Otwórz Zamknij Wyszukaj
naglowek_jestemmobi_obcasy

Dla IKO założę konto w PKO BP, ale nie zrezygnuję z Jailbreaka

12

15 marca 2013

Kiedy opadły już emocje po czwartkowej konferencji prasowej banku PKO BP, kiedy wszystkie rozesłane informacje prasowe zostały już opublikowane w serwisach newsowych, można zabrać się wreszcie na spokojnie za testowanie nowej aplikacji mobilnej IKO.

Oczekiwania mam tak duże, jak duża została złożona obietnica. Gdy ktokolwiek nazywa swój produkt REWOLUCJĄ, to naprawdę powinien dać czadu, bo ryzyko overpromise jest wysokie.

Pierwsze doświadczenie

Appkę pobrałam w niedzielę. I pierwszy objaw rewolucji dopadł mnie od razu po uruchomieniu aplikacji.

IKO, srsly?!?

Potrzebowałam kilku dłuższych chwil, by to odchorować. Faktycznie nowe doświadczenie – to pierwsza appka, która odmówiła mi współpracy. Nie tylko mnie. W tej chwili aplikacja dostępna jest na dwa systemy operacyjne i komentarze w Google Play i App Store dowodzą podobnych doświadczeń u wielu użytkowników:

Jak większość świadomych użytkowników zrootowałem swojego galaxy S III i nie wiem dlaczego PKO uważa, że moje urządzenie jest nieupoważnione. Albo to zostanie poprawione, albo dziękuję za taką aplikację. Jak na razie jedna gwiazdka.

Czekałem na tą aplikację kilka m-cy uważnie podpatrując co robi konkurencja w zakresie płatności telefonicznych zbliżeniowych. O ile uważam, że płacenie telefonem z NFC jest wygodniejsze to jednak rozwiązanie pokazane przez PKO BP nie jest najgorsze choć może mniej wygodne. ALE w związku z tym, że olewają świadomych użytkowników, którzy chcą czegoś więcej od telefonu i go root’ują to tracą właśnie klienta.

W założeniu telefon miał zastąpić wypchany właściwie wszystkim (od drobnych, poprzez kilka różnych kart, do potwierdzeń i paragonów) portfel. No i nic. „Nieupoważnione urządzenie” – taki komunikat mam na wyświetlaczu mojego telefonu. Sorki IKO w PKO. Skoro Wy możecie mieć taki program, to może mieć go każdy inny bank, a ja założę konto tam, gdzie nikt nie będzie twierdził, że MÓJ TELEFON (od 1,5 roku), który już wspiera mnie w wielu innych codziennych czynnościach, nie jest „nieupoważnionym”. Hasta la vista IKO ;)

Posiadam zrootowany telefon w związku z czym bank wykluczył mnie z grona użytkowników tejże aplikacji.

Po co mi aplikacja, ktora nie dziala na jailbreaku? Ogarnicie to IKO a jak nie to wole juz z karty korzystac, wiekszosc ludzi uzywa iphonow z jailbreaka i nie zrezygnuja z jailbreaka dla jednej aplikacji. :)

 

Wrażenia z testowania IKO chciałam spisać w jednej notce, ale zrobię to jednak w dwóch. Teraz skupię się tylko na w/w kwestii, bo do tej pory dyskusja na ten temat trwała w komentarzach pod tymi informacjami prasowymi o publikacji appki, a warto jej skierować na nią więcej światła.

