банковские приложения и root
Как отключить Root-доступ на Android для приложения «Сбербанк Онлайн» – пошаговая инструкция
Мобильную версию Сбербанк-Онлайн скачали уже более 50 млн. раз. По крайней мере, подобная информация представлена на официальной странице приложения в Play Market.
Некоторые пользователи имеют на своих телефонах root-права. В этом случае они жалуются, что не работает Сбербанк-онлайн, который определяет рутированное устройство как взломанное во время запуска приложения. Означает ли это, что в подобном случае нет никакой возможности пользоваться услугами сервиса? Существует несколько способов, как отключить root-доступ на Android для Сбербанк-онлайн, чтобы приложение нормально функционировало.
Официальный комментарий Сбербанка
При обращении в техническую поддержку сервиса каждый может получить официальный ответ финансовой организации, который объясняет, почему не работает Сбербанк-онлайн на Андроиде при наличии прав суперпользователя.
По мнению банка, наличие root-прав на устройстве существенно повышает риск проведения мошеннических действий с использованием вредоносного ПО или вирусов.
Внутри оболочки программы имеется встроенный антивирус, то при появлении подозрения на наличие в мобильном устройстве модифицированной прошивки исполнение программного кода моментально блокируется.
Это не означает, что пользователи лишены возможности применять сервис на своих устройствах. Им предоставляется гарантия сохранности собственных средств, которая реализована через осуществление переводов или платежей исключительно на основе созданных шаблонов посредством компьютерной версии программы.
Все предельно просто и понятно. Поскольку при создании шаблона платежа на компьютере все введенные данные пользователя хранятся на нем, то даже наличие рутированной прошивки не приведет к перехвату информации. Но существует несколько способов, как отключить root-доступ на Android для Сбербанк-онлайн, чтобы избавиться от предлагаемого ограничения.
Как убрать root-доступ на Android для Сбербанк-онлайн посредством патча SberbankPatch
Всем любителям взламывать игровые ресурсы или ограничения в программах, накладываемые процедурой проверки подлинности лицензии, знакома утилита LuckyPatcher.
LuckyPatcher позволяет провести сканирование устройства и определить наличие возможности применения патчей. Подобные приложения помещаются на верхние строчки списка.
Первым делом требуется установить это приложение на смартфон. Его невозможно скачать из официальных источников. Оно представлено на форумах или файловых хостингах. Для установки необходимо:
После установки необходимо дополнительно скачать дополнительно пользовательский патч под названием Sberbank_full_patch.
Далее начинается процедура непосредственного применения «заплатки»:
Использование программы Lucky Patcher не является самым надежным способом, как можно убрать рут-доступ на Анроиде для Сбербанк-онлайн, поскольку пользовательские патчи могут содержать вредоносный код или даже вирусы.
Применение патча SberbankUnRobot для Xposed Framework
Еще одним способом, что можно сделать, если не работает Сбербанк-онлайн на Андроиде, является использование специального модуля, созданного для Xposed Framework. Эта заплатка не позволяет сервису проверять наличие прав суперпользователя.
Сама программа Xposed представляет собой софт для внесения изменений в прошивку без необходимости их компиляции или последующей подписи. Рабочие версии поддерживают ОС выше Андроид 4.0.0.
Процедура применения следующая:
Установка пропатченной версии программы
Самым простым способом, как можно запустить сервис Сбербанк-онлайн при наличии рут-прав на устройстве, это установка заранее модифицированной версии. Скачать подобное приложение можно на специализированных ресурсах.
Очистка смартфона от остатков Root-прав
Приложение от Сбербанка откажется запускаться не только при наличии рутированной прошивки, но даже при малейших следах бывшего root-доступа, который был установлен и впоследствии удален.
Для решения этой проблемы существует проверенный способ очистки «хвостов», которые остались после удаления прав суперпользователя. Он заключается в применении файлового менеджера Aroma Filemanager, имеющего доступ к системным файлам:
Разблокировка посредством MyAndroid Tools
Это альтернативный метод, который не работает на устройствах, имеющих Андроид-версии 7.7.0 и выше. Данная утилита представляет собой набор полезных инструментов, позволяющих включать или отключать системные компоненты, манипулировать сервисами и службами.
Сам принцип работы данного способа заключается в деактивации системного процесса AlarmReceiver, который является инструментом банковской программы для проверки присутствия на устройстве прав суперпользователя.
Процедура использование метода следующая:
Применение MagiskHide
Программа MagiskManager позволяет скрывать наличие прав суперпользователя в системе. Единственным условием нормального использования программы требуется присутствие администратора привилегий MagiskSU.
Чтобы добиться полного функционирования приложения от Сбербанка, от пользователя потребуется:
Выбор наиболее приемлемого способа является субъективным решением пользователя. Но стоит отметить, что все манипуляции проводятся на собственный страх и риск. При недостаточном опыте общения с системными ресурсами наиболее оптимальным будет установка модифицированной версии сервиса от Сбербанка.
5 причин, почему получать root-права на Android опасно
Что такое root?
Всё довольно просто. В смартфоне не все программы равны. Обычным приложениям, которые вы запускаете ярлыками, разрешается выводить что-то на экран, передавать данные, с разрешения пользователя обращаться к камере, микрофону и телефонной книге. У них есть своя маленькая песочница в памяти, из которой они не имеют права вылезать. Им нельзя шастать по хранилищу, трогать системные файлы, обращаться напрямую к «железу». Эти программы работают с «обычными» правами.
Но в системе Android есть учётная запись под названием root, и вот у неё — неограниченные права. Программа, запущенная от имени этой учётной записи, может вообще всё — в том числе подменять системные файлы, перехватывать данные, обманывать другие приложения. Иногда это нужно для того, чтобы просто тоньше настроить смартфон под себя или запустить программы, которые без root не работают. Но не всем производителям и разработчикам это нравится.
Никакой оплаты со смартфона, никаких лицензионных фильмов
Уже скоро расплачиваться на кассе супермаркета можно будет не только при помощи Айфона или нового Samsung Galaxy. Google пока помалкивает, но сам готовит Android Pay для очень многих моделей с поддержкой NFC. Разумеется, кроме смартфонов, в которых владельцы добыли root-права.
Не то, чтобы эта была какая-то намеренная подлость или месть за блокировку рекламы/удаление бесполезных предустановленных приложений со стороны Google — просто никто не хочет отвечать головой (и, тем более, кошельком по судебным