Как Сбербанк Онлайн сливает данные пользователей

В связи с тем, что мне не удалось связаться со Сбербанком, точнее — с кем-то вменяемым с той стороны, хочу поделиться, чтобы если не исправить утечку данных, то хотя бы предупредить о ней.

image

Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).

Обнаружил я эту гадость совершенно случайно, поскольку баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков. Теперь же я настоятельно рекомендую до исправления ситуации резак включать хотя бы на сайте Сберонлайна, хотя и с ним при включенном резаке были глюки, лично у меня.

Баннерорезка блокирует часть зловредов.

image

Я написал на zabota@ Сберу и в FB. Звонить я не терплю, уж извините. В FB был получен замечательный ответ.

image

Я даже не обиделся, просто записал видео.



Слева сайт Сбербанк Онлайн, справа — мой комп в 20км от того места, где я сижу. При наборе какого-либо текста, включая пароль, данные уходят в журнал на моем компьютере. Заморачиваться не хотелось, потому на все ушло меньше времени, чем я пишу эту статью.

Суть происходящего в следующем:

1) Скрипты могут быть использованы для сбора любой информации, о платежах, картах, паролях и других вводимых и отображаемых данных.
2) Скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь.
3) Скрипты могут быть использованы для подмены вводимой информации.

На видео я демонстрировал только дублирование ввода пароля. Просто потому, что не хочу входить в свою учетку публично.

Началось все с моего форума, но, к сожалению, никакого результата это не дало.
Метки:
Поделиться публикацией
Комментарии 715
  • –44
    > поскольку баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков
    Выставлять голые ягодицы в интернет и жаловаться, что ими кто-то пользуется.
    • +21
      да вы что! у меня другая аналогия: сбер потихонечку, незаметно для вас снимает с вас штанишки и предлагает наклониться к окошечку… «не волнуйтесь, ягодданные используются только для анализа»
      • –45
        Пользуйся приложением или ходи ногами до отделения/банкомата.
        • +10
          Пользуйся приложением
          Это которое мобильное решето? Нет, спасибо…

          А посещать отделение и проводить операцию через специалиста — это адъ и израиль. В принципе, терминалы/банкоматы до известной степени решают, да.
          • –21
            Ну тогда ногами до отделения. Удобство=1/Безопасность
            • +3
              Ну тогда ногами до отделения
              Вот еще бы они начали на улицу (24/7) ставить не простые банкоматы, а с приемом наличных. Сейчас таких оч. мало.
              Вот это бы меня окончательно примирило с действительностью. Потому что бОльшая проблема — завести бабло, а не снять его…
              • –17
                По пути от работы до дома два больших отделения Сбера. По 3 аппарата в зоне 24. Минимум один работает на приём налички.

                //эк я кого-то задел. Аж не поленился в профиль нагадить.
                • +4
                  По пути от работы до дома два больших отделения Сбера.
                  Это вам повезло :). У меня даже три отделения в пешей доступности, но наружу (24/7) у них выставлен только один банкомат, который:
                  1) чаще бывает на профилактике, чем работает
                  2) когда работает — часто бывает без денег, т.к. к нему «не зарастает народная тропа»
                  3) не имеет функции cash in.

                  А ведь это спальное внутримкадье. Прям переживаю за жителей Новой Москвы, у них, видимо, ситуация похуже будет…
                  • +1
                    У нас стоит при входе в бизнес-центр. Деньги принимает. Я, конечно, не записывал, но мне кажется что в этом году он работает не чаще одного дня в неделю, а так посмотришь — восклицательный треугольник во весь экран. Очень часто видел чешущего репу ремонтника рядом.
                    • +2
                      У меня от сберовских кеш-инов глаз дергается. В отделении пыталась внести деньги, банкомат их съел, и… все. Сотрудники подошли, лениво потыкали в кнопки: «аааа… он опяааать… дааа… сегодня вы уже трееетья… пишите заявлееение… нееет, написать объявление, что не принимает деньги, нельзяяяяя...»
                      Деньги возвращали месяц, и потом в ответ на жалобу пришла отписка в стиле «банкомат — сложный прибор, и он иногда ломается. Жри, что дают».
                      • +3

                        Зря вы в отделение обращались. Надо сразу на горячую линию звонить, в отделениях не особо обремененные разумом люди работают.

                        • +1
                          в отделениях не особо обремененные разумом люди работают.
                          Подтверждаю. Мне в одном отделении втирали, что определенный тип карт в долларах не открывают (тогда как в саппорте сказали, что открывают). У начальства уточняли даже… Я сделал ставку на саппорт и не проиграл :). Пришел в соседнее отделение, там открыли карту без проблем :):):)
                          • 0
                            В отделении я написала жалобу в жалобную книгу, и плюс кляузу через мыло. На мыло меня и послали в «горячей линии».
                            • 0
                              Ещё на банки.ру результативно получается писать.
                              • 0
                                не очень.
                                я жаловался на ВТБ24, что они в тарифах пишут одно, а по факту снимают комиссии по другой формуле.
                                просто отмазками отмазались, воз и ныне там.
                                нет времени жалобу в ЦБ на это отправить
                                • –1
                                  ЦБ переадресует это всё в банк, на который жалуешься и… и всё.
                                  Жаловался на грефа, что в Крым деньги не переводит (брат попросил помочь), а комиссию исправно дерёт.
                                  • +1
                                    ЦБ с физлицами не работает, мне прислали отмазку, что они только делами Банк-государство (если по простому) занимаются и проблемы отношений физиков с банком должен решать кто-то другой.
                                    • 0
                                      ВТБ24 — это вообще отродье дьявола и отголосок совка…
                                      пользуюсь этим банком почти 10 лет и, к моему сожалению, не могу отказаться и вынужден терпеть :(
                                      • 0
                                        список выбора большой.
                                        на верхушке Тиньков и Рокетбанк.
                                  • –1

                                    Не возитесь никогда с отделениями. Есть телефон горячей линии, звоните туда. Письма и кляузы это все не пустота, звонок для них пока важней.

