Siri опасна для клиентов Сбербанка и «Тинькофф банка»
Голосовой помощник может дать постороннему доступ к их sms-банкингу на iPhone«ВТБ 24» такой сервис не использует, пояснил представитель банка. Клиент Райффайзенбанка может пополнять с помощью sms лишь свой мобильный счет и переводить деньги между собственными картами, говорится на сайте банка. Сервис sms-команд есть у Альфа-банка, но он позволяет лишь пополнять собственный мобильный счет и проводить платежи по шаблонам, предварительно созданным в интернет-банке. При этом в сутки можно перевести не более 1000 руб.
За девять месяцев Сбербанк и Apple так и не решили проблему с полномочиями голосового помощника Siri. В октябре прошлого года РБК сообщал, что во время блокировки iPhone помощник Siri умеет переводить деньги его владельца через sms-банкинг. В пятницу об этом вновь сообщил один из пользователей социальных сетей, и «Ведомости» убедились, что Siri до сих пор не утратила своих способностей. Но оказалось, что она умеет оперировать счетом не только клиентов Сбербанка, но и «Тинькофф банка».
С разрешения своего коллеги корреспондент «Ведомостей» вызвал помощника Siri на его заблокированном iPhone и попросил Siri отправить sms-сообщение на номер 900 – это система sms-банкинга Сбербанка. В сообщении корреспондент «Ведомостей» голосом указал сумму денежного перевода и номер адресата. Siri распознала поручение и отправила sms. В ответ пришел код подтверждения от системы sms-банкинга Сбербанка – и высветился на экране заблокированного iPhone. Этот код нужно было отправить по номеру 900 и верифицировать транзакцию. Корреспондент «Ведомостей» снова прибег к помощи Siri, и деньги ушли.
Помогла Siri перевести деньги на мобильный счет корреспондента «Ведомостей» со счета в «Тинькофф банке», причем без обмена sms-сообщениями о верификации.
У «Тинькофф банка» есть ограничения на sms-перевод. Представительница банка уточняет, что максимум можно перевести 800 руб. на собственный счет и 800 - на внешний, в сумме всего 1600 руб. в месяц. Она указывает на ограниченный список операций через sms-банк: помимо оплаты мобильного это запрос баланса, блокировка карты, помощь и информация по вкладам. Плюс если бы у клиента банка было две банковских карты, привязанных к номеру телефона, с которого делался перевод (а не одна, как проверяли «Ведомости»), в сообщении нужно было бы указать дополнительно последние четыре цифры номера нужной карты, что также осложняет задачу, пояснял сотрудник службы поддержки банка.
Эксперимент «Ведомостей» с android-устройством успехом не увенчался: голосовая система «Ok Google» перед отправкой sms-сообщения попросила все же разблокировать смартфон.
Сбербанк работает с Apple, чтобы на уровне операционной системы запретить манипуляции с Siri и функционалом sms-банков, сообщил представитель Сбербанка. По его словам, сейчас можно настроить операционную систему так, что во время блокировки экрана не работает и Siri. Операции отслеживаются, а подозрительные – автоматически блокируются, заверил представитель банка, уточняющий, что банк намерен и дальше повышать цифровую грамотность пользователей. Однако в случае потери телефона представитель Сбербанка рекомендует обратиться к мобильному оператору и в банк для блокировки номера и счетов.
По собственным данным Сбербанка, 68 млн клиентов sms-банкинга ежедневно делают более 3 млн платежей и переводов. Сервис sms-банкинга позволяет узнавать о состоянии счета, получать данные о списаниях, оплачивать мобильный телефон и переводить деньги клиентам Сбербанка, говорится на сайте банка. Но у этих операций есть лимиты: можно перевести деньги не более чем на десять мобильных номеров, каждый платеж не должен превышать 1500 руб. Переводы на известные банку карты ограничены 8000 руб., их также может быть не более 10 в сутки.
Время реакции Apple на возможную уязвимость зависит от того, сочли они её проблемой или нет, рассказывает гендиректор компании Elcomsoft Владимир Каталов. Эта компания разрабатывает софт для криминалистического анализа мобильных устройств, в том числе на базе Apple iOS. По словам Каталова, иногда Apple реагирует в течение нескольких дней, а иногда не делает ничего, и предсказать реакцию компании невозможно.
В случае с доступом Siri к отправке sms-сообщений все же велика ответственность самого пользователя, благо этот доступ Siri можно запретить, указывает Каталов. Но совершенно точно нужно скрывать содержимое всплывающих на экран сообщений, поскольку в них может встречаться и банковская, и личная информация, объясняет он.
В России сейчас используется около 6 млн iPhone, подсчитал ведущий аналитик MobileResearch Эльдара Муртазина. Siri впервые появилась на iPhone 4s. Эксклюзивной функцией iPhone виртуальный помощник стал в октябре 2011 г. Siri была создана как стартап в декабре 2007 г. В следующем году компания получила $8,5 млн от Menlo Ventures и Morgenthaler Ventures, а в 2009 г. дополнительно привлекла $15,5 млн от тех же инвесторов и гонконгского миллионера Ли Кхасина. Apple выкупила Siri в 2010 г., по данным Techcrunch, сумма сделки превысила $200 млн.
Представители Apple на момент публикации заметки не ответили «Ведомостям».