Ashyq подкрался незаметно
IT/Связь
07.06.2021
295
5.0

В мобильные приложения казахстанских банков было интегрировано приложение Ashyq, которое определяет, является ли пользователь носителем коронавируса, контактный ли он или нет. Однако интеграция не вызвала у банковских клиентов восторга. Более того, пользователи стали занижать оценку банковским мобильным приложениям в знак протеста против Ашыка.

Отметим, что «Ашык» уже интегрирован в приложения Kaspi (Каспи банк), которое скачали более 10 миллионов раз и Halyk Homebank (HalykBank), которым пользуются свыше 4 миллионов клиентов.

Однако в комментариях к Halyk Homebank в Play Маркете  никто не возмущается по поводу интеграции с Ашыком. А вот в комментариях к приложению Kaspi недовольных этим — уже несколько десятков.

Процитируем только некоторые из них (пунктуация и орфография сохранены):

«Меня все устраивало и нравилось, до того момента, когда вы приписали "Ашык" сюда. Почему сомнительная частная организация, которая нарушает права человека без моего разрешения имеется у меня в приложение, где все мои личные данные хронятся? - Елена Журавлева.

«Объясните, пожалуйста, на каком основании вы без моего согласия, воспользовавшись моим ИИН присвоили мне цвет, внедрив в приложение Ашык? Я такой договор с вами не подписывала, и не разрешала вам присваивать мне цветной статус, а значит вы это сделали НЕЗАКОННО!!! Ваше руководство не знает законов Республики Казахстан? Значит, я буду вынуждена жаловаться в прокуратуру и привлекать вас к ответственности!» - Виктория Галотон.

«Никогда не думала, что буду это писать и что так пойдет: буду отзывать личные данные, забирать деньги и удалять приложение, так как в него внедрили ашык а это прямое нарушение законов РК и конституции. Лучше пользоваться наличными деньгами чем через такие банки...» - Галина Власова.

«Я против присутствия этого приложения в каспи! Никто не давал своего согласия на использование и обработку своих персональных данных! Программа Ashyq крадет наши данные! На каком основании банковская система вводит такие программы???» - Esmira Sarvanova.

Команда Kaspi на обвинения пользователей отвечает, что Ашык не несет никакой угрозы. Более того, программа нацелена на безопасность граждан.

«Основная функция сервиса Ashyq - обезопасить казахстанцев от заражения COVID-19 и дать возможность бизнесу работать в период пандемии. Kaspi не передает и не хранит данные пользователей, полученные при использовании Ashyq. Отметим, что клиенты пользуются сервисом исключительно на добровольной основе», - говорится в большинстве ответным комментариев банка.

Обновление приложения Kaspi (с интегрированным Ашыком) произошло 2 июня. С 3 июня команда банка отвечает на негативные комментарии. Однако, судя по тому, что число недовольных растет, заверения банка о безопасности Ашыка пользователями не воспринимается.

Но чего они опасаются? Из комментариев становится ясно: люди боятся, что Ашык, интегрированный в приложение, будет отслеживать все их финансовые операции и передавать неким третьим лицам.

Но возможно ли это? Теоретически — да. 

Для любого приложения, которое пользователь устанавливает на свое мобильное устройство, необходим ряд разрешений для нормального функционирования. И устанавливая приложение на устройство пользователь автоматически предоставляет ему весь необходимый доступ. Более опытные пользователи либо сразу не дают часть разрешений тому или иному приложению при установке, либо лишают его части разрешений после установки. К примеру, скачивают простенькую игру — что-то типа пасьянса или тетриса, а она просит разрешение на доступ к контактам, к электронной почте, к социальным сетям, к банковским приложениям и так далее. Понятно же, что для нормальной работы этой игре все эти разрешения не нужны. Следовательно можно его в аппетитах ограничить.

Ашыку для работы требуется доступ к камере и к интернету. Это, в принципе все.

Но вот банковскому приложению типа Kaspi, учитывая его функционал, разрешений требуется гораздо больше — к контактам, к местоположению, к фото и к мультимедиа, к камере, к вай-фаю и т. д. 

И вот тут возникает главный вопрос: а какие разрешения дает само банковское приложение интегрированному в него Ашыку? Может ли Ашык отслеживать все, что делает пользователь со своими финансами — за что платит, кому переводит, от кого получает деньги и сколько и т. д. и т. п.?

И может ли Ашык действительно передавать все эти данные другим — тем же госструктурам, к примеру? Вопросы, согласитесь, не праздные.

Ответы на них можно было бы получить в файле AndroidManifest. Это специальный файл, имеющийся в любом приложении, в котором прописано все, что умеет делать это приложение и какие права у него есть. Однако для того, чтобы вскрыть такой файл, нужно быть хотя бы чуточку разработчиком и иметь соответствующие навыки.

По словам эксперта Центра анализа и расследования кибер атак (ЦАРКА) Ивана Филько, у пользователей казахстанских банковских мобильных приложений нет повода для беспокойства.

- Ашык, в первую очередь, надо рассматривать, как информационную систему, - поясняет Филько. - То есть, с точки зрения техники, это приложение ничем не отличается от других. И все процессы разработки, которые применимы к обычным информационным системам, применимы также и к Ашыку. То что сейчас оно стало государственным или что разрабатывалось для государства, не отменяет всего концепта и последовательностей. Второй момент: очень многие пользователи делают сейчас акцент на дефектах приложения: не открывается, плохо работает и т. д. Но не стоит забывать, что Ашык — это мобильное приложение, которое было выведено на рынок не так давно. И здесь стоит напомнить, что любое обновление, которое вы скачиваете для любого приложения или для операционной системы — для того же Android или IOS – это, по сути, то же самое исправление ошибок. То же самое с Ашыком, все недоработки и ошибки устраняются последующими версиями обновлений. Так что это нормально для любого приложения.

При этом эксперт ЦАРКА отмечает, что казахстанские мобильные приложения, как правило, созданы на зарубежных аналогах, а вот Ашык аналогов в мире не имеет. Это — отечественная разработка.

- Все страны столкнулись с коронавирусом и с его последствиями. И в мире не было успешного опыта — каких-то приложений, которые можно было бы взять за основу и назвать его «Ашык». Поэтому казахстанским разработчикам пришлось самим его разрабатывать. Поэтому, мне кажется, мы должны отнестись к Ашыку с большим пониманием.
Что касается интеграции Ашыка с другими приложениями, в том числе и с банковскими, то, по словам Филько, это всего лишь дополнительный функционал.

- У того же Kaspi еще год назад не было функции QR, - поясняет эксперт. - Сейчас она есть и мы все им успешно пользуемся. Ашык следует рассматривать как такой же функционал — для удобства пользователей.

- Есть ли вероятность того, что Ашык, интегрированный в банковское приложение, получит доступ к банковским данным пользователя?

- Я не могу ответить однозначно, потому что я не могу это проверить и обосновать свой ответ. Но я уверен, что нет, поскольку банки уделяют огромное внимание безопасности своих цифровых систем. И вряд ли банки дадут какому-то приложению доступ, чтобы оно могло шариться в данных клиента. Это просто нереально.

- Даже, если будет соответствующая установка сверху?

- Неважно. У нас четко определено законами, когда и в каких случаях может быть разглашение банковской информации. Даже сотрудники банков не имеют доступа к информации о своих клиентах. Так что здесь можно быть абсолютно спокойными. Другой немаловажный момент: и Android и IOS также уделяют большое внимание безопасности пользователей. И эти операционные системы попросту не позволят тому же Ашыку делать то, что вы сами ему не разрешили. Вы можете зайти в настройки приложения и посмотреть, что ему доступно. Сейчас это камера, интернет и т. д. так что Android и IOS вас также защищают. Поэтому приложение Ашык, если оно установлено на вашем смартфоне, не сможет получить доступ к  Kaspi или к Homebank. Так что здесь тоже большой опасности лично я не вижу.

- Но вы сейчас говорите о том, когда на смартфоне установлено отдельное приложение Ашык. А если Ашык интегрировано в банковское приложение?

- Интеграция приложений как правило происходит по каким-то отдельным API. То есть между банком и той структурой, которой принадлежит Ашык будет договоренность как будет происходить обмен данными. Никакой банк не даст разработчикам Ашыка возможность что-то вписывать в код их банковского приложения.

- То есть при интеграции в банковское приложение у Ашыка остаются те же самые права и полномочия, что и у не интегрированного Ашыка? И расширения полномочий за счет полномочий того приложения, в которое он будет интегрирован, не будет?

- Не должно быть. Но опять же все зависит от того, как они договорятся. В любом случае, Ашык не сможет получить самовольно доступ к чему-либо. Если он захочет это сделать, ваш телефон спросит у вас — разрешить Ашыку доступ к тому-то и тому-то или нет? И это разрешение будет давать конечный пользователь.

- Но теоретически технически у Ашыка есть возможность получить доступ к чему-то?

- Технически да, но только если вы это разрешите сами. Тот же WhatsApp, чтобы иметь возможность отправлять фотографии или музыку должен иметь разрешение от вас на доступ в галерею или к файлам. А чем Ашык хуже?

В завершение беседы Иван Филько напомнил, что казахстанские пользователи при установке любого приложения, а не только Ашыка, должны внимательно читать пользовательское соглашение и правила политики конфиденциальности и только потом ставить галочку согласия.

- Наши люди до сих пор не понимают, что эта галочка означает согласие пользователя с этими документами, в которых может быть прописано все что угодно. И это согласие можно сравнить с вашей нотариально заверенной подписью. Если вам, что-то не нравится в пользовательском соглашении, вы можете отказаться от дальнейшей его установки, - говорит эксперт.

А что касается Ашыка, то, по словам Филько, лично ему это приложение нравится.

- Думаю, что мы должны быть благодарны разработчикам, которые пытаются хоть что-то сделать, для того, чтобы помочь бизнесу возобновить свою работу в нынешних условиях, - резюмирует эксперт ЦАРКА. 


Теги:банковские приложения, Kaspi, ios, пользовательское соглашение, Halyq, Ашык, Android, Политика конфиденциальности, интеграция


Читайте также

Комментарии (0)

avatar