат к карте.vlivyur
21.09.2017 16:46+1Я менял симку раз, жена меняла уже раза три — Сбербанк может и узнал об этом, но вида не подал.
Выше правильно всё написали — зависит от региона и года.5ergunka
21.09.2017 18:35мне в любом случае непонятно, какой такой «общеизвестный» логин использует автор для входа в приложение сбербанка.
несколько раз после обновления приложения приходилось заново регистрироваться, по почти полному циклу: логин-пароль, смс, пятизначный код для входа в приложение.
да, в защите куча других дыр, но для всех нужен физический доступ к карте и знание пин-кода — привязать телефон в банкомате. все остальные дыры — в «прокладке между креслом и рулём/экраном»vlivyur
22.09.2017 10:15К логину народ проще относится, его не скрывают так, как пароль. И, как я понял из топика, при установке приложения пароль не просят, только логин и код из смски. Так что вынимаем симку из чужого телефона, вставляем в свой, устанавливаем приложение, вводим логин, а пароль сам придёт на этот же телефон.
PaulZi Автор
22.09.2017 12:17Логин многие используют один и тот же, и мало кто заботится о том чтобы он был сложным и секретным. В частности у коллеги логин был абсолютно такой же как в Telegram.
vlivyur
22.09.2017 12:30Я пользуюсь тем, который мне банк выдал. И не уверен что много народу его меняет.
Кроме того, в таком случае необходимо знать жертву, со случайным не прокатит.5ergunka
22.09.2017 13:08вынимаем симку из чужого телефона, вставляем в свой
ну это вообще дырень в «прокладке» же — пин-код на сим-карту с деньгами не ставить :)
Я пользуюсь тем, который мне банк выдал
я тоже, но он ведь не «общедоступный»? я его больше нигде не использую, даже не записывал — утечка только на уровне банка может быть, либо, опять же — физический доступ к карте и знание пин-кода карты
pnetmon
22.09.2017 13:38Я пользуюсь тем, который мне банк выдал. И не уверен что много народу его меняет.
А если банки будут смену логина предлагать. А большинство сменит как попроще, что используют на других сайтах… как в соц сетях.
Другой вектор атаки при установке логина самим пользователем.
Кроме того, в таком случае необходимо знать жертву, со случайным не прокатит.
Да у нас (в реальности) целые базы (соц сети, сайты, скидочные карты.....) — логин или адрес электронной почты, и номер телефона. Остается только перехватывать СМС на телефонные номера.
arcman
21.09.2017 10:26Между прочим это действительно стоит проверить.
Вот например когда у меня поломалась симка Мегафон, ни Альфа-банк, ни Тинькофф ничего не заметили.
KorDen32
20.09.2017 19:15Не путайте «мобильный банк» и «быстрый платеж». Для приема SMS от сбера (с кодами) должен быть подключен хотя бы экономичный пакет мобильного банка. Но перевод по SMS — это отдельная опция «быстрый платеж», которая подключается одновременно с подключением мобильного банка, но ее можно отключить
ploop
20.09.2017 14:13А это можно как-то сделать?
В личном кабинете (в онлайн-банке) в настройках безопасности, если память не изменяет.sumanai
20.09.2017 16:58Да, остаётся только пополнение своего номера, так что 15к увести при перевыпуске всё равно смогут.
KorDen32
21.09.2017 10:40Точнее, остается:
— просмотр инфы по картам, перевод между своими картами, блокировка карт, блокировка мобильного банка
— пополнение своего номера
— SMS-шаблоны (создаются через СБ.О, в банкомате, или контакт-центре)
Под вопросом еще переводы во всякие фонды-teztour-ЕИРЦ. Из мануалов не ясно, остается ли возможность переводить по ним, если опция отключена.ploop
21.09.2017 10:52На самом деле при уводе номера (перевыпуске симки например) всё это не имеет значения, т.к. злоумышленник получает доступ в онлайн-банк, где доступно всё.
А вот от спонтанных переводов с временно бесхозного телефона, а так же от массы зловредов с доступом к СМС вполне спасёт.KorDen32
21.09.2017 13:11злоумышленник получает доступ в онлайн-банк
Только если знает логин. А логин в принципе нигде не отображается и не требуется, кроме формы авторизации в СБ.О и в мобильном приложении. Если ваш логин очевиден, совпадает с ником или логином в других сервисах — ну так ССЗБ.
Скорее злоумышленник получит доступ к почте, большинство почтовых ящиков как раз для восстановления требуют только доступ к симке, даже логина знать не требуется
Helwig
19.09.2017 18:23+2Ну вообще весь смысл двухфакторной авторизации пропадает, если вы получаете код на тот же телефон, где установлено приложение. В чем уязвимость-то?
PaulZi Автор
19.09.2017 18:25+4При двухфакторной авторизации вам надо сначала ввести «первый фактор» — пароль или пин-код. Тут по сути однофакторная авторизация осталась, т. к. пароль не запрашивается.
Helwig
19.09.2017 18:43Да, это я по прочтении понял. Просто если судить по их FAQ, то сброс девайса и повторная установка считается как новая регистрация, соответственно процедура будет через СМС.
Не спорю, реализация вызывает вопросы (и нежелание пользоваться), но вопрос в другом. В одной из летних статей по безопасности писали, что бессмысленно спорить о «секурности», если телефон с доступом в руках у злоумышленника. Поэтому и задал вопрос выше — в чем уязвимость?PaulZi Автор
19.09.2017 18:48А какой смысл задавать 4-символьный пин-код на вход приложение, если его легко обойти зная логин?
Helwig
19.09.2017 19:02Так поэтому и должен быть другой номер (в другом девайсе), на который в случае сброса кода придет смс :)
Это уже как заповедь любогопараноикаадекватного юзверя — разделяй телефон с номером, который указан в сервисах, и телефон с сервисами.
murzik_a
19.09.2017 18:23даже когда решили выйти на 5 минут в туалет.
Или хотя бы ставьте на вибро. Достали уже…
А если по теме, то какой-то прям уязвимости тут не вижу. Это уже скорее откровенное «не потерял, а про… прожужал».arcman
21.09.2017 10:28код по СМС это не безопасный канал, его можно использовать лишь как дополнительный уровень защиты, а не отменять им все остальные.
Argem
19.09.2017 18:23+1на 5-м андроиде приложения сбербанка требует доступа к смс и падает при запуске, если доступа нет. Но после трех падений приложение запускалось без доступа к смс. Но после очередного обновления, они убрали счетчик в 3 падения, и обойти доступ тремя падениями уже было нельзя. После этого я снес приложение и использую только веб-версию, чего вам и желаю.