 

Obiektywnie rzecz biorąc…

Przygotowując się do napisania tej notki, podpytywałam różne osoby o komentarze i opinię. Najpierw zapytałam bank, z jakich względów bezpieczeństwa wynika ograniczenie w działaniu aplikacji, czy spodziewali się takiej reakcji pierwszych użytkowników i czy to ograniczenie jest już „na zawsze”. Oto odpowiedź uzyskana z oficjalną drogą:

Telefony ze złamanymi zabezpieczeniami producenta (root/jailbreak) są dużo bardziej podatne na przechwytywanie informacji wysyłanych z i przesyłanych do telefonu. Skala negatywnych ocen w sklepach z aplikacjami rzeczywiście jest nieco zaskakująca, ale prawdopodobnie wypływa z faktu, że w pierwszej mierze z IKO chciała skorzystać duża grupa zaawansowanych użytkowników telefonów, którzy – mówiąc potocznie – lubią „grzebać w bebechach” swoich urządzeń. Co za tym idzie, udział telefonów z rootem/jailbreakiem w tej grupie jest zdecydowanie wyższy niż na całym rynku. Naszym zdaniem wraz z popularyzacją IKO wśród bardziej „przeciętnych” użytkowników średnia ocena aplikacji w Google Play i Apple App Store znacząco wzrośnie, a ogólny wydźwięk komentarzy będzie dużo lepszy – odpowiada Dominik Modrzejewski z Departamentu Rozwoju Bankowości Elektronicznej. Niezależnie od powyższego, pracujemy obecnie nad umożliwieniem działania aplikacji IKO na urządzeniach ze złamanymi zabezpieczeniami producenta, z jednoczesnym zachowaniem poziomów bezpieczeństwa, tak jak to ma miejsce w przypadku urządzeń z ustawieniami fabrycznymi.

Niestety trudno powiedzieć, kiedy pojawi się zaktualizowana wersja aplikacji w marketach.

Rozumiem kwestie związane z bezpieczeństwem. Banki powinny kłaść na nie szczególny priorytet. Bankowość mobilna jest wciąż często postrzegana jako mniej bezpieczna droga do realizowania transakcji w systemie bankowym, więc wszelkie wysiłki wkładane w podnoszenie bezpieczeństwa realizowanych transakcji są bardzo pożądane. Tylko, że w IKO można to było zrobić jeszcze lepiej. Jak? O tym za chwilę.

Podobne pytania zadałam zaprzyjaźnionym dev house’om. Z jakich względów bezpieczeństwa aplikacja IKO nie działa na złamanych systemach operacyjnych?

Istnieje ryzyko, że użytkownicy posiadający zrootowane smartfony z Androidem lub urządzenia z iOS, które mają zrobiony jailbreak, zainstalują z innego, niż App Store czy Google Play, źródła złośliwe oprogramowanie (malware). Może ono zostać odpowiednio przygotowane do ataku np. na aplikację mobilnych płatności, w taki sposób, że działając w tle będzie w stanie przechwycić istotne informacje prezentowane na ekranie – odpowiada Tomasz Serafin, R&D Chief w eLeader.

Tomek równocześnie potwierdza, że można aplikację finansową było przygotować w taki sposób, że istotne dane wymieniane pomiędzy bankiem a użytkownikiem nie będą prezentowane bezpośrednio na wyświetlaczu, co pozwoli na udostępnienie aplikacji na złamane systemy.

Zapytałam również Piotra Koniecznego z Niebezpiecznik.pl o jego opinię:

Blokowanie aplikacji po wykryciu uruchomienia jej na telefonie zrootowanym pozwala uniknąć pracy w środowisku niezaufanym. Na zrootowanym telefonie część mechanizmów podnoszących bezpieczeństwo danych klienta jest wyłączona (i czasem musi być, aby zrootowanie doszło do skutku). Jeśli autorom aplikacji zależy na ochronie danych użytkownika, decyzja jest słuszna – należy tylko pamiętać, że czasem prawa wynikające ze zrootowania telefonu mogą pozwolić atakującemu na oszukanie aplikacji tak, aby myślała, że jest odpalana na niezrootowanym systemie.

