• Размещать ответы в темах можно без регистрации, сообщения будут опубликованы после модерации

Разрешения мобильных приложений банков

Tomitake-san

Новичок
Рег-ция
23.04.2024
Темы
1
Сообщения
4
Реакции
12
Какие банковские приложения запрашивают разрешения, как их используют и как работают, если разрешения не выдавать

Некоторые МП при установке запрашивают права доступа которые им необязательны или не нужны для работы. Некоторые без выданных разрешений совсем отказываются работать, другие просто ограничивают функционал.

Одно дело, если вы даете МП доступ к геолокации, чтобы показался ближайший банкомат или доступ к контактам, чтобы выбрать кому перевести деньги из списка. Если удобно искать банкомат вручную по карте, переводить по скопированному номеру, не доверять банку хранение контактов, исследование истории вызовов и перемещений — это должен быть ваш выбор.

Совсем другое, когда приложение хочет доступ к звонкам, контактам, файлам и совсем отказывается работать, если эти разрешения не выдавать.

По мотивам статьи: «Банки ультимативно лезут к нам в личную жизнь» (2021, Хабр) и таблицы из статьи: «Отчет по приложениям банков» (2021, Google Docs)

Предлагаю сделать актуальную таблицу по опыту форумчан.
 
Собственный опыт:

Альфа-банк
Запрашивает доступ:
Геолокация — для отображения банкоматов.
Контакты — для переводов из списка контактов, определителя номеров.
Камера — для сканирования QR для платежей и переводов.
Микрофон — для голосового помощника и звонка в банк
Фото и видео — для сканирование QR из галереи телефона, добавление изображений в чат с поддержкой.
Звонки — для определителя номеров.
Отображение поверх других приложений — для определителя номеров.

Если не выдавать разрешения: приложение работает.

Озон
Запрашивает доступ:
Геолокация — для отображения банкоматов.
Контакты — для переводов из списка контактов.
Камера — для сканирования QR для платежей и переводов.
Для добавления изображений в чат использует Storage Access Framework, а не собственную галерею как иные банки. Поэтому можно прикрепить нужный файл не давая доступ к остальным.

Если не выдавать разрешения: приложение работает.

Райффайзен
Запрашивает доступ:
Геолокация — для отображения банкоматов.
Контакты — для переводов из списка контактов.
Камера — для сканирования QR для платежей и переводов.
Фото и видео — для сканирование QR из галереи телефона, добавление изображений в чат с поддержкой.
Признается при установке и в Google Play об этом строчка есть, что запрашивает список установленных приложений. Об этом ещё напишу отдельно ниже.

Если не выдавать разрешения: приложение работает.

Тинькофф

Запрашивает доступ:
Геолокация — для отображения банкоматов.
Контакты — для переводов из списка контактов, определителя номеров.
Камера — для сканирования QR и номеров телефонов для платежей и переводов.
Микрофон — для голосового помощника.
Фото и видео — для сканирование QR из галереи телефона, добавление изображений в чат с поддержкой.
Звонки — для работы определителя номеров.
Отображение поверх других приложений — для определителя номеров, для Tinkoff Pay.

Если не выдавать разрешения: приложение работает.

А есть ещё одна интересная вещь с доступом к списку установленных приложений:
Ссылка на комментарий
С уходом из гугл плея в рустор многие российские приложения, например банки, с удовольствием добавили себе в манифест пермишены, с которыми гугл им никогда бы не дал опубликоваться в официальном сторе, например "QUERY_ALL_PACKAGES", чтобы следить за тем какие приложения установлены на устройстве пользователя. Эта информация может быть реально необходима приложению примерно никогда, в 99% случаев она нужна различным SDK которые собирают информацию о пользователе, телеметрию, профили для аналитики, статистики, и т.д. и ничего полезного для самого пользователя не делают. Гугл не разрешает публиковать приложения с этим пермишеном в официальном гугл сторе, но вот, сразу же после выхода первой же версии приложения в русторе, от приложений российских банков в сеть полетели данные об установленных приложениях.
Абсолютно та же история с чтением СМС. Гугл, в принципе, даёт право публиковать подобные приложения в сторе, но проверяет их в ручном режиме и смотрит действительно ли им необходим доступ к всем СМС, если нет - разворачивает. Разумеется, никаким банкам никакой доступ к СМС не может быть нужен в принципе. "Нам нужны ОТР-коды из СМС" - не оправдание. Для этого, во-первых, есть специальное апи, которое позволяет получить код из СМС и при этом не даёт доступа к содержанию всех остальных сообщений, а во-вторых, ничего не случится если пользователю потребуется лишние 3 секунды, чтобы посмотреть пришедшее СМС самостоятельно. Стоит ли и говорить что перейдя в рустор банки сразу же себе эти пермишены добавили, и теперь они имеют полный доступ к всем вашим СМС и могут делать с ними всё что хотят - читать, анализировать, удалять, отправлять, и т.д.
Или как писали в комментариях под статьей, что банк ругается на установленное приложение для удаленного доступа.
Что устанавливает пользователь и как пользуется — это его дело. Да, существуют способы мошенничества, чтоб выманить деньги с пользователя, попросив его установить такую программу и сообщить коды доступа, но это не значит, что нужно запрещать остальным ей пользоваться.
Банки из моего списка ни на какие Anydesk, RustDesk, TeamViewer не ругались.
 
Из моего опыта, ВТБ единственный, кто отказывается работать без разрешения "Телефон".
Обычно, я не даю банковским приложениям никаких разрешений.
 
Росколхоз тем же страдает
 

Вложения

  • Screenshot_20240818_163308_ru.rshb.dbo~2.webp
    Screenshot_20240818_163308_ru.rshb.dbo~2.webp
    47,3 КБ · Просмотры: 30

Кто сейчас смотрит эту тему

Назад
Верх