J.F. wrote:

> Dnia Sat, 2 Apr 2016 16:24:16 +0200, Michał Jankowski napisał(a):
>> W dniu 2016-04-02 o 15:20, Michal 'Amra' Macierzynski pisze:
>>> Ja mam przed soba swojego androida z IKO, z wyslanymi SMSami na
>>> numer 666456456.
>>
>> Potwierdzam, że po przeprowadzonej aktywacji aplikacji na telefonie NIE
>> MA najmniejszego śladu po rzekomo wysłanym sms.
>> Różna rzeczy ta aplikacja robi, ale sms nie wysyła.
>
> A inne aplikacje zostawiaja slad po SMS ?
>
> Bo pamietam jakies gry, ktore strasznie chcialy oplaty pobrac, a sladu
> po SMS chyba nie bylo. Tylko, ze sms premium mialem zablokowane.
>

Witam,

w moim przypadku brak SMSów stwierdzam po billingach u operatorów
telekomunikacyjnych - tzn. logowałem się do serwisów on-line sieci
komórkowej i nie było tam w billingu żadnych SMSów wysłanych w danych
dniach. Dodam tylko, że bezpłatne SMSy też się ujawniają na billingu.

--
Wysłane z pola.

do góry

On 2016-04-01, Kamil Jońca <k...@p...onet.pl> wrote:
> popularnym portalu) że root-a nie obsługujemy?
> KJ (który największe problemy ma ze stockowymi ROM-ami)

Tak dla porządku: to że użyjesz nie-stockowego ROMu nie oznacza, że musisz
go mieć zrootowanego. Możesz zawsze wgrać roma nie zrootowanego.

--
Wojciech Bańcer
p...@p...pl

do góry

On 2016-04-02, Michal 'Amra' Macierzynski <m...@g...com> wrote:

[...]

> Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia -
> ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z
> banku, podszywajac sie pod klienta.

A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem standardowym?
W sensie loguję się do swojego panelu na www, zgłaszam chęć podpięcia urządzenia
mobilnego, podpisuję to SMSem, dostaję kod jednorazowy do aktywacji urządzenia
i finito. Bez udziału czynników białkowych.

Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno niebezpieczne.

--
Wojciech Bańcer
p...@p...pl

do góry

Wojciech Bancer <p...@p...pl> writes:

> On 2016-04-01, Kamil Jońca <k...@p...onet.pl> wrote:
>> popularnym portalu) że root-a nie obsługujemy?
>> KJ (który największe problemy ma ze stockowymi ROM-ami)
>
> Tak dla porządku: to że użyjesz nie-stockowego ROMu nie oznacza, że musisz
> go mieć zrootowanego. Możesz zawsze wgrać roma nie zrootowanego.
Prawda. Tylko jeszcze trzeba go mieć :) zwykle łatwiej zrobić roota.
KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
"#define QUESTION ((bb) || !(bb))" - Shakespeare.

do góry

W dniu sobota, 2 kwietnia 2016 16:24:26 UTC+2 użytkownik Michał Jankowski napisał:
> W dniu 2016-04-02 o 15:20, Michal 'Amra' Macierzynski pisze:
>
> >
> > Ja mam przed soba swojego androida z IKO, z wyslanymi SMSami na
> > numer 666456456.
>
> Potwierdzam, że po przeprowadzonej aktywacji aplikacji na telefonie NIE
> MA najmniejszego śladu po rzekomo wysłanym sms.
>
> Różna rzeczy ta aplikacja robi, ale sms nie wysyła.
>
> A wiem, bo niedawno po aktualizacji aplikacji każde uruchomienie
> kończyło się komunikatem 'to pole nie może być puste' i musiałem
> skasować i zacząć od nowa.
>
> Aktywacja jest nieprawdopodobnie upierdliwa.
>
> 1. Zalogować w aplikacji na telefoniku.
> 2. Podać kod ze zdrapki.
> 3. Nadać pin.
> 4. Zgodzić się na rzekomy sms.
> 5. Zalogować w przeglądarce.
> 6. Przepisać kod z przeglądarki do aplikacji.
> 7. Podać kod ze zdrapki w przeglądarce.
> 8. Chyba już.
>
> Aż się bałem trochę, że ktoś ode mnie wyłudza kody ze zdrapek...
>
> MJ
>
> PS. Może to zależy od tego, czy się używa w przeglądarce zdrapek czy smsów.