I właśnie. Przedwczoraj na Google Play w komentarzach pojawiła się wskazówka od jednego z użytkowników, co należy zrobić, aby IKO działało na zrootowanym telefonie:

Żeby aplikacja IKO działała z rootem trzeba mieć zainstalować z marketu apkę Superuser od CHAINSDD. Odpalamy ją i w zakładce „informacje” zaznaczamy „unroot temp”. Odpalamy i konfigurujemy IKO. Po skonfigurowaniu IKO wyłączamy „unroot temp”. Wszystko bangla. Liczę na to, że PKO się wycofa z tego debilnego sprawdzania czy telefon jest rootowany. Co do samej aplikacji to pomysł jest fajny, podoba mi się. (…)

Piotrek dodaje:

Od strony użyteczności, blokowanie działania aplikacji na telefonach klientów, jest pewnie odrobinę dyskusyjne – może wywołać frustrację. Pytanie, czy warto odcinać się od rzeszy userów, skoro w sumie niewiele się przez to zyskuje – tak jak napisałem, odpowiednio zdolna osoba będzie w stanie zasymulować „niezrootowany” telefon.

Aż chciałoby się zapytać, czy nie warto było poczekać z wypuszczeniem aplikacji IKO, dopóki nie zabezpieczono by jej tak, aby mogła działać na zrootowanych i zjailbreakowanych telefonach?
Zwracam uwagę, że oceny w marketach w przeważającej większości są albo skrajnie pozytywne (rewelacja, wszystko działa, jest super), albo skrajnie negatywne (nie działa, do d***, spadam stąd!). Oznacza to, że ta appka naprawdę jest przełomowa i – jeśli działa – bardzo podoba się klientom. Niestety, średnia ocen tego nie pokazuje: w App Store 3,5, w Google Play 2,6. Użytkownicy, którzy sugerują się taki informacjami już na pierwszy rzut oka wyciągną wniosek „coś z tą appka jest nie tak”…

Dobre rady

Jak zawsze parę rzeczy można było zrobić lepiej. Dla osób, które będą borykały się z podobnymi problemami, czy dylematami spisuję najważniejsze wnioski z nauki na błędach IKO:

1. W mobile funkcjonuje inny, nowy profil klienta

Aplikacje mobilne w pierwszej kolejności testują geecy, ludzie z branży, liderzy opinii danego segmentu rynku. Tzw. „przeciętny Kowalski” potrzebuje więcej czasu na zapoznanie się z aplikacją, on najpewniej nie trafi nawet na problem wyżej opisywany, bo pewnie nie wie, jaką ma wersję oprogramowania na swoim telefonie a co dopiero jak i po co je „łamać”. On nie tylko będzie zadowolony z funkcjonowania aplikacji, ale również… nie pozostawi swojej pozytywnej opinii w markecie, bo jest duża szansa, że nie będzie wiedział jak.

Powyższe oznacza, że tuż po premierze appki w pierwszej kolejności spłyną komentarze bardzo krytyczne, które trzeba umieć przewidzieć. Te komentarze są dobre – zazwyczaj pokazują to, czego sami nie widzieliśmy podczas testów lub nadają skalę temu, co nam wydawało się mniejszym priorytetem. Tych pierwszych komentarzy w większości należy słuchać i zgodnie z nimi poprawiać produkt.

Ale im więcej tych krytycznych komentarzy, tym niższa średnia ocen. Wizerunkowo to jest słabe.

I jeszcze jedno – już niekoniecznie w kontekście IKO. Nie podnośmy w takich dyskusjach kwestii etycznych, nie powielajmy stereotypów (czyli tylko hackerzy rootują telefony lub też piracisz oprogramowanie, więc jesteś złem wcielonym, więc Ciebie nie słuchamy).

Wiecie dlaczego mój telefon jest zjailbreakowany? Żeby dostawać raporty doręczeń SMS-ów i żeby móc zmienić nazwę operatora w górnym pasku na ekranie. Dzięki tej drugiej możliwości już nie raz zrzuty ekranu z mojego telefonu (a na potrzeby zawodowe robię ich dużo) znalazłam w nie swojej prezentacji :P Nie jestem hackerem, płacę za dobre aplikacje (więc nie potrzebuję ich ściągać nielegalnie). Nie jestem gorszej rasy użytkownikiem smartfona, tylko dlatego że mam go zjailbreakowanego. Developerze aplikacji mobilnych, szanuj to.

