Witam,

jakiś geniusz w PKO BP wymyślił taki proces na aktywację funkcji przelewów na apce mobilnej IKO: 1. apka próbuje (nieudolnie) wysłać "w tle" SMSa - czyli przez jakieś API Android (to jest akurat Android) próbuje wypchać z jakiejś karty SIM SMSa.

2. jak SMS dojdzie, to jakiś serwer w PKO BP weryfikuje, czy treść przyszła z numeru powiązanego z profilem, jeżeli tak to na bankowości internetowej jest możliwość nadania zaufania tejże instalacji; jednak jeżeli SMS dojdzie z nieznanego dla banku numeru, to proces przejmuje czynnik białkowy.

Debilizm procesu w PKO BP polega na tym, że jak SMS w ogóle nie przyjdzie, to nie ma nawet możliwości odpaleniu dalszych kroków na czynniku białkowym. Nie da się. PKO BP. Nie da się.

Bo okazuje się, że wyświetlenie w apce mobilnej treści tego SMSa, którego się nie udało - tej nieudolnie napisanej aplikcji - wysłać, przerasta możliwości PKO BP.

Pytam: jaka jest k**** różnica, czy jakiś losowy ciąg znaków wygenerowany przez apkę mobilną, zostanie podany do czynnika białkowego głosowo przez klienta (po uprzednim odczytaniu z ekranu telefonu) czy zostanie przesłany z tego samego urządzenia przez SMS i czynnik białkowy w banku odczyta go sobie sam z jakiegoś systemu bankowego. No jaka k**** jest to różnica?

Jednocześnie PKO BP w ten sposób odcina od apki mobilnej wszystkich klientów, którzy mają ochotę używać jej na urządzeniu mobilnym, które albo w ogóle nie ma karty SIM, albo ma taką, że nie jest w stanie wysłać SMSa (np. niektóre tablety Dell mają internet mobilny, ale nie mają apki SMS). Pytam: w imię k**** czego akurat ci klienci mają nie korzystać z apki mobilnej?

--
Wysłane z pola.

W dniu czwartek, 31 marca 2016 00:53:29 UTC+2 użytkownik janek z pola napisał:

Witam,

jakiś geniusz w PKO BP wymyślił taki proces na aktywację funkcji przelewów na apce mobilnej IKO: 1. apka próbuje (nieudolnie) wysłać "w tle" SMSa - czyli przez jakieś API Android (to jest akurat Android) próbuje wypchać z jakiejś karty SIM SMSa.

2. jak SMS dojdzie, to jakiś serwer w PKO BP weryfikuje, czy treść przyszła z numeru powiązanego z profilem, jeżeli tak to na bankowości internetowej jest możliwość nadania zaufania tejże instalacji; jednak jeżeli SMS dojdzie z nieznanego dla banku numeru, to proces przejmuje czynnik białkowy.

Debilizm procesu w PKO BP polega na tym, że jak SMS w ogóle nie przyjdzie, to nie ma nawet możliwości odpaleniu dalszych kroków na czynniku białkowym. Nie da się. PKO BP. Nie da się.

Bo okazuje się, że wyświetlenie w apce mobilnej treści tego SMSa, którego się nie udało - tej nieudolnie napisanej aplikcji - wysłać, przerasta możliwości PKO BP.

Pytam: jaka jest k**** różnica, czy jakiś losowy ciąg znaków wygenerowany przez apkę mobilną, zostanie podany do czynnika białkowego głosowo przez klienta (po uprzednim odczytaniu z ekranu telefonu) czy zostanie przesłany z tego samego urządzenia przez SMS i czynnik białkowy w banku odczyta go sobie sam z jakiegoś systemu bankowego. No jaka k**** jest to różnica?

Jednocześnie PKO BP w ten sposób odcina od apki mobilnej wszystkich klientów, którzy mają ochotę używać jej na urządzeniu mobilnym, które albo w ogóle nie ma karty SIM, albo ma taką, że nie jest w stanie wysłać SMSa (np. niektóre tablety Dell mają internet mobilny, ale nie mają apki SMS).. Pytam: w imię k**** czego akurat ci klienci mają nie korzystać z apki mobilnej?

-- Wysłane z pola.

Tablet nie moze byc pierwszym urzadzeniem - musi byc jakis pierwszy telefon.. Potem juz sie da to zrobic - przynajmniej 500k tysiecy klientow nie mialo z tym problemow.
Po co? Dla bezpieczenstwa - czynnik bialkowy moglby to przyjac, ale musi miec pewnosc, ze po drugiej stronie jest klient banku z numerem, ktory jest zarejestrowany w banku - a nie przestepca, ktory te dane przejal i zainstalowal aplikacje na swoim numerze.
Skopiuj tresc tego SMSa i wyslij pod numer z tego telefonu i powinno spokojnie zadzialac. Na Androidzie jest to w tle, w iOS i WP - klient potwierdza.
IKO generalnie jest w tej wersji na telefony nie na tablety, wiec... trzeba poczekac na wersje na tablety

Jesli bedziesz mial problemy napisz do mnie michal . macierzynski (at) pkobp . pl - podaj tez model telefonu, wersje androida, czy jest zrootowany telefon - no i jakies namiary na siebie. Postaramy sie pomoc.