Hmm - gdzie wymagaja od Ciebie SMSa - przy nadawaniu PINu? Moze w nowej wersji
zostalo to wlaczone, bo nie powinno o to prosic.
A znacznie szybszym sposobem aktywacji jest IVR - dzwoni srednio w ciagu 20-30 sekund
i przepisujesz 4 cyfry. Co do narzedzia autoryzujacego przy nadawaniu PIN do appki -
sprawdze i dam znac.

do góry

W dniu niedziela, 3 kwietnia 2016 12:14:12 UTC+2 użytkownik Wojciech Bancer napisał:
> On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@ wrote:
>
> [...]
>
> > Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia -
> > ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z
> > banku, podszywajac sie pod klienta.
>
> A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem standardowym?
> W sensie loguję się do swojego panelu na www, zgłaszam chęć podpięcia urządzenia
> mobilnego, podpisuję to SMSem, dostaję kod jednorazowy do aktywacji urządzenia
> i finito. Bez udziału czynników białkowych.
>
> Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno
niebezpieczne.

Wszystko dzieje sie na odleglosc i nie masz pewnosci, czy osoba robiaca to co mowisz
jest Twoim klientem. Niestety ale i login i haslo i narzedzie autoryzacyjne mozesz
przejac. A przez ten telefon mozesz przelewac pieniadze, przesylac je on-line do
innych bankow, wyplacac z bankomatu, etc. Co oznacza, ze standardowe antyfraudowe
zabezpieczenia nie maja tyle czasu co w przypadku standardowej bankowosci
internetowej. Dlatego mamy wersje pasywna aplikacji (login i haslo). Co do aktywnej -
pracujemy nad tym, zeby lepiej bylo to robione w oddziale - ale ten SMS potwierdza,
ze aplikacja jest rejestrowana na telefonie, ktory jest w kartotece klienta (a nie
jakims innym, ktorego nigdy nie widzielismy). Na tym nowym tez mozna bez pracownika
banku zarejestrowac - o ile jest jakis inny telefon komorkowy,. ktory jest w
systemie...

do góry

W dniu 2016-04-03 o 15:08, Michal 'Amra' Macierzynski pisze:
>
> Hmm - gdzie wymagaja od Ciebie SMSa - przy nadawaniu PINu? Moze w
> nowej wersji zostalo to wlaczone, bo nie powinno o to prosic.

Nie rozumiem. Nie wiesz, jak wygląda procedura aktywacji aplikacji? O tu
jest napisane:
http://iko.pkobp.pl/aktywacja/
1. Zalogować numerem konta i hasłem (jak do przeglądarki).
2. Nadać pin.
3. Zalogować pinem i wysłać sms (znaczy, pozwolić aplikacji zrobić coś,
co aplikacja nazywa 'wysłanie sms')...
Etc.

> znacznie szybszym sposobem aktywacji jest IVR - dzwoni srednio w
> ciagu 20-30 sekund i przepisujesz 4 cyfry.

Powiedzmy na potrzeby tej dyskusji, że jestem głuchy. I nie rozumiem,
dlaczego można te 4 cyfry podać głosem, a nie mogą przyjść sms-em.

MJ

do góry

Michal 'Amra' Macierzynski wrote:

> W dniu niedziela, 3 kwietnia 2016 12:14:12 UTC+2 użytkownik Wojciech
> Bancer napisał:
>> On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@ wrote:
>>
>> [...]
>>
>> > Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak
>> > robia - ale z praktyki tez wiemy, ze przestepcy rowniez chetnie
>> > czekaliby na telefon z banku, podszywajac sie pod klienta.
>>
>> A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem
>> standardowym? W sensie loguję się do swojego panelu na www, zgłaszam chęć
>> podpięcia urządzenia mobilnego, podpisuję to SMSem, dostaję kod
>> jednorazowy do aktywacji urządzenia i finito. Bez udziału czynników
>> białkowych.
>>
>> Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno
>> niebezpieczne.
>
> Wszystko dzieje sie na odleglosc i nie masz pewnosci, czy osoba robiaca to
> co mowisz jest Twoim klientem. Niestety ale i login i haslo i narzedzie
> autoryzacyjne mozesz przejac. A przez ten telefon mozesz przelewac
> pieniadze, przesylac je on-line do innych bankow, wyplacac z bankomatu,
> etc. Co oznacza, ze standardowe antyfraudowe zabezpieczenia nie maja tyle
> czasu co w przypadku standardowej bankowosci internetowej. Dlatego mamy
> wersje pasywna aplikacji (login i haslo). Co do aktywnej - pracujemy nad
> tym, zeby lepiej bylo to robione w oddziale - ale ten SMS potwierdza, ze
> aplikacja jest rejestrowana na telefonie, ktory jest w kartotece klienta
> (a nie jakims innym, ktorego nigdy nie widzielismy). Na tym nowym tez
> mozna bez pracownika banku zarejestrowac - o ile jest jakis inny telefon
> komorkowy,. ktory jest w systemie...

