eGospodarka.pl

eGospodarka.plFinanseGrupypl.biznes.banki › Apki bankowe na Androida i ich (nie)bezpieczeństwo
Ilość wypowiedzi w tym wątku: 6

  • 1. Data: 2021-01-08 14:41:06
    Temat: Apki bankowe na Androida i ich (nie)bezpieczeństwo
    Od: "witrak()" <w...@h...com>

    Od pewnego czasu prowadzę korespondencję z Citi na temat ich apki mobilnej na
    Androida. Otóż ona domaga się zaraz po uruchomieniu uprawnienia Phone, które jest
    uważane za niekoniecznie bezpieczne a którego ja nie mam ochoty nadawać żadnej
    aplikacji, która tego nie potrzebuje do wykonywania (prawie) wszystkich funkcji.

    > Phone
    > Allows apps to know your phone number, current cellular network information, and
    ongoing call status. Apps can also make and end calls, see who's calling you, read
    and edit your calling logs, add voicemail, use VoIP, and even redirect calls to other
    numbers.

    Citi twierdzi, że potrzebują, aby móc połączyć użytkownika z konsultantem (bo tępy
    użytkownik nie potrafi sam wybrać numeru...) i przyjmować powiadomienia Push. To
    pierwsze jest bzdurą, to drugie kłamstwem (o ile prawdą jest to, co piszą w
    internetach, iOSowa apka owszem, ale Androidowa takiego uprawnienia nie potrzebuje).

    Na razie Citi wycofało się z obowiązkowej aplikacji do potwierdzania operacji
    kartowych, ale pewnie to w końcu wprowadzą.
    Gorzej, że najnowsza wersja IKO (do Inteligo) zaczęła żądać tego samego uprawnienia.


    Ale apki innych banków (np. Mille, N26, NestBank, Alior, AliorKantor, Getin) i
    nie-banków (np. Glovo, Inpost, Allegro) dają się używać bez Phone, choć z Push
    korzystają. Miały inteligentniejszych projektantów?

    Z bankami (no, raczej z inteligentnymi inaczej projektantami aplikacji) wygrać
    trudno, ale jednak wydaje mi się, że należałoby coś z tym próbować robić.

    Rozsądnie zrobiona aplikacja - jeśli z jakichś powodów faktycznie potrzebuje telefonu
    - sprawdza czy ma uprawnienie w trakcie próby wykonania funkcji wymagającej go.
    Jeżeli domaga się go generalnie, to już to samo może sugerować, że chce mieć dostęp
    celem szpiegowania. Nie twierdzę, że na pewno, ale pamięta ktoś może historię takiej
    smartfonowej gry AngryBirds? Miała lukę, którą amerykańskie 3-literowe agencje (a
    pewnie i rosyjskie 3-literowe agencje) wykorzystywały do wprowadzania własnego
    oprogramowania do wybranych telefonów - i luka tak bardzo długo nie była
    poprawiona... Więc nawet złych intencji nie trzeba przypisywać twórcom - wystarczy,
    że aplikacja będzie "łamliwa".
    Ja osobiście nie zainstaluję krajowej aplikacji ostrzegającej o kontaktach z osobami
    z koronawirusem, bo za dużo może i zbiera za dużo informacji. Już mObywatel mi się
    niespecjalnie podoba... Też bez uprawnienia Phone nie chce działać, ale przynajmniej
    kamery i lokalizacji nie żąda.

    Czy na gruncie ochrony danych osobowych nic się nie da zdziałać?

    witrak()


  • 2. Data: 2021-01-08 15:20:01
    Temat: Re: Apki bankowe na Androida i ich (nie)bezpieczeństwo
    Od: Kamil Jońca <k...@p...onet.pl>

    "witrak()" <w...@h...com> writes:

    > Od pewnego czasu prowadzę korespondencję z Citi na temat ich apki
    > mobilnej na Androida. Otóż ona domaga się zaraz po uruchomieniu
    > uprawnienia Phone, które jest uważane za niekoniecznie bezpieczne a

    Doskonale CIę rozumiem.

    > którego ja nie mam ochoty nadawać żadnej aplikacji, która tego nie
    > potrzebuje do wykonywania (prawie) wszystkich funkcji.
    >
    >> Phone
    >> Allows apps to know your phone number, current cellular network information, and
    ongoing call status. Apps can also make and end calls, see who's calling you, read
    and edit your calling logs, add voicemail, use VoIP, and even redirect calls to other
    numbers.
    >
    > Citi twierdzi, że potrzebują, aby móc połączyć użytkownika z
    > konsultantem (bo tępy użytkownik nie potrafi sam wybrać numeru...) i
    Ale to nie jest wytłumaczenie, jeśli ja chcę tylko używać tylko do
    uwierzytelniania.

    > przyjmować powiadomienia Push. To pierwsze jest bzdurą, to drugie
    > kłamstwem (o ile prawdą jest to, co piszą w internetach, iOSowa apka
    > owszem, ale Androidowa takiego uprawnienia nie potrzebuje).
    >
    > Na razie Citi wycofało się z obowiązkowej aplikacji do potwierdzania operacji
    kartowych, ale pewnie to w końcu wprowadzą.
    > Gorzej, że najnowsza wersja IKO (do Inteligo) zaczęła żądać tego samego
    uprawnienia.
    >
    > Ale apki innych banków (np. Mille, N26, NestBank, Alior, AliorKantor, Getin) i
    nie-banków (np. Glovo, Inpost, Allegro) dają się używać bez Phone, choć z Push
    korzystają. Miały inteligentniejszych projektantów?
    >
    > Z bankami (no, raczej z inteligentnymi inaczej projektantami aplikacji) wygrać
    trudno, ale jednak wydaje mi się, że należałoby coś z tym próbować robić.
    [...]
    >
    > Czy na gruncie ochrony danych osobowych nic się nie da zdziałać?