Pzdr

"Michal 'Amra' Macierzynski" <michal.macierzynski@gmail.com> writes:

Jesli bedziesz mial problemy napisz do mnie [...] jest zrootowany
telefon

A to przepraszam, po co? Czyżbyś uważał (tak jak napisali w jakimś
popularnym portalu) że root-a nie obsługujemy?
KJ (który największe problemy ma ze stockowymi ROM-ami)

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html
Maybe it's time to break that.
-- Larry Wall in <199710311718.JAA19082@wall.org>

W dniu piątek, 1 kwietnia 2016 19:08:03 UTC+2 użytkownik Kamil Jońca napisał:

"Michal 'Amra' Macierzynski" < writes:

> Jesli bedziesz mial problemy napisz do mnie [...] jest zrootowany
> telefon

A to przepraszam, po co? Czyżbyś uważał (tak jak napisali w jakimś
popularnym portalu) że root-a nie obsługujemy?
KJ (który największe problemy ma ze stockowymi ROM-ami)

Bo wersji androidow jest baaardzo duzo, a jak do tego dodasz roota - to sie okaze, ze taka aplikacja roznie dziala nawet na takim samym telefonie (nie chodzi tylko o root, ale nakladki opartorow, etc).
A co do roota - IKO spokojnie dziala, ale na przyklad HCE nie moze - bo to jest wymog organizacji platniczej... I czasami pojawiaja sie zwiazane ztym bledy, jesli ktos probuje "ukryc" rootowanie przed aplikacja.

Michal 'Amra' Macierzynski wystukał, co następuje:

telefonie (nie chodzi tylko o root, ale nakladki opartorow, etc). A co
do roota - IKO spokojnie dziala, ale na przyklad HCE nie moze - bo to
jest wymog organizacji platniczej... I czasami pojawiaja sie zwiazane
ztym bledy, jesli ktos probuje "ukryc" rootowanie przed aplikacja.

Mógłbyś podać więcej szczegółów? Dosyć ciekawe wymaganie. Ok - teoretycznie telefon z root jest bardziej podatny na atak, ale to równie dobrze można by zabronić używania serwisów internetowych na komputerach - i tu i tu użytkownik ma możliwośc instalowania czegokolwiek (w tym złośliwego oprogramowania) oraz w obu przypadkach wszystko zależy od rozgarnięcia użytkownika... dziwi trochę ten dysonans.

(tak, mam root i najzwyczajniej w świecie jest to super przydatne)

On 2016-04-01, Kamil Jońca <kjonca@poczta.onet.pl> wrote:

popularnym portalu) że root-a nie obsługujemy?
KJ (który największe problemy ma ze stockowymi ROM-ami)

Tak dla porządku: to że użyjesz nie-stockowego ROMu nie oznacza, że musisz
go mieć zrootowanego. Możesz zawsze wgrać roma nie zrootowanego.

--
Wojciech Bańcer
proteus@post.pl

Wojciech Bancer <proteus@post.pl> writes:

On 2016-04-01, Kamil Jońca <kjonca@poczta.onet.pl> wrote:

popularnym portalu) że root-a nie obsługujemy?
KJ (który największe problemy ma ze stockowymi ROM-ami)

Tak dla porządku: to że użyjesz nie-stockowego ROMu nie oznacza, że musisz
go mieć zrootowanego. Możesz zawsze wgrać roma nie zrootowanego.

Prawda. Tylko jeszcze trzeba go mieć :) zwykle łatwiej zrobić roota.
KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
"#define QUESTION ((bb) || !(bb))" - Shakespeare.

Michal 'Amra' Macierzynski wrote:

W dniu czwartek, 31 marca 2016 00:53:29 UTC+2 użytkownik janek z pola
napisał:

Witam,

jakiś geniusz w PKO BP wymyślił taki proces na aktywację funkcji
przelewów na apce mobilnej IKO:

[...]

Tablet nie moze byc pierwszym urzadzeniem - musi byc jakis pierwszy
telefon. Potem juz sie da to zrobic - przynajmniej 500k tysiecy klientow
nie mialo z tym problemow. Po co? Dla bezpieczenstwa - czynnik bialkowy
moglby to przyjac, ale musi miec pewnosc, ze po drugiej stronie jest
klient banku z numerem, ktory jest zarejestrowany w banku - a nie
przestepca, ktory te dane przejal i zainstalowal aplikacje na swoim

Fajnie, że się odezwałeś, bo najbardziej liczyłem na Twoją odpowiedź. Tyle, że do dzisiejszego dnia mój pogląd na ten proces się zmienił - po pierwsze po rozmowach z konsultantami PKO BP, a po drugie po przeczytaniu Twojej odpowiedzi.

Ale po kolei.

Pierwsza sprawa jest taka, że konsultanci PKO BP oddzwaniają o godzinie 07:30. Pozdrawiam. Ponieważ próbowałem aktywować aplikację 2 razy, to potem drugi telefon był o 08:30. Uznałbym, że to złośliwość pierwszej konsultantki z którą rozmawiałem... ale telefony o 07:30 miałem i w czwartek i w piątek, mimo że w czwartek zaznaczyłem w rozmowie, że proszę o kontakt w piątek po 10:00. Rozumiem, że skoro ja śpię o tej godzinie, to prawdopodobnie oznacza, że nie jestem w profilu typowego klienta PKO BP. Widocznie typowy klient PKO BP nie śpi o 07:30.

Przechodząc do adremu. Ten proces jest dla mnie jeszcze bardziej zagadkowy. Teraz piszesz, że "pierwszym urządzeniem nie może być tablet". Czyli rozumiem, że jako klient PKO BP instalując apkę IKO pierwszy raz i chcąc ją aktywować, muszę to zrobić z telefonu z kartą SIM. Ale instalując ją kolejny raz, mogę już to zrobić na tablecie bez karty SIM? To gdzie tu logika, przecież ten rzekomy przestępca może "atakować" klientów, którzy apkę mobilną już mają na telefonie - i jak rozumiem w przypadku takich klientów weryfikacji po SIM już nie ma?

numerze. Skopiuj tresc tego SMSa i wyslij pod numer z tego telefonu i
powinno spokojnie zadzialac. Na Androidzie jest to w tle, w iOS i WP -
klient potwierdza. IKO generalnie jest w tej wersji na telefony nie na
tablety, wiec... trzeba poczekac na wersje na tablety

To teraz Cię zaskoczę - ten proces nie wygląda tak. Ja byłem przekonany, gdy pisałem tego poprzedniego posta, że proces aktywacji pełnej funkcjonalności IKO wymaga przesłania SMSa do PKO BP. Niestety nie. Jest gorzej.

