Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Как идентифицируется телефон в сети

Обновлено: 10.01.2025

Мы в Spektr исследовали рынок и разобрались, как телеком-компании в России и за рубежом подтверждают личности клиентов удаленно и что от этого ожидать в будущем.

Мы начали исследование с большой четверки: МТС, Билайн, Мегафон и Теле2. И оказывается, что удаленную идентификацию предоставляет только один их этих операторов. Угадаете, кто именно?

​Так в целом выглядит последовательность действий при удаленной идентификации

В июле 2019 года пресс-служба МТС сообщила, что они тестируют несколько проектов, связанных с удаленной идентификацией, в том числе идентификацию при помощи «Госуслуг». В декабре 2019 удаленно подтвердить персональные данные невозможно.

Билайн также сообщал в июле 2019 года, что собственную технологию удаленной идентификации они тестирует с апреля и скоро запустят. Чтобы активировать SIM-карту, будет достаточно вставить ее в телефон, через веб-интерфейс заполнить данные, сделать селфи и фотографию паспорта. Но пока подтвердить личность дистанционно нельзя.

Мегафон не делал публичных заявлений на тему удаленной идентификации. Но в контактном центре и салонах связи нам рассказали о пилотном проекте: специальную SIM-карту можно купить в супермаркетах и на АЗС и самостоятельно активировать в мобильном приложении. Подтвердить эту информацию и найти эту карту в Москве мы не смогли, хотя в начале сентября Мегафон действительно обновил свое приложение и добавил туда регистрацию новой SIM-карты. Протестировали, как это работает.

Чтобы дистанционно активировать SIM-карту, нужно:

  1. Заполнить анкету онлайн — вручную или автоматически «подтянуть» из «Госуслуг» (фотосканирования в приложении нет).
  2. Ждать звонка от менеджера в течение дня (мы ждали 10 минут) — он подтвердит заказ.
  3. Курьер привезет карту и все же попросит показать паспорт. А это значит, что удаленной идентификации у Мегафона (как и у МТС и Билайна) пока нет.

А вот Tele2 позволяет самостоятельно зарегистрировать SIM-карты через приложение ID.Abonent. Чтобы подтвердить подлинность документов, приложение использует биометрические методы аутентификации, фотосканирование и искусственный интеллект.

Виртуальные операторы (MVNO), которые работают на сетях Теle2 и Мегафона, тоже дают такую возможность. Среди них: Ростелеком, Тинькофф Мобайл, Lycamobile, Yota и СберМобайл. Причем у СберМобайл есть отдельное мобильное приложение SberMobile IDSim для самостоятельной регистрации SIM‑карт новыми абонентами. В его основе лежит решение ID.Abonent, работающее по модели white label, — интерфейс адаптирован под цвета Сбербанка, есть фирменный логотип. При этом если абонент — клиент Сбербанка, сдавший биометрию, то паспорт ему не понадобится: паспортные данные подставляются автоматически.

Как подтвердить личность через ID.Abonent

Купить SIM-карту в одном из магазинов сетей «Пятерочка» или «Лента». Далее процесс идентификации одинаковый для всех абонентов MVNO:

  1. Отсканировать штрих-код, который находится на пластиковой карте с «симкой».
  2. Открыть фронтальную камеру для селфи, поместить лицо в области овала и моргнуть.
  3. Отсканировать паспорт.
  4. Подписать электронный договор.
  5. Дождаться push-уведомления.
  • Решение принимается быстро: в нашем случае — за 6 минут
  • Понятный интерфейс приложения
  • Пошаговые инструкции
  • Для подтверждения личности не нужно звонить
  • Оперативные ответы службы поддержки — например, если возникли ошибки в документах, можно сразу обсудить это в чате.
  • Противоречия в коммуникации от оператора и в приложении: в финале регистрации в ID.Abonent указано, что клиент может выбрать количество минут и гигабайт. Одновременно с этим приходит СМС, что тариф уже выбран и деньги за него уже списаны
  • Нельзя выбрать тариф, дополнительные услуги и абонентский номер.
  • Плохо работает распознавание текста при сканировании — понадобилось 4 попытки
  • Само приложение ID.Abonent не кастомизировано — оно выглядит и работает одинаково для всех операторов, кроме СберМобайл.

