Разрешения мобильных приложений банков

[Tomitake-san]

Какие банковские приложения запрашивают разрешения, как их используют и как работают, если разрешения не выдавать

Некоторые МП при установке запрашивают права доступа которые им необязательны или не нужны для работы. Некоторые без выданных разрешений совсем отказываются работать, другие просто ограничивают функционал.

Одно дело, если вы даете МП доступ к геолокации, чтобы показался ближайший банкомат или доступ к контактам, чтобы выбрать кому перевести деньги из списка. Если удобно искать банкомат вручную по карте, переводить по скопированному номеру, не доверять банку хранение контактов, исследование истории вызовов и перемещений — это должен быть ваш выбор.

Совсем другое, когда приложение хочет доступ к звонкам, контактам, файлам и совсем отказывается работать, если эти разрешения не выдавать.

По мотивам статьи: «Банки ультимативно лезут к нам в личную жизнь» (2021, Хабр) и таблицы из статьи: «Отчет по приложениям банков» (2021, Google Docs)

Предлагаю сделать актуальную таблицу по опыту форумчан.

 

[Tomitake-san]

Собственный опыт:

Альфа-банк
Версия 12.29.03

Запрашивает доступ:
Геолокация — для отображения банкоматов.
Контакты — для переводов из списка контактов, определителя номеров.
Камера — для сканирования QR для платежей и переводов.
Микрофон — для голосового помощника и звонка в банк
Фото и видео — для сканирование QR из галереи телефона, добавление изображений в чат с поддержкой.
Звонки — для определителя номеров.
Отображение поверх других приложений — для определителя номеров.

Если не выдавать разрешения: приложение работает.

Озон
Версия 18.14.0

Запрашивает доступ:
Геолокация — для отображения банкоматов.
Контакты — для переводов из списка контактов.
Камера — для сканирования QR для платежей и переводов.
Для добавления изображений в чат использует Storage Access Framework, а не собственную галерею как иные банки. Поэтому можно прикрепить нужный файл не давая доступ к остальным.

Если не выдавать разрешения: приложение работает.

Райффайзен
Версия 6.32.88

Запрашивает доступ:
Геолокация — для отображения банкоматов.
Контакты — для переводов из списка контактов.
Камера — для сканирования QR для платежей и переводов.
Фото и видео — для сканирование QR из галереи телефона, добавление изображений в чат с поддержкой.
Признается при установке и в Google Play об этом строчка есть, что запрашивает список установленных приложений. Об этом ещё напишу отдельно ниже.

Если не выдавать разрешения: приложение работает.

Т-Банк (Тинькофф)
Версия 7.10.0

Запрашивает доступ:
Геолокация — для отображения банкоматов.
Контакты — для переводов из списка контактов, определителя номеров.
Камера — для сканирования QR и номеров телефонов для платежей и переводов.
Микрофон — для голосового помощника.
Фото и видео — для сканирование QR из галереи телефона, добавление изображений в чат с поддержкой.
Звонки — для определителя номеров.
Отображение поверх других приложений — для определителя номеров, для Tinkoff Pay.

Если не выдавать разрешения: приложение работает.

Сбербанк
Версия 16.8.0

Запрашивает доступ:
Геолокация — для отображения банкоматов.
Контакты — для переводов из списка контактов, определителя номеров.
Камера — для сканирования QR и номеров телефонов для платежей и переводов.
Микрофон — для голосового помощника.
Фото и видео — для сканирование QR из галереи телефона, добавление изображений в чат с поддержкой.
Звонки — для определителя номеров.

Если не выдавать разрешения: приложение работает.
Ранее Сбер не работал без доступа к файлам и контактам.

А есть ещё одна интересная вещь с доступом к списку установленных приложений:
Ссылка на комментарий

