Может ли сбербанк прослушивать телефон
Прочитал, что приложение Сбербанк.Онлайн может: «читать контакты, делать снимки, управлять Bluetooth, звонить, изменять настройки смартфона, настройки Wi-Fi, узнавать местоположение, убивать фоновые процессы, читать и изменять историю браузера, изменять настройки APN, следить за запущенными приложениями». Стоит ли чего-то опасаться?
Отвечаем на потребительские вопросы о финансах
Как прокомментировали специалисты Digital Security, приложение Сбербанка действительно имеет доступ к некоторым данным пользователей, но далеко не к такому количеству, которое перечислено (информация из статьи двухгодичной давности, с непроверенными данными).
«Во-первых, Сбербанк.Онлайн запрашивает доступ к контактам, звонкам, Wi-Fi, камере и пр. для корректной работы приложения. Во-вторых, для удобства пользователя: чтобы мы могли переводить деньги по номеру телефона или сканировать карты, например (при установке от этого можно отказаться). Поэтому в данной ситуации опасаться нечего, единственное, на что стоит обращать внимание — на своевременное обновление системы, потому что приложение может совершать только те действия, которые разрешает сделать система», — подчёркивают в Digital Security.
Руководитель группы исследований безопасности мобильных приложений Positive Technologies Николай Анисеня отмечает, что автор представил довольно односторонний разбор приложения: в процессе исследования был изучен лишь список запрашиваемых приложением разрешений, на основе этого были построены его догадки.
«Для того чтобы уличить приложение во вредоносной активности, нужны более глубокие исследования. Практика показывает, что список запрашиваемых разрешений сам по себе ни о чём не говорит и часто направлен на повышение удобства пользователя. Например, без данных о местоположении пользователя приложение не сможет автоматически показать ближайшие банкоматы, без доступа к камере не сработает оплата по QR-коду. Увы, любое разрешение может быть использовано как во благо, так и во вред. Поэтому обвинять приложение просто на основе запрашиваемых разрешений — ошибочная позиция.
Кроме того, автор рекомендует защищаться от банковского приложения с помощью root (получение прав суперпользователя на устройствах под управлением операционной системы Android) — это в корне ошибочная рекомендация. Отмечу, что наличие root-прав на устройстве полностью нивелирует его безопасность. Любое приложение в этом случае будет иметь неограниченный доступ к устройству и ко всем приложениям на нём. Есть некоторые приложения, которые якобы повышают безопасность устройства, но они работают на тех же правах, что и вредоносные приложения, от которых они пытаются защитить», — говорит эксперт.
Персональные данные клиентов Сбербанка вновь оказались на черном рынке. Один из продавцов утверждает, что располагает базой данных о заемщиках на миллион строк, накопленных с 2015 года до недавнего времени. Необычность утечки в том, что помимо стандартных данных покупателям предлагают и запись последнего разговора с колл-центром банка. В самом Сбербанке факт утечки опровергают, но эксперты полагают, что она может быть реальной.
Фото: Глеб Щелкунов, Коммерсантъ / купить фото
Фото: Глеб Щелкунов, Коммерсантъ / купить фото
Новое предложение о продаже базы клиентов Сбербанка появилось на одном из теневых ресурсов 13 октября. В объявлении говорится, что база содержит порядка миллиона строк с полными данными (паспорт, прописка, адреса проживания, телефоны, счета, сумма остатка или задолженности) клиентов банка, имеющих кредиты или кредитные карты. Данные продаются в любом объеме, а покупатель может даже назвать интересующие его критерии, по которым будет сформирована выборка, например по региону, сумме на карте или размеру долга. Необычной выглядит выгрузка по последнему звонку клиента в банк. Продавец при желании предлагает также предоставить запись этого разговора.
“Ъ” связался с продавцом и выяснил, что база формируется с 2015 года, обновляется еженедельно. Так, за три недели октября в нее добавилось 19 823 строки.
В пробном фрагменте были данные о клиентах, вышедших на просрочку по кредитам и кредитным картам.
Судя по столбцу «ТБ» (территориальный банк), в выгрузке оказались данные из десяти территориальных банков (всего их у Сбербанка 11). На некоторых клиентов приходится несколько строк, если у них есть несколько действующих кредитов. Судя по столбцам «Дата образования просрочки» и «Количество дней просрочки», данные были выгружены 25 сентября. Выгрузка аудиозаписей, по словам продавца, производится «с рабочего места», то есть в дневное время. Сам продавец признался, что выступает перекупщиком. Он продает одну строку за 30 руб.
