W dniu piątek, 1 kwietnia 2016 22:50:06 UTC+2 użytkownik janek z pola napisał:
> Michal 'Amra' Macierzynski wrote:
>
> > W dniu czwartek, 31 marca 2016 00:53:29 UTC+2 użytkownik janek z pola
> > napisał:
> >> Witam,
> >>
> >> jakiś geniusz w PKO BP wymyślił taki proces na aktywację funkcji
> >> przelewów na apce mobilnej IKO:
> >>
>
> [...]
>
> >
> > Tablet nie moze byc pierwszym urzadzeniem - musi byc jakis pierwszy
> > telefon. Potem juz sie da to zrobic - przynajmniej 500k tysiecy klientow
> > nie mialo z tym problemow. Po co? Dla bezpieczenstwa - czynnik bialkowy
> > moglby to przyjac, ale musi miec pewnosc, ze po drugiej stronie jest
> > klient banku z numerem, ktory jest zarejestrowany w banku - a nie
> > przestepca, ktory te dane przejal i zainstalowal aplikacje na swoim
>
> Fajnie, że się odezwałeś, bo najbardziej liczyłem na Twoją odpowiedź. Tyle,
> że do dzisiejszego dnia mój pogląd na ten proces się zmienił - po pierwsze
> po rozmowach z konsultantami PKO BP, a po drugie po przeczytaniu Twojej
> odpowiedzi.
>
> Ale po kolei.
>
> Pierwsza sprawa jest taka, że konsultanci PKO BP oddzwaniają o godzinie
> 07:30. Pozdrawiam. Ponieważ próbowałem aktywować aplikację 2 razy, to potem
> drugi telefon był o 08:30. Uznałbym, że to złośliwość pierwszej konsultantki
> z którą rozmawiałem... ale telefony o 07:30 miałem i w czwartek i w piątek,
> mimo że w czwartek zaznaczyłem w rozmowie, że proszę o kontakt w piątek po
> 10:00. Rozumiem, że skoro ja śpię o tej godzinie, to prawdopodobnie oznacza,
> że nie jestem w profilu typowego klienta PKO BP. Widocznie typowy klient PKO
> BP nie śpi o 07:30.
>
> Przechodząc do adremu. Ten proces jest dla mnie jeszcze bardziej zagadkowy.
> Teraz piszesz, że "pierwszym urządzeniem nie może być tablet". Czyli
> rozumiem, że jako klient PKO BP instalując apkę IKO pierwszy raz i chcąc ją
> aktywować, muszę to zrobić z telefonu z kartą SIM. Ale instalując ją kolejny
> raz, mogę już to zrobić na tablecie bez karty SIM? To gdzie tu logika,
> przecież ten rzekomy przestępca może "atakować" klientów, którzy apkę
> mobilną już mają na telefonie - i jak rozumiem w przypadku takich klientów
> weryfikacji po SIM już nie ma?
>
> > numerze. Skopiuj tresc tego SMSa i wyslij pod numer z tego telefonu i
> > powinno spokojnie zadzialac. Na Androidzie jest to w tle, w iOS i WP -
> > klient potwierdza. IKO generalnie jest w tej wersji na telefony nie na
> > tablety, wiec... trzeba poczekac na wersje na tablety
>
> To teraz Cię zaskoczę - ten proces nie wygląda tak. Ja byłem przekonany, gdy
> pisałem tego poprzedniego posta, że proces aktywacji pełnej funkcjonalności
> IKO wymaga przesłania SMSa do PKO BP. Niestety nie. Jest gorzej.
>
> Okazuje się, że apka mobilna PKO BP IKO podejmuje na telefonie, na którym
> jest wykonywana aktywacja pełnej funkcjonalności, próbę odczytania numeru
> telefonu. To jest kuriozum. Zgodnie ze wszelkimi dostępnymi materiałami dla
> systemu Android nie ma możliwości pozyskaniu numeru telefonu na systemie
> Android. Jest tak, ponieważ karta SIM nie ma takiej funkcjonalności. Karta
> SIM ma numer IMSI i tylko operator telekomunikacyjny wie, jaki numer IMSI
> wywołać w przypadku gdy ktoś się próbuje dodzwonić na numer telefonu XYZ.
>
> Ale dokumentacja jedno, a praktyka drugie. Mimo, że zgodnie ze standardem
> SIM, numer telefonu nie jest zapisany na karcie, to czasami operatorzy
> telekomunikacyjni jednak gdzieś go tam umieszczają. I teraz apka PKO BP IKO
> wykonuje ekwilibrystykę informatyczną, starając się pozyskać numer MSISDN
> (czyli numer telefonu w formie +XX XXX XXX XXX).
>
> Jeżeli aplikacji się to uda, to wykonywane jest zapytanie do API PKO BP.
> Takie zapytanie idzie po transmisji danych. Czyli to jest wywołanie
> internetowe, które nie ma nic wspólnego z siecią komórkową. Jeżeli na
> telefonie jest połączenie WiFi to idzie to po WiFi, a jak jest tylko sieć