2. Dobra informacja na wagę złota

Warto w opisie aplikacji w markecie dopisać jedno zdanie na koniec „Ze względów bezpieczeństwa aplikacja działa tylko na telefonach z oryginalnym systemem operacyjnym„, czy  „W trosce o bezpieczeństwo Twoich transakcji aplikacja działa tylko na telefonach z oryginalną wersją oprogramowania„.

Warto zmienić komunikat systemowy na bardziej przyjazny i informatywny. „Can not proceed. It seems that application is running on the jailbroken device” to niemal jak policzek. Wczuj się w emocje użytkownika – słyszał i czytał, że IKO jest super, prawie już wyrzucił swój portfel i pociął karty płatnicze, otwiera je po raz pierwszy i…. Zonk! Rozczarowanie można osłodzić.

3. Poczekaj z publikacją

Bank był świadomy tego „ficzera” przed publikacją aplikacji w marketach. Z oficjalnego komentarza wynika, że nie spodziewał się jednak jego konsekwencji. Nie wiem, czy i jakie terminy były w tym projekcie, więc nie mnie oceniać, czy PKO BP powinien poczekać z publikacją aplikacji w markecie do czasu poprawki czy nie. Wiem za to, że pierwsze wrażenie robi się tylko raz. Wiele osób obeszło się smakiem IKO…

Jeśli więc masz podobny dylemat jak twórcy IKO, moja skromna porada brzmi – poczekaj z publikacją i napraw bugi, o których sam wiesz.

Wyniki IKO

W tej chwili, gdy piszę tę notkę na skrzynkę dostałam notkę z biura prasowego banku PKO BP. Czytam w niej m.in.:

  • W ciągu pierwszego tygodnia od startu komercyjnego nową usługę płatności mobilnych aktywowało blisko 6500 osób.
  • 70 procent aktywacji IKO jest dokonywanych na urządzeniach z systemem Android, a pozostałe 30 procent to telefony z systemem iOS.
  • Już piątego dnia po starcie przekroczona została bariera 5 tys. aktywacji IKO. Dla porównania, według podanych w tym tygodniu informacji, płatności mobilne T-Mobile MyWallet przekroczyły ten próg dopiero po trzech miesiącach od wprowadzenia usługi.
  • Wśród dokonywanych dotychczas przy pomocy IKO transakcji zdecydowanie najpopularniejsze są wypłaty z bankomatów PKO Banku Polskiego. W ciągu pierwszych 6 dni (7.03-12.03) dzięki IKO wypłacono gotówkę 1065 razy. Sumaryczna wartość wszystkich wypłat dokonanych przy pomocy aplikacji w tych dniach to 110690 zł.
  • W okresie między 7 a 12 marca użytkownicy IKO przesyłali między sobą pieniądze 368 razy. Średnia wartość przelewu na numer telefonu w tych dniach to nieco ponad 40 zł.

Super! Gratuluję.

Drogie PKO BP! Doceniam ogromnie to, co udało Wam się wypracować. Dobra robota! Tak dobra, że zaraz założę u Was konto, by móc przetestować aplikację, ale… nie zrezygnuję z Jailbreaka. Waszą aplikację testować będę na telefonie „roboczym”, Sony XPERIA.

„Testować” to słowo klucz. UŻYWAĆ chciałabym na moim iPhonie… Omińcie ten Jailbreak szybko, proszę.

Masz chwilę? Przeczytaj jeszcze:

  • sawi

    „Tomek równocześnie potwierdza, że można aplikację finansową było przygotować w taki sposób, że istotne dane wymieniane pomiędzy bankiem a użytkownikiem nie będą prezentowane bezpośrednio na wyświetlaczu, co pozwoli na udostępnienie aplikacji na złamane systemy.” – możesz nieco rozszerzyć ten wątek ? Nie do końca rozumiem związek między wyświetlaczem, a rootowaniem.