                                    • +2
                                      Так же могу сказать, не возитесь никогда с горячей линией, потому что там сидит человек — автоответчик, у нее есть бумажка она с нее читает и все.
                                      • 0

                                        Ну по моему опыту (заглотил деньги — написал ошибку || проглотил карту — перезагрузился || выдал деньги — не выдал карту || не выдал деньги — списал с карты) — горячая линия, спросив номер АТМа, почти сразу возвращает деньги на счет, либо перенаправляют проблему в отделение, где ее реально решают. А напрямую в отделение идти… ну черт знает. Те кто стоят в залах — они как правило бабушкам помогают реквизиты набить. Кассиры тоже не айс. Манагеры как правило не лучше зальных обитателей, советуют звонить в СП.

                                        • 0

                                          Это работает только для своих клиентов. Для клиентов других банков ответ горячей линии — "мы не оказываем услуги возврата карт, обращайтесь в ваш банк".

                                          • 0

                                            Об этом не подумал (:

                              • 0
                                Тоже столкнулся с проблемой пополнения — ближайшее замкадье, вчера пробежал два отделения: в одном два банкомата, один на приём (не работает). Во втором 8 банкоматов, из них 2 на приём (1 не работает, ко второму очередь порядка 10 человек.)
                                • 0
                                  Не ищите «банкоматы», ищите «терминалы» (раньше это называлось «электронная касса») — все они принимают деньги (но не выдают) и способны перевести ваши деньги куда угодно (почти).
                            • –1
                              Серая зарплата? Просто иначе очень сложно понять зачем это часто нужно. Ну, я ещё так делаю ускоренные межбанковские переводы: с карты одного банка снял, на сбер внёс.
                              • +2
                                для примера: карта сбера у меня основная (так исторически сложилось), з\п дают на карту другого банка (эту карту нигде не свечу). За перевод надо платить %.
                                • +1

                                  Оплата ипотеки сбера :)

                                • 0
                                  во всех отделениях сбера, и в отдельных павильонах на остановках по 2-3 банкомата, из которых 1-2 принимают наличку и по 1-2 терминалу которые тоже принимают наличку, но не выдают. г. Чебоксары
                                  • 0
                                    Работал в офисе в Москве, ещё этой зимой. Расположенные в радиусе километра от офиса 2 отделения сбера были закрыты, теперь ближайшее в 2 км. Ул. Смирновская, если что.
                                    • 0
                                      Ну это ещё и от города зависит и от района этого города. Вполне допускаю что может не быть отделения с банкоматом вообще и на приём в частности (терминалы наверно во всех есть). Это может быть вызвано площадью этого отделения (иногда его можно найти в обыкновенной двушке) и тем более может не быть зоны 24. А отдельные павильоны вообще только в Норильске видел.
                                    • –2
                                      Прямо вести из параллельной вселенной. А вы зарплату в конвертах получаете? Или в кассе налом? Тогда над вами можно только поржать в голос! При безналичном получении денег что перевести их на счет (карту) сбера, что сразу их там «находить» — абсолютно безнапряжная процедура. Хоть обпереводись. Кстати, а автор написал о сбербанк онлайн! Алё, вы в монитор деньги сувать собрались или флоповод еще остался?
                                    • +2
                                      21 век так-то, пора уже отходить от этой порочной практики)) а таким крупным компания быть более, как бы это сказать, клиентоориентированными, причем не в рекламе
                                      • +1

                                        У меня есть идея получше, зацените:


                                        — сбер убирает стороннюю аналитику со своих страниц и пишет свою

                                        • +1
                                          я заценил.
                                          даже не так.
                                          и просит Почта-Банк, написать им свою аналитику
                                      • +2
                                        В принципе, терминалы/банкоматы до известной степени решают, да.
                                        Ага, особенно терминалы. Где чтобы оплатить ребёнку за школу надо ввести 100500 20-значных счетов, ещё и текстовую информацию, всё без права на ошибку, иначе квест сначала. Отходишь от него как выжатый лимон.

                                        В онлайне это делается банальным шаблоном.
                                        • 0
                                          чтобы оплатить ребёнку за школу надо ввести 100500 20-значных счетов
                                          Два двадцатизначных, БИК и ИНН/КПП организации-получателя. Если школа — коммерческая организация, то это все. Платежи в бюджет — плюс еще всякие КБК.

                                          Но я написал «решают в известной степени». Неудобства есть, вне всякого сомнения.
                                          • +4
                                            Да хоть один 20-значный, набирать это вручную в толкучке очереди не очень приятно. Могли бы хоть интерфейс поудобней сделать, в идеале — забить эти данные в такие же шаблоны (таких организаций в городе не так уж и много, масса платежей стандартна, школы, детсады, ГИБДД, и т.д.)

