Недавно одно популярное приложение с Android потребовало у меня авторизация через Госуслуги. Сделало оно это очень просто – в своём окне оно запросило у меня логин-пароль от Госуслуг.
То есть, я ввожу эти данные в окне приложения, они утекают создателям приложения, которые в этот момент могут получить полный доступ к моему кабинету Госуслуг, так как мне придётся не только ввести логин-пароль в это приложение, а подтвердить это вводом кода с телефона. И у приложения будет сессия от моего имени в лк Госуслуг.
Т. е. такая система нормально работает в браузере, когда сайт перенаправляет тебя на другое окно сайта госуслуг, и там ты в Госуслугах авторизуешься на сайте. Но в случае приложения – твой лк может оказаться полностью под контролем разработчиков приложения, если они этого пожелают. Если я не прав – поправьте меня?
Обратился в поддержку Госуслуг – они сказали, что это целиком ответственность пользователя – что он сообщает третьим приложениям, и служба безопасности Госуслуг не будет этим заниматься. И ведь многие приложения требуют логин-пароль от Госуслуг. Как считаете, что делать?
Все статьи подряд / Информационная безопасность / Хабр