Michal 'Amra' Macierzynski wrote:

> W dniu czwartek, 31 marca 2016 00:53:29 UTC+2 użytkownik janek z pola
> napisał:
>> Witam,
>>
>> jakiś geniusz w PKO BP wymyślił taki proces na aktywację funkcji
>> przelewów na apce mobilnej IKO:
>>

[...]

>
> Tablet nie moze byc pierwszym urzadzeniem - musi byc jakis pierwszy
> telefon. Potem juz sie da to zrobic - przynajmniej 500k tysiecy klientow
> nie mialo z tym problemow. Po co? Dla bezpieczenstwa - czynnik bialkowy
> moglby to przyjac, ale musi miec pewnosc, ze po drugiej stronie jest
> klient banku z numerem, ktory jest zarejestrowany w banku - a nie
> przestepca, ktory te dane przejal i zainstalowal aplikacje na swoim

Fajnie, że się odezwałeś, bo najbardziej liczyłem na Twoją odpowiedź. Tyle,
że do dzisiejszego dnia mój pogląd na ten proces się zmienił - po pierwsze
po rozmowach z konsultantami PKO BP, a po drugie po przeczytaniu Twojej
odpowiedzi.

Ale po kolei.

Pierwsza sprawa jest taka, że konsultanci PKO BP oddzwaniają o godzinie
07:30. Pozdrawiam. Ponieważ próbowałem aktywować aplikację 2 razy, to potem
drugi telefon był o 08:30. Uznałbym, że to złośliwość pierwszej konsultantki
z którą rozmawiałem... ale telefony o 07:30 miałem i w czwartek i w piątek,
mimo że w czwartek zaznaczyłem w rozmowie, że proszę o kontakt w piątek po
10:00. Rozumiem, że skoro ja śpię o tej godzinie, to prawdopodobnie oznacza,
że nie jestem w profilu typowego klienta PKO BP. Widocznie typowy klient PKO
BP nie śpi o 07:30.

Przechodząc do adremu. Ten proces jest dla mnie jeszcze bardziej zagadkowy.
Teraz piszesz, że "pierwszym urządzeniem nie może być tablet". Czyli
rozumiem, że jako klient PKO BP instalując apkę IKO pierwszy raz i chcąc ją
aktywować, muszę to zrobić z telefonu z kartą SIM. Ale instalując ją kolejny
raz, mogę już to zrobić na tablecie bez karty SIM? To gdzie tu logika,
przecież ten rzekomy przestępca może "atakować" klientów, którzy apkę
mobilną już mają na telefonie - i jak rozumiem w przypadku takich klientów
weryfikacji po SIM już nie ma?

> numerze. Skopiuj tresc tego SMSa i wyslij pod numer z tego telefonu i
> powinno spokojnie zadzialac. Na Androidzie jest to w tle, w iOS i WP -
> klient potwierdza. IKO generalnie jest w tej wersji na telefony nie na
> tablety, wiec... trzeba poczekac na wersje na tablety

To teraz Cię zaskoczę - ten proces nie wygląda tak. Ja byłem przekonany, gdy
pisałem tego poprzedniego posta, że proces aktywacji pełnej funkcjonalności
IKO wymaga przesłania SMSa do PKO BP. Niestety nie. Jest gorzej.

Okazuje się, że apka mobilna PKO BP IKO podejmuje na telefonie, na którym
jest wykonywana aktywacja pełnej funkcjonalności, próbę odczytania numeru
telefonu. To jest kuriozum. Zgodnie ze wszelkimi dostępnymi materiałami dla
systemu Android nie ma możliwości pozyskaniu numeru telefonu na systemie
Android. Jest tak, ponieważ karta SIM nie ma takiej funkcjonalności. Karta
SIM ma numer IMSI i tylko operator telekomunikacyjny wie, jaki numer IMSI
wywołać w przypadku gdy ktoś się próbuje dodzwonić na numer telefonu XYZ.

Ale dokumentacja jedno, a praktyka drugie. Mimo, że zgodnie ze standardem
SIM, numer telefonu nie jest zapisany na karcie, to czasami operatorzy
telekomunikacyjni jednak gdzieś go tam umieszczają. I teraz apka PKO BP IKO
wykonuje ekwilibrystykę informatyczną, starając się pozyskać numer MSISDN
(czyli numer telefonu w formie +XX XXX XXX XXX).