Это не первая утечка данных из Сбербанка.
Пресс-служба Сбербанка отрицает и новую утечку. «В Сбербанке и его дочерних компаниях таких утечек персональных данных клиентов не было»,— заявили в банке. ЦБ не комментирует действующие банки.
Почему данные банковских клиентов дорожают на черном рынке
База данных может быть реальной, а информация выглядит относительно свежей, указывает основатель и технический директор DeviceLock Ашот Оганесян. «С учетом того что продавец сообщил о возможности получить аудиозаписи разговоров, данные, возможно, утекли из внешнего колл-центра, обеспечивающего работу с должниками»,— предполагает господин Оганесян. По его мнению, злоумышленники могут использовать базу для рассылки спама, а также для проведения мошеннических операций. Например, для звонков должникам с обещанием реструктуризации долга и предложением сделать небольшой первый платеж, реквизиты которого будут подставными. «Аудио может очень помочь мошенникам,— соглашается гендиректор Zecurion Алексей Раевский.— Если они при общении с потенциальной жертвой сошлются на такой разговор, это серьезно добавит доверия».
Представьте ситуацию: оставили вы на 5 минут без присмотра телефон (например, на зарядке). Возвращаетесь и видите SMSку о переводе крупной суммы денег 3-ему лицу. Представили? А это ведь легко может быть реальностью… В статье пойдёт речь о не очень безопасной системе входа в мобильное приложение Сбербанка, дабы предупредить пользователей о возможности финансовых потерь.
После того, как у меня затупил телефон, мне пришлось сбросить его к заводским настройкам. Установив из Play-маркета приложение «Сбербанк Онлайн», и прождав значительное время, пока приложение сканирует телефон на наличие вирусов, создаётся полное ощущение, что тут всё хорошо с безопасностью. Но каково же было моё удивление, когда после ввода логина и готовности ввести пароль, вместо него меня просят ввести SMS-код, который тут же пришёл на этот же телефон!
Сначала я подумал, что возможно где-то на карте памяти сохранился какой-нибудь идентификатор сессии, из-за которого не надо проходить процедуру ввода пароля, а достаточно пройти упрощённую процедуру подтверждения по SMS. Но это было не так.
Тогда мы с коллегой решили проверить на его телефоне, смогу ли я войти в его приложение. Мы берём его телефон, открываем приложение, выбираем «Сменить пользователя» в меню, вводим логин (который секретным не является и используется им на разных сервисах). И, бинго, опять вводим SMS-код и оказываюсь внутри приложения с полным доступом ко всем финансам! Всё дело заняло пару минут времени.
А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше.
Кроме того, в ОС куча приложений, которые просят разрешений на чтение SMS. Не удивлюсь, если появится вирус, способный сымитировать вход в приложение с чтением и последующим входом кода из SMS.
А что Сбербанк?
То есть фактически приложение нельзя ставить на тот же телефон, на который приходят SMS-ки.
Выводы
Выводы можно сделать только такие — держите телефон всегда при себе, даже когда решили выйти на 5 минут в туалет. Не устанавливайте приложений с доступом к SMS. А ещё лучше — получайте SMS с кодами на кнопочный телефон без приложений.
МОСКВА, 31 окт – ПРАЙМ, Ульяна Крайняя. По данным "Лаборатории Касперского", Россия в первом полугодии стала лидером по числу людей, столкнувшихся со слежкой через шпионское программное обеспечение в смартфоне. Установить, заражено ли устройство софтом для прослушивания телефонов, не всегда просто, считают опрошенные агентством "Прайм" эксперты.
Эксперт назвал главные признаки прослушки вашего телефона
При этом обезопасить себя от незаконной прослушки можно, соблюдая ряд нехитрых правил безопасности. Так, не стоит передавать телефон третьим лицам и переходить по неизвестным ссылкам. Важно регулярно проверять установленные на смартфоне приложения и отключать его во время конфиденциальных переговоров. При подозрениях на прослушку вы вправе обратиться с заявлением в правоохранительные органы.