Okazuje się, że apka mobilna PKO BP IKO podejmuje na telefonie, na którym jest wykonywana aktywacja pełnej funkcjonalności, próbę odczytania numeru telefonu. To jest kuriozum. Zgodnie ze wszelkimi dostępnymi materiałami dla systemu Android nie ma możliwości pozyskaniu numeru telefonu na systemie Android. Jest tak, ponieważ karta SIM nie ma takiej funkcjonalności. Karta SIM ma numer IMSI i tylko operator telekomunikacyjny wie, jaki numer IMSI wywołać w przypadku gdy ktoś się próbuje dodzwonić na numer telefonu XYZ.

Ale dokumentacja jedno, a praktyka drugie. Mimo, że zgodnie ze standardem SIM, numer telefonu nie jest zapisany na karcie, to czasami operatorzy telekomunikacyjni jednak gdzieś go tam umieszczają. I teraz apka PKO BP IKO wykonuje ekwilibrystykę informatyczną, starając się pozyskać numer MSISDN (czyli numer telefonu w formie +XX XXX XXX XXX).

Jeżeli aplikacji się to uda, to wykonywane jest zapytanie do API PKO BP. Takie zapytanie idzie po transmisji danych. Czyli to jest wywołanie internetowe, które nie ma nic wspólnego z siecią komórkową. Jeżeli na telefonie jest połączenie WiFi to idzie to po WiFi, a jak jest tylko sieć komórkowa to idzie po sieci komórkowej. Ale to zapytanie nie jest SMSem ani próbą połączenia telefonicznego, tylko jest to wywołanie internetowe.

Jednak aplikacji PKO BP IKO wprowadza klienta w błąd, ponieważ na ekranie urządzenia pojawia się komunikat: "Potwierdź numer telefonu, na którym będzie aktywowana aplikacja IKO. Aby to zrobić, wyślij SMS nie zmieniając jego treści." Pod spodem jest przycisk "Wyślij SMS" oraz dodatkowa notatka "Opłata za SMS zostanie pobrana według stawek Twojego operatora". Otóż nie. Nie jest wysyłany żaden SMS - tzn. uściślając - w moim przypadku aplikacja PKO BP IKO dla systemu Android - apka w wersji 3.33.22 dla Androida w wersji 4.2.1 (czyli jest to jak rozumiem tzw. nowsza aplikacji IKO) - okłamuje klienta, ponieważ wywala na ekran dialog "wyślij SMS" a tak naprawdę wykonuje pod spodem żądanie API do serwerów PKO BP, które jest wysyłane po sieci komputerowej i nie ma nic wspólnego z SMSem, który jest wysyłany po sygnalizacji GSM/UTMS/HSDPA/etc.

Moim zdaniem to jest draństwo ze strony PKO BP. Tym bardziej, że bank jest tego świadomy. Dzisiaj konsultant w trakcie aktywacji mojej aplikacji przekazał mi, że bank sobie doskonale zdaje sprawę, że nie jest tam wysyłany żaden SMS, ale PKO BP używa nazwy "SMS". O ile dobrze rozumiem, to powodem używania nazwy "SMS" na ten rodzaj komunikacji jest to, że taka nazwa dobrze się kojarzy klientom. Rozumiem, że klientom jest miło, jak się ich okłamuje, że będzie wysłany SMS.

Jesli bedziesz mial problemy napisz do mnie michal . macierzynski (at)
pkobp . pl - podaj tez model telefonu, wersje androida, czy jest
zrootowany telefon - no i jakies namiary na siebie. Postaramy sie pomoc.

Wiesz, ja sobie tego posta, którego teraz czytasz, rozszerzę o dodatkowe informacje, wytnę te cytaty z Twojego posta i prześlę formalnie jako reklamację do PKO BP. To jest draństwo, żeby żerować nie niewiedzy klientów i wmawiać im, że aktywacja przebiega poprzez wysłanie SMSa, podczas gdy tak naprawdę aplikacji wykonuje zapytanie API po sieci komputerowej i przesyła do PKO BP dane o urządzeniu (numer telefonu jaki zdobyła w sposób wprost opisany w dokumentacji systemu Android jako nieistniejący).

Stawiacie się na poziomie przestępców, którzy piszą aplikacje przechwytujące SMSy autoryzacyjne. Tam też jest tak, że aplikacja ma opisane, że robi czynność A podczas gdy tak naprawdę robi czynność B.

Oczywiście niezależnie od wprowadzania klientów w błąd, sam proces aktywacji obejmujący niby potwierdzenie numeru telefonu jest moim zdaniem bardzo przekombinowany. Tym bardziej, że aplikację aktywowałem w rozmowie telefonicznej na jakiś zupełnie inny numer telefonu. Po prostu nie rozumiem, dlaczego PKO BP wytacza armatę w postaci opisanego powyżej procesu na potwierdzanie numeru telefonu, skoro można ten proces obejść używając dowolnego numeru telefonu poprzez 2-minutową rozmowę telefoniczną z bankiem.

--
Wysłane z pola.

W dniu piątek, 1 kwietnia 2016 22:50:06 UTC+2 użytkownik janek z pola napisał:

Michal 'Amra' Macierzynski wrote:

> W dniu czwartek, 31 marca 2016 00:53:29 UTC+2 użytkownik janek z pola
> napisał:
>> Witam,
>> >> jakiś geniusz w PKO BP wymyślił taki proces na aktywację funkcji
>> przelewów na apce mobilnej IKO:
>> [...]