    Ja bym celował raczej w UOKiK.

    KJ


    --
    http://stopstopnop.pl/stop_stopnop.pl_o_nas.html


  • 3. Data: 2021-01-08 23:47:16
    Temat: Re: Apki bankowe na Androida i ich (nie)bezpieczeństwo
    Od: Alf/red/ <a...@u...waw.pl>

    W dniu 08.01.2021 o 14:41, witrak() pisze:
    > Czy na gruncie ochrony danych osobowych nic się nie da zdziałać?

    Możesz się powoływać na zasadę minimalizacji (art 5 pkt 1c). Bo numer
    telefonu też się łapie jako dana osobowa.

    Ale ta apka jest robiona pewnie w US, więc nie bardzo jest kim
    straszyć... Bo Jan Nowak pewnie nie uzna tego za na tyle istotny
    problem, żeby wszczynać postępowanie :-\

    --
    Alf/red/


  • 4. Data: 2021-01-09 01:06:06
    Temat: Re: Apki bankowe na Androida i ich (nie)bezpieczeństwo
    Od: "r...@k...pl" <r...@k...pl>

    Fri, 8 Jan 2021 05:41:06 -0800 (PST), w
    <f08210a1-6c44-41ee-affb-599658ce38d2n@googlegroups.
    com>, "witrak()"
    <w...@h...com> napisał(-a):

    > Od pewnego czasu prowadzę korespondencję z Citi na temat ich apki mobilnej na
    Androida. Otóż ona domaga się zaraz po uruchomieniu uprawnienia Phone, które jest
    uważane za niekoniecznie bezpieczne a którego ja nie mam ochoty nadawać żadnej
    aplikacji, która tego nie potrzebuje do wykonywania (prawie) wszystkich funkcji.
    >
    > > Phone
    > > Allows apps to know your phone number, current cellular network information, and
    ongoing call status. Apps can also make and end calls, see who's calling you, read
    and edit your calling logs, add voicemail, use VoIP, and even redirect calls to other
    numbers.
    >
    > Citi twierdzi, że potrzebują, aby móc połączyć użytkownika z konsultantem (bo tępy
    użytkownik nie potrafi sam wybrać numeru...) i przyjmować powiadomienia Push. To
    pierwsze jest bzdurą, to drugie kłamstwem (o ile prawdą jest to, co piszą w
    internetach, iOSowa apka owszem, ale Androidowa takiego uprawnienia nie potrzebuje).

    A nie możesz po prostu wyłączyć tego uprawnienia dla tej apki?


  • 5. Data: 2021-01-09 09:39:06
    Temat: Re: Apki bankowe na Androida i ich (nie)bezpieczeństwo
    Od: Kamil Jońca <k...@p...onet.pl>

    "r...@k...pl" <r...@k...pl> writes:

    [...]
    >
    > A nie możesz po prostu wyłączyć tego uprawnienia dla tej apki?

    Wtedy się nie uruchomi.
    KJ

    --
    http://stopstopnop.pl/stop_stopnop.pl_o_nas.html


  • 6. Data: 2021-01-09 11:24:08
    Temat: Re: Apki bankowe na Androida i ich (nie)bezpieczeństwo
    Od: "witrak()" <w...@h...com>

    On Friday, January 8, 2021 at 11:47:19 PM UTC+1, Alf/red/ wrote:
    > W dniu 08.01.2021 o 14:41, witrak() pisze:
    > > Czy na gruncie ochrony danych osobowych nic się nie da zdziałać?
    > Możesz się powoływać na zasadę minimalizacji (art 5 pkt 1c). Bo numer
    > telefonu też się łapie jako dana osobowa.

    Owszem. Tylko przyszło mi do głowy, że może oni potrzebują tego numeru, bo chcą mieć
    pewność, że dzwonione jest z tego telefonu, a nie z innego, a nie wiedzą, jak to
    sprawdzić inaczej ;-)
    No, bo co by było, gdyby tak klient mógł mieć (nielegalnie) zrobioną kopię aplikacji
    na drugim telefonie?!? Pewnie trzeba byłoby wymyślić, jak to zrobić, by nie mógł się
    przełączać i raz korzystać z jednego, a raz z drugiego! A wszak myślenie boli...
    [Pomijam, że takie ograniczenie nie poprawia bezpieczeństwa ani klienta (zresztą, na
    co to bankowi? ;-) ), ani banku, a tylko utrudnia życie klientowi. A i niektórym
    (AFAIR) bankom to nie przeszkadza - same o tym mówią.]

    > Ale ta apka jest robiona pewnie w US, więc nie bardzo jest kim
    > straszyć... Bo Jan Nowak pewnie nie uzna tego za na tyle istotny
    > problem, żeby wszczynać postępowanie :-\

    Nie ważne, gdzie apka robiona, tylko jakie wymagania zostały postawione. No i jeśli
    Panowie Informatycy z banku zlecają, to oni to przygotowują. A o ich poziomie mam
    zdanie jakie mam...

    witrak()

strony : [ 1 ]



Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1