    • Tomasz

      Jeżeli wszystkie dane potrzebne do wypłaty w bankomacie są prezentowane na ekranie, to atak jest prostszy – wystarczy zrobić zrzut ekranu. W przypadku, gdy do wypłaty z bankomatu potrzeba czegoś jeszcze – np. pin zatwierdzający transakcję wypłaty jest przesyłany SMS-em, atak jest znacząco utrudniony.

      • Kod jest wazny 2 minuty. Przy wyplacie wyzszych kwot (jesli nie zmieniles sobie ustawien w zabezpieczeniach – bo mozna je ustwic) – musisz albo potwierdzic transakcje albo podac PIN – czyli sam zrzut ekranu nie wystarczy

      • Slowikus

        Nie wiem czy wiesz, ale SMS idzie czystym tekstem i podsłuchanie go nie stanowi żadnego problemu (więc to żadne zabezpieczenie), a kod IKO jest ważny 2 min do tego jest w zależności od upodobań kilenta PIN lub potwierdzenie TAK/NIE. A zrobienie zdjęcia ekranu nic ci nie da bo nie wykorzystasz tego kodu bez potwierdzenia transakcji na telefonie. Zastanów się czasami co piszesz.

  • Wszystko dobrze, ale warto zadac sobie pytanie ile sposrod kikuset tysiecy (3,5 miliona uzytkownikow systemu iPKO) potencjalnych klientow ma zrootowane telefony? 5% 10%? To jest system masowy. I poza takimi marketingowymi radami sa tez biznesowe decyzje. Bo przeciez nie wystartowalismy tez ze wszystkimi platformiami. A co do jailbrakow – robia to swiadomi uzytkownicy, ale tez nieswiadomie zmniejszaja bezpieczenstwo swoich telefonow. Co to by byla za afera, jakby cos sie stalo ;) Stad tez – liderzy opinii moga byc niezadowleni – ale jako, ze jest to jedyny tak fajny system na rynku… albo poczekaja, albo wyciagna „normalny” telefon z szafy, zeby sprawdzic. A przez te kilka tygodni (miesiecy) – szkoda byloby tych 90% klientow, ktorzy maja niezrootowane telefony

  • Lucek

    Dla mnie pomysł i wykonanie świetne szczególnie przelewanie kasy z komórki na komórkę to dla mnie mega rewolucyjne rozwiązanie kwestia czasu aby się rozeszło. No i oczywiście cieszę się że to alternatywa dla dupolu mastera i visy.

  • Jaq

    Kiedy druga czesc testu? ;)

    • Wczoraj rano złożyłam wniosek o konto. Czekam na kuriera z umową…

  • stefan

    na iko jest prosty sposób – trzeba zmienić nazwę bnarii „su” w katalogu /system/xbin na jakąś inną na czas używania aplikacji iko. oczywiście po zmianie nazwy przez polecenie „su” nie da się włączyć roota i wszystkie apki będą działać jak gdyby roota nie było. najlepiej korzystać z terminala i tryb roota można uzyskać polecenie wg nowej nazwy binarii a potem przez użycie polecenia „mv” znów zmienić nazwę binarii na „su” i zmów mamy roota jak przed zabawą. osobiście zrobiłem sobie skrypty „chowający i przywracający” roota więc każde działanie robi się przez wydanie krótkiego polecenia. niżej moje skrypty.

    ukrywający (hsu)

    su -c „mount -o rw,remount /dev/block/mmcblk0p3 /system”
    su -c „mv /system/xbin/su /system/xbin/rsu”
    rsu -c „mount -o ro,remount /dev/block/mmcblk0p3 /system”
    ——————————————————————————————————

    skrypt przywracający root (usu):

    rsu -c „mount -o rw,remount /dev/block/mmcblk0p3 /system”
    rsu -c „mv /system/xbin/rsu /system/xbin/su”
    su -c „mount -o ro,remount /dev/block/mmcblk0p3 /system”

    oba skrypty należy umieścić w katalogu /system/bin żeby nie musieć w terminalu wchodzić do katalogu w którym się znajdują. ich nazwy mogą być dowolne ale żaden inny plik w /system/bin nie może mieć już takiej nazwy jak skrypt bo zostałby oczywiście zastąpiony a tego nie chcemy.