PS: на 6-м андроиде не проверял, возвращаться желания нет, доверие подорвано.Murmand
19.09.2017 18:26А на андроиде приложение не запрашивает какой нибудь пароль на запуск себя? только СМС код?
Argem
19.09.2017 18:30Насколько помню, можно задать 4-символьный пин-код. И еще надо авторизовать телефон, потом можно его отвязать в веб-интерфейсе.
Но отказаться от чтения смс нельзя никак…PaulZi Автор
19.09.2017 18:33Ну вот смысл в этом 4-символьном коде нет никакого получается, можно выбрать «сменить пользователя» и тупо ввести код из SMS. Единственное что понадобится дополнительно — логин.
migelle74
19.09.2017 18:36А какой смысл запрещать доступ сбербанковскому приложению к СМС?
Argem
19.09.2017 18:43+4Потому что в силу своей здоровой паранойи, я не могу доверять приложениям, запрашивающим в принудительном порядке такой доступ. Я не верю что, они не прочтут все смс, а не только свои, либо по своей инициативе, либо по софтверному багу, когда совершенно случайно они весь перечень смс отошлют себе на сервер.
Тем более после одно из обновлений приложение стало требовать доступ к контактам телефона.
Я не против в принципе таких возможностей, я против навязывания, сейчас нельзя никак отказаться от такого, только штатными средствами андроид, но только приложение не запустится.5ergunka
21.09.2017 15:08удалил три года назад приложение русского стандарта — коллекторы начали названивать по номерам из хранилища телефона людям, номера которых банк знать не мог.
в основном тем, с кем общался достаточно часто.
т.е. утечки могли быть только на двух уровнях — через «слив оператора», или через «двухфакторную защиту приложения, для чего требуется доступ к звонкам и смс»pnetmon
21.09.2017 18:37У Сбербанка для андройда в Политика конфиденциально… все прописано:
1.1. Информация о номерах телефонов из адресной книги устройства.… данные номера телефонов копируются на серверы Банка и могут периодически обновляться.
2.5 Информация пользователя может сохраняться на ресурсах Банка и его партнеров… а также в течении 5 лет после расторжения таких договоров.
5ergunka
21.09.2017 19:01т.е. всё «легально», хоть и незаконно: «вы же читали оферту — там всё написано, а вы согласились»
KorDen32
20.09.2017 00:41Сейчас оно требует доступ к управлению телефонными звонками, аргументируя это необходимостью проверки на безопасность, следующим пунктом идет доступ к смс и аргументирует это защитой переписки от мошенников. В обоих случаях при отсутствии доступа не дает продолжить.
mp39a
19.09.2017 18:30На мой взгляд, приложения мобильного банкинга переоценены. Вы рискуете своим счётом, поставив «червивое» приложение из маркета, выпустив телефон из виду на какое-то время или вообще потеряв его. Да и чаще всего банковский софт запрещает работу на рутованном телефоне, просит целую кучу разрешений и по сути служит анальным зондом, исправно собирающим телеметрию о использовании телефона.
Возможно я не настолько деловой человек, но не могу придумать юзкейса использования приложения, которое бы не покрывали обычная пластиковая карта и смс-информирование о балансе и текущих тратах. Единственный раз, когда мне понадобилось работать с валютным переводом, находясь в дороге, да ещё и за границей — подключился по удалёнке к домашнему компу и выполнил нужные действия в веб-версии «Приват24». А банковское приложение в таком случае, ещё и дополнительной аутентификации потребовало небось — вход из необычного места, нестандартные действия.
Так что повторюсь: ИМХО, приложения переоценены, жизнь есть и без них.Argem
19.09.2017 18:39Жизнь есть без них, но с ними удобнее.
Намного удобнее и быстрее запустить приложение и залогиниться в нем, чем через веб-версию.
Экономит время, если достаточно часто необходимо совершать переводы и прочия действия в личном кабинете.
Если изредка, то приложения обычно и не ставят.
Насчет разрешений полностью согласен.
geher
19.09.2017 18:42А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше
А как же пин-код SIM карты? Немного достает, конечно, при выключении-включении и перезагрузке телефона, но помогает от вставки в другой телефон и сброса настроек телефона с очень большой вероятностью (оставляем крошечную вероятность на подбор злоумышленником пин-кода не более чем за 3 попытки или успешный подбор PUC не более чем за 5 попыток).
Промахнулся...
vsespb
20.09.2017 01:01Ну вот у xiaomi перезагружается 1-5 раз в неделю (судя по форумам, типичная проблема и это не железо). Если я поставлю пин код на симкарту, я просто незамечу что он перезагрузился и до меня будет недозвониться.
InChaos
20.09.2017 11:38Судя по форумам, нужно добавить еще пару десяток брендов к этой типичной проблеме.
pnetmon
19.09.2017 18:43А мне нравится (сарказм) что приходящий пароль входа в интернет банкинг читается в SMS сообщении даже на заблокированном телефоне.
rPman
19.09.2017 18:46это настраивается
pnetmon
19.09.2017 19:44+1Прошу рассказать на примере Windows 10 и Android 6.0.1
Может это и настраивается, но по умолчанию читается. А по умолчанию на сброшенном к настройкам производителя (только купленном в магазине) читаться не должно.
О уже минусы прилетели.
KorDen32
20.09.2017 00:48Android 6 и 7 — Настройки — Уведомления — На заблокированном экране. В некоторых прошивках вроде еще в 5 андроиде было.
pnetmon
21.09.2017 17:36Попробывал — очень много ругался т.к. отключается все, а нужно только с определенных номеров.
Включил уведомления обратно. Телефон заблокирован PIN кодом — экран блокировки. Тяну СМС вниз и вижу что всегда можно увидеть весь текст сообщения, даже если он очень большой. Ранее думал что можно увидеть только часть. Жесть полная.
M_AJ
20.09.2017 11:19Для Windows: Настройки — Система — Уведомления и действия — Отобрадать уведомления когда экран заблокирован (поставить тумблер в выкл.)
pnetmon
20.09.2017 12:04
Но у меня все равно остается мнение что текст в СМС сообщениях должен быть таким чтобы пароль не читался при заблокированном экране. Определенная длина и сам пароль в конце текста.
konst90
21.09.2017 10:35А мне например удобно просто смахнуть «шторку» вниз и ввести код подтверждения, не открывая СМС.
vlivyur
21.09.2017 16:58Шторка это не экран блокировки, у меня за шторкой можно всю смску прочитать, какой бы длины она ни была. Так что у Сбера всё правильно сделано, в отличие от некоторых других банков, которые жмутся указывать реквизиты к которым этот пароль действует и присылают всё в одной СМС (а не 3-5, как у Сбера).
nidalee
20.09.2017 09:00Да, очень удобно: не надо поднимать телефон со стола, чтобы разблокировать, и можно прочитать код на умных часах не открывая уведомление на полный экран.
berezuev
19.09.2017 18:44Чтобы навсегда отбить желание пользоваться Сбербанком, достаточно взять iPhone держателя их карты и сказать ему заветное:
«Siri, отправь смс с текстом перевод 9151234567 6000 на номер 900»
И да, защита паролем с отпечатком пальца не спасёт.Argem
19.09.2017 18:46Если подключен мобильный банк только, и то потом будет смс с кодом, без которого перевод не произойдет.
rPman
19.09.2017 18:47мобильный банк подключают почти автоматически для получении информации о переводах, и мало кто знает о его облегченном варианте.