> > Tablet nie moze byc pierwszym urzadzeniem - musi byc jakis pierwszy
> telefon. Potem juz sie da to zrobic - przynajmniej 500k tysiecy klientow
> nie mialo z tym problemow. Po co? Dla bezpieczenstwa - czynnik bialkowy
> moglby to przyjac, ale musi miec pewnosc, ze po drugiej stronie jest
> klient banku z numerem, ktory jest zarejestrowany w banku - a nie
> przestepca, ktory te dane przejal i zainstalowal aplikacje na swoim

Fajnie, że się odezwałeś, bo najbardziej liczyłem na Twoją odpowiedź. Tyle, że do dzisiejszego dnia mój pogląd na ten proces się zmienił - po pierwsze po rozmowach z konsultantami PKO BP, a po drugie po przeczytaniu Twojej odpowiedzi.

Ale po kolei.

Pierwsza sprawa jest taka, że konsultanci PKO BP oddzwaniają o godzinie 07:30. Pozdrawiam. Ponieważ próbowałem aktywować aplikację 2 razy, to potem drugi telefon był o 08:30. Uznałbym, że to złośliwość pierwszej konsultantki z którą rozmawiałem... ale telefony o 07:30 miałem i w czwartek i w piątek, mimo że w czwartek zaznaczyłem w rozmowie, że proszę o kontakt w piątek po 10:00. Rozumiem, że skoro ja śpię o tej godzinie, to prawdopodobnie oznacza, że nie jestem w profilu typowego klienta PKO BP. Widocznie typowy klient PKO BP nie śpi o 07:30.

Przechodząc do adremu. Ten proces jest dla mnie jeszcze bardziej zagadkowy. Teraz piszesz, że "pierwszym urządzeniem nie może być tablet". Czyli rozumiem, że jako klient PKO BP instalując apkę IKO pierwszy raz i chcąc ją aktywować, muszę to zrobić z telefonu z kartą SIM. Ale instalując ją kolejny raz, mogę już to zrobić na tablecie bez karty SIM? To gdzie tu logika, przecież ten rzekomy przestępca może "atakować" klientów, którzy apkę mobilną już mają na telefonie - i jak rozumiem w przypadku takich klientów weryfikacji po SIM już nie ma?

> numerze. Skopiuj tresc tego SMSa i wyslij pod numer z tego telefonu i
> powinno spokojnie zadzialac. Na Androidzie jest to w tle, w iOS i WP -
> klient potwierdza. IKO generalnie jest w tej wersji na telefony nie na
> tablety, wiec... trzeba poczekac na wersje na tablety

To teraz Cię zaskoczę - ten proces nie wygląda tak. Ja byłem przekonany, gdy pisałem tego poprzedniego posta, że proces aktywacji pełnej funkcjonalności IKO wymaga przesłania SMSa do PKO BP. Niestety nie. Jest gorzej.

Okazuje się, że apka mobilna PKO BP IKO podejmuje na telefonie, na którym jest wykonywana aktywacja pełnej funkcjonalności, próbę odczytania numeru telefonu. To jest kuriozum. Zgodnie ze wszelkimi dostępnymi materiałami dla systemu Android nie ma możliwości pozyskaniu numeru telefonu na systemie Android. Jest tak, ponieważ karta SIM nie ma takiej funkcjonalności. Karta SIM ma numer IMSI i tylko operator telekomunikacyjny wie, jaki numer IMSI wywołać w przypadku gdy ktoś się próbuje dodzwonić na numer telefonu XYZ.

Ale dokumentacja jedno, a praktyka drugie. Mimo, że zgodnie ze standardem SIM, numer telefonu nie jest zapisany na karcie, to czasami operatorzy telekomunikacyjni jednak gdzieś go tam umieszczają. I teraz apka PKO BP IKO wykonuje ekwilibrystykę informatyczną, starając się pozyskać numer MSISDN (czyli numer telefonu w formie +XX XXX XXX XXX).

Jeżeli aplikacji się to uda, to wykonywane jest zapytanie do API PKO BP. Takie zapytanie idzie po transmisji danych. Czyli to jest wywołanie internetowe, które nie ma nic wspólnego z siecią komórkową. Jeżeli na telefonie jest połączenie WiFi to idzie to po WiFi, a jak jest tylko sieć komórkowa to idzie po sieci komórkowej. Ale to zapytanie nie jest SMSem ani próbą połączenia telefonicznego, tylko jest to wywołanie internetowe.

Jednak aplikacji PKO BP IKO wprowadza klienta w błąd, ponieważ na ekranie urządzenia pojawia się komunikat: "Potwierdź numer telefonu, na którym będzie aktywowana aplikacja IKO. Aby to zrobić, wyślij SMS nie zmieniając jego treści." Pod spodem jest przycisk "Wyślij SMS" oraz dodatkowa notatka "Opłata za SMS zostanie pobrana według stawek Twojego operatora". Otóż nie. Nie jest wysyłany żaden SMS - tzn. uściślając - w moim przypadku aplikacja PKO BP IKO dla systemu Android - apka w wersji 3.33.22 dla Androida w wersji 4.2.1 (czyli jest to jak rozumiem tzw. nowsza aplikacji IKO) - okłamuje klienta, ponieważ wywala na ekran dialog "wyślij SMS" a tak naprawdę wykonuje pod spodem żądanie API do serwerów PKO BP, które jest wysyłane po sieci komputerowej i nie ma nic wspólnego z SMSem, który jest wysyłany po sygnalizacji GSM/UTMS/HSDPA/etc.

Moim zdaniem to jest draństwo ze strony PKO BP. Tym bardziej, że bank jest tego świadomy. Dzisiaj konsultant w trakcie aktywacji mojej aplikacji przekazał mi, że bank sobie doskonale zdaje sprawę, że nie jest tam wysyłany żaden SMS, ale PKO BP używa nazwy "SMS". O ile dobrze rozumiem, to powodem używania nazwy "SMS" na ten rodzaj komunikacji jest to, że taka nazwa dobrze się kojarzy klientom. Rozumiem, że klientom jest miło, jak się ich okłamuje, że będzie wysłany SMS.