                                            Так что тут адъ не меньший. А операционисты вообще у нас перестали принимать платежи, шлют в терминал. Не знаю, имеют право или нет, но бабульки послушно идут.
                                            • +2
                                              Ага, у нас рядом с офисом платное МРЭО, так там держат специального соотрудника, который за клиентов их данные в сберовский терминал вбивает. = )
                                              • 0
                                                У нас тоже стояли, сейчас не знаю, в банке редко появляюсь, только для замены карт. Там, где 24часа не стоят.
                                              • +1
                                                А у вас банкомат со сканером? Можно посмотреть, что именно и в каком порядке забивается в QR-код на квитанции и сделать визитку-шаблончик с нужным счётом и суммой, останется только проверить и внести наличные. Решение из области программы «Очумелые ручки», конечно, но если других вариантов нет — может и сработать.
                                                • +1
                                                  Вариант, кстати. Что внутри QR знаю, делал его по работе. Но сам полностью всё оплачиваю через онлайн, так что лично меня всё устраивает, поворчать за компанию зашел :)
                                                  • 0
                                                    А эти сканеры у терминалов сейчас работают?
                                                    Этак в 2009 в Сбере мне показали на тот момент офигенную фичу — можно было платить налоги в терминале без очередей и комиссий кассы, еще и без ввода цифр — можно было, выбрав налоговую, сканировать штрих-код!
                                                    Пару лет так платили налоги всех родственников. А потом сканеры сломались (программно видимо), потом новые терминалы вообще без сканеров были…
                                                    Сейчас сканеры есть, но я так и не пойму, какие коды они вообще умеют считывать — ничего из того что подсовывал, не читалось.
                                                    Как и смысл от наличия NFC у банкомата, если все равно карту надо вставлять.
                                                    • 0
                                                      А эти сканеры у терминалов сейчас работают?
                                                      Работают, и их даже бабушки освоили :)
                                                      • 0
                                                        Считывали штрих коды коммунальных платежей. Но как сейчас, не знаю. Уже давно все через сбер онлайн оплачиваю.
                                                    • +2
                                                      Работаю в сфере ЖКХ по приему платежей. Вставлю свои 5 копеек. Тут есть одна засада в плане шаблона и почему я своим не рекомендую делать такие вещи как шаблоны на платежи — изменение реквизитов получателя. Такое случается вполне часто. И если вы попытаетесь платить по шаблону. а не по тем реквизитам что стоят в платежном документе — деньги уйдут не туда и Вы об этом не узнаете вовремя. А это может быть проблема. Именно по этой причине делать шаблоны в массовом применении я бы не рекомендовал.

                                                      Для себя — делайте сколько угодно (что в Сбере собственно и сделано в кабинете). Но делать по другому — будет плохо.
                                                      • 0
                                                        Шаблоны вы имеете ввиду в онлайн-банке? Допустим в сбере, при оплате через шаблон, проходит несколько страниц (с кнопкой «далее») с забитыми реквизитами. То есть сверить БИК/счет можно банально по трём последним цифрам, а не по всем 20ти. В случае изменения это бросится в глаза.

                                                        Ну, если не глядя прощелкать — сам себе буратино.
                                                        • 0
                                                          В онлайне это еще ладно. Ты все-таки чаще всего сидишь дома и дома же платишь. У тебя над душой нет толпы народа (даже чисто морально), может только кошка которая требует на колени и дети которые скачут вокруг. И то отвлекает и можно ошибиться. А шаблон в терминале когда ты летишь куда-то и решил по пути заплатить — потенциальный источник ошибок. Я своим на работе потому и не рекомендую шаблоны делать под такие операции — кассир торопится работать (з/п зависит от наработки), такие вещи легко пропускают.

                                                          Тут на буратину не свалишь, на усталость и фон посторонний легко.
                                                      • 0

                                                        Есть возможность на карте иметь готовые шаблоны. Но забивают их в отделении. А дальше в банкомате выбираешь, вводишь дату, сумму и все.

                                                      • +2
                                                        Однажды оплачивал учебу через банкомат. Как положено ввел реквизиты счета университета, НО т.к. ВУЗ имеет филиалы, то и в его реквизитах был субсчет, а ПО терминала такого функционала не имеет.
                                                        После такой оплаты пришлось несколько дней утрясать с бухгалтерией ВУЗа и СБ отмену платежа, т.к. деньги ушли в один из филиалов, а не в центр. бухгалтерию.
                                                      • 0
                                                        а сейчас нет шаблонов в терминалах? пару-тройку лет назад заводил шаблоны на квартплату и т.д., пока онлайн не стал пользоваться…
                                                        • 0
                                                          Ну вот как раз пару-тройку лет назад не было. Сейчас не знаю, тоже онлайном пользуюсь. Но очень сомневаюсь, что сделали как надо.

                                                          Тут на банкоматах пару месяцев назад софт поменяли — интерфейс тормозной до ужаса. Тыкаешь на экран — ноль эмоций, тыкаешь ещё раз — он как раз переварил первый клик, обновил окно и взял второй клик из очереди — т.е. попал на тот контрол, что «нарисовался» на этом месте на новом окне.

