В качестве примера можно взять Сбербанк Онлайн, хотя в целом похожая логика действует и у приложений других банков. Если посмотреть только основные разрешения, которые запрашивает приложение, список кажется не слишком большим: камера, контакты, геолокация, микрофон, телефон, память устройства, а также доступ, связанный с удаленной идентификацией через Единую биометрическую систему.
Но если открыть полный перечень, становится понятно, что фактических разрешений гораздо больше. При детальном анализе их может оказаться несколько десятков. И каждое из них дает приложению определенную техническую возможность.
Что вообще означает «разрешение»
Любое разрешение в смартфоне - это доступ приложения к функции или данным устройства, которые операционная система специально защищает. Если программе не нужен определенный функционал, она, по идее, не должна его запрашивать.
Например:
- если приложение не работает с файлами, ему не нужен доступ к памяти;
- если это не навигатор, логично задаться вопросом, зачем ему геолокация;
- если не предполагается звонков, микрофон и телефонные функции тоже вызывают вопросы.
Но у банковских приложений набор задач шире, чем кажется на первый взгляд.
Доступ к биометрии
Часть разрешений нужна для входа в приложение по отпечатку пальца или Face ID, а также для работы с учетной записью устройства, где хранятся данные авторизации.
Отдельно выделяется доступ, связанный с Госуслугами Биометрией и Единой биометрической системой. Он нужен, например, для подключения оплаты по биометрии и в перспективе - для авторизации в банковском приложении с использованием биометрических данных.
При этом сами биометрические данные банк напрямую, как правило, не получает. Они либо остаются в защищенной среде устройства, либо хранятся в государственных системах.
Зачем приложению контакты, звонки и телефонные функции
Банковское приложение может запрашивать доступ к:
- телефонной книге;
- совершению звонков;
- информации о телефоне;
- IMEI устройства;
- работе с eSIM.
Контакты нужны прежде всего для удобства переводов по номеру телефона, чтобы не вводить его вручную.
Доступ к звонкам может использоваться сразу для нескольких целей:
например, чтобы клиент мог быстро связаться с поддержкой прямо из приложения, а также для выявления подозрительных звонков и борьбы с мошенническими схемами.
IMEI помогает банку понимать, на каком именно устройстве установлено приложение. Это может использоваться как дополнительная мера защиты: если вход в аккаунт происходит с нового телефона, система способна это заметить.
Работа с eSIM может быть связана, например, с сервисами мобильной связи внутри экосистемы банка.
Может ли это использоваться не только для безопасности
Теоретически да. Информация о контактах, устройстве и активности пользователя потенциально может применяться не только для защиты, но и как дополнительный массив данных о клиенте - например, для маркетинговых предложений или внутренней аналитики.
Для чего нужны камера и память
С камерой все достаточно понятно. Она требуется, чтобы:
- сканировать QR-коды;
- считывать реквизиты с квитанций;
- фотографировать документы;
- распознавать номера карт или телефонов.
Доступ к памяти устройства может использоваться для:
- прикрепления документов к заявкам;
- сохранения чеков;
- выгрузки файлов, например PDF-квитанций.
Почему банку нужна геолокация
Это один из самых обсуждаемых доступов. Самое очевидное применение - поиск ближайших банкоматов и отделений на карте.
Но есть и другое объяснение: геолокация помогает в антифрод-системах. Например, если по карте совершается операция в одном городе, а телефон клиента в этот момент находится в другом, это может выглядеть как подозрительная ситуация.
Кроме того, приложение может использовать данные о местоположении и косвенно - например, для анализа окружения пользователя или оценки риска нетипичных операций.
Интернет, NFC, Bluetooth и Wi‑Fi
Доступ в интернет банковскому приложению необходим по очевидным причинам - без него оно просто не сможет работать.
NFC и Bluetooth нужны для бесконтактной оплаты и взаимодействия с определенными устройствами.
Интереснее ситуация с Wi‑Fi-разрешениями. Они могут использоваться не только для работы с сетями, но и как дополнительный способ определения местоположения. Иногда по окружающим Wi‑Fi-сетям можно довольно точно понять, где находится устройство, даже если прямой доступ к геолокации ограничен.
Кроме того, такие разрешения могут использоваться для взаимодействия с устройствами экосистемы банка - умными колонками, телевизорами, носимыми гаджетами и так далее.
Зачем нужны разрешения для рекламы и аналитики
Такие доступы обычно используются для маркетинговой аналитики. С их помощью можно понять:
- из какой рекламной кампании пришел пользователь;
- какими разделами в приложении он интересуется;
- какие продукты его потенциально могут заинтересовать.
Например, если клиент проявлял интерес к инвестиционным инструментам или кредитным продуктам, в дальнейшем он может чаще видеть тематическую рекламу - как внутри банковской экосистемы, так и на сторонних сайтах.
Почему приложение может интересоваться другими программами на телефоне
Еще один чувствительный момент - возможность видеть список установленных приложений или активные процессы на устройстве.
С точки зрения банка это может объясняться вопросами безопасности. Например, приложение может искать:
- программы удаленного доступа вроде AnyDesk или TeamViewer;
- подозрительное ПО;
- шпионские приложения;
- инструменты записи экрана.
Это нужно для выявления схем, когда мошенники получают контроль над устройством жертвы и пытаются удаленно провести перевод или оформить кредит.
Кроме того, некоторые банковские приложения умеют реагировать на попытки сделать скриншот или записать видео с экрана в чувствительный момент - например, при вводе пароля.
В чем главная проблема
Основной вопрос не в том, что разрешения сами по себе обязательно опасны. Проблема в том, что многие из них двойного назначения.
То есть один и тот же доступ может использоваться:
- в интересах клиента - для защиты от мошенников, удобства и безопасности;
- и одновременно в интересах самой организации - для аналитики, профилирования, маркетинга и более глубокого изучения поведения пользователя.
Например, разрешения, которые объясняются борьбой с вредоносным ПО, теоретически позволяют анализировать и наличие других банковских приложений, а также собирать дополнительные сведения о цифровых привычках владельца устройства.
Банковское приложение запрашивает широкий круг разрешений не случайно: часть из них действительно нужна для работы основных функций, часть - для повышения безопасности, а часть - для аналитики и продвижения сервисов. Вопрос не столько в самом факте запроса доступа, сколько в том, насколько прозрачно и добросовестно эти возможности используются.