> > Jesli bedziesz mial problemy napisz do mnie michal . macierzynski (at)
> pkobp . pl - podaj tez model telefonu, wersje androida, czy jest
> zrootowany telefon - no i jakies namiary na siebie. Postaramy sie pomoc..

Wiesz, ja sobie tego posta, którego teraz czytasz, rozszerzę o dodatkowe informacje, wytnę te cytaty z Twojego posta i prześlę formalnie jako reklamację do PKO BP. To jest draństwo, żeby żerować nie niewiedzy klientów i wmawiać im, że aktywacja przebiega poprzez wysłanie SMSa, podczas gdy tak naprawdę aplikacji wykonuje zapytanie API po sieci komputerowej i przesyła do PKO BP dane o urządzeniu (numer telefonu jaki zdobyła w sposób wprost opisany w dokumentacji systemu Android jako nieistniejący).

Stawiacie się na poziomie przestępców, którzy piszą aplikacje przechwytujące SMSy autoryzacyjne. Tam też jest tak, że aplikacja ma opisane, że robi czynność A podczas gdy tak naprawdę robi czynność B.

Oczywiście niezależnie od wprowadzania klientów w błąd, sam proces aktywacji obejmujący niby potwierdzenie numeru telefonu jest moim zdaniem bardzo przekombinowany. Tym bardziej, że aplikację aktywowałem w rozmowie telefonicznej na jakiś zupełnie inny numer telefonu. Po prostu nie rozumiem, dlaczego PKO BP wytacza armatę w postaci opisanego powyżej procesu na potwierdzanie numeru telefonu, skoro można ten proces obejść używając dowolnego numeru telefonu poprzez 2-minutową rozmowę telefoniczną z bankiem.

-- Wysłane z pola.

Ja mam przed soba swojego androida z IKO, z wyslanymi SMSami na numer 666456456. Telefon jest zarejestroqwany w mojej kartotece klienta. Zloz prosze reklamacje, rozpatrzymy ja, bo nie potrafie Ci inaczej pomoc. Aplikacja moze byc instalowana na wiekszej liczbie urzadzen, ale nie jest w dostosowana do aktywacji na tablety - chociaz w wersji pasywanej da sie ja na nim zainstalowac. Jest to przeciez jasno wskazane i nie ma dedykowanej wersji pod tablety. I tak jak pisalem - trzeba poczekac na tablety.

Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia - ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z banku, podszywajac sie pod klienta.

Aplikacja jest tak zbudowana, inaczej nie bedzie. Nie wiem jaki masz konkretnie problem (model telefonu) - nie mielismy wczesniej takich reklamacji - stad jesli uwazasz, ze powinno dzialac lub dzialac inaczej - zloz prosze reklamacje -  przyjrzymy sie co i jak.

Pzdr

W dniu 2016-04-02 o 15:20, Michal 'Amra' Macierzynski pisze:

Ja mam przed soba swojego androida z IKO, z wyslanymi SMSami na
numer 666456456.

Potwierdzam, że po przeprowadzonej aktywacji aplikacji na telefonie NIE
MA najmniejszego śladu po rzekomo wysłanym sms.

Różna rzeczy ta aplikacja robi, ale sms nie wysyła.

A wiem, bo niedawno po aktualizacji aplikacji każde uruchomienie
kończyło się komunikatem 'to pole nie może być puste' i musiałem
skasować i zacząć od nowa.

Aktywacja jest nieprawdopodobnie upierdliwa.

1. Zalogować w aplikacji na telefoniku.
2. Podać kod ze zdrapki.
3. Nadać pin.
4. Zgodzić się na rzekomy sms.
5. Zalogować w przeglądarce.
6. Przepisać kod z przeglądarki do aplikacji.
7. Podać kod ze zdrapki w przeglądarce.
8. Chyba już.

Aż się bałem trochę, że ktoś ode mnie wyłudza kody ze zdrapek...

   MJ

PS. Może to zależy od tego, czy się używa w przeglądarce zdrapek czy smsów.

Dnia Sat, 2 Apr 2016 16:24:16 +0200, Michał Jankowski napisał(a):

W dniu 2016-04-02 o 15:20, Michal 'Amra' Macierzynski pisze:

Ja mam przed soba swojego androida z IKO, z wyslanymi SMSami na
numer 666456456.

Potwierdzam, że po przeprowadzonej aktywacji aplikacji na telefonie NIE
MA najmniejszego śladu po rzekomo wysłanym sms.
Różna rzeczy ta aplikacja robi, ale sms nie wysyła.

A inne aplikacje zostawiaja slad po SMS ? Bo pamietam jakies gry, ktore strasznie chcialy oplaty pobrac, a sladu
po SMS chyba nie bylo. Tylko, ze sms premium mialem zablokowane.

J.

J.F. wrote:

Dnia Sat, 2 Apr 2016 16:24:16 +0200, Michał Jankowski napisał(a):

W dniu 2016-04-02 o 15:20, Michal 'Amra' Macierzynski pisze:

Ja mam przed soba swojego androida z IKO, z wyslanymi SMSami na
numer 666456456.

Potwierdzam, że po przeprowadzonej aktywacji aplikacji na telefonie NIE
MA najmniejszego śladu po rzekomo wysłanym sms.
Różna rzeczy ta aplikacja robi, ale sms nie wysyła.

A inne aplikacje zostawiaja slad po SMS ?

Bo pamietam jakies gry, ktore strasznie chcialy oplaty pobrac, a sladu
po SMS chyba nie bylo. Tylko, ze sms premium mialem zablokowane.