Argem
19.09.2017 19:04+3В облегченном варианте зато оперативно не узнаешь баланс при его изменении.
Специально зашел в личный кабинет. В разделе мобильного банка есть услуга «Быстрый платеж» — она включена по умолчанию, вот ее и надо сразу отключать, это хоть от всего и не спасет, но все же.
Быстрый платеж – это услуга Мобильного банка, с помощью которой Вы сможете оплачивать услуги сотовой связи для любого номера, а также переводить деньги другому частному лицу на карту Сбербанка по номеру телефона получателя
Barsuk
19.09.2017 21:29Поэтому нужно запретить работать сири на заблокированном девайсе, не запретили кто ж вам виноват
M_AJ
20.09.2017 07:53Разве Siri отправит СМС, если телефон заблокирован?
dimka-zzz
20.09.2017 19:23Да, отправит. Проделывали такой путь в офисе где-то полгода назад (насколько я помню, эта лазейка существует не первый год). Потом приходит смс с подтверждением, а потом отправляете еще раз смс с кодом подтверждения. Вуаля — деньги ушли.
konst90
21.09.2017 10:37Потом приходит смс с подтверждением, а потом отправляете еще раз смс с кодом подтверждения
А разве нельзя настроить iOS так, чтобы при заблокированном экране не было видно содержимого SMS?
YMA
20.09.2017 17:36Не пройдет по 3 причинам:
— «Привет, Сири» отключено;
— показ текста входящих СМС на экране блокировки выключен;
— «Быстрый платеж» в сбербанке отключен (отправлен NULL на номер 900);
Ну и отпечаток пальца и PIN-код на симку — само собой.
rPman
19.09.2017 18:45к сожалению, пока нет удобного миниатюрного устройства для приема и чтения sms, носить два устройства — неудобно.
p.s. я был бы безмерно рад двухфакторной авторизации по таймкодам на любые действия. включая мобильный банкValdikSS
19.09.2017 18:52+3Раньше у ВТБ24 были пластиковые карты одноразовых кодов, было очень удобно. Обычная маленькая карта со 119 кодами, которые нужно вводить для каждой операции. Я мог переводить деньги там, где есть интернет, но нет сотовой сети. Потом их почему-то сменили на самую идиотскую, совершенно для этого не предназначенную и небезопасную технологию — СМС-подтверждения.
rPman
19.09.2017 19:59+1у сбербанка тоже есть одноразовые коды, распечатка в любом банкомате — 20шт
дико неудобно, я пользовался когда то давно ими, кончаются внезапно, при распечатке новой — оставшиеся с прошлой бумажки — отменяютсяValdikSS
19.09.2017 23:49У ВТБ все сделано было грамотно: можно было взять карту про запас, а потом ее активировать. Причем активировать следующую можно только тогда, когда закончились коды на предыдущей.
vlivyur
20.09.2017 14:38Всё уже, нет такого. И вообще-то это как раз нормально, что предыдущие отменяются.
IgorGIV
19.09.2017 23:38+1Вы и сейчас можете переводить деньги через телебанк там, где есть инет, но нет сотовый связи. Включите пуши в настройках и тогда даже с только вай-фаем они (коды) будут приходить без проблем.
ValdikSS
19.09.2017 23:47Я не пользуюсь телефоном, и не всегда с собой его беру, соответственно, программы тоже не устанавливаю. Увы, далеко не у всех банков есть уведомления по email, поэтому я к каждому своему написал программу, которая заходит раз в 15 минут и проверяет баланс, а в случае его смены отправляет email.
bars_arseniy
20.09.2017 09:15поэтому я к каждому своему написал программу, которая заходит раз в 15 минут и проверяет баланс
Хочу уточнить, так как идея мне очень интересна.
— к каждому своему банку?
— если к каждому банку, то как реализовано? Программа крутится где-то (где?), заходит через веб интерфейс, парсит содержимое страниц и сравнивает остатки с предыдущими данными?
Ryle
20.09.2017 16:29У Юникредита пока что есть (?) такие карты с кодами. Взятая весной пока что работает, во всяком случае. В последний раз когда брала ее в банке, меня убеждали перейти на смс-информирование, «это же проще!».
MikeVC
19.09.2017 18:47+1Дык там еще круче есть. Отправляем сообщение на 900 и вуаля денежки переведены.
Жулики сейчас грамотные пошли и первым делом пробивают ворованный телефон на «900»
сторонние скрипты на сбербанк ондай никудя не делись.
Моя резалка показывает:
google-analytics.com
googletagmanager.com
yandex.ru
Вывод: не пользоваться сбером или не держать там сколь нибудь существенные суммы. Что я и делаю.sumanai
19.09.2017 21:18Вывод: не пользоваться сбером или не держать там сколь нибудь существенные суммы. Что я и делаю.
Хотелось бы, но увы, в моём захолустье под названием Самара я не видел банкоматов других банков, кроме сбера и газбанка, где всё ещё неудобнее.motpac
19.09.2017 23:02-1А вот не надо про Самару так! В городе огромное количество банкоматов отличных от Сбера банков. Кроме того, многие банки объеденены в партнерские сети вплоть до того, что вы можете пополнять свой счет в банкомате другого банка. Вы бы прогулялись по городу то, да в другие банки загляните.
sumanai
19.09.2017 23:20Возможно они и есть, но не по пути с работы домой или в ближайших магазинах. Гулять по городу конечно замечательно, но не на регулярной основе для снятия зарплаты.
Dolbe
20.09.2017 11:55+1Тинькофф, например.
arcman
21.09.2017 09:34Но на нем тоже лучше крупные суммы не держать. Тинькофф в красной зоне и по нему может внезапно наступить страховой случай.
И с безопасностью в Тинькофф тоже не супер — пароль от банк-клиента легко сбрасывался по смс.a1ien_n3t
21.09.2017 09:52А где можно почитать, что там все не так хорошо(«Тинькофф в красной зоне»). Мне правда интересно.
arcman
21.09.2017 10:05www.money-in.org/rejting-bankov-rossii-po-nadezhnosti
Из известных мне случаев, все банки лишенные лицензии сначала попадали в желтую зону, потом в красную.
fouriki
21.09.2017 10:29Откуда дровишки про «красную зону»?
