За девять месяцев Сбербанк и Apple не смогли решить проблему избыточных полномочий голосовой помощницы Siri. В октябре 2016 г. РБК сообщил, что при блокировке iPhone помощница Siri умеет переводить деньги владельца через sms. В пятницу об этом вновь сообщил один из пользователей социальных сетей, и «Ведомости» убедились, что Siri этих способностей не утратила и умеет опустошить счет клиента не только Сбербанка, но и «Тинькофф банка».
Корреспондент «Ведомостей» вызвал Siri на заблокированном iPhone коллеги и попросил ее отправить sms на номер 900, через который можно управлять счетом в Сбербанке. Siri отправила, в ответ пришел код подтверждения от Сбербанка – и высветился на экране заблокированного iPhone. Этот код с помощью Siri был отправлен на номер 900 для подтверждения транзакции – и деньги ушли.
Помогла Siri перевести деньги и со счета в «Тинькофф банке», и даже без sms-верификации. Представительница банка «Ведомостям» не ответила. В октябре она уверяла РБК, что sms-обслуживание клиентов носит уведомительно-консультационный характер: можно запросить баланс карты или заблокировать ее, получить информацию о счетах и вкладах.
Эксперимент «Ведомостей» с Android-устройством не удался: голосовая система Ok Google перед отправкой sms попросила разблокировать смартфон. Но и эта система небезупречна (см. врез).
Сбербанк работает с Apple, чтобы в операционной системе запретить манипуляции с Siri и функционалом sms-банкинга, сообщил представитель банка: уже можно настроить операционную систему так, что при блокировке Siri не будет работать. Операции отслеживаются, а подозрительные – автоматически блокируются, заверил он, но, если телефон потерян, лучше обратиться к оператору и в банк для блокировки номера и счетов.
У «ВТБ 24» такого сервиса нет, говорит представитель банка. Клиент Райффайзенбанка, сказано на его сайте, может пополнять эсэмэской мобильный счет и переводить деньги между собственными картами. Сервис sms-команд есть у Альфа-банка, он позволяет пополнять мобильный счет и проводить не более 1000 руб. по шаблонам, созданным в интернет-банке.
Представительница «Тинькофф банка» говорит, что перевести с помощью эсэмэски можно максимум 800 руб. на собственный счет и 800 – на внешний, в сумме всего 1600 руб. в месяц, и список операций ограничен: оплата мобильного, запрос баланса, блокировка карты, помощь и информация по вкладам. А если у клиента две банковские карты, привязанные к номеру телефона, с которого делался перевод (а не одна, как в эксперименте «Ведомостей»), в эсэмэске нужно было бы указать последние четыре цифры номера нужной карты, что осложняет задачу, говорит сотрудник службы поддержки банка.
Время реакции Apple на уязвимость зависит от того, сочла компания ее проблемой или нет, рассказывает Владимир Каталов, гендиректор Elcomsoft (софт для криминалистического анализа мобильных устройств, в том числе на iOS). Иногда Apple реагирует через несколько дней, знает он, а иногда не делает ничего. В случае с доступом Siri к sms-банкингу велика ответственность самого пользователя, Siri можно его запретить, продолжает Каталов, но точно нужно скрывать всплывающие на экране сообщения: в них может быть и банковская, и личная информация.
Siri появилась на iPhone 4s и стала неотъемлемой частью iPhone. Apple выкупила Siri в 2010 г., по данным Techcrunch, более чем за $200 млн. В России около 6 млн iPhone, считает ведущий аналитик MobileResearch Эльдар Муртазин, самая продаваемая в России модель 2016 г. – iPhone 5s.
Представитель Apple не ответил «Ведомостям».
На все воля Apple
Apple, безусловно, знает про такую возможность Siri – отправлять sms при заблокированном экране, но вряд ли будет лишать ее этой способности ради российского рынка, уверен замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. Для компании он очень мал, а sms-банкинг распространен в основном в России и странах СНГ, объясняет эксперт. Впрочем, указывает он, в локальном обновлении операционной системы Apple теоретически может запретить Siri отправлять sms на короткие номера банков.
Павел КАНТЫШЕВ, Ирина СКРЫННИК, Анна ЕРЕМИНА