                                                          Например: «выдать наличные» — тишина, «выдать наличные» — (меняется окно на выбор суммы, на месте «выдать наличные» появляется кнопка «500 рублей», отрабатывает второе нажатие, банкомат выдаёт 500 и возвращает карту) — всё что в скобках пользователь не видит. Мужик так передо мной, матерясь, по 500 таскал с карты минут пять, пока я не понял, в чём дело и не подсказал.
                                                          • 0
                                                            О, новый интерфейс ужасен и неинформативен. К примеру, поле ввода пин-кода — маленькие кружочки, нажимаешь цифру внутри маленького кружочка появляется ещё меньше кружочек цвета фона. Индикация какие купюры есть в наличие — маленькие (сантиметра полтора в ширину) иконки денег, против прежних цифр номиналов, где каждая была эти сантиметра полтора в высоту.
                                                            • 0
                                                              Кстати, интересно, а если пин-код не 4 символа а больше? Не все же стандартным пользуются, а установить можно и подлиннее.
                                                              • 0
                                                                Мне сказали — длиннее нельзя. Но официальный ответ из них выбить сложно, — просят молодую девочку по телефону надиктовать что-то.
                                                                • 0
                                                                  У сбера вроде нет такого, но в других банках есть. Так что возможно что для своих он 4 показывает, а с остальных ждёт больше.
                                                                  • 0
                                                                    В смысле нельзя? Установить пин в ихнем же банкомате можно было до 12 символов. Но это со старой «прошивкой», как в новой хз
                                                                    • +1
                                                                      Так и сказали: «Установить Пин-код свыше 4 цифр — нельзя».
                                                                      В другой раз сказали, что функцию бесконтактной оплаты на кредитке нельзя ни отключить, ни настроить. И теперь она будет на всех картах. Ответ по телефону (хотя в заявлении просил дать официальный ответ).
                                                                • 0
                                                                  зато болтает так что уши закладывает
                                                                  • 0
                                                                    Я вчера делал мгновенный межбанк с помощью терминала = 40 листов * «Операция выполняется. Подождите». Всё отделение наверняка меня полюбило.
                                                                • 0
                                                                  Точно! Новый интерфейс — мрак! Моло того что блекло-невнятный дизайн, дык еще и тормоза.
                                                                  • 0
                                                                    У Сбера сейчас шаблоны цепляются из личного кабинета, т.е. вполне удобно в этом плане. Но по поводу кликов — это да — адъ полнейший. А уж про то как звучит фраза «Операция обрабатывается» — пипец просто. Особенно когда вносишь большую пачку денег. Плюс в том что после 10-й купюры банкомат перестает говорить фразу, но пока внесешь 10 купюр — закипать начинаешь уже.

                                                                    Мне кажется что ребята делали шаблон программы на новые терминалы, а про то что по стране стоит куча старья — подзабыли просто. Вот и имеем то что имеем.
                                                                    • 0
                                                                      У Сбера сейчас шаблоны цепляются из личного кабинета, т.е. вполне удобно в этом плане
                                                                      Во как. Хоть что-то логичное и полезное сделали.
                                                                      Мне кажется что ребята делали шаблон программы на новые терминалы, а про то что по стране стоит куча старья — подзабыли просто. Вот и имеем то что имеем.

                                                                      Тормоза скорее всего этим и обусловлены.
                                                              • +2

                                                                не факт что на банкомате нет яндекс метрики

                                                                • 0
                                                                  Не забываем, что на банкомат можно наклеить скиммер…
                                                                • +11
                                                                  Пользуйся приложением

                                                                  И сливай данные телефона:
                                                                  38 разрешений в версии для андроида
                                                                  Версия 7.7.2: разрешения
                                                                  История использования устройства и приложений

                                                                  Получение данных о запущенных приложениях
                                                                  Просмотр закладок и истории поиска

                                                                  Настройки мобильных данных

                                                                  Изменение/перехват сетевых настроек и трафика

                                                                  Идентификационные данные

                                                                  Поиск аккаунтов на устройстве

                                                                  Контакты

                                                                  Поиск аккаунтов на устройстве
                                                                  Просмотр контактов
                                                                  Изменение контактов

                                                                  Местоположение

                                                                  Примерное местоположение (на основе сети)
                                                                  Точное местоположение (на основе сети и сигналов GPS)
                                                                  Доступ к дополнительным командам управления источниками геоданных

                                                                  SMS

                                                                  Просмотр SMS и MMS
                                                                  Прием SMS
                                                                  Изменение SMS и MMS

                                                                  Телефон

                                                                  Осуществление телефонных вызовов
                                                                  Просмотр журнала вызовов
                                                                  Получение данных о статусе телефона
                                                                  Изменение журнала вызовов

                                                                  Фото/мультимедиа/файлы

                                                                  Просмотр данных на USB-накопителе
                                                                  Изменение/удаление данных на USB-накопителе

                                                                  Память

                                                                  Просмотр данных на USB-накопителе
                                                                  Изменение/удаление данных на USB-накопителе

                                                                  Камера

                                                                  Фото- и видеосъемка

                                                                  Данные о Wi-Fi-подключении

                                                                  Просмотр подключений Wi-Fi

                                                                  Идентификатор устройства и данные о вызовах

                                                                  Получение данных о статусе телефона

                                                                  Другое

                                                                  Получение данных из Интернета
                                                                  Просмотр сетевых подключений
                                                                  Установление связи с устройствами Bluetooth
                                                                  Изменение сетевых настроек
                                                                  Подключение/отключение сети Wi-Fi
                                                                  Неограниченный доступ к Интернету
                                                                  Закрытие других приложений
                                                                  Управление NFC-модулем
                                                                  Запуск при включении устройства
                                                                  Показ элементов интерфейса поверх других окон
                                                                  Управление функцией вибросигнала
                                                                  Предотвращение переключения устройства в спящий режим
                                                                  Изменение настроек системы
                                                                  Изменение закладок и истории поиска
                                                                  • –9
                                                                    За 6-ю версию не скажу, но в 7-й версии Android есть настройка разрешений.
                                                                    • +8

                                                                      И нет никакой гарантии что из-за не выданного разрешения это приложение не свалится на середине транзакции и не пустит вас по квесту "Убедить сбербанк что вы не отдавали им все свои деньги просто так". Если вообще запустится.

                                                                      • –5
                                                                        Что значит нет никакой гарантии? Вам вообще кто-нибудь эту гарантию даёт? Это стандартный механизм в андроиде 6 и выше, и нечего говорить мол он там что-то ломает. Если что-то пошло не так, то отправьте багрепорт.
                                                                        • +6

                                                                          Никто не дает, все верно. Именно поэтому пользоваться данным механизмом в важном приложении крайне сомнительная затея. А зная поддержку Сбербанка я могу предсказать что при проблемах в приложении виноват окажусь именно я.

