LINUX.ORG.RU
ФорумTalks

Яндекс такси и права на смс

 , ,


0

3

Недавно поставил себе яндекс такси, оно запросило смс подтверждение при регистрации. Так вот после получения смс с кодом мне не потребовалось этот код вводить, процесс сразу же пошёл дальше после того как я увидел уведомление о смс. В настройках приложения у него нет прав на чтение смс. Как оно это сделало?

😊😊😊😊😊
ФИДО в 2020? Оно еще живо?
Protonmail - всё
Ответ на: комментарий от i-rinat

Вот же ж дичь, спасибо, не смог нагуглить.

ya-betmen 😊😊😊😊😊
() автор топика
Ответ на: комментарий от Iron_Bug

не более опасно чем вообще доверять анлроиду. Диспетчеризация смс происходит в системе до конкретного приложения

https://developers.google.com/identity/sms-retriever/verify#computing_your_apps_hash_string

zendrz
()
Последнее исправление: zendrz (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

Судя по описанию, приложение может читать только свои СМС. Так что расслабьте булки.

Puzan
()

Вот так понятнее.

https://developers.google.com/identity/sms-retriever/overview

  1. Your server sends an SMS message to the user that includes a one-time code to be sent back to your server, and a hash that identifies your app.
  2. When the user’s device receives the SMS message, Google Play services uses the app hash to determine that the message is intended for your app, and makes the message text available to your app through the SMS Retriever API.

Google Play services uses the hash string to determine which verification messages to send to your app. The hash string is made of your app’s package name and your app’s public key certificate.

greenman 👍👍👍
()
Ответ на: комментарий от greenman

Google Play services uses the app hash …

Так это не ведроид, получается, делает. А гуголь со своими сервисами, больше уже похожими на зонды.

DawnCaster
()
Ответ на: комментарий от DawnCaster

А гуголь со своими сервисами, больше уже похожими на зонды.

А до этого они на что были похожи, белых и пушистых кроликов?

t184256 ☕☕☕☕☕
()
Ответ на: комментарий от i-rinat

Ааа вот оно что за хеш в конце смсок. Любопытно.

Окей, а почему тогда приложение той же альфы, к примеру (но не только они, почти все), настойчиво просит доступ ко всем смскам, если они могут получать код так, по хешу?

wxw
()
Ответ на: комментарий от wxw

Может быть из-за этого:

This message must:

Be no longer than 140 bytes

У меня приложение альфы пушами обходится. Самое интересное, что, бывает, сама пуш выкидывает и просит ввести код.

greenman 👍👍👍
()
Последнее исправление: greenman (всего исправлений: 1)
Ответ на: комментарий от greenman

Вот так понятнее.

Действительно понятнее. Спасибо!

Deleted
()
Ответ на: комментарий от t184256

А гуголь со своими сервисами, больше уже похожими на зонды.

А до этого они на что были похожи, белых и пушистых кроликов?

https://en.wikipedia.org/wiki/Gerbilling Серые и бурые. Но пушистые. Но анальные.

question4 👍👍👍
()
Ответ на: комментарий от i-rinat

With the SMS Retriever API, you can perform SMS-based user verification in your Android app automatically, without requiring the user to manually type verification codes, and without requiring any extra app permissions.

прикольно, говноед решето, такое решето. приложение может отправить что то и денег снять. смартфоны зло и зонды.

alwayslate
()
Ответ на: комментарий от Reset

Сейчас все приложения так умеют.

Но я то не ставлю все приложения.

Теперь вот знаю что прям апи для этого есть.

ya-betmen 😊😊😊😊😊
() автор топика
Ответ на: комментарий от ya-betmen

И где именно там можно что-то отправить?

везде, вон сраный яндекс такси отправил? отправил, так и любое может, и прочитать тоже, забив на запрет.

alwayslate
()
Ответ на: комментарий от wxw

Да не отправить, а прочитать строго одно разрешенное.

кто разрешает? по какому признаку? по какому то хешику? а что сложно его подставить? это все еще одна плоскость атаки - говноед решето то еще.

alwayslate
()
Ответ на: комментарий от ya-betmen

Нет. Ты читать что ли не умеешь?

я уже поправился, может прочитать. ничем не лучше. либо запрет есть, либо нет, что то среднее в стиле «какие то можно и прочитать» - это уже потенциальное решето.

alwayslate
()
Ответ на: комментарий от ya-betmen

Ты понимаешь что такое АПИ?

API да, АПИ нет. и причем тут это?

https://developers.google.com/identity/sms-retriever/overview

почитай сам как оно работает. я уже молчу что это все через зондорешето гугловое и так проходит. и что не воткнув себе зонд это твое апи работать не будет.

alwayslate
()
Ответ на: комментарий от alwayslate

Уязвимость уровня «зная адрес проживания человека, ему можно послать бумажное письмо. А если знать номер телефона, позвонить».

А если ещё подумать, то выходит, что SMS Retriever API гораздо безопаснее, чем полный доступ к сообщениям. Раньше приложения запрашивали доступ, объясняя пользователю, что это нужно для активации. Пользователи, конечно, разрешали. Иначе же программа не работала. И об отзыве полномочий почти никто из пользователей не задумывался. И приложение получало доступ ко всем сообщениям, в том числе и сообщениям от банков.

Теперь же оправданий для полного доступа к сообщениям больше нет. Приложение может прочитать специально подготовленные для него сообщения, но не может ни читать других сообщений, ни отправлять какие-либо сообщения через SMS.

С какой стороны ни глянь, изменение к лучшему.

i-rinat ☕☕☕☕
()
Последнее исправление: i-rinat (всего исправлений: 1)
Ответ на: комментарий от i-rinat

С какой стороны ни глянь, изменение к лучшему.

а с еще другой стороны если посмотреть, то требуется наличие гуглосервисов …

alwayslate
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
ФИДО в 2020? Оно еще живо?
Talks
Protonmail - всё