Drimsim — туристическая SIM-карта, работает с 2016 года в 200 странах. Эта симка не привязана к одному оператору: когда клиент приезжает в новую страну, она подключается к локальной сети — оплачивать ее нужно по местному тарифу. Drimsim можно заказать на сайте, ее дополняет бесплатное мобильное приложение — в нем видно, сколько стоит связь в этой стране, можно отслеживать баланс и расходы. Активировать Drimsim тоже можно через приложение.

Как активировать Drimsim

  1. Ввести данные SIM-карты (ICCID и PUK) вручную или с помощью сканера
  2. Ввести данные загранпаспорта: можно заполнить вручную, сфотографировать документ или выбрать фото из архива
  3. Прикрепить селфи с паспортом
  4. Ввести вручную почтовый адрес для квитанций
  5. Дождаться push-уведомления и подтверждения по почте.
  • Решение принимается быстро: в нашем случае — за 13 минут
  • Понятный интерфейс приложения
  • Пошаговые инструкции
  • Для подтверждения личности не нужно звонить — удобно в путешествии
  • Можно выбрать способ ввода данных: сканирование, загрузка фото из фотоленты или заполнение полей вручную
  • Брендированное приложение: фирменные шрифты, цвета, лого.
  • На экране нет выделенных зон с рамками, которые выхватывают нужную информацию. Фотографии могут получиться низкого качества, с ошибками в данных.

Зарубежные телеком-компании, кроме фотографии документов и селфи с ними, предлагают видеоинтервью как способ подтвердить личность. Видеоинтервью дает возможность убедиться, что человек, который подал заявку, — тот же самый, кому принадлежат документы. Поскольку у пользователей не всегда есть возможность созвониться, альтернативой может быть запрос дополнительных действий с включенной фронтальной камерой, которая распознает мимику и жесты пользователя (просьба моргнуть, проследить за перемещением точки, повернуться).

Axon Wireless: стороннее ПО для регистрации и идентификации клиентов

В октябре 2019 года южно-африканская компания Axon Wireless запустила первую в Африке систему для мгновенной регистрации SIM-карт Tap and Go. Клиенты могут пройти регистрацию в течение 45 секунд благодаря мгновенной проверке национальной ID-карты. Также потребуется предоставить селфи: камера сама определит лицо и сделает снимок. Пока сервис доступен только на территории Кот’д'Ивуар, но представители компании надеются развернуть его по всей Южной Африке.

BioID: стороннее ПО для идентификации клиентов

BioID — немецкий провайдер облачной биометрии, партнер банков и госорганов Германии. В июне 2019 года компания объявила об интеграции технологии распознавания лиц в сервисы компании РОS AG — это позволит клиентам самостоятельно и дистанционно регистрировать SIM-карты.

При регистрации нужно сделать два селфи с разных ракурсов, чтобы системе было проще распознать, что на фото настоящий человек. Также нужно добавить снимок своего фото на удостоверении личности.

Singtel — крупнейший сотовый оператор Сингапура. В июне 2019 года компания запустила самостоятельную регистрацию SIM-карт. Пользователи могут активировать мобильную связь за 5 минут. Аналогичную услугу телеком-гигант предложил и клиентам своего сервиса мобильных переводов Dash. Для подтверждения личности нужно не просто снять селфи, а следить за черной точкой, которая перемещается по экрану. Схожую процедуру использует крупнейший виртуальный оператор в Малайзии Tune Talk.

Если сравнить российский ID.Abonent с сингапурским Singtel и малазийским Tune Talk, очевидно, что дистанционная идентификация в ID.Abonent не уступает зарубежным конкурентам. Совпадает и механика подтверждения персональных данных: личность абонента устанавливается по паспорту с помощью процедуры распознавания лица. Но у азиатских операторов есть «козырь» — собственное мобильное приложение.