                                                                          • 0
                                                                            Вы пишете что что-то сломается в транзакции, в андроие 6. Я вам пишу что причем тут это вообще в данной теме? Вы понимаете разницу между «сливают информацию» и «багом»? Или вы хотите сказать что транзакция сломается, но деньги спишутся? Такое уже бывает обычно только в сказках, ибо мобильное приложение не участвует при совершении транзакции, оно лишь получает информацию, успешно или нет. Поэтому я не вижу ничего как вы пишете крайне сомнительного в этом деле. От слова вообще.
                                                                            Господа минусяторы, вы в своём репертуаре. Минусуете, карму сливаете, но при этом не пишете причины. Сверху человек написал что в 6 и 7 андроиде есть управление разрешениями. Как вообще можно было этот комментарий сливать?! Я хренею с неадекватности таковых людей, молчаливых минусяторов.
                                                                            • +3

                                                                              Банальный кейс: я прошу сделать какой-либо перевод денег, приложение зачем-то лезет куда не надо и куда я разрешения не давал. Система приложению туда залезть не дает, приложение это некорректно обрабатывает и отправляет на сервер некорректные данные. Сервер получает от приложения какие-то данные и что-то делает. В результате мои деньги уйдут не туда, не в том количестве или, в худшем случае мои данные уже на сервере из-за чрезмерного доверия к данным приложения будут испорчены. Нереальная ситуация? Маловероятная, может быть. Но вполне реальная.
                                                                              В нормальной компании в таком случае передо мной извинятся и откатят некорректную транзакцию назад. Это само по себе может быть печально, например в случае если я пытался заплатить по кредиту, а из-за ошибки срок платежа прошел и мне начислили штраф, но это еще как-то. Внимание, вопрос: а что в такой ситуации сделает сбербанк?


                                                                              Ну и вы правда не видите связи между запрашиваемыми разрешениями и сливаемыми данными? Мне казалось цепочка очевидна, но все же: приложение запрашивает тонну разрешений, значит оно зачем-то хочет все эти данные. Это может быть ошибкой программистов, а может быть желанием получить как можно больше данных. При этом корректная работа приложения без этих разрешений не гарантируется. Собственно я вам на последний пункт в этой цепочке и указал.

                                                                              • 0
                                                                                >Нереальная ситуация?
                                                                                если исходить из того что нереального как бы не бывает, ибо человеку свойственно ошибаться, то да, реальная. А если исходить из того, что все данные должны обрабатываться и проверяться исключительно на сервере (что они и делают), то ситуация чуть более, чем нереальная. Нет такого, что вы что-то некорректно отправили, и деньги ушли не туда. Фигня это всё. Такого нет лет… дцать. Посмотрите доклад на Mobius за 2015 год, там как раз люди с касперского выступали, говоря про сбербанк и небезопасную среду. Там речь о том, что сервер в принципе никогда не должен доверять тому, что отправляет клиент. Вот вообще никогда, потому что приложение можно легко декомпилировать и немного доработать для отправки некорректных данных. И если бы сервер полагался закрывая глаза на то что отправляет клиент… Да зная масштабы сбера, уже давно бы любой желающий бабло себе накручивал.
                                                                                >Ну и вы правда не видите связи между запрашиваемыми разрешениями и сливаемыми данными?
                                                                                Я просто хочу сказать что на андроиде 6 и выше есть механизм ограничения этих данных, и он замечательно работает, только и всего. Я просто хотел указать что нету связи между «андроидом 6 и выше» и «приложение некорректно что-то обработает и деньги уйдут не туда».
                                                                                Справедливости ради сделаю оговорку: такая связь есть для приложений, у которых в андроиде стоит API ниже 23. Тоесть приложение как бы говорит, мол плевали мы на ваши разрешения, мы их не поддерживаем. В таком случае приложение сразу запросит все разрешения у пользователя. Пользователь может их дать, а может потом их и убрать в системе. Но корректная работа не гарантируется. Но опять же, это не случай сбербанка, потому что а) они их поддерживают, и б) всё проверяется в обязательном порядке на сервере.
                                                                        • +6
                                                                          Пробовал установить в прошлом месяце. Не дал доступ к списку контактов — проверка зависла.
                                                                          • –3

                                                                            На iOS-версии проблема отсутствует, приложение спокойно живет без контактов.

                                                                        • +5
                                                                          И в шестой есть, но многие приложения просто закрываются, если им чего-нибудь не дать. Даже, если они данное разрешение не используют.
                                                                          • +5
                                                                            Я не стану пользоваться таким приложением, даже если его аппетиты можно будет ограничить. Это вопрос отношения к клиенту.
                                                                            • 0
                                                                              У Сбера есть обратная связь. Мне жаловаться не надо, я к их их внутренней кухне отношений не имею.
                                                                              • +1
                                                                                И в мыслях жаловаться не было. Это публичный ресурс и мною был озвучен прозрачный намек сберу и совет другим пользователям поступать также. И плевать, прочитает его кто-то или нет.
                                                                            • +4
                                                                              Есть настройка только «опасных» разрешений, а неопасные типа доступ к интернету, получение данных из других приложений (оверлей) или контроль телефоном через accessibility отозвать нельзя. Кроме того, если приложение требует столько очевидно ненужных для обычной работы разрешений это означает что никто не заморачивался на нормальную работу приложения когда разрешение не выдано.
                                                                              • –4
                                                                                Для перекрытия доступа в интернет есть мобильный диспетчер (ASUS, Lenovo), но я сомневаюсь, что программа начнёт работать через астрал.