КАК ОПРЕДЕЛИТЬ, ЧТО ВАС ПРОСЛУШИВАЮТ
Для начала, далеко не факт, что целенаправленно прослушивать будут именно вас – есть определенные группы риска. "Приложения в телефоне довольно часто прослушивают наши разговоры, но, если речь идет о планомерной слежке, то для нее должны быть какие-то причины", — рассуждает директор компании "Интеллектуальный резерв" Павел Мясоедов. Так, бизнесменом могут заинтересоваться партнеры или конкуренты, также члены семьи часто стараются контролировать друг друга.
Если программу устанавливал профессионал, то "жучок" обнаружит только специалист, если это делал человек с минимумом знаний – найти следы будет проще.
Эксперт посоветовал присмотреться, не ведет ли себя телефон необычно: например, стал быстро разряжаться (особенно – новый аппарат) или сам выключаться. Еще одним признаком возможной прослушки является сильный нагрев устройства при разговоре. Но это косвенные признаки, они могут указывать на технические проблемы. Хуже, если стали появляться программы, которые владелец точно не устанавливал.
Если вы заметили эти нехарактерные признаки, лучше сохранить ценную информацию и сбросить телефон к заводским настройкам. Однако этот метод не поможет, если жучок находится внутри корпуса. "И главное правило безопасности – не пользоваться подаренными гаджетами", — предупреждает Мясоедов.
Если Вас "слушают" правоохранительные органы на основании решения суда, определить это весьма сложно и порой невозможно, продолжает заведующий филиалом московской коллегии адвокатов "Защита" Анатолий Миронов.
"Как правило, в таких случаях связь, интернет и сам смартфон работают в штатном режиме, и никаким чудесным набором цифр и символов вы не определите законное прослушивание телефонных переговоров", — предупреждает он.
Использование интернет-телефонии и мессенджеров с правовой точки зрения не относится к телефонным переговорам, поэтому оперативно-розыскное мероприятие "прослушивание телефонных переговоров" никогда не содержит в себе данных из WhatsApp или Telegram. Однако это вовсе не означает, что у оперативных служб нет возможности получить оттуда интересующие сведения.
КАК ВЕДЕТСЯ ПРОСЛУШКА
Большой объем коммуникаций на смартфоне проходит в мессенджерах или социальных сетях, поэтому они также могут быть интересны злоумышленникам.
"В этом случае речь идет уже о прямой прослушке: с использованием возможностей самого смартфона, а также шпионского или сталкерского софта", — объяснил специалист.
МОЖНО ЛИ ПРЕДОТВРАТИТЬ
Чтобы снизить риски заражения шпионским софтом, Чебышев рекомендует скачивать приложения только из официальных магазинов и следить за тем, какие разрешения вы даете установленным программам, периодически проверять список установленных приложений (если среди них появляются новые, незнакомые – это повод насторожиться), а также установить защитное решение для мобильных устройств.
Эксперт рассказал, кому кроме вас доступна камера вашего смартфона
Директор информационно-аналитического агентства Telecom daily Денис Кусков добавляет, что специальное ПО на смартфоне может устанавливаться как незаметно от человека, так и самим человеком, не подозревающим этого. Происходит это путем скачивания писем или иной информации, либо переходом по непроверенному адресу.
Если вы скачиваете какие-то приложения, то стоит бережно подходить к вопросу предоставления объема данных этому софту. Предоставляя приложению ряд данных, которые можно собирать с участием микрофона и камеры, стоит понимать, что это будет доступно третьим лицам.
Эксперт рекомендует не передавать свой телефон в незнакомые руки, даже если вас просят сделать звонок. Если есть необходимость донести конфиденциальную информацию –делать это тет-а-тет, а не по мобильному телефону.
"Если Вы ведёте важные конфиденциальные переговоры, то, по возможности отложите телефон в сторону и выключите его", — советует и Миронов.
ПРАВОВОЙ АСПЕКТ
Если вы полагаете, что ваши права были нарушены незаконным прослушиванием телефонных переговоров, то логично будет обратиться с официальным заявлением в правоохранительные органы, которые могут привлечь виновных к ответственности по статье 137 Уголовного Кодекса РФ
Если же вам стало известно о нарушающей ваши права прослушке телефона, которую проводят сами правоохранительные органы на основании судебного решения, но преступления вы не совершали, то по Закону "Об оперативно-розыскной деятельности", вы вправе истребовать сведения о полученной о вас информации.
"И, пожалуй, самый основной совет: задумывайтесь над тем, что вы говорите, помните древнюю истину "от слов своих оправдаешься, и от слов своих осудишься". Контролируйте себя, а потом уже свой гаджет", — подытожил юрист.
Читайте также: