Credit Agricole Bank Polska
Platforma testowa
- Smartfon: Samsung Galaxy M23 5G
- System operacyjny: stock, Android 14, OneUI 6.1 (może i dziwnie na pierwszy rzut oka, że piszę o stocku, ale czytajcie dalej)
- Root: nie
- Usługi Google: nie
- Odblokowany bootloader: nie
- Źródło aplikacji bankowej: Aurora Store (Google Play)
- Wersja aplikacji: N/A
- Karta SIM: N/A
- Inne modyfikacje: zmieniona klawiatura - AnySoftKeyboard (key point)
Test
Wstaw znak x w [ ], jeżeli dana funkcja działa:
- Konfiguracja i zalogowanie do aplikacji:
- Logowanie za pomocą biometrii: jak działa, to, w jakiej formie
- Przelewy tradycyjne, natychmiastowe:
- Przegląd historii przelewów:
- Podgląd dostępnych środków:
- Przelewy na telefon/BLIK:
- Płatności zbliżeniowe z użyciem BLIK-C lub Google Pay:
- Powiadomienia:
- Zmiana limitów karty:
- Funkcje dodatkowe (np. zakup biletów MPK, doładowanie telefonu): [jeśli są, to czy działają, czy nie]
- Czy aplikacja wyświetla komunikat informujący o nieoryginalnym/zmodyfikowanym systemie: [nie / tak. jeśli tak to jaki? Czy wyświetla się tylko raz, czy cyklicznie, czy przy każdym włączeniu apki?]
Ocena: 1
Komentarz i podsumowanie
Już wystarczy zmienić klawiaturę na “niezaufaną”, a cała aplikacja idzie do piachu. Nie trzeba nawet odblokowywać bootloadera, kasować Google Mobile Services, nic. Wystarczy zmiana klawiatury. “Twojej klawiatury nie ma na naszej liście bezpiecznych klawiatur, co oznacza, że najpewniej nie pochodzi od znanego dostawcy (jak Google, czy Microsoft)”.
Programiści mObywatela mogą się uczyć od Credit Agricole najwyższych standardów bezpieczeństwa.
3 Likes
Czyli bank do omijania 
Prędzej zmieniłbym bank, niż klawiaturę BlackBerry 
Denerwuje mnie, gdy firmy na siłę “dbają o moje bezpieczeństwo”. Podobnie, gdy do logowania banki stosują maskowane hasło, które przed niczym nie chroni, a komplikuje stosowanie menadżera haseł…
Edit:
Wykryliśmy, że używasz niezaufanej klawiatury ekranowej, która może przechwytywać to, co piszesz i przesyłać to dalej, żeby Ci zaszkodzić.
Akurat Google i MS nie ufałbym w tej sprawie…
1 Like
Jeżeli by chcieli dbać o moje bezpieczeństwo, to bym już dawno widział inne metody weryfikacji dwuetapowej, niż SMS. Ale zamiast tego wprowadzili zabezpieczenie behawioralne, które w mojej opinii może wyprodukować fałszywie pozytywne wyniki i w pewnym momencie bym po prostu został przyblokowany.
A nie chciałbym chodzić do placówki banku tylko z prośbą o odblokowanie mi konta, bo system coś spieprzył i ja przez błąd systemu nie mam dostępu do części moich pieniędzy.
Chociaż, w sumie, “ochronili moje pieniądze”, nie?
1 Like
Mnie wszystkie takie “systemy behawioralne” traktują jak bota, bo VPN + blokuję wszystkie śmieci 
Najgorsze, że nawet rządowe strony mają (miały?) googlowską recaptchę, którą nawet jak odblokuję, nie mogę rozwiązać - nigdy nie wiem, co zaliczają do sygnalizacji świetlnej itp.; niezależnie od taktyki, zawsze muszę próbować kilka-kilkanaście razy, aż przejdzie. Lub nie xD
Najlepsze, że nawet tutaj sami piszą, by nie stosować captchy 
1 Like
Bankowe systemy behawioralne (przynajmniej w teorii) powinny analizować w jaki sposób posługujesz się aplikacją/stroną. I w zasadzie nie powinno mieć znaczenia, czy robisz to jak bot - chodzi o to, czy robisz to tak jak wczoraj lub przedwczoraj.
Tu nie chodzi o odróżnienie zwykłego użytkownika od bota, tylko o odróżnienie far.ocean0847 od dowolnego innego użytkownika lub bota.