Вроде как один из немногих (или единственный?), кто не берет деньги у ЦБ.
Вроде как и страховому случаю неоткуда взятьсяarcman
21.09.2017 12:26www.money-in.org/rejting-bankov-rossii-po-nadezhnosti
Страховой случай наступает когда банк не может далее исполнять свои обязательства (банкрот).
Тинькофф проводит рискованную агрессивную политику, поэтому риски наступления страхового случая для них так же высоки.
Если они где то облажаются со своими кредитными картами, то не смогут выплачивать проценты держателям дебетовых карт.
А недавний инцидент с NEMAGIA тому подтверждение.
Palazur
19.09.2017 18:57+4Имхо развод паники на пустом месте. Гораздо проще человеку нашедшему телефон, не пытаться разблокировать телефон пытаясь подбирать пароль, а в тупую вытащить из телефона сим-карту и вставить в свой телефон и спокойно посредством смс команды вывести все деньги со счета, к которому привязан этот номер. Так что это не уязвимость приложения, а уязвимость подхода к обеспечению безопасности в принципе ( читайте — никакой безопасности тут нет и не будет априори).
MikeVC
19.09.2017 20:41+2Вот именно так и сделают в приложуху не полезут а просто отправят смс на номер 900.
Проблема в самой политике сбера. Вот эта фишка с кодом 900 не отключаемая. Верно защититься можно только не держать деньги на карте. А держать на другом счете не доступном через мобильный банк и пополнять карту по необходимости.
Сбер официально поддерживает мелких жуликов.PaulZi Автор
19.09.2017 21:11В случае описанном в статье, доступ получается по всем счетам.
HappyGroundhog
19.09.2017 21:47+1По всем счетам, привязанным к мобильному банку. Это тоже настраивается, если что, во взрослой версии сбербанка-онлайн. Там же можно отвязать счета от банкомата или устройства самообслуживания.
rever
19.09.2017 22:30"Вот эта фишка с кодом 900 не отключаемая" — цифра 0 на номер 900. Но нет, вы не знали, вам оно не надо, вам посклочничать надо.
MikeVC
19.09.2017 23:13Ну да немного ошибся. Это мобильный банк не отключаемый если есть сбербанк онлайн.
Однако фишечка включена по умолчанию.
И как ее отключить надо еще поискать на каждом углу не написано.
Зато на каждом углу написано и регулярно СМС спам приходит как с помощью этой фишечки отправить перевод. Вобще по наглости СМС спама сберу нет равных!
Особенно «мы заметили что вы оплачивали тото-тото. Чтобы повтороить платеж отправьте....»sumanai
19.09.2017 23:22Я отписался в поддержку через сбербанк-онлайн, и меня отписали от рекламных рассылок. Хотя то, что это включено по умолчанию, конечно свинство.
Skerrigan
20.09.2017 05:11При открытии счета и получении карты в заявлении не ставил галку о согласии на мобильные платежи. В итоге были долгие разборки. Но 900-й номер у меня более не работает вообще никак. Мобильного банка больше нет. Приложение из маркета есть.
EvgeniyNuAfanasievich
20.09.2017 16:52Отправил.
в Ответ: «Бесплатная опция „быстрый платеж“ отключена. Подключить опция можно в Сбербанк онлайн»
Причем я был уверен, что оно у меня уже давно отлючено. хм…KorDen32
20.09.2017 19:19У вас несколько карт? С тех пор как отключили, какую-либо новую карту (не перевыпуск) получали? Вот он и подключился для той карты, которую вновь добавили в мобильный банк…
EvgeniyNuAfanasievich
21.09.2017 10:29да уже почти 3 года прошло с получения последней. Отключал я эту хню явно позже. Ладно, будем мониторить сию бяку!
ploop
21.09.2017 10:55Только что посмотрел в онлайн-банке — там в настройках мобильного банка на каждой карте написано, включена услуга «быстрый платеж» или нет. Ну и настройки соответственно все есть.
rustavelli
20.09.2017 00:26держать на другом счете
уточню. На другом счете в другом банке. Например в таком, которому не наплевать на своих клиентов.
KorDen32
20.09.2017 00:53фишка с кодом 900 не отключаемая
Через сб.онлайн можно отключить «быстрый платеж». Тогда по SMS останется только перевод по шаблонам и на свой мобильный.
dravor
20.09.2017 10:15Сбер в обход правил Visa и MasterCard теперь при смене карты требует либо купить у них же (!) страховку от мошенников, либо говорит: «тогда проблемы лично ваши, раз страховку не берете».
KorDen32
20.09.2017 19:22Чего? Какой обход правил? Все эти страховки пытаются навязать, но по фроду без проблем возвращают деньги без всяких страховок.
dravor
20.09.2017 23:16По фроду вы можете пожаловаться только в ваш банк. О нарушении же правил платежных систем сами банком вы как физ лицо туда пожаловаться не сможете.
KorDen32
20.09.2017 23:41+1Так а о каком нарушении/обходе правил речь? Только не беря в расчет то, что говорят клиенту, когда навязывают старховку, а что на практике не так?
dravor
22.09.2017 23:03Правила международных платежных систем говорят, что банк-эмитент компенсирует держателю карты потери от мошенников. Требование вместо этого заключить страховку — прямое нарушение, с моей точки зрения.
KorDen32
22.09.2017 23:39Требование вместо этого заключить страховку
И опять я повторю: если не брать в расчет то, что говорят клиенту, когда навязывают страховку — были конкретные отказы в возврате?
Мне подобное говорили практически каждый раз когда приходил в Сбер по поводу карт последние года два, всегда вежливо отказывался.
А буквально этим летом впервые попал на фрод, до сих пор не могу понять, где мог слить данные карты. Позвонил, заблокировал карту, на следующий день пошел в отделение. Опять были предложения страховки при написании заявления о фроде — я поинтересовался чем бы отличался процесс в данном случае, если бы была страховка, и в очередной раз отказался. Перевыпустили карту за неделю, еще через неделю вернули деньги.
geher
19.09.2017 21:16+1а в тупую вытащить из телефона сим-карту и вставить в свой телефон
Активируем защиту по PIN коду, и ни один телефон не отправит СМС с данной сим-картой без ввода кода.
Palazur
19.09.2017 21:29+1Ой да бросьте, кто сейчас активирует пин код на сим карте? Вы, ваш друг и еще 10% от всех пользователей смартфонов в мире да и зачем, когда есть пароль на телефоне? Многие уже и не помнят, что на сим карту можно установить PIN.
bars_arseniy
20.09.2017 09:22Я, конечно, согласен с тем, что решать проблему с безопасностью в приложении включением пинкода на сим-карте не верный подход.