Плюсы собственного мобильного приложения:

  • внушает доверие клиентам — они могут не беспокоиться, что третьи лица получат их персональные данные
  • помогают строить долгосрочные связи между клиентами и брендом
  • дополнительные опции, например выбор тарифа или красивого номера.

Пока в России собственное приложение есть только у Drimsim (SberMobile IDSim, в отличие от Drimsim — это одноразовое приложение для активации на базе ID.Abonent, а не самостоятельное). При этом Drimsim позиционируется как SIM-карта для путешествий, поэтому ей принадлежит лишь крошечная доля рынка. По словам основателя компании Сергея Редькова, абонентская база Drimsim измеряется сотнями тысяч человек. Для сравнения: на долю «большой четверки» суммарно приходится несколько сотен миллионов.

Одно из ключевых различий телеком-рынков в России и за рубежом — в масштабируемости решений для удаленной идентификации. За исключением ID.Abonent, для России это пока новая технология, которую компании разрабатывают собственными силами. Сейчас представители «большой четверки» тестируют внутренние проекты по самостоятельному оформлению SIM-карт. На зарубежном рынке гораздо больше IT-вендоров с готовыми API для дистанционной верификации личности в различных отраслях — от телекома и банков до госслужб и здравоохранения. Это не только Axon Wireless и BioID, о которых мы писали выше, но десятки поставщиков программного обеспечения, включая Identiway, Pomcor, IDnow, Ondato. Сотовому оператору остается только выбрать технологического партнера и внедрить их интерфейсы в свое приложение по модели white label. Таким образом, решения для удаленной верификации развертываются гораздо быстрее, поскольку уже есть готовая инфраструктура и не нужно начинать разработки с нуля.

Лед тронется, когда первый из операторов «большой четверки» запустит собственное брендированное приложение для удаленной идентификации клиентов. Ближе всех к этому сейчас Tele2 (особенно учитывая его инициативы с продажами виртуальных eSim), который анонсировал такое приложение еще в апреле 2019 года.

Хочется надеяться, что телеком-гиганты воспользуются опытом из смежных индустрий, где уже успешно применяется самостоятельная верификация. Так, в каршерингах Яндекс.Драйв и BelkaCar процесс идентификации выполнен в формате диалога с чатботом. Не отстают и банки: Точка Банк открывает расчетный счет после видеозвонка клиентам, а Райффайзенбанк начал кредитовать малый бизнес дистанционно, предлагая просто загрузить документы в приложение.

В России началась подготовка к введению в стране идентификации мобильных устройств по номерам IMEI. Ее проводят сотовые операторы совместно с Россвязью. Идентификация вводится для того, чтобы ограничить серый импорт гаджетов и случаи хищения телефонов. Об этом ТАСС сообщили в Россвязи, информацию также подтвердили представители ряда сотовых операторов.

Что такое IMEI?

IMEI (от англ. International Mobile Equipment Identity — международный идентификатор мобильного оборудования) — это номер, который должен быть уникальным для каждого аппарата. Он используется в мобильных телефонах и планшетах для идентификации в сетях GSM, WCDMA и IDEN.

Как правило, номер состоит из 15 цифр: первые восемь определяют модель и место происхождения устройства и называются TAC (Type Approval Code), остальная часть — это серийный номер аппарата с контрольной цифрой в конце, который придумывает производитель.


В связи с чем начали тестирование идентификации?

Тестирование проводится в связи с разработкой в России законопроекта о введении системы контроля телефонов и планшетов по IMEI. Российские сенаторы подготовили документ в декабре 2018 года. Он предполагает, что регистрацию в сети операторов связи смогут проходить только те гаджеты, которые имеют оригинальный разрешенный номер. Авторы законопроекта заявляли, что регистрация мобильных телефонов по их заводскому коду может быть введена в России с 2023 года.