                                                                                > столько очевидно ненужных для обычной работы разрешений
                                                                                Вы таки видели код приложения, или выводы на основе «жизненного опыта»?
                                                                                • +2
                                                                                  На основе жизненного опыта. Могу и в код глянуть если нелегкая заставит им пользоваться.
                                                                            • +1
                                                                              Слышал, что Сбер через приложение, сливает телефонную книгу заемщика коллекторам.
                                                                              • 0
                                                                                Агенство ОБС?
                                                                                • +4
                                                                                  Ну типа того, многие должники обращали внимание, что обзвон коллекторами родственников и знакомых начинается только если человек установил сбербанк онлайн.
                                                                                • +2
                                                                                  сливает телефонную книгу заемщика коллекторам
                                                                                  Про «сливает» не скажу, но доступ к телефонной книге есть и у приложений других банков. Причина проста — для удобства оплаты мобильного телефона тещи/брата/свата…
                                                                                  • +1
                                                                                    Про коллекторов ничего не скажу. У приложения есть фишка: показывать в списке контактов у кого есть сберовская карта. По-умолчанию в настройках сбола это включено.
                                                                                    • 0
                                                                                      Это не только в сбере, Тинькофф тоже показывает.
                                                                                      • +1
                                                                                        у Тинькова есть опция в приложении НЕ делать этого.
                                                                                        • 0
                                                                                          В Сбере тоже есть
                                                                                      • 0
                                                                                        Есть еще перевод денег на карту по номеру мобильного, который выбирается из записной книжки
                                                                                    • 0

                                                                                      Можно использовать отдельную учётную запись в Андроиде (начиная с 6, кажется), правда, все sms всё равно потенциально сливаются и несколько неудобно переключаться.
                                                                                      Заполнять телефонную книгу на этой учётке, естественно, не обязательно.

                                                                                      • +4
                                                                                        В сберовском приложении больше напрягает встроенный антивирус, чем куча разрешений.
                                                                                      • 0
                                                                                        Ну, с архитектурной стороны — подход грамотный. Иначе приложение станет копией сайта.
                                                                                        А вот реализация со встроенным антивирусом — подкачала…
                                                                                      • +6
                                                                                        Это которое постоянно сканирует телефон встроенным антивирусом Касперского, и выжирает батарею?

                                                                                        У них ужасное приложение, серьёзно.
                                                                                        • 0

                                                                                          На ios никаких проблем, работает быстро и хорошо.

                                                                                          • –1
                                                                                            Кхм. Антивирус можно отключить. На GraceUX точно.
                                                                                            • 0
                                                                                              На android (любом) нельзя — только сломать патчами от умельцев.
                                                                                            • –1
                                                                                              Оно еще отказывается работать на рутованных девайсах)
                                                                                              • +1
                                                                                                Это сейчас обыденная практика. Android Pay вообще отказывается работать, если: рут, либо разблокирован бутлодер, либо RAM кастомная. У меня по причине разблокированного бутлодера он не хочет работать.
                                                                                                • 0
                                                                                                  А у меня все три пункта вместе: и CyanogenMod, и переразметка внутренней памяти, и рут как само собой разумеющееся (нужен хотя бы для смены региона WiFi).
                                                                                                  • 0
                                                                                                    У меня CyanogenMod (Wileyfox Swift) и приложение Сбера работает без проблем. Так что тут всё не так однозначно.
                                                                                                  • +1
                                                                                                    Nexus 5X. Официальная прошивка, но разблокирован загрузчик, снято шифрование, установлено кастомное ядро (без рута). Android Pay работает.
                                                                                                    • 0
                                                                                                      Хм. Интересно. А я вот никак не могу понять как мне это побороть.
                                                                                                      Может у вас сама прошивка отдаёт информацию мол у меня всё закрыто?
                                                                                                      • +1
                                                                                                        Самой прошивке пофиг, она может ничего и не знать. Через системные проперти можно узнать версию системы, номер сборки, название ядра и некоторые другие параметры типа статуса сертификации устройства (это сейчас выводится в приложении Play Маркет – Настройки, там в конце списка). Состояние загрузчика из самой системы вроде как и не узнать. Рут легко проверить по наличию файла 'su' или какими-то другими способами. Как понимаю, для банковских приложений, в т.ч. Google Pay (или, например, для аренды видео в Play Видео) главное – чтобы была оригинальная сборка системы и отсутствие рута. Хотя при разблокированном загрузчике никто не мешает читать и заменять пользовательские и системные файлы через кастомное рекавери.
                                                                                                        • 0
                                                                                                          А что такое оригинальная сборка системы? И как приложение узнаёт о её оригинальности?
                                                                                                          На данный момент у меня сборка аля «user-debug». На релизной сборке всё работает, но мне нужная дебажная сборка системы, поэтому хочется починить на дебажной.
                                                                                                          • 0
                                                                                                            Очень легко это все проверяется там используется обычный Verified Boot. В двух словах(и очень грубо пропуская тонкости) есть ключь в первичном не модифицируемом загрузчик им он проверяет вторичный загрузчик, дальше проверяется что не модефицированн он и что загрузчик заблокирован. проверяется подпись ядра. Дальше ядро проверяет хеши файловой системы на которой лежит образ.
                                                                                                            Вобще там довольно много проверок, которые впринципе можно обойти. Например тотже Xposed или Magisk
                                                                                                            • 0
                                                                                                              Благодарю. Буду пробовать.
                                                                                                  • –1
                                                                                                    Да, я изрядно лоллировал, когда на моей xperia z3(прямо в отделении) приложуха не встала, ибо «богомерзкий рут».
                                                                                                    Сони мне разрешает рутить аппрат, а СберБАНГ — нет. Весело.
                                                                                                    • 0
                                                                                                      Изначально на OnePlus, где штатно шёл Cyanogen (лицензированный, с заблокированным загрузчиком и без рута) многие приложения ругались на «небезопасную» прошивку – Сбер, Тинькоф, ещё кто-то. Всем писал жалобы, позже все исправились. Так что если теперь жалуется на рут, то хотя бы реально определяет, а не просто по наличию ключевых слов в версии системы.
                                                                                                  • 0
                                                                                                    Ужасное это у альфа банка. Хоть я сбербанк люто ненавижу, и пользуюсь Тинькофф банком и альфа банком (зп карта), но могу сказать что у сбера приложение очень хорошее, и что с ним сравнится только Тинькофф. Лучше этих двух банков на андроиде нет на данный момент.
                                                                                                    • 0
                                                                                                      Альфа банком не пользовался, но на мой взгляд очень неплохое приложение у Рокет банка, и такого кол-ва разрешений оно не запрашивает)
                                                                                                  • +12