С уходом из гугл плея в рустор многие российские приложения, например банки, с удовольствием добавили себе в манифест пермишены, с которыми гугл им никогда бы не дал опубликоваться в официальном сторе, например "QUERY_ALL_PACKAGES", чтобы следить за тем какие приложения установлены на устройстве пользователя. Эта информация может быть реально необходима приложению примерно никогда, в 99% случаев она нужна различным SDK которые собирают информацию о пользователе, телеметрию, профили для аналитики, статистики, и т.д. и ничего полезного для самого пользователя не делают. Гугл не разрешает публиковать приложения с этим пермишеном в официальном гугл сторе, но вот, сразу же после выхода первой же версии приложения в русторе, от приложений российских банков в сеть полетели данные об установленных приложениях.
Абсолютно та же история с чтением СМС. Гугл, в принципе, даёт право публиковать подобные приложения в сторе, но проверяет их в ручном режиме и смотрит действительно ли им необходим доступ к всем СМС, если нет - разворачивает. Разумеется, никаким банкам никакой доступ к СМС не может быть нужен в принципе. "Нам нужны ОТР-коды из СМС" - не оправдание. Для этого, во-первых, есть специальное апи, которое позволяет получить код из СМС и при этом не даёт доступа к содержанию всех остальных сообщений, а во-вторых, ничего не случится если пользователю потребуется лишние 3 секунды, чтобы посмотреть пришедшее СМС самостоятельно. Стоит ли и говорить что перейдя в рустор банки сразу же себе эти пермишены добавили, и теперь они имеют полный доступ к всем вашим СМС и могут делать с ними всё что хотят - читать, анализировать, удалять, отправлять, и т.д.

Или как писали в комментариях под статьей, что банк ругается на установленное приложение для удаленного доступа.
Что устанавливает пользователь и как пользуется — это его дело. Да, существуют способы мошенничества, чтоб выманить деньги с пользователя, попросив его установить такую программу и сообщить коды доступа, но это не значит, что нужно запрещать остальным ей пользоваться.
Банки из моего списка ни на какие Anydesk, RustDesk, TeamViewer не ругались.

 

[123]

Из моего опыта, ВТБ единственный, кто отказывается работать без разрешения "Телефон".
Обычно, я не даю банковским приложениям никаких разрешений.

 

[Compaq]

Росколхоз тем же страдает

 

[gasss999]

Подскажите, пж, а что значит вот такое в настройках красного банка, в чате отвечают, что это для альфа пей и все вопросы к разработчикам, хочу оспорить это, согласие на слив данных не давала, причем когда у них идёт обновление у меня слетают настройки телефона. Что делать? Может Роскомнадзор?

 

[falkon]

@gasss999, а что именно Вас так озадачило?
Любой из этих доступов банком будет обоснован.
Контакты нужны для оплаты по ним.
Смс что бы подставлять смс коды.
Память что бы скачивать файлы.
Место положение показывать офисы и банкоматы.
Вызовы что бы отвечать на звонки.
И все это в целях безопасности.
Хотя по факту преследуют другие цели...))

 

[Baki]

Смс что бы подставлять смс коды

Это разрешение не требуется на современном Андроиде, и, более того, Гугл запрещает его запрашивать без веской причины.

В системе Андроид теперь есть встроенная функциональность, которая подставляет смс-коды в приложение, не требуя разрешений и не позволяя приложению прочитать чей-то чужой смс-код.

Другое дело, где Гугл с его требованиями, а где РуСтор, где всё сделано для "удобства" разработчиков по сливу данных.

 

[Baki]

а что значит вот такое в настройках красного банка

Если вы имеете в виду пункт "Приостановить работу, если приложение не используется", то:

Андроид следит за тем, как часто вы заходите в установленные на ваш телефон приложения. Если вы несколько месяцев не появлялись в приложении, считается что вы его забросили. Поэтому у приложения чистится кэш, отзываются разрешения, в последнее время ещё и сгружать их с устройства научились (как у айфонов).

Этот параметр не имеет никакого влияния на те приложения, в которые вы регулярно заходите.

Если вы хотите, чтобы приложение Альфы не работало в фоне, пока вы сами в него не зашли, вам нужен не этот параметр со скриншота, а параметр в настройках батареи. Попробуйте кстати нажать на пункт "Батарея" с вашего скриншота, скорее всего именно там найдёте настройку про фоновый режим.

 

[gasss999]

Если вы имеете в виду пункт "Приостановить работу, если приложение не используется", то:

Андроид следит за тем, как часто вы заходите в установленные на ваш телефон приложения. Если вы несколько месяцев не появлялись в приложении, считается что вы его забросили. Поэтому у приложения чистится кэш, отзываются разрешения, в последнее время ещё и сгружать их с устройства научились (как у айфонов).

Этот параметр не имеет никакого влияния на те приложения, в которые вы регулярно заходите.