Но вот не включать пинкод на карте — это ССЗБ. Сейчас номер мобильного телефона указывается в стольких местах, что можно огрести проблем, если его потеряешь и быстро не заблокируешь.
И ваш комментарий натолкнул меня на эту мысль. Выходит не зря я до сих пор использую пинкоды на симкарте и помню их.
padalkofedor
21.09.2017 09:34Спасение утопающих дело рук самих утопающих.
Если не знаешь как поставить пин-код на симку и блокировку на телефон, значит тебе вообще нельзя пользоваться услугами любого банка. Храните наличность под подушкой.
tuxx
19.09.2017 20:30+1Было бы достаточно запретить приложению читать смс, но без этого оно не работает, а вроде как с недавних пор они еще и все ваши контакты, сообщения, фотографии, местоположение, ip могут слить через свое приложение
У себя на MIUI 8 перенес приложение сбера во «второе пространство» и личные данные для приложения не доступныmaxzhurkin
19.09.2017 22:09Прекрасно оно работает и без доступа к SMS и без доступа к контактам, специально проверил только что
tuxx
20.09.2017 20:28У меня при запуске спрашивает доступ к контактам и смс. Я запрещаю. Приложение пишет что для безопасности приложения необходимо разрешить управление телефонными звонками. И так до бесконечности. При этом на заднем фоне видно что запуск приложения останавливается на этапе «инициализация антивируса» и больше не двигается вообще
maxzhurkin
20.09.2017 20:51Это при первоначальном запуске, как я понял?
Попробуйте запретить после входа.
У меня два устройства, одно на 7.1, другое на 6.0, с первым вообще никаких проблем, на втором после "закручивания гаек" СО "забыл" привязку к счёту, но после повторной привязки не забывает.tuxx
21.09.2017 10:47Запрещал до запуска.
Попробовал запретить после запуска. При переключении на приложение оно начинает заново загружаться и так же останавливается на запуске антивируса, но предлагает либо работать в ограниченном режиме, либо перейти в настройки системыmaxzhurkin
22.09.2017 11:52У меня тоже посопротивлялся, потом, после того, как я запустил его повторно, смирился.
Himura
19.09.2017 22:14Буквально вчера сменил телефон мобильного банка на всех картах, после того как получил запоздалое часов на 8 уведомление о входе, не посмотрел на его timestamp и запаниковал.
Свое устройство я всегда при себе держу и оно заблокировано, но меня беспокоит возможность дублирования сим-карты. Насколько эта угроза реальна?
И еще, в последнее время один из моих контактов сообщает мне о звонках от меня, которые я не совершенно точно совершал. Этот человек сразу же перезванивает и попадает ко мне, но минуту назад у него был вызов от меня, а мой телефон 100% не вызывал этого абонента. Это происходило 2 раза, после первого я даже телефон сменил, так что дело точно не в девайсе. Это что, социальная инжинерия и HackerSIM?sanrega
20.09.2017 00:01Есть такая фишка у Билайна и Мегафона. У меня Мтс, поэтому не сталкивался, а вот знакомая рассказывала, что с её номера идут фантомные звонки, которые у абонента на том конце
проводаотображаются как пропущенные, но которых на самом деле не было. При этом, телефон у знакомой работает на Windows Phone 8.1, т.е. всевозможные трояны и прочие вредоносные приложения исключены.rPman
20.09.2017 01:34+1При этом, телефон у знакомой работает на Windows Phone 8.1, т.е. всевозможные трояны и прочие вредоносные приложения исключены.
это с чего?sanrega
20.09.2017 08:18+1Это факт. Для WP, несмотря на всю её убогость и никому не нужность, так и не сделали ни одного вредоноса. Касперский, кстати, тоже говорил, что это самая безопасная система для банкинга.
General_Failure
20.09.2017 09:07Для WP, несмотря на всю её убогость и никому не нужность, так и не сделали ни одного вредоноса.
Скорее благодаря ненужности, а не вопреки :)
astraleuro
20.09.2017 11:01А у Вашего контакта случайно телефон не HTC?
Просто я, являясь обладателем One M8, заметил в нём следующую особенность:
Если я был вне зоны доступа (в лифте например или подвальном помещении) и мне в этот момент кто-то звонил, то вызывающему абоненту, как и положено, оператор сообщил о том что я вне зоны доступа. Но у меня на девайсе через некоторое время (иногда часа через 2-3) появляется пропущенный вызов от того абонента.Himura
20.09.2017 11:59Айфон 4 старенький (
Да и проблема тут не совсем в этом, звонок проходит и это абсолютно внезапный звонок с моего номера. Один раз звонок был принят, но сразу сброшен вызывающей стороной. Что интересно, мой телефон тогда ненадолго потерял сеть и сразу перезвонить к человека не получилось, но я склоняюсь к тому что это всё-таки совпадение...
lonelysuch
20.09.2017 13:29Еще есть у оператора Билайн «услуга». Если на счету не хватает денег, то вызов не проходит, а у абонента, которому звонили, показывается пропущенный вызов.
emil_nikitin
19.09.2017 22:30-1Гораздо больше шансов что к вам в квартиру влезут воры и возьмут всё что им надо, чем потерять деньги с карты
bars_arseniy
20.09.2017 09:24+4Ваше высказывание основано на статистических данных или это ваше личное внутреннее ощущение?
shurricken
19.09.2017 22:30У сбербанка столько дыр даже в отделении банка… начиная от набирателя пинкода повернутого к залу… и кончая хохотушкой девушкой, которая кричит бабушке «какой ваш телефон, какая там смс пришла — вот вам пароль, распечатанный на бумажке и я его сейчас введу» — и все вокруг смотрят на эту бумажку, а хохотушка уже в личном кабинете смотрит вклады бабушки на планшете, светя его всем окружающим… ну и о стационарного компа «вы забыли пароль сейчас я вам пришлю смс и у вас будет новый пароль к онлайн банку без всякого паспорта…
HappyGroundhog
19.09.2017 22:56К слову о Сбербанке. Расскажу одну интересную историю, приключившуюся с моим знакомым. Ранним посленовогодним утром он получил веселые смс о блокировке всех своих счетов в банке. Как потом оказалось, на волю после долгой отсидки вышел некий Иванов Иван Иванович, который оказался не только его полным тезкой, но и имел такую же дату рождения! Так вот этот Иванов имел долг государству и некий пристав на другом конце страны радостно наложил арест на все его имущество. Так вот, Сбер ЕДИНСТВЕННЫЙ, кто не выполнил предписание, т.к не совпало место рождения у того Иванова и моего знакомого. Другой банк заблокировал все счета, на машину был наложен запрет на любые действия с ней и еще очень долго он отковыривал свое имущество обратно, т.к. пристав был на другом конце страны, а наша бюрократическая машина уж очень неповоротлива… И на протяжении 4 месяцев сбер был единственным местом, где он мог получать зарплату)
nidalee
20.09.2017 09:06Угу, у меня похожая история была. Позвонил мне следователь, узнавать про перевод, который я получил. Причем пока он мне не позвонил, никто в Сбере так и не смог мне назвать причину блокировки. А вот деньги с заблокированной ментом карты снять мне никто не помешал. Разобрались, но карту перевыпускать за свой счет пришлось потом.