В Россвязи заявляют, что тестирование идентификации должно пройти до момента вступления закона в силу. Однако законопроект пока еще не внесен в Госдуму. Один из его авторов, глава временной комиссии Совета Федерации по развитию информационного общества Людмила Бокова, пояснила, что документ пока дорабатывается.

Как будет проходить идентификация устройств по IMEI?


Согласно законопроекту, операторы связи должны не допускать к работе в своей сети гаджеты, которым не присвоен IMEI или у которых он неуникален, а также утраченные или похищенные устройства.

Как будет проходить тестирование идентификации?

Площадкой для пилотного проекта стал подведомственный Россвязи Центральный научно-исследовательский институт связи (ЦНИИС), который управляет центральной базой данных IMEI. Во время тестирования должна быть пройдена проверка синхронизации информационных систем операторов связи и центральной базы данных с использованием нескольких протоколов взаимодействия, сообщают в ЦНИИС.

По данным Россвязи, сотовые операторы будут проводить эксперимент отдельно друг от друга. В частности, один из них совместно с ЦНИИС уже успешно протестировал технологию, автоматически отсеивающую IMEI, которым запрещен доступ в сеть, и регистрирующую те, которым регистрация разрешена. Для этого реестр номеров в сети оператора каждые два часа синхронизируется с центральной базой IMEI.

Рассказываем про идентификаторы устройств на Android и про то, как приложения злоупотребляют ими, чтобы больше зарабатывать на рекламе.

О том, как работает реклама в Интернете и как рекламные сети (и не только они) узнают, какие сайты вы посещаете, мы уже рассказывали. Но ваша виртуальная жизнь вряд ли ограничивается веб-страницами. Скорее всего, заметная ее часть проходит в мобильных приложениях, которые тоже нередко зарабатывают на рекламе. Для этого они, как и сайты, сотрудничают с рекламными сетями.

Чтобы маркетологи могли составить на вас детальное досье и показывать вам персонализированные объявления, мобильные программы отправляют им информацию о вашем устройстве. Даже ту, использовать которую в рекламных целях Google не разрешает.

Какая информация позволяет отследить ваше Android-устройство

Убедиться, что та или иная программа установлена именно на вашем устройстве, рекламной сети помогают специальные коды-идентификаторы. Как правило, их у смартфона, планшета и любого другого гаджета несколько, и большинство из них придуманы не для рекламы.

Так, уникальный номер IMEI нужен, чтобы распознавать ваш телефон в сотовых сетях и, например, блокировать краденые устройства. А при помощи серийного номера можно определить все гаджеты серии, в которых обнаружен брак, и отозвать их из магазинов.

Еще один уникальный идентификатор, MAC-адрес, нужен для подключения устройства к сети, а заодно может быть использован, чтобы ограничить набор гаджетов, которые имеют право подключаться к вашему домашнему WiFi. Наконец, Android ID (он же SSAID) разработчики приложений используют, чтобы продавать лицензии на ограниченное количество копий для платных версий своих продуктов.

Долгое время какого-то отдельного идентификатора для рекламы вообще не существовало, поэтому приложения отправляли своим партнерам те, к которым имели доступ. При этом спрятаться от объявлений по интересам пользователь практически не мог: те же IMEI или MAC-адреса — это уникальные номера, по которым устройство опознается однозначно. Каждый раз, когда очередное приложение передает в рекламную сеть один из них, та понимает, что его установили именно вы.

Теоретически существует возможность изменить эти номера — в том числе при помощи специальных приложений, но это непросто, и, что хуже, подвергает опасности ваш телефон. Дело в том, что для подобных экспериментов нужны root-права, а получая их, вы делаете устройство уязвимым. К тому же в некоторых странах манипуляции вроде смены IMEI запрещены законом.

Android ID поменять проще — для этого достаточно сбросить смартфон или планшет до заводских настроек. Но после этого придется заново задавать все параметры, устанавливать приложения, авторизоваться в каждом из них и так далее. В общем, куча мороки, так что желающих делать это часто, мягко говоря, не очень много.