                                                                                                    Имхо, отечественные разработчики приложений со своей телеметрией вообще берегов не видят. Установленные Сбер онлайн и 2ГИС после подключения к WiFi на 2 минуты превращают мое устройство в картошку. Яндекс Погода (!) запускается минуту и потом 15 секунд пытается загрузить рекламный баннер, не реагируя на нажатия (андроид успевает пару раз выдать запрос на закрытие повисшего приложения)

                                                                                                    • 0

                                                                                                      А что за смартфон у вас, если не секрет? Пользуюсь описанным вами софтом на древнем Samsung Galaxy Note 3. Никаких превращений "в картошку", все летает.

                                                                                                        • 0

                                                                                                          Ммм… ИМХО, но в данном случае вопрос скорее к аппарату, а не к ПО

                                                                                                          • 0
                                                                                                            Нет уж! Вопросы (а лучше сразу выговоры с занесением в грудную клетку) только и исключительно к быдлокодерам. Процессор нормальный? Нормальный! Памяти достаточно? Да! Андроид? Андроид! Всё, какие ещё могут быть вопросы?
                                                                                                            Вы посмотрите на этих программёров (и это ещё не вспоминая про остальные прослойки, про тестировщиков вообще забудем), сидят за каким-нибудь… макбуком, видя всё над чем «работают» только в эмуляторе… Всё что можно ожидать — получают сполна очень многие пользователи, не купившие себе топовый СамсуньгЪ Асемьног.

                                                                                                            Ну ладно, расскажите, какие у вас (или вообще) вопросы или претензии к этому аппарату?
                                                                                                            • –1
                                                                                                              У древних аппаратов без поддержки ART были принципиальные проблемы с перевариванием multi dex приложений. Вообще жаловаться что на мобильной операционной системе выпущенной ПЯТЬ лет назад на современные приложения тормозят… ну это я не знаю из какой серии.
                                                                                                              • +2
                                                                                                                А где же хвалёное «автоопределение» и прочие фантастические возможности «экосистемы»? В какой момент наступает эта древность? Год назад не тормозило, два года назад не тормозило…

                                                                                                                Какие вычисления производит, аж целый квадратный сантиметр (ну два-три) показывающий погоду, что он вообще смеет тормозить? Он на время делает телефон сервером погоды, вычисляя её в реальном времени?
                                                                                                                • 0
                                                                                                                  Конвертирует байткод. У андроида 4.2 с этим определенные проблемы. Программы стали больше нынче.
                                                                                                                  • 0
                                                                                                                    Ну так пусть программа перед обновлением скажет — «Извините, уважаемый пользователь, случилась неприятность, мы больше не можем поддерживать эту ОСь или это железо...».
                                                                                                      • 0
                                                                                                        Яндекс Погода (!) запускается минуту и потом 15 секунд пытается загрузить рекламный баннер, не реагируя на нажатия (андроид успевает пару раз выдать запрос на закрытие повисшего приложения)

                                                                                                        А-то я думал 15-секундный запуск на iOS это много (те же симптомы: не реагирует на нажатия, хотя есть анимация облачков на карте). Баннера, правда, не видел.

                                                                                                      • +7

                                                                                                        Приложение а) запросило прав кучу б) устанавливаться захотело только на внутреннюю память в) тащило с собой антивирус. Спасибо, не надо.

                                                                                                        • +1
                                                                                                          А зачем тогда вообще прогресс? Полагаю, что если что-то делаешь, то это надо делать хорошо.
                                                                                                          Никому же не понравится, например, автомобиль с отлетающими колесами. Никто же не предложит ходить пешком. А случаев, когда он необходим, достаточно много.
                                                                                                          • +3
                                                                                                            Проблема в том что сберу вообщем то плевать на людей, как бы его(банк) не обсирали, он не утонет(как известная субстанция). Потому новшества в сбер приходят спустя 5-7 лет да и те не блещут качеством.
                                                                                                            P.S. Есть еще дыра в мобильном прилощении. Вводите любой номер телефона в переводе с карты на карту по номеру телефона и если номер подключен к сбербанку, видно ФИО абонента, номер карты(не весь), раньше еще сканировал контакты и показывал значек подключен номер к сбербанку или нет
                                                                                                            • 0
                                                                                                              В настройках можно включить режим инкогнито (по умолчанию отключен), чтобы вы не отображались значком по номеру телефона у других людей.
                                                                                                              • 0
                                                                                                                ФИО не видно, только Имя Отчество Ф. Это не только у них такое.
                                                                                                                • 0
                                                                                                                  Я когда сбером пользовался, то очень радовала функция автоплатежа (с разными настройками), которой сейчас очень не хватает в другом банке:
                                                                                                                  1) Приходит счёт на оплату
                                                                                                                  2) Я получаю СМС вида: «Вам пришёл счёт на сумму {NNN}руб., отправьте {KKK} на номер 900 для отмены автоплатежа.»
                                                                                                                  3) Если не отменил, то на следующий день счёт будет оплачен автоматом.
                                                                                                                  • 0
                                                                                                                    Я получаю СМС вида

                                                                                                                    Мне тоже нравится функция автооплаты, а вот СМС нет. Пришлось в антиспам фразу из этой СМС забить, чтобы не надоедали.
                                                                                                                    • 0
                                                                                                                      Там бывали сообщения о блокировки автоплатежа.
                                                                                                                      К примеру, если приходит дюжина счетов на оплату вместо одного.