Если вы хотите, чтобы приложение Альфы не работало в фоне, пока вы сами в него не зашли, вам нужен не этот параметр со скриншота, а параметр в настройках батареи. Попробуйте кстати нажать на пункт "Батарея" с вашего скриншота, скорее всего именно там найдёте настройку про фоновый режим.

Интересно. Спасибо за ответ, попробую, но думаю это именно в приложении дело.. В чате мне отвечали так;

 

[gasss999]

@gasss999, а что именно Вас так озадачило?
Любой из этих доступов банком будет обоснован.
Контакты нужны для оплаты по ним.
Смс что бы подставлять смс коды.
Память что бы скачивать файлы.
Место положение показывать офисы и банкоматы.
Вызовы что бы отвечать на звонки.
И все это в целях безопасности.
Хотя по факту преследуют другие цели...))

Меня смутили постоянные проблемы с телефоном при обновлении их приложения. Чёто такого не наблюдала у Сбера, ВТБ и т п. Альфа самый умный получается.))

 

[Baki]

В чате мне отвечали так

Ну они говорят примерно о том же: Альфа-Пэй должно продолжать работать, даже если вы в само мобильное приложение Альфы не заходите совсем, поэтому Андроид не будет помечать это приложение как неиспользуемое.

постоянные проблемы с телефоном при обновлении их приложения

Вряд ли подобная настройка их решит, вообще приложение не должно влиять на поведение всего телефона. Разве что только на быстродействие...

 

[falkon]

Другое дело, где Гугл с его требованиями, а где РуСтор, где всё сделано для "удобства" разработчиков по сливу данных.

Поставьте приложение с сайта... Минуя рустор.
Меня тоже раздражает когда приложение требует права, по-моему ГПЗ не работает без доступа к звонкам, Сбер просит доступ вроде к звонкам, или самому телефону и без этого не запускается, при этом в настройках у Сбера и разрешений ни каких нет... И все это подаётся под соусом безопасности...
И кстати у меня Альфа позволяет менять разрешения, кроме фонового режима, приложение ставилось с сайта и обновляется через само себя...

Меня смутили постоянные проблемы с телефоном при обновлении их приложения. Чёто такого не наблюдала у Сбера, ВТБ и т п. Альфа самый умный получается.))

А в чем проблемы? Может нужно почитать информацию про свой телефон и узнать есть ли у других такие же проблемы. Возможно стоит удалить и поставить приложение по новой...

 

[gasss999]

Поставьте приложение с сайта... Минуя рустор.
Меня тоже раздражает когда приложение требует права, по-моему ГПЗ не работает без доступа к звонкам, Сбер просит доступ вроде к звонкам, или самому телефону и без этого не запускается, при этом в настройках у Сбера и разрешений ни каких нет... И все это подаётся под соусом безопасности...
И кстати у меня Альфа позволяет менять разрешения, кроме фонового режима, приложение ставилось с сайта и обновляется через само себя...


А в чем проблемы? Может нужно почитать информацию про свой телефон и узнать есть ли у других такие же проблемы. Возможно стоит удалить и поставить приложение по новой...

Попробую с сайта, спасибо. Слетают настройки на нфс, строго после обновления приложения. Мутят крутят)).

 

[gasss999]

Так я и не пользуюсь Альфа пейэм, оно мне не надо и не просила в таком ракурсе настройки регулировать, такие простые)).

 

[falkon]

Видимо приложение спрашивает ставить альфа пей по умолчанию или нет, и Вы соглашаетесь..

 

[gasss999]

Видимо приложение спрашивает ставить альфа пей по умолчанию или нет, и Вы соглашаетесь..

Вот спасибо вам большое! Установила с сайта - в настройках теперь все регулируемо, даже не знала что такие камни подводные есть, теперь буду внимательнее.))

 

[gasss999]

Это разрешение не требуется на современном Андроиде, и, более того, Гугл запрещает его запрашивать без веской причины.

В системе Андроид теперь есть встроенная функциональность, которая подставляет смс-коды в приложение, не требуя разрешений и не позволяя приложению прочитать чей-то чужой смс-код.

Другое дело, где Гугл с его требованиями, а где РуСтор, где всё сделано для "удобства" разработчиков по сливу данных.

И вам спасибо! Читаю всю ветку сначала ибо доходит туго.))

 

[Tomitake-san]

Сбер - с каких-то пор одумался и теперь работает полноценно без обязательных разрешений.
Версия 16.8.0 с сайта банка.