zlov
20.09.2017 17:05Была аналогичная ситуация с полным тёзкой, но результат другой — сбер отдал все деньги с карты. Ооочень долго ругались с банком, в итоге эта тёзка внезапно прибежала и вернула всё. Моя мама слишком мягкий человек, и от всех претензий отказалась, хотя там были виновны и сотрудник отделения и начальница и тёзка, радостно снявшая в пять раз большую сумму.
HappyGroundhog
20.09.2017 17:13У меня в последнее время складывается впечатление, что в Сбере очень адекватный колл-центр, по крайней мере они всегда бвстро и квалифицированно решают проблемы, даже такие как использование «паленого банкомата» в другом городе, после сообщения о котором мне заблокировали карту, но дали варианты не остаться без денег до возвращения домой. А вот в отделениях обычно умудряются знатно косячить, опять же двже в том случае с возможно скомпрометированной картой…
a1ien_n3t
21.09.2017 10:57Ага очень адекватен. Заблокировал карту и не предупредил.
У карты перестал работать чип, но можно было оплатить по полосе. Позвонил в КЦ попросил перевыпустить карту. Они оформили перевыпуск, только и словом не обмолвились, что текущую они заблочат. Спрашивается почему нельзя было заблокировать когда выдавать карту будут или хотя бы сказать что заблокируютploop
21.09.2017 11:41Что не предупредили — косяк конечно, а в остальном всё верно, после оформления перевыпуска карта блокируется.
KorDen32
21.09.2017 13:03У карты перестал работать чип, но можно было оплатить по полосе
Если терминал с поддержкой чипа (а у нас я уже и не помню когда видел терминалы без него), по полосе не оплатить, попросит вставить чипом.a1ien_n3t
21.09.2017 15:57Да но если чип много раз выдает ошибку то на некоторых терминалах можно оплатить полосой.
vlivyur
21.09.2017 17:26У меня тоже внезапно переставал работать чип. Прокатили полосой и норм. В следующем магазине (там уже был сберовский терминал, в первом не обратил внимания кто) такая фишка не сработала.
OlegXD
19.09.2017 23:01+1Всегда подозревал, что найдутся какие-то подвохи, поэтому ПО банков не ставлю. В случае крайней необходимости пользуюсь браузером. Менее удобно, но спокойнее себя чувствуешь.
sanrega
20.09.2017 00:02Только нал, только хардкор. А для мелких онлайн-платежей и всяких алиэкспрессов — карта Кукуруза, которая пополняется ровно на ту сумму, которую нужно потратить в онлайне.
rustavelli
20.09.2017 00:29+1просто попробуйте нормальный банк.
sanrega
20.09.2017 09:28+3Спасибо, напробовался. В итоге, осталось твёрдое убеждение, что деньги в банке — это не твои деньги. А наличка — вот она.
Gorthauer87
20.09.2017 11:45Наличка из за инфляции потихоньку тает, так что только крипта, только хардкор.
rustavelli
20.09.2017 16:00когда в этой стране крадут наличку, никто её уже не вернет.
sanrega
20.09.2017 16:15+1Когда в этой стране™ за несколько тысяч километров от дома обнаруживаешь свои карты заблокированными по ошибке ретивым, но тупым судебным приставом, тратишь баланс телефона (который нечем пополнить) на незапланированные звонки в роуминге, пытаясь выяснить что произошло, и понимаешь, что налички в кармане хватит на два раза пообедать, потому что ты доверил свои деньги "нормальным" банкам, а ты в чужом городе, вот тогда и понимаешь, что твои деньги под твои контролем только тогда, когда они у тебя в кармане.
HappyGroundhog
20.09.2017 17:15Это до случая, когда бедные мексиканцы попросят тебе помочь им материально или из номера вынесут наличку из сейфа… вот тогда понимаешь силу пластика и western union :)
YMA
20.09.2017 17:56Самое интересное, что вы совершенно правы ;) Деньги на депозите/карте в банке — это не ваши деньги. Это обязательства банка перед вами.
Проверяется просто — вносите 2000000 рублей в банк, у которого отзывают лицензию, и потом долго и упорно пытаетесь получить 600000 (сверх страховки АСВ) с банка.
Насколько я знаю, только средства на брокерских/депозитарных счетах и в ДУ являются средствами клиента, и их возврат идет вне очередей кредиторов.
vsespb
20.09.2017 01:06+1А как у других банков дела обстоят? Что-то я подозреваю что много где можно пройти «регистрацию» с нуля имея только телефон (симку) и не имея первый фактор (пароль).
FreeManOfPeace
20.09.2017 07:32+1Повторял, повторяю и буду повторять, смартфон потенциально уязвимое устройство которое может исполнять любой код, при том большая часть этого кода (в том числе и банковское приложение) закрыт, и поэтому банк-клиентам там вообще не место. Где даже гарантия что узнав про подобную уязвимость хакеры не взломают/купят какую либо популярную игру/приложение в маркете и не внедрят в неё вредонос который приведёт к массовым переводам денег на счета хакеров (особенно с учётом что по умолчанию маркет стремится сразу обновлять все приложения как только появилась сеть).
Ну и конкретно про меня, я не всегда ношу с собой смартфон, мне он больше как КПК нужен (карты, интернет и т.п.), а базовые операции с картой (посмотреть баланс/заблокировать/разблокировать) мне доступны и с звонилки USSD запросами (но я не могу, например перевести деньги таким запросом), хотя я всё равно предпочитаю платить наличкой. А для интернет банкинга есть ноутбук на Линуксе и с дополнительными мерами предосторожности.Akon32
20.09.2017 16:44По идее, доступ к данным других приложений на нерутованном устройстве у приложения закрыт, факт получения рута проверяется банк-клиентом, существуют лимиты на переводы, подтверждения "подозрительных" операций по другим каналам и т.д. Всё качественно огорожено.
