-
X-Received: by 2002:a25:eb05:: with SMTP id d5mr5882792ybs.523.1610113266834; Fri, 08
Jan 2021 05:41:06 -0800 (PST)
X-Received: by 2002:a25:eb05:: with SMTP id d5mr5882792ybs.523.1610113266834; Fri, 08
Jan 2021 05:41:06 -0800 (PST)
Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!goblin2!goblin3
!goblin.stu.neva.ru!news.misty.com!border2.nntp.dca1.giganews.com!nntp.giganews
.com!news-out.google.com!nntp.google.com!postnews.google.com!google-groups.goog
legroups.com!not-for-mail
Newsgroups: pl.biznes.banki
Date: Fri, 8 Jan 2021 05:41:06 -0800 (PST)
Complaints-To: g...@g...com
Injection-Info: google-groups.googlegroups.com; posting-host=194.8.46.11;
posting-account=aCsuLQoAAABnljeKtkSzSBCJ0GzF0J-I
NNTP-Posting-Host: 194.8.46.11
User-Agent: G2/1.0
MIME-Version: 1.0
Message-ID: <f...@g...com>
Subject: Apki bankowe na Androida i ich (nie)bezpieczeństwo
From: "witrak()" <w...@h...com>
Injection-Date: Fri, 08 Jan 2021 13:41:06 +0000
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Lines: 55
Xref: news-archive.icm.edu.pl pl.biznes.banki:655108
[ ukryj nagłówki ]Od pewnego czasu prowadzę korespondencję z Citi na temat ich apki mobilnej na
Androida. Otóż ona domaga się zaraz po uruchomieniu uprawnienia Phone, które jest
uważane za niekoniecznie bezpieczne a którego ja nie mam ochoty nadawać żadnej
aplikacji, która tego nie potrzebuje do wykonywania (prawie) wszystkich funkcji.
> Phone
> Allows apps to know your phone number, current cellular network information, and
ongoing call status. Apps can also make and end calls, see who's calling you, read
and edit your calling logs, add voicemail, use VoIP, and even redirect calls to other
numbers.
Citi twierdzi, że potrzebują, aby móc połączyć użytkownika z konsultantem (bo tępy
użytkownik nie potrafi sam wybrać numeru...) i przyjmować powiadomienia Push. To
pierwsze jest bzdurą, to drugie kłamstwem (o ile prawdą jest to, co piszą w
internetach, iOSowa apka owszem, ale Androidowa takiego uprawnienia nie potrzebuje).
Na razie Citi wycofało się z obowiązkowej aplikacji do potwierdzania operacji
kartowych, ale pewnie to w końcu wprowadzą.
Gorzej, że najnowsza wersja IKO (do Inteligo) zaczęła żądać tego samego uprawnienia.
Ale apki innych banków (np. Mille, N26, NestBank, Alior, AliorKantor, Getin) i
nie-banków (np. Glovo, Inpost, Allegro) dają się używać bez Phone, choć z Push
korzystają. Miały inteligentniejszych projektantów?
Z bankami (no, raczej z inteligentnymi inaczej projektantami aplikacji) wygrać
trudno, ale jednak wydaje mi się, że należałoby coś z tym próbować robić.
Rozsądnie zrobiona aplikacja - jeśli z jakichś powodów faktycznie potrzebuje telefonu
- sprawdza czy ma uprawnienie w trakcie próby wykonania funkcji wymagającej go.
Jeżeli domaga się go generalnie, to już to samo może sugerować, że chce mieć dostęp
celem szpiegowania. Nie twierdzę, że na pewno, ale pamięta ktoś może historię takiej
smartfonowej gry AngryBirds? Miała lukę, którą amerykańskie 3-literowe agencje (a
pewnie i rosyjskie 3-literowe agencje) wykorzystywały do wprowadzania własnego
oprogramowania do wybranych telefonów - i luka tak bardzo długo nie była
poprawiona... Więc nawet złych intencji nie trzeba przypisywać twórcom - wystarczy,
że aplikacja będzie "łamliwa".
Ja osobiście nie zainstaluję krajowej aplikacji ostrzegającej o kontaktach z osobami
z koronawirusem, bo za dużo może i zbiera za dużo informacji. Już mObywatel mi się
niespecjalnie podoba... Też bez uprawnienia Phone nie chce działać, ale przynajmniej
kamery i lokalizacji nie żąda.
Czy na gruncie ochrony danych osobowych nic się nie da zdziałać?
witrak()
Następne wpisy z tego wątku
- 08.01.21 15:20 Kamil Jońca
- 08.01.21 23:47 Alf/red/
- 09.01.21 01:06 r...@k...pl
- 09.01.21 09:39 Kamil Jońca
- 09.01.21 11:24 witrak()
Najnowsze wątki z tej grupy
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
- Karta MasterCard z ALIOR za granicą.
- Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- zloto
Najnowsze wątki
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...
- 2024-10-07 Karta MasterCard z ALIOR za granicą.
- 2024-10-05 Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-03 zloto