Недавно одно популярное приложение с Android потребовало у меня авторизация через Госуслуги. Сделало оно это очень просто — в своём окне оно запросило у меня логин-пароль от Госуслуг.

То есть, я ввожу эти данные в окне приложения, они утекают создателям приложения, которые в этот момент могут получить полный доступ к моему кабинету Госуслуг, так как мне придётся не только ввести логин-пароль в это приложение, а подтвердить это вводом кода с телефона. И у приложения будет сессия от моего имени в лк Госуслуг.

Т. е. такая система нормально работает в браузере, когда сайт перенаправляет тебя на другое окно сайта госуслуг, и там ты в Госуслугах авторизуешься на сайте. Но в случае приложения — твой лк может оказаться полностью под контролем разработчиков приложения, если они этого пожелают. Если я не прав — поправьте меня?

Обратился в поддержку Госуслуг — они сказали, что это целиком ответственность пользователя — что он сообщает третьим приложениям, и служба безопасности Госуслуг не будет этим заниматься. И ведь многие приложения требуют логин-пароль от Госуслуг. Как считаете, что делать?

Читать далее

​Все статьи подряд / Информационная безопасность / Хабр

Read More

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x