Конечно, все защиты в принципе можно обойти, но вероятность "несанкционированного" доступа к счетам достаточно мала, чтобы банк-клиент можно было использовать.
springimport
20.09.2017 18:09На айфоне с отпечатком (теперь и лица) тоже так просто украсть приложения под защитой?
shurupkirov
20.09.2017 08:00При установке приложения Сбербанк.Онлайн и выборе использования входа по отпечатку пальца — использование экранной блокировки обязательно, в противном случае — не пашет
M_AJ
20.09.2017 08:02Статья выглядит так, как будто я могу взять любой телефон, удалить сберовское приложение, постааить его снова, и получить доступ к счету хозяина телефона. НО, автор забыл сообщить, что перед тем как отправить код приложение просит логин от личного кабинета. Не надо так делать.
PaulZi Автор
20.09.2017 09:34Логин от личного кабинета зачастую можно легко найти в этом же телефоне, не говоря уже о том, что часто логин вообще общеизвестен и легко находим.
M_AJ
20.09.2017 10:49С тем же успехом, на телефоне может быть и номер карты с CVV, и пароль от ЛК. Человеку, что так хранит учётные данные вообще мало что поможет.
PaulZi Автор
20.09.2017 11:01С каких пор логин является секретной информацией? Многие сайты логины запоминают и подставляют в поле, да даже браузеры запоминают логины и дают их в подсказках автокомплитом, о чём вы говорите? Большая часть людей не запаривается с секретностью логина.
M_AJ
20.09.2017 11:35Смотря какой логин. Понятно, что логин от форума не особо секретен, но все что связано с авторизацией в банке очевидно нужно хранить в секрете. А что касается сайтов, то некоторые особо одаренные и CVV код во время ввода показывают, хотя он определённо чувствительная информация.
ggo
20.09.2017 10:15+1Увы и ах. Это не Сбер плохой, или любой другой условный банк.
Консьюмеризация виновата.
Абсолютному большинству клиентов банков плевать, что выполнение чего-либо в мобильном приложении, и получение СМС на этот же телефон, никак не связано с повышенной безопасностью.
С другой стороны, если банк будет делать все правильно с точки зрения безопасного поведения пользователей, то абсолютному большинству его клиентов это будет неудобно. И они сбегут в соседний банк.
Пример, Банк запускает услугу — можно онлайн снять с чужой карты нужную сумму, и закинуть ее на свою. Для этого в мобильном приложении этого банка нужно вбить все реквизиты чужой карты, включая cvv. Для любого здравомыслящего очевидно, нельзя вбивать реквизиты своей карты в чужой телефон, в чужое приложение. Для абсолютного большинства — вау, классная фишка, надо срочно пользоваться. И ведь пользуются…pnetmon
20.09.2017 10:55С другой стороны, если банк будет делать все правильно с точки зрения безопасного поведения пользователей, то абсолютному большинству его клиентов это будет неудобно. И они сбегут в соседний банк.
Банк делает как не надо, а Виноваты и убытки от этих неправильных действий должны нести клиенты, да?
Может виноваты в этом управленцы которые такое допускают в погоне за своей личной прибылью.
Консьюмеризация виновата
Ух слово то какое. Консьмеризация подразумевает под собой внедрение различных потребительских устройств (планетов, смартфонов) для выполнения бизнес-задач на уровне корпоративной ИТ-системы. Так устанавливаемое приложение не является рабочим инструментом клиента банка для выполнения своих трудовых функций.
THT
20.09.2017 10:58Приложение установлено на основном телефоне (андройд), смс-ки сыпятся на другой телефон (ios).
После недавнего обновление СберОнлайн, можно теперь блокировать доступ к смс, и приложение запустится и будет работать. До этого, нужно было обязательно выдавать доступ на смс, иначе приложение не запускалось бы. Написал им фидбек месяца 3-4 назад, с недоумением, почему приложению нужен доступ к смс, хотя смс от 900 в этом телефоне ни когда не было и не будет. Разум, восторжествовал :)
Corsonamor
20.09.2017 10:59Как раз на днях новое лицензионное соглашение подъехало. Если приложение сбербанка установлено, то вы соглашаетесь с доступом к контактам, смс, камере, микрофону, геоданные, айпи, версия ОС и модель телефона, информация об установленном на телефоне ПО (проверяется их встроенным антивирусом).
Всю эту информацию банк может отправлять сторонним лицам для обработки и анализа.YMA
21.09.2017 12:36Вот только еще осталось заставить меня дать приложению эти разрешения. Щаззз…
PS: заглянул в свойства приложения — геопозиция: Никогда, контакты: выключено, камеру, смс и микрофон приложение не просит.
YMA
20.09.2017 11:05Поддерживаю автора, писал уже много раз в поддержку Сбера, чтобы помимо СМС-кода добавили и проверку пароля для введенного логина. Игнорируют…
PS: Помимо безопасности, еще и неудобства пользователям причиняют — мне регулярно приходят СМС с кодами, которые запросил кто-то, пытающийся зарегистрировать себе мой логин.
Gorthauer87
20.09.2017 11:43Храню на счету с которого доступны траты денег на телефоне, только небольшую сумму денег. Для повседневных дел хватает с лихвой, а потерять не так жалко, как все деньги.
Ну и к тому же у альфы авторизация по отпечатку пальца.
Смешно, что при всем этом приложение сбера блокируется на андроидах с рутом. Вот уж безопасность.KorDen32
20.09.2017 19:33Ну и к тому же у альфы авторизация по отпечатку пальца
Это авторизация в приложении, когда вы уже зарегистрировали приложение.
А если снести приложение и поставить заново чистое — что понадобится первоначально для входа в вашем банке?
TimsTims
20.09.2017 12:32Не совмещайте устройства доступа к системе «Сбербанк Онлайн» и устройства получения SMS-сообщений с подтверждающим одноразовым паролем (например, мобильный телефон, смартфон или планшет). Для мобильных устройств созданы специализированные версии системы.
Подсказываю лайфхак: сбербанк оформляем себе, а такие смски заводим на номер жены/супруги. Соответственно если надо восстановить доступ — код придёт ей. С её стороны — делаем то же самое.
Ivan_83
20.09.2017 14:13-1Какие мобилы!?
Какие смс!?
Вы вообще думать умеете? А читать?
xakep.ru/2017/09/19/ss7-flaws-poc
Сколько вам ещё надо статей о том что:
— аднройд решето (и гуглеаутентификатор тоже, потому что на решете исполняется)
— яблоко решето
— сотовая связь и SS7 решето
СКОЛЬКО ещё раз повторять!?Andrusha
20.09.2017 15:02А что делать-то? Вы деньги в стеклянной банке храните, на криптовалюты уже перешли или натуральным хозяйством живёте? Поделитесь опытом борьбы с неидеальным (по меркам криптоанархистов) миром.