> komórkowa to idzie po sieci komórkowej. Ale to zapytanie nie jest SMSem ani
> próbą połączenia telefonicznego, tylko jest to wywołanie internetowe.
>
> Jednak aplikacji PKO BP IKO wprowadza klienta w błąd, ponieważ na ekranie
> urządzenia pojawia się komunikat: "Potwierdź numer telefonu, na którym
> będzie aktywowana aplikacja IKO. Aby to zrobić, wyślij SMS nie zmieniając
> jego treści." Pod spodem jest przycisk "Wyślij SMS" oraz dodatkowa notatka
> "Opłata za SMS zostanie pobrana według stawek Twojego operatora". Otóż nie.
>
> Nie jest wysyłany żaden SMS - tzn. uściślając - w moim przypadku aplikacja
> PKO BP IKO dla systemu Android - apka w wersji 3.33.22 dla Androida w wersji
> 4.2.1 (czyli jest to jak rozumiem tzw. nowsza aplikacji IKO) - okłamuje
> klienta, ponieważ wywala na ekran dialog "wyślij SMS" a tak naprawdę
> wykonuje pod spodem żądanie API do serwerów PKO BP, które jest wysyłane po
> sieci komputerowej i nie ma nic wspólnego z SMSem, który jest wysyłany po
> sygnalizacji GSM/UTMS/HSDPA/etc.
>
> Moim zdaniem to jest draństwo ze strony PKO BP. Tym bardziej, że bank jest
> tego świadomy. Dzisiaj konsultant w trakcie aktywacji mojej aplikacji
> przekazał mi, że bank sobie doskonale zdaje sprawę, że nie jest tam wysyłany
> żaden SMS, ale PKO BP używa nazwy "SMS". O ile dobrze rozumiem, to powodem
> używania nazwy "SMS" na ten rodzaj komunikacji jest to, że taka nazwa dobrze
> się kojarzy klientom. Rozumiem, że klientom jest miło, jak się ich okłamuje,
> że będzie wysłany SMS.
>
> >
> > Jesli bedziesz mial problemy napisz do mnie michal . macierzynski (at)
> > pkobp . pl - podaj tez model telefonu, wersje androida, czy jest
> > zrootowany telefon - no i jakies namiary na siebie. Postaramy sie pomoc.
>
> Wiesz, ja sobie tego posta, którego teraz czytasz, rozszerzę o dodatkowe
> informacje, wytnę te cytaty z Twojego posta i prześlę formalnie jako
> reklamację do PKO BP. To jest draństwo, żeby żerować nie niewiedzy klientów
> i wmawiać im, że aktywacja przebiega poprzez wysłanie SMSa, podczas gdy tak
> naprawdę aplikacji wykonuje zapytanie API po sieci komputerowej i przesyła
> do PKO BP dane o urządzeniu (numer telefonu jaki zdobyła w sposób wprost
> opisany w dokumentacji systemu Android jako nieistniejący).
>
> Stawiacie się na poziomie przestępców, którzy piszą aplikacje przechwytujące
> SMSy autoryzacyjne. Tam też jest tak, że aplikacja ma opisane, że robi
> czynność A podczas gdy tak naprawdę robi czynność B.
>
> Oczywiście niezależnie od wprowadzania klientów w błąd, sam proces aktywacji
> obejmujący niby potwierdzenie numeru telefonu jest moim zdaniem bardzo
> przekombinowany. Tym bardziej, że aplikację aktywowałem w rozmowie
> telefonicznej na jakiś zupełnie inny numer telefonu. Po prostu nie rozumiem,
> dlaczego PKO BP wytacza armatę w postaci opisanego powyżej procesu na
> potwierdzanie numeru telefonu, skoro można ten proces obejść używając
> dowolnego numeru telefonu poprzez 2-minutową rozmowę telefoniczną z bankiem.
>
> --
> Wysłane z pola.

Ja mam przed soba swojego androida z IKO, z wyslanymi SMSami na numer 666456456.
Telefon jest zarejestroqwany w mojej kartotece klienta. Zloz prosze reklamacje,
rozpatrzymy ja, bo nie potrafie Ci inaczej pomoc.

Aplikacja moze byc instalowana na wiekszej liczbie urzadzen, ale nie jest w
dostosowana do aktywacji na tablety - chociaz w wersji pasywanej da sie ja na nim
zainstalowac. Jest to przeciez jasno wskazane i nie ma dedykowanej wersji pod
tablety. I tak jak pisalem - trzeba poczekac na tablety.

Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia - ale z
praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z banku,
podszywajac sie pod klienta.

Aplikacja jest tak zbudowana, inaczej nie bedzie. Nie wiem jaki masz konkretnie
problem (model telefonu) - nie mielismy wczesniej takich reklamacji - stad jesli
uwazasz, ze powinno dzialac lub dzialac inaczej - zloz prosze reklamacje -
przyjrzymy sie co i jak.

Pzdr