Tak jak już wcześniej wspominałem, z tym ostatnim zdaniem nie mogę się
zgodzić. Aplikacja wcale nie wysyła SMSa - może są jakieś przypadki gdy jest
rzeczywiście przesyłany SMS - ale nie w mojej konfiguracji i również
potwierdziły to na tej grupie 2 inne osoby.

Gdyby się pojawiła treść SMSa na ekranie, to bym go wysłał z numeru
zarejestrowanego do wiadomości banku. Tylko, że to się sprowadza do
scenariusza: apka pokazuje na ekranie sekretny ciąg znaków i zadaniem
klienta jest przekazanie tego ciągu znaków do banku - jako SMS z numeru
zaufanego i wówczas bez czynnika białkowego LUB w rozmowie telefonicznej z
pracownikiem banku.

Taki proces zrozumiałbym. Ale nie rozumiem, dlaczego proponujesz nam taką
wersję procesu jako fallback na proces, które jest rzeczywiście
zaimplementowany. Tzn. rozumiem tyle, że według mnie ten zaimplementowany
proces jest wielką armatą, z której trzeba oddać jeden mały strzał. Co
więcej zamiast tego strzału można wyjąć tą kulkę i jako fallback podać
przesłać ją do banku z innej, dużo mniejszej armatki, może nawet pocztą.

Oczywiście nadal mam na uwadze, że ten fallback na wysyłkę SMSa z innego
urządzenia jest niewykonalny, ponieważ tam żaden SMS nie jest wysyłany. Ale
po co ta wielka armata, skoro fallback powoduje ten sam efekt, a wymaga
znacznie mniej implementacji?

--
Wysłane z pola.

do góry

W dniu niedziela, 3 kwietnia 2016 15:55:44 UTC+2 użytkownik Michał Jankowski napisał:
> Nie rozumiem. Nie wiesz, jak wygląda procedura aktywacji aplikacji? O tu
> jest napisane:
> http://iko.pkobp.pl/aktywacja/
> 1. Zalogować numerem konta i hasłem (jak do przeglądarki).
> 2. Nadać pin.
> 3. Zalogować pinem i wysłać sms (znaczy, pozwolić aplikacji zrobić coś,
> co aplikacja nazywa 'wysłanie sms')...
> Etc.

Wiem jak wygląda - dlatego odnosze sie do punktu nr 2 z poprzedniego postu -
nadawania kodu ze zdrapki. Nie pisze, ze to nie jest mozliwe - bo taka opcja jest
mozliwa do wlaczenia po stronie banku - i tutaj pytanie - czy ktos piszac to pomylil
sie, czy przy wdrozeniu nowej wersji appki wymusza ona podanie takiego hasla...

> 1. Zalogować w aplikacji na telefoniku.
> 2. Podać kod ze zdrapki.
> 3. Nadać pin.


> > znacznie szybszym sposobem aktywacji jest IVR - dzwoni srednio w
> > ciagu 20-30 sekund i przepisujesz 4 cyfry.
>
> Powiedzmy na potrzeby tej dyskusji, że jestem głuchy. I nie rozumiem,
> dlaczego można te 4 cyfry podać głosem, a nie mogą przyjść sms-em.

Jesli jestes gluchy - to nie kojrzystasz z appi glosowo - i zrobisz to w iPKO lub w
oddziale.
SMS weryfikujacy numer jest wymagany tak czy inaczej.