Ivan_83
23.09.2017 00:31Я всё спускаю на семью, у меня нет проблемы с хранением.
Мысль моя в том, что проводной телефон был средством связи, а сотовый это средство контроля. И чем дальше — тем хуже. В начале тебя просто можно было везде достать звонком и узнать примерно где ты, сейчас можно точно узнать где ты, сфотать/посмотреть видео с тобой и тп.
Не доверять сотовым ничего ценного вообще.
Знает сотовый — знает ещё 100500 людей. Не важно что ты думаешь что у тебя безопасный телефон и ты вроде никому ничего не отправлял и тп.
Вон, кури, сам увидишь какая это гнилая тема: kiwibyrd.org/tag/%d1%82%d0%b5%d0%bb%d0%b5%d1%84%d0%be%d0%bd%d0%bd%d0%b0%d1%8f-%d0%bf%d1%80%d0%be%d1%81%d0%bb%d1%83%d1%88%d0%ba%d0%b0
SVP7777
1. Если бы темой интересовался, то знал бы что уже ломали африканских операторов и через них залезали в SS7.
Это то что всплывало на публике.
И вообще, сс7 только кажется сложной темой, нужно учитывать что это всё хозяйство от кондовых телефонистов, а они… кхм, ну короче телефонист это диагноз, по хуже пхпголовного мозга, намного.
Достаточно посмотреть на эрланг и фрирадиус и их неповторимую логику :)
Это всё к тому, что знающий скорее всего без проблем найдёт кучи шлюзов в сс7 открытых или с паролями вендора/интегратора.
2. Тебе не просто доступ к сс7 получить, но вопрос в том, от кого ты защищаешься.
В истории с телегой и кем то от Навального доступ к не был проблемой.
3. Кроме дырявой SS7 есть ещё не менее дырявый GSM и всё что пришло после него, но тут действительно порог чуть выше чем клаводрочество, ибо нужно и приёмник иметь и как то предварительно выцепить терминал — те быть близко и тп.
Ну или более простая в плане напрягов тема с фальшивыми сотами и митм, но более дорогая по деньгам.
arcman
Перевыпуск это для всяких недалёких жуликов-гопников.
Ссылки выше, тема с мобильными очень гнилая, насквозь: от железа до сетей.Andrusha
23.09.2017 17:34В целом я согласен, что защищённость современных гаджетов оставляет желать лучшего, но вот так радикально отказываться от благ цивилизации тоже не вариант. Всегда можно найти компромисс между безопасностью и удобством. И по поводу стационарного телефона вы зря так: с технической точки зрения его прослушать — раз плюнуть, что для государства, что для частных лиц.
svp777
21.09.2017 09:34Процитирую, что доступ в SS7 получить не так просто
И в итоге мы дошли до того, что нужно иметь доступ к внутренней сети оператора, который получается либо посредством взлома периметра, либо реганьем виртуального оператора, который будет иметь право получать данные по абонентам внутри сети и всё такое прочее. Т.е. ничего похожего на «смотри, вот антена с алиэкспресс за 300 рублей, вот прога которая работает с антеной и перехватывает все смс для абонента, если он находится в пределах 100 метров действия антены по спец. алгоритму описанному ЗДЕСЬ, т.к. все передаваемые данные не шифрованы». Т.е. всё сводится к получению доступа к внутр. сети оператора.
Ну или это «тайное знание» вы знаете, и молчите, а мы не знаем и плохо искали.
arcman
21.09.2017 10:17Есть проще варианты:
www.mobile-review.com/articles/2015/bee-sim-zamena.shtml
Перевыпуск SIM карты по липовой доверенности.
Банки не всегда могут определить, что была замена SIM, у меня так было с Мегафон (Альфа-банк, Тинькофф).
arcman
21.09.2017 10:21Зря минуснули, все правильно написал, пусть и немного эмоционально.
Про успешную эксплуатацию уязвимости SS7:
geektimes.ru/post/288913
Про банальный перевыпуск SIM карты по липовой доверенности:
www.mobile-review.com/articles/2015/bee-sim-zamena.shtml
152251
20.09.2017 14:52Телефон с рутом, приложение сбербанка позволяет делать платежи? только по шаблонам, карта привязана к симке которую вставляю в телефон только при необходимости)))
unwrecker
21.09.2017 12:31Сбером не пользовался. Но вот в мобильных приложениях Тинькова и ВТБ24 при входе пароль или пин-код/отпечаток пальца (который ставишь сам после первой авторизации) спрашивается.
arcman
21.09.2017 13:44неважно что там спрашивается при в ходе, важно что достаточно лишь кода из СМС что бы сбросить любой ваш пароль/пин-код.
Murmand
Думаю так оно получше будет.
Murmand
И к слову, если вы потеряете к примеру кошелек с пятьюдесятью тысячами рублей, то вероятность этих денег никогда не увидеть гораздо больше чем опустошение счета нашедшим ваш телефон прохожим.
mrchoo
Все же, суммы, хранящиеся в кошельке и на счету в банке, могут отличаться на несколько порядков. Это имеет значение.
Murmand
Бесспорно, для меня к примеру уже давно телефон = кошелек и ни то ни другое я не оставляю без присмотра в малознакомых мне местах, более того у меня отключены всякие глупые переводы по СМС и авторизацию по придуманному мной паролю запрашивает как само приложение (к слову не только сберовское), так и телефон при разблокировке.
Я думаю при утрате телефона у меня будет достаточно времени для блокировки как счетов так и симкарты.
Wolframium13
На сколько я помню, там суточное ограничение в 100 000?. Так что не на порядок, а в два раза.
*при условии, что за сутки вы заметите пропажу телефона и обратитесь в банк за блокировкой
Black_Shadow
Вы таскаете с собой в кошельке 50000р?
mphys
Сразу видно что вы не из Москвы, тут люди с собой и побольше таскают, на карманные повседневные расходы
mrchoo
Да ладно. Пример, конечно, нерепрезентативен, но все мои московские друзья наличку почти не таскают, в основном пластик.
igruh
Полтора миллиона в месяц или по полкило чёрной икры в день. Да, мы тут в столице все такие.
vvzvlad
Надоела эта чёрная икра, не могу уже. Но и уезжать не хочется. Приходится есть!
zomby
arcman
Для того что бы получать ваши SMS физический доступ к вашей SIM карте не нужен.
geektimes.ru/post/288913
Более того, вполне работоспособной может оказаться схема с дубовым перевыпуском SIM карты по липовой доверенности.
У меня ломалась карта Мегафон и я заказал новую — ни один банк-клиент подмены не заметил (Альфа-банк, Тинькофф).