Имеет ли смысл в современном нерутованом android держать банковские приложения на отдельном устройстве?

Question

[.git/config]

1. Не root
2. Оф. прошивка обновляется производителем с т.з. security патчей
3. Из приложений: slack, skype, telegram, etc., т.е. крупные, без рекламы.

Вопрос в том, что может получить сторонний app на нерутованом android из другого приложения?
Существует ли безопасное хранилище данных для приложения в android, к которому точно не имеют доступ другие приложения? Может ли сторонний app открыть банковское приложение, ввести код доступа и нажимать кнопки уже в самом банковском приложении? Про overlay в курсе, что можно пробрасывать события нажатия экрана, а для отдельных кнопок при разработке указать, что такие события тача не будут на них срабатывать.

P.S. С разработкой под android мало знаком.

Comments

[User]

. Оф. прошивка обновляется производителем с т.з. security патчей

Если это не один из крупных ААА брендов (хотя и в них бывают исключения) - то больше всего дерьма именно в стоковой прошивке и встречается.

Вопрос в том, что может получить сторонний app на нерутованом android из другого приложения?

Если сами разрешите доступ к фс - максимум будет доступ к /storage/0 - медиа, загрузки и прочее. Никакие приложения не хранят там ничего ценного для самого приложения. А банковские тем более. Всё "недотрагивамое" лежит в системных директориях. И очевидно что никакой предназначенный для рядового пользователя сторонний софт не попросит прав спец возможностей или не дай бог администратора. Такой специфичный софт вам не понадобится я так понимаю.

Может ли сторонний app открыть банковское приложение, ввести код доступа и нажимать кнопки уже в самом банковском приложении?

А еще записать голосовое тете Ирине и перевести ОК-и в одноклассниках на чужой аккаунт! Нынешние андроиды не позволяет такого без рута.

Про overlay в курсе, что можно пробрасывать события нажатия экрана, а для отдельных кнопок при разработке указать, что такие события тача не будут на них срабатывать.

Не сработает в вашем случае. Бнковские приложения тоже стараются (надеюсь) защищать. И разработать такое я думаю довольно не быстрое дело.

Конечно можете не согласиться всем этим, а я не смогу ничего доказать фактами. Но свое мнение я расписал

P.S Миллионы пользуются всем этим как есть, но обычный и надёжный по моему мнению способ - привязать все действия к смс, а эту симку держать в кнопочном мобильнике за 900р.

[Григорий Боев]

John Smith, 2FA - сомнительная вещь. Обычно это SMS на тот же телефон.

Answer 1

[Роман Василенко]

Единственное, чего вам нужно опасаться - это социальная инженерия.

Допустим, вредонос выдаст себя за что-то другое. Вы поведётесь и выдадите разрешение на какие-нибудь критичные возможности (та же Accessibility).

Думайте, прежде чем давать разрешение на что-то.

Answer 2

[Zettabyte]

Существует ли безопасное хранилище данных для приложения в android, к которому точно не имеют доступ другие приложения?

У Samsung есть Knox и Secure Folder. Люди туда что-то ставят, но я сам до сих пор так и не нашёл время попробовать.

Из приложений: ... skype

Поставьте какой-нибудь firewall, например, этот, и последите за ним повнимательнее. Может это косяки майкрософтовской разработки под началом Наделлы, но что Skype, что Skype Lite крайне любят постоянно держать себя в памяти и стабильно что-то куда-то шлют.
Причём даже если не открывать Скайп лайт вообще ни разу (уже почти никто не пользуется), его месячный трафик может быть, например, и 15 МБ и больше, несмотря на то, что не было ни одного сообщения.

Вряд ли это прямо слив какой-то банковской информации, но не исключаю, что шпионит он будь здоров.

Answer 3

[Developer]

Может ли сторонний app открыть банковское приложение, ввести код доступа и нажимать кнопки уже в самом банковском приложении?

Нет, не может.
Иначе это была бы такая дырень в Андроиде, что Гугл бы разорился на судах

Comments

[acwartz]

а как же всякие аля remote desktop'ы...?

[User]

acwartz, Всяким им нужно своими руками дать разрешение в недрах настроек.

spoiler

Т.к. система не пытается быть умнее владельца - от собственной глупости пользователя ничего не защитит.

[Developer]

acwartz, Есть некоторые типы приложений, типа MDM, которым нужны повышенные права в системе. Но чтобы их дать приложению, нужно знатно потрахаться. Иногда вплоть до установки вручную сертификатов.
То есть, делать это надо настойчиво и умышленно стреляя себе в ногу.
Случайно дать такие права не получится

Answer 4

[ZoomLS]

Имеет смысл. Очень много вопросов к приложению того же Сбербанка. Пока не получит все разрешения - отказывается работать. Была где-то инфа, что фото пользователя анализируются, его контакты. В общем, эти банковские приложения - те ещё трояны и доверять им нестоит.