Witam,

w moim przypadku brak SMSów stwierdzam po billingach u operatorów telekomunikacyjnych - tzn. logowałem się do serwisów on-line sieci komórkowej i nie było tam w billingu żadnych SMSów wysłanych w danych dniach. Dodam tylko, że bezpłatne SMSy też się ujawniają na billingu.

--
Wysłane z pola.

Michał Jankowski wystukał, co następuje:

W dniu 2016-04-02 o 15:20, Michal 'Amra' Macierzynski pisze:

Ja mam przed soba swojego androida z IKO, z wyslanymi SMSami na numer
666456456.

Potwierdzam, że po przeprowadzonej aktywacji aplikacji na telefonie NIE
MA najmniejszego śladu po rzekomo wysłanym sms.

Różna rzeczy ta aplikacja robi, ale sms nie wysyła.

Podpisuję się - ostatnio walczyłem z aktywacją aplikacj i przechodziłęm proces kilka razy (finalnie po aktywacji i tak aplikacja się wykrzacza - reklamacja już poszła) i każdorazowo brak jakiegokolwiek sms...

W dniu sobota, 2 kwietnia 2016 16:24:26 UTC+2 użytkownik Michał Jankowski napisał:

W dniu 2016-04-02 o 15:20, Michal 'Amra' Macierzynski pisze:

>
> Ja mam przed soba swojego androida z IKO, z wyslanymi SMSami na
> numer 666456456.

Potwierdzam, że po przeprowadzonej aktywacji aplikacji na telefonie NIE
MA najmniejszego śladu po rzekomo wysłanym sms.

Różna rzeczy ta aplikacja robi, ale sms nie wysyła.

A wiem, bo niedawno po aktualizacji aplikacji każde uruchomienie
kończyło się komunikatem 'to pole nie może być puste' i musiałem
skasować i zacząć od nowa.

Aktywacja jest nieprawdopodobnie upierdliwa.

1. Zalogować w aplikacji na telefoniku.
2. Podać kod ze zdrapki.
3. Nadać pin.
4. Zgodzić się na rzekomy sms.
5. Zalogować w przeglądarce.
6. Przepisać kod z przeglądarki do aplikacji.
7. Podać kod ze zdrapki w przeglądarce.
8. Chyba już.

Aż się bałem trochę, że ktoś ode mnie wyłudza kody ze zdrapek...

   MJ

PS. Może to zależy od tego, czy się używa w przeglądarce zdrapek czy smsów.

Hmm - gdzie wymagaja od Ciebie SMSa - przy nadawaniu PINu? Moze w nowej wersji zostalo to wlaczone, bo nie powinno o to prosic.
A znacznie szybszym sposobem aktywacji jest IVR - dzwoni srednio w ciagu 20-30 sekund i przepisujesz 4 cyfry. Co do narzedzia autoryzujacego przy nadawaniu PIN do appki - sprawdze i dam znac.

W dniu 2016-04-03 o 15:08, Michal 'Amra' Macierzynski pisze:

Hmm - gdzie wymagaja od Ciebie SMSa - przy nadawaniu PINu? Moze w
nowej wersji zostalo to wlaczone, bo nie powinno o to prosic.

Nie rozumiem. Nie wiesz, jak wygląda procedura aktywacji aplikacji? O tu jest napisane:
http://iko.pkobp.pl/aktywacja/
1. Zalogować numerem konta i hasłem (jak do przeglądarki).
2. Nadać pin.
3. Zalogować pinem i wysłać sms (znaczy, pozwolić aplikacji zrobić coś, co aplikacja nazywa 'wysłanie sms')...
Etc.

znacznie szybszym sposobem aktywacji jest IVR - dzwoni srednio w
ciagu 20-30 sekund i przepisujesz 4 cyfry.

Powiedzmy na potrzeby tej dyskusji, że jestem głuchy. I nie rozumiem, dlaczego można te 4 cyfry podać głosem, a nie mogą przyjść sms-em.

   MJ

W dniu niedziela, 3 kwietnia 2016 15:55:44 UTC+2 użytkownik Michał Jankowski napisał:

Nie rozumiem. Nie wiesz, jak wygląda procedura aktywacji aplikacji? O tu jest napisane:
http://iko.pkobp.pl/aktywacja/
1. Zalogować numerem konta i hasłem (jak do przeglądarki).
2. Nadać pin.
3. Zalogować pinem i wysłać sms (znaczy, pozwolić aplikacji zrobić coś, co aplikacja nazywa 'wysłanie sms')...
Etc.

Wiem jak wygląda - dlatego odnosze sie do punktu nr 2 z poprzedniego postu - nadawania kodu ze zdrapki. Nie pisze, ze to nie jest mozliwe - bo taka opcja jest mozliwa do wlaczenia po stronie banku - i tutaj pytanie - czy ktos piszac to pomylil sie, czy przy wdrozeniu nowej wersji appki wymusza ona podanie takiego hasla...

1. Zalogować w aplikacji na telefoniku. 2. Podać kod ze zdrapki. 3. Nadać pin.

> znacznie szybszym sposobem aktywacji jest IVR - dzwoni srednio w
> ciagu 20-30 sekund i przepisujesz 4 cyfry.

Powiedzmy na potrzeby tej dyskusji, że jestem głuchy. I nie rozumiem, dlaczego można te 4 cyfry podać głosem, a nie mogą przyjść sms-em.

Jesli jestes gluchy - to nie kojrzystasz z appi glosowo - i zrobisz to w iPKO lub w oddziale.
SMS weryfikujacy numer jest wymagany tak czy inaczej.

On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@gmail.com> wrote:

[...]

Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia - ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z banku, podszywajac sie pod klienta.

A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem standardowym?
W sensie loguję się do swojego panelu na www, zgłaszam chęć podpięcia urządzenia
mobilnego, podpisuję to SMSem, dostaję kod jednorazowy do aktywacji urządzenia
i finito. Bez udziału czynników białkowych.

Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno niebezpieczne.