Рекламный идентификатор — ожидание

В 2013 году в качестве компромисса между интересами пользователей Android и рекламщиков компания Google ввела специальный рекламный идентификатор. Его задают сервисы Google Play, и пользователь при желании может сбросить его и создать новый. Делается это в меню Настройки > Google > Реклама > Сброс рекламного идентификатора. С одной стороны, такой идентификатор позволяет рекламным сетям отслеживать привычки и увлечения владельцев устройств. С другой — если же хочется избавиться от слежки рекламщиков, вы можете в любой момент без лишних трудностей его сбросить.

По правилам магазина Google Play, в рекламных целях можно использовать только этот идентификатор. Площадка не запрещает связывать его с другими ID, но для этого приложению нужно получить согласие пользователя.

В теории это должно работать так: если вам нравится реклама по интересам, вы не трогаете рекламный идентификатор и можете даже разрешить приложениям объединять его с чем угодно. Если же нет, вы запрещаете связывать эту метку с другими и периодически сбрасываете ее, таким образом отвязывая свое устройство от собранного на него досье.

Увы, в действительности все несколько иначе.

Рекламный идентификатор — реальность

Как обнаружил исследователь Серж Эгельман (Serge Egelman), более 70% приложений в Google Play используют хотя бы один дополнительный идентификатор без предупреждения. Некоторые из них, например 3D Bowling, Clean Master и CamScanner, скачали многие миллионы человек.

Чаще всего в ход идет Android ID, хотя IMEI, MAC-адреса и серийные номера разработчики тоже задействуют. Некоторые приложения отправляют партнерам сразу три идентификатора и более. Так, игра 3D Bowling — видимо, для верности — использует и рекламный идентификатор, и IMEI, и Android ID.

Такой подход делает саму идею специального рекламного идентификатора бессмысленной. Даже если вы против слежки и регулярно сбрасываете его, маркетологи при помощи более стабильной метки легко привяжут к существующему профилю новый идентификатор.

Несмотря на то что подобное поведение не соответствует правилам Google Play, вовремя отловить злоупотребляющих идентификаторами разработчиков не так-то просто. Все приложения проверяют перед публикацией, но многие не совсем честные авторы успешно обходят эту проверку. Даже майнеры то и дело попадают в магазин — что уж говорить о программах, в которых нет откровенно вредоносных функций.

При этом просто запретить приложениям доступ к идентификаторам устройства Google не может: как мы уже говорили, их используют не только для рекламы. Лишая мобильные программы, например, возможности считывать Android ID, компания Google помешала бы разработчикам защищать свой продукт от нелегального копирования, а значит, нарушила бы их права.

Борьба с навязчивой рекламой

Конечно, Google не бездействует. Компания принимает меры, чтобы ограничить возможность злоупотребления идентификаторами. Например, начиная с Android Oreo тот же Android ID для каждого приложения задается свой, так что в глазах рекламной сети, полагающейся на этот ID вместо рекламного, ваш Instagram будет установлен на одном устройстве, а Snapchat — на другом.

Однако для IMEI, серийных номеров и MAC-адресов ввести такую защиту нельзя. Да и телефонов с более старыми версиями Android на рынке немало. Поэтому рекомендуем ограничивать сбор данных, грамотно управляя приложениями.


Некоторым разработчикам может понадобится идентифицировать Android-устройства своих пользователей. Чаще всего это делается не для того чтобы распознать именно девайс, а для определения конкретной установки приложения. Также я встречала несколько кейсов, когда это было необходимо, если у разработчика появлялось несколько приложений и он хотел понимать, что они работают в одной среде.

Гугл говорит, что идентифицировать устройство очень просто. Но мы же говорим об Android:)

Данная статья ориентирована на приложения или библиотеки, которые не хотят привязываться к гугловым сервисам.