Jeżeli aplikacji się to uda, to wykonywane jest zapytanie do API PKO BP.
Takie zapytanie idzie po transmisji danych. Czyli to jest wywołanie
internetowe, które nie ma nic wspólnego z siecią komórkową. Jeżeli na
telefonie jest połączenie WiFi to idzie to po WiFi, a jak jest tylko sieć
komórkowa to idzie po sieci komórkowej. Ale to zapytanie nie jest SMSem ani
próbą połączenia telefonicznego, tylko jest to wywołanie internetowe.

Jednak aplikacji PKO BP IKO wprowadza klienta w błąd, ponieważ na ekranie
urządzenia pojawia się komunikat: "Potwierdź numer telefonu, na którym
będzie aktywowana aplikacja IKO. Aby to zrobić, wyślij SMS nie zmieniając
jego treści." Pod spodem jest przycisk "Wyślij SMS" oraz dodatkowa notatka
"Opłata za SMS zostanie pobrana według stawek Twojego operatora". Otóż nie.

Nie jest wysyłany żaden SMS - tzn. uściślając - w moim przypadku aplikacja
PKO BP IKO dla systemu Android - apka w wersji 3.33.22 dla Androida w wersji
4.2.1 (czyli jest to jak rozumiem tzw. nowsza aplikacji IKO) - okłamuje
klienta, ponieważ wywala na ekran dialog "wyślij SMS" a tak naprawdę
wykonuje pod spodem żądanie API do serwerów PKO BP, które jest wysyłane po
sieci komputerowej i nie ma nic wspólnego z SMSem, który jest wysyłany po
sygnalizacji GSM/UTMS/HSDPA/etc.

Moim zdaniem to jest draństwo ze strony PKO BP. Tym bardziej, że bank jest
tego świadomy. Dzisiaj konsultant w trakcie aktywacji mojej aplikacji
przekazał mi, że bank sobie doskonale zdaje sprawę, że nie jest tam wysyłany
żaden SMS, ale PKO BP używa nazwy "SMS". O ile dobrze rozumiem, to powodem
używania nazwy "SMS" na ten rodzaj komunikacji jest to, że taka nazwa dobrze
się kojarzy klientom. Rozumiem, że klientom jest miło, jak się ich okłamuje,
że będzie wysłany SMS.

>
> Jesli bedziesz mial problemy napisz do mnie michal . macierzynski (at)
> pkobp . pl - podaj tez model telefonu, wersje androida, czy jest
> zrootowany telefon - no i jakies namiary na siebie. Postaramy sie pomoc.

Wiesz, ja sobie tego posta, którego teraz czytasz, rozszerzę o dodatkowe
informacje, wytnę te cytaty z Twojego posta i prześlę formalnie jako
reklamację do PKO BP. To jest draństwo, żeby żerować nie niewiedzy klientów
i wmawiać im, że aktywacja przebiega poprzez wysłanie SMSa, podczas gdy tak
naprawdę aplikacji wykonuje zapytanie API po sieci komputerowej i przesyła
do PKO BP dane o urządzeniu (numer telefonu jaki zdobyła w sposób wprost
opisany w dokumentacji systemu Android jako nieistniejący).

Stawiacie się na poziomie przestępców, którzy piszą aplikacje przechwytujące
SMSy autoryzacyjne. Tam też jest tak, że aplikacja ma opisane, że robi
czynność A podczas gdy tak naprawdę robi czynność B.

Oczywiście niezależnie od wprowadzania klientów w błąd, sam proces aktywacji
obejmujący niby potwierdzenie numeru telefonu jest moim zdaniem bardzo
przekombinowany. Tym bardziej, że aplikację aktywowałem w rozmowie
telefonicznej na jakiś zupełnie inny numer telefonu. Po prostu nie rozumiem,
dlaczego PKO BP wytacza armatę w postaci opisanego powyżej procesu na
potwierdzanie numeru telefonu, skoro można ten proces obejść używając
dowolnego numeru telefonu poprzez 2-minutową rozmowę telefoniczną z bankiem.

--
Wysłane z pola.