--
Wojciech Bańcer
proteus@post.pl

W dniu niedziela, 3 kwietnia 2016 12:14:12 UTC+2 użytkownik Wojciech Bancer napisał:

On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@ wrote:

[...]

> Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia - > ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z > banku, podszywajac sie pod klienta.

A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem standardowym?
W sensie loguję się do swojego panelu na www, zgłaszam chęć podpięcia urządzenia
mobilnego, podpisuję to SMSem, dostaję kod jednorazowy do aktywacji urządzenia
i finito. Bez udziału czynników białkowych.

Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno niebezpieczne.

Wszystko dzieje sie na odleglosc i nie masz pewnosci, czy osoba robiaca to co mowisz jest Twoim klientem. Niestety ale i login i haslo i narzedzie autoryzacyjne mozesz przejac. A przez ten telefon mozesz przelewac pieniadze, przesylac je on-line do innych bankow, wyplacac z bankomatu, etc. Co oznacza, ze standardowe antyfraudowe zabezpieczenia nie maja tyle czasu co w przypadku standardowej bankowosci internetowej. Dlatego mamy wersje pasywna aplikacji (login i haslo). Co do aktywnej - pracujemy nad tym, zeby lepiej bylo to robione w oddziale - ale ten SMS potwierdza, ze aplikacja jest rejestrowana na telefonie, ktory jest w kartotece klienta (a nie jakims innym, ktorego nigdy nie widzielismy). Na tym nowym tez mozna bez pracownika banku zarejestrowac - o ile jest jakis inny telefon komorkowy,. ktory jest w systemie...

Michal 'Amra' Macierzynski wrote:

W dniu niedziela, 3 kwietnia 2016 12:14:12 UTC+2 użytkownik Wojciech
Bancer napisał:

On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@ wrote:

[...]

> Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak
> robia - ale z praktyki tez wiemy, ze przestepcy rowniez chetnie
> czekaliby na telefon z banku, podszywajac sie pod klienta.

A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem
standardowym? W sensie loguję się do swojego panelu na www, zgłaszam chęć
podpięcia urządzenia mobilnego, podpisuję to SMSem, dostaję kod
jednorazowy do aktywacji urządzenia i finito. Bez udziału czynników
białkowych.

Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno
niebezpieczne.

Wszystko dzieje sie na odleglosc i nie masz pewnosci, czy osoba robiaca to
co mowisz jest Twoim klientem. Niestety ale i login i haslo i narzedzie
autoryzacyjne mozesz przejac. A przez ten telefon mozesz przelewac
pieniadze, przesylac je on-line do innych bankow, wyplacac z bankomatu,
etc. Co oznacza, ze standardowe antyfraudowe zabezpieczenia nie maja tyle
czasu co w przypadku standardowej bankowosci internetowej. Dlatego mamy
wersje pasywna aplikacji (login i haslo). Co do aktywnej - pracujemy nad
tym, zeby lepiej bylo to robione w oddziale - ale ten SMS potwierdza, ze
aplikacja jest rejestrowana na telefonie, ktory jest w kartotece klienta
(a nie jakims innym, ktorego nigdy nie widzielismy). Na tym nowym tez
mozna bez pracownika banku zarejestrowac - o ile jest jakis inny telefon
komorkowy,. ktory jest w systemie...

Tak jak już wcześniej wspominałem, z tym ostatnim zdaniem nie mogę się zgodzić. Aplikacja wcale nie wysyła SMSa - może są jakieś przypadki gdy jest rzeczywiście przesyłany SMS - ale nie w mojej konfiguracji i również potwierdziły to na tej grupie 2 inne osoby. Gdyby się pojawiła treść SMSa na ekranie, to bym go wysłał z numeru zarejestrowanego do wiadomości banku. Tylko, że to się sprowadza do scenariusza: apka pokazuje na ekranie sekretny ciąg znaków i zadaniem klienta jest przekazanie tego ciągu znaków do banku - jako SMS z numeru zaufanego i wówczas bez czynnika białkowego LUB w rozmowie telefonicznej z pracownikiem banku.

Taki proces zrozumiałbym. Ale nie rozumiem, dlaczego proponujesz nam taką wersję procesu jako fallback na proces, które jest rzeczywiście zaimplementowany. Tzn. rozumiem tyle, że według mnie ten zaimplementowany proces jest wielką armatą, z której trzeba oddać jeden mały strzał. Co więcej zamiast tego strzału można wyjąć tą kulkę i jako fallback podać przesłać ją do banku z innej, dużo mniejszej armatki, może nawet pocztą.

Oczywiście nadal mam na uwadze, że ten fallback na wysyłkę SMSa z innego urządzenia jest niewykonalny, ponieważ tam żaden SMS nie jest wysyłany. Ale po co ta wielka armata, skoro fallback powoduje ten sam efekt, a wymaga znacznie mniej implementacji?

--
Wysłane z pola.

W dniu niedziela, 3 kwietnia 2016 17:01:10 UTC+2 użytkownik janek z pola napisał:

Michal 'Amra' Macierzynski wrote:

> W dniu niedziela, 3 kwietnia 2016 12:14:12 UTC+2 użytkownik Wojciech
> Bancer napisał:
>> On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@ wrote:
>> >> [...]
>> >> > Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak
>> > robia - ale z praktyki tez wiemy, ze przestepcy rowniez chetnie
>> > czekaliby na telefon z banku, podszywajac sie pod klienta.
>> >> A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem
>> standardowym? W sensie loguję się do swojego panelu na www, zgłaszam chęć
>> podpięcia urządzenia mobilnego, podpisuję to SMSem, dostaję kod
>> jednorazowy do aktywacji urządzenia i finito. Bez udziału czynników
>> białkowych.
>> >> Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno
>> niebezpieczne.
> > Wszystko dzieje sie na odleglosc i nie masz pewnosci, czy osoba robiaca to
> co mowisz jest Twoim klientem. Niestety ale i login i haslo i narzedzie
> autoryzacyjne mozesz przejac. A przez ten telefon mozesz przelewac
> pieniadze, przesylac je on-line do innych bankow, wyplacac z bankomatu,
> etc. Co oznacza, ze standardowe antyfraudowe zabezpieczenia nie maja tyle
> czasu co w przypadku standardowej bankowosci internetowej. Dlatego mamy
> wersje pasywna aplikacji (login i haslo). Co do aktywnej - pracujemy nad
> tym, zeby lepiej bylo to robione w oddziale - ale ten SMS potwierdza, ze
> aplikacja jest rejestrowana na telefonie, ktory jest w kartotece klienta
> (a nie jakims innym, ktorego nigdy nie widzielismy). Na tym nowym tez
> mozna bez pracownika banku zarejestrowac - o ile jest jakis inny telefon
> komorkowy,. ktory jest w systemie...

Tak jak już wcześniej wspominałem, z tym ostatnim zdaniem nie mogę się zgodzić. Aplikacja wcale nie wysyła SMSa - może są jakieś przypadki gdy jest rzeczywiście przesyłany SMS - ale nie w mojej konfiguracji i również potwierdziły to na tej grupie 2 inne osoby. Gdyby się pojawiła treść SMSa na ekranie, to bym go wysłał z numeru zarejestrowanego do wiadomości banku. Tylko, że to się sprowadza do scenariusza: apka pokazuje na ekranie sekretny ciąg znaków i zadaniem klienta jest przekazanie tego ciągu znaków do banku - jako SMS z numeru zaufanego i wówczas bez czynnika białkowego LUB w rozmowie telefonicznej z pracownikiem banku.

Taki proces zrozumiałbym. Ale nie rozumiem, dlaczego proponujesz nam taką wersję procesu jako fallback na proces, które jest rzeczywiście zaimplementowany. Tzn. rozumiem tyle, że według mnie ten zaimplementowany proces jest wielką armatą, z której trzeba oddać jeden mały strzał. Co więcej zamiast tego strzału można wyjąć tą kulkę i jako fallback podać przesłać ją do banku z innej, dużo mniejszej armatki, może nawet pocztą.

Oczywiście nadal mam na uwadze, że ten fallback na wysyłkę SMSa z innego urządzenia jest niewykonalny, ponieważ tam żaden SMS nie jest wysyłany. Ale po co ta wielka armata, skoro fallback powoduje ten sam efekt, a wymaga znacznie mniej implementacji?

-- Wysłane z pola.

Bo tu nie chodzi o przekazanie tego ciagu znaku przez czlowieka - nie rozniloby sie to niczym, gdyby na numer telefonu przychodzil SMS (jak w innych bankach), ktory wpisujesz w telefonie czy na innym urzadzeniu.
W ten sposob weryfikujemy powiazanie urzadzenie - telefon z kartoteki klienta.
Jesli instaluejsz appke na telefonie, ktory nie jest w kartotece klienta w banku (sprawdzamy ten numer poprzez wyslanie SMSa) - telefon np. z IVR kierowany jest nie na ten telefon, ale telefon, ktory dodales w oddziale (i jest zarejestrowany w banku). Albo ta "bialkowa" obdzweonka tez jest kierowana na numer z kartoteki.
Zauwaz, ze login i haslo mozna poznac poprzez zwykly phishing - ten kod, ktory generuje telefon i przesyla do banku - mozna podobnie w ten prosty phishing przejac.
Moze Ty tego nie potrzebujesz- ale przy kilku milionach klientow niestety caly czas widac, ze zlodzieje wykorzystuja ludzka naiwnosc.

Jesli aplikacja mobilna ma byc tak samo pelnoprawnym kanalem jak bankowosc internetowa - musi byc bezpieczna. A to wysylanie SMSow z androida - sprawdze jutro - tak jak pisalem - na swoim androidzie mam wysylane SMSy, a samej platformy nie znam za bardzo i korzystam jako 3ciej przede wszystkim do HCE

On 2016-04-03, Michal 'Amra' Macierzynski <michal.macierzynski@gmail.com> wrote:

W dniu niedziela, 3 kwietnia 2016 12:14:12 UTC+2 użytkownik Wojciech Bancer napisał:

On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@ wrote:

[...]

> Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak robia - > ale z praktyki tez wiemy, ze przestepcy rowniez chetnie czekaliby na telefon z > banku, podszywajac sie pod klienta.

A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem standardowym?
W sensie loguję się do swojego panelu na www, zgłaszam chęć podpięcia urządzenia
mobilnego, podpisuję to SMSem, dostaję kod jednorazowy do aktywacji urządzenia
i finito. Bez udziału czynników białkowych.

Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno niebezpieczne.

Wszystko dzieje sie na odleglosc i nie masz pewnosci, czy osoba robiaca to co mowisz jest Twoim klientem.

Takie zabezpieczenie wystarcza do potwierdzenia przelewu, a nie wystarcza do autoryzacji aplikacji (z tego samego kanału)?

Niestety ale i login i haslo i narzedzie autoryzacyjne mozesz przejac.

Zawsze i wszystko da się przejąć i bank nie ma na to wpływu.

A przez ten telefon mozesz przelewac pieniadze, przesylac je on-line do innych

Tak samo możesz zrobić jak masz dostęp do konta i możliwość odczytania SMSów
autoryzacyjnych. :)

bankow, wyplacac z bankomatu, etc. Co oznacza, ze standardowe antyfraudowe zabezpieczenia nie maja tyle czasu co w przypadku standardowej bankowosci internetowej.

To dlaczego w mBanku/BZWBK/Raiffaisenie to jakoś wystarcza?
Tylko PKO ma tak upierdliwą procedurę. :)

--
Wojciech Bańcer
proteus@post.pl