do góry

W dniu niedziela, 3 kwietnia 2016 17:01:10 UTC+2 użytkownik janek z pola napisał:
> Michal 'Amra' Macierzynski wrote:
>
> > W dniu niedziela, 3 kwietnia 2016 12:14:12 UTC+2 użytkownik Wojciech
> > Bancer napisał:
> >> On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@ wrote:
> >>
> >> [...]
> >>
> >> > Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak
> >> > robia - ale z praktyki tez wiemy, ze przestepcy rowniez chetnie
> >> > czekaliby na telefon z banku, podszywajac sie pod klienta.
> >>
> >> A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem
> >> standardowym? W sensie loguję się do swojego panelu na www, zgłaszam chęć
> >> podpięcia urządzenia mobilnego, podpisuję to SMSem, dostaję kod
> >> jednorazowy do aktywacji urządzenia i finito. Bez udziału czynników
> >> białkowych.
> >>
> >> Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno
> >> niebezpieczne.
> >
> > Wszystko dzieje sie na odleglosc i nie masz pewnosci, czy osoba robiaca to
> > co mowisz jest Twoim klientem. Niestety ale i login i haslo i narzedzie
> > autoryzacyjne mozesz przejac. A przez ten telefon mozesz przelewac
> > pieniadze, przesylac je on-line do innych bankow, wyplacac z bankomatu,
> > etc. Co oznacza, ze standardowe antyfraudowe zabezpieczenia nie maja tyle
> > czasu co w przypadku standardowej bankowosci internetowej. Dlatego mamy
> > wersje pasywna aplikacji (login i haslo). Co do aktywnej - pracujemy nad
> > tym, zeby lepiej bylo to robione w oddziale - ale ten SMS potwierdza, ze
> > aplikacja jest rejestrowana na telefonie, ktory jest w kartotece klienta
> > (a nie jakims innym, ktorego nigdy nie widzielismy). Na tym nowym tez
> > mozna bez pracownika banku zarejestrowac - o ile jest jakis inny telefon
> > komorkowy,. ktory jest w systemie...
>
> Tak jak już wcześniej wspominałem, z tym ostatnim zdaniem nie mogę się
> zgodzić. Aplikacja wcale nie wysyła SMSa - może są jakieś przypadki gdy jest
> rzeczywiście przesyłany SMS - ale nie w mojej konfiguracji i również
> potwierdziły to na tej grupie 2 inne osoby.
>
> Gdyby się pojawiła treść SMSa na ekranie, to bym go wysłał z numeru
> zarejestrowanego do wiadomości banku. Tylko, że to się sprowadza do
> scenariusza: apka pokazuje na ekranie sekretny ciąg znaków i zadaniem
> klienta jest przekazanie tego ciągu znaków do banku - jako SMS z numeru
> zaufanego i wówczas bez czynnika białkowego LUB w rozmowie telefonicznej z
> pracownikiem banku.
>
> Taki proces zrozumiałbym. Ale nie rozumiem, dlaczego proponujesz nam taką
> wersję procesu jako fallback na proces, które jest rzeczywiście
> zaimplementowany. Tzn. rozumiem tyle, że według mnie ten zaimplementowany
> proces jest wielką armatą, z której trzeba oddać jeden mały strzał. Co
> więcej zamiast tego strzału można wyjąć tą kulkę i jako fallback podać
> przesłać ją do banku z innej, dużo mniejszej armatki, może nawet pocztą.
>
> Oczywiście nadal mam na uwadze, że ten fallback na wysyłkę SMSa z innego
> urządzenia jest niewykonalny, ponieważ tam żaden SMS nie jest wysyłany. Ale
> po co ta wielka armata, skoro fallback powoduje ten sam efekt, a wymaga
> znacznie mniej implementacji?
>
> --
> Wysłane z pola.

Bo tu nie chodzi o przekazanie tego ciagu znaku przez czlowieka - nie rozniloby sie
to niczym, gdyby na numer telefonu przychodzil SMS (jak w innych bankach), ktory
wpisujesz w telefonie czy na innym urzadzeniu.
W ten sposob weryfikujemy powiazanie urzadzenie - telefon z kartoteki klienta.
Jesli instaluejsz appke na telefonie, ktory nie jest w kartotece klienta w banku
(sprawdzamy ten numer poprzez wyslanie SMSa) - telefon np. z IVR kierowany jest nie
na ten telefon, ale telefon, ktory dodales w oddziale (i jest zarejestrowany w
banku). Albo ta "bialkowa" obdzweonka tez jest kierowana na numer z kartoteki.
Zauwaz, ze login i haslo mozna poznac poprzez zwykly phishing - ten kod, ktory
generuje telefon i przesyla do banku - mozna podobnie w ten prosty phishing przejac.
Moze Ty tego nie potrzebujesz- ale przy kilku milionach klientow niestety caly czas
widac, ze zlodzieje wykorzystuja ludzka naiwnosc.

Jesli aplikacja mobilna ma byc tak samo pelnoprawnym kanalem jak bankowosc
internetowa - musi byc bezpieczna.

A to wysylanie SMSow z androida - sprawdze jutro - tak jak pisalem - na swoim
androidzie mam wysylane SMSy, a samej platformy nie znam za bardzo i korzystam jako
3ciej przede wszystkim do HCE

do góry