    po zrobieniu skryptów po prostu wydajemy polecenie np jak u mnie: hsu , i skrypt samodzielnie montuje partycję /system do odczytu/ zapisu, zmienia nazwę su na rsu, spowrotem montuje /system tylko do odczytu. nie trzeba nawet po wejściu do terminala przechodzić na root’a – automatycznie uprawnienia przed każdym poleceniem załatwia przedrostek su -c a samo właściwe polecenie znajduje się w cudzysłowiu. kiedy root jest mi potrzebny – w terminalu piszę usu i już skrypt załatwia mi spowrotem roota odwracając poprzedni skrypt.

    po co to?? jeżeli w telefonie nie działa polecenie su – a nie działa bo po zmianie nazwy binarii, żadna apka nie może działać w trybie root (poza terminalem oczywiście bo sami zmieniamy nazwę binarii i wiemy jak roota mamy uzyskać) to i pewnie żadna apka nie stwierdzi że w telefonie jest root więc odpali się bez problemu. na pewno działa to z iko bo tak po prostu ja to robię i jest ok. myślę że na inne wybredne apki też to zadziała ale musi przetestować ktoś kto innych używa – generalnie nie ma su -> nie ma roota.

    problemy:

    -działań nie porządanych u mnie żadnych nie ma, wszystko działa gładko
    -nie wiem czy zawsze su jest instalowane w /system/xbin czy może w bywa w /system/bin – każdy sprawdzi u siebie.
    -/dev/block/mmcblk0p3 to u mnie partycja systemowa montowana w /system (galaxy ace2 tzn i8160). w innym tel pewnie będzieinaczej ale to można sprawdzić wydając polecenie mount beż żadnych dodatkowych parametrów co wyświetli wszystkie zamontowane „urządzenia” i punkty montowania etc – trzeba poszukać które to /system

    sposób pewnie dość spartański ale na moje możliwości nie zły – może ktoś zrobi z tego poważniejszą apkę do chowania roota, generalnie zasadę działania opisałem.

    oczywiśce po skopiowaniu skryptów do /system/bin trzeba im nadać uprawnienia do uruchamiania. ja dałem 0777.

    przykład:
    su
    chmod 0777 /system/bin/usu
    chmod 0777 /system/bin/hsu

    albo chyba lepiej:

    przykład:
    su
    chmod +x /system/bin/usu
    chmod +x /system/bin/hsu

    miłej zabawy. stefan.

  • supermodel

    IKO -fajna alternatywa dla karty i portfela. Dziś chciałem w małej
    miejscowości zapłacić IKO w sklepie sieci DINO (przy kasie widnieje
    napis że jest to możliwe. Tranzakcja trwała około 5 MIN., tak 5 minut bo
    okazało się że jestem pierwszą osobą która chce to zrobić w tym sklepie a
    pani przy kasie przekonywała mnie że muszę przyłożyć telefon do
    terminala. Dopiero kierowniczka sklepu wyciągnięta przez 3 pracowników z
    zaplecza była zorientowana jak się obsługuje te opcję w terminalu. Po 5
    min. SUKCES chyba kartą szybciej :) ZNIECHĘCIŁEM SIĘ -ale może dzięki
    mnie cały personel nauczył się jak to się robi?! :)

  • Gabrysia

    Słuchajcie z IKO korzysta 24 tysiące, to świetna aplikacja a liczba pobrań mówi sama za siebie :)

  • koma

    fajna alternatywa ogólnie konkurencja dla mastercarda i visy na dodatek działa na z rootowanych telefonach.

jestem.mobi

Zamknij

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close