Итак, давайте погрузимся в это чудесное приключение по получению уникального идентификатора устройства.

Тут мы видим несколько путей:

  • Advertising ID
  • IMEI
  • MAC-address
  • Serial Number
  • Android ID

Advertising ID

Это уникальный для пользователя рекламный идентификатор, предоставляемый службами Google Play. Он необходим для работы рекламы, чтобы Google понимал, какую рекламу можно показывать конкретному пользователю и какая реклама уже была показана с помощью встроенных в приложения рекламных баннеров. А так же это значит, что вы лишитесь этого идентификатора, если ваше приложение будет скачано, к примеру, с Amazon, а помимо этого вам придется втащить в ваше приложение гугловые библиотеки.


Вывод: мы не идентифицируем устройство во всех случаях.

Но мы же хотим наверняка, верно? Тогда идем дальше.

Это международный идентификатор мобильного оборудования, используемый на телефонах стандарта GSM. Номер IMEI используется сетями для идентификации смартфонов и блокировки доступа в сеть украденных или занесенных в черный список девайсов. Но к сожалению с IMEI может возникнуть ряд проблем:

  • Возникает ошибка «Invalid IMEI»
  • Для получения IMEI необходим permission:


Вывод: мы не идентифицируем устройство во всех случаях и нас еще и могут обмануть:C

MAC-address


Не надежно 100%. Гугл сам об этом говорит, но, к сожалению, я действительно встречала пару приложений, которые полагались на MAC-address устройства. Не делайте так.
It may be possible to retrieve a Mac address from a device’s WiFi or Bluetooth hardware. We do not recommend using this as a unique identifier. To start with, not all devices have WiFi. Also, if the WiFi is not turned on, the hardware may not report the Mac address.

Serial Number

Считается уникальным серийным номером устройства, который остается с ним до “самого конца”. Получить его можно таким способом:


А теперь про проблемы. Во-первых, для получения серийного номера потребуется запросить у пользователя разрешение READ_PHONE_STATE, а пользователь может отказать. Во-вторых, серийный номер можно изменить.

Вывод: мы не идентифицируем устройство во всех случаях, мы должны запросить permission у пользователя, которые их подбешивают и нас все еще могут обмануть.

Android ID

— Вот оно! — должны завопить мы. — Решение всех наших бед!

Android ID — это тоже уникальный идентификатор устройства. Представляет из себя 64-разрядную величину, которая генерируется и сохраняется при первой загрузке устройства.
Получить его можно вот так:


Казалось бы, такая короткая строчка избавляет нас от головной боли по идентификации устройства. Даже ребята из гугл использую Android_ID для LVL в примере.

И тут наши надежды рушатся и ничто уже не будет прежним. После обновления на Android 8 Android_ID теперь стал уникальным для каждого установленного приложения. Но, помимо этого, гугл ведь заботится о нас, так что приложения, которые были установлены до обновления останутся с прежними одинаковыми идентификаторами, которые гугл сохраняет с помощью специально написанного для этого сервиса. Но если приложение будет удалено, а затем заново установлено — Android_ID будет разным. Для того чтобы это не произошло, нужно использовать KeyValueBackup.



Но этот backup сервис нужно зарегистрировать, еще и package name указать. Более того, в документации написано, что это может не сработать по любой причине. И кто в этом виноват? Да никто, просто вот так.

Общий вывод

Если у вас хороший бекенд, то просто собирайте слепок устройства (установленные приложения, сервисы, любые данные об устройстве, которые можете достать) и сравнивайте параметры уже там, какой-то процент изменений считайте приемлемым.

Читайте также:

      
  • Как восстановить закрытые вкладки в google chrome на телефоне
    •   
  • Как создать титульный лист на телефоне
    •   
  • Как усилить соседский вай фай для телефона
    •   
  • Как посмотреть историю активности в вк с телефона
    •   
  • Как разблокировать телефон если отпечаток пальца не подходит
  • Контакты
  • Политика конфиденциальности