                                                                                                                      Помнится, жена телефон поменяла, а лишний блоатварь который шёл в нагрузку к андройду — не выпилила.
                                                                                                                      Так там пошёл достаточно бодрый траффик, вкупе с бодрыми сообщениями о нехватке средств на счету. Благо сбер на втором счёте в день автоплатёж автоматом затормозил.

                                                                                                                      Ну и коммуналка может не пройти, если цены поднимутся.
                                                                                                                      • +1
                                                                                                                        Если платёж не пройдёт, то сообщение изменится и проскочит антиспам-фильт, так что всё в порядке, спасибо за предупреждение.
                                                                                                                  • 0
                                                                                                                    Это не баг, а фича =) На самом деле, сколько сберовскими сервисами пользуюсь, раз 40 уже переводил деньги на карты разным людям, и моему внутреннему невротику всегда было приятно убедиться, что перевожу, куда надо. К тому же, фамилия не светится, только инициал, так что всё не так страшно. А бороться с потенциальным фродом надо уметь в любом случае самому пользователю. Не по ИО, так по чему-нибудь ещё развести попытаются, какая-нибудь условная баба Клава и так отправит «СПАСИТЕКОТИКОВ» на короткий номер, чтобы спасти несуществующих котиков от чего-то там. Между удобством и отсутствием фродной соц.инженерии я практически всегда выберу первое.
                                                                                                                    • 0
                                                                                                                      Это, во-первых, не только в мобильном приложении, а в Сбербанк.Онлайн тоже, а во-вторых, ФИО показывается для проверки — тому ли человеку вы собираетесь пять тысяч перевести. ИМХО, это удобно.
                                                                                                                  • 0

                                                                                                                    А ещё лучше кодом 900, чтобы вирусам удобнее было. Я сделал проще — не использую сбер, но есть те, кому приходится. Удобство и безопасность — это как раз сайт онлайн-банк на другом устройстве, чем привязанный телефон и без левых скриптов.

                                                                                                                  • +7
                                                                                                                    Сознательно не пользуюсь Сбербанком из-за множества проблем.
                                                                                                                    Зачем он? У того же Ситибанка и Райфа, и, по рассказам знакомых, Альфабанка, сервис гораздо лучше.
                                                                                                                    Да и рейтинг у них неплохой.
                                                                                                                    • 0
                                                                                                                      Я бы тоже не пользовался, но, к сожалению, есть принудиловка, например, на работе. Дают карту для зарплаты и будешь пользоваться. Бороться с этой системой очень трудно.
                                                                                                                      • +3
                                                                                                                        Мне тоже на работе выдали. Но у меня уже была другого банка, я написал заявление в бухгалтерию и мне зарплату скидывают на неё. Теоретически они обязаны выдавать или наличкой или на указанный мной банковский счет безналом.
                                                                                                                        • –1
                                                                                                                          Все это так
                                                                                                                          • +3
                                                                                                                            Во-первых, всегда можно написать заявление на счет в другом банке.
                                                                                                                            Во-вторых, можно сразу по приходу, сливать деньги в тинькофф. У нас почти все так делают.
                                                                                                                            • 0
                                                                                                                              А наличку где снимают? Я давно уже подумываю отказаться от сбера, но останавливает практически полное отсутствие банкоматов других банков. По крайней меря я их вижу крайне редко.
                                                                                                                              • +1
                                                                                                                                В _любом_ банкомате россии без комиссии, если снимать от 3000р. Видите издалека будку, похожую на банкомат — значит там можно снять деньги с карты тинькова. Т.е. больше не нужно искать банкомат именно сбера, подойдет от агропромхрензачембанка.

                                                                                                                                Про другие страны на 100% не уверен, но вроде тоже не берут комиссий от $100. надо уточнять. Спросите в чате прям на сайте — у них шикарная поддержка.

                                                                                                                                Все вышесказанное, разумеется, про дебетовую карту. Кредитки, как и везде, с подвохом.
                                                                                                                                • +1
                                                                                                                                  > Про другие страны на 100% не уверен, но вроде тоже не берут комиссий от $100

                                                                                                                                  Пробовал в этом году — комиссии не было.
                                                                                                                                  • 0
                                                                                                                                    если снимать от 3000р

                                                                                                                                    Уже неудобно. Часто требуются меньшие суммы, дв и ситуации бывают разные, я однажды 100 рублей снимал (банально лень было бежать до дома за наличкой, а на карте почти пусто).
                                                                                                                                    • +1
                                                                                                                                      Для меня норм… Мне комфортно носить с собой столько налички, сколько не сильно жалко потерять… это как раз около 3 тыщ )
                                                                                                                                      а на карте почти пусто
                                                                                                                                      — до такого, слава космосу, давно уже не довожу. Все деньги на карте, счета открывать смысла нет — там те же 7% дают.
                                                                                                                                      • +1
                                                                                                                                        до такого, слава космосу, давно уже не довожу.

                                                                                                                                        С таскаю с собой карту для онлайн/оффлайн покупок, большие суммы на ней не задерживаются.
                                                                                                                                • +2
                                                                                                                                  Главное в сбере не снимать, иначе ограничение в 7500 на транзакцию дюже неудобно :)
                                                                                                                                  • +1
                                                                                                                                    А вы не думали, что каждый отдельный банк сотрудников для бухгалтерии — это отдельная ведомость на зарплату + отдельная платежка + отдельная выписка о списании д/с со счета?
                                                                                                                                    • 0
                                                                                                                                      Мне рассказали, что для бухов это гемор, поэтому я сам руками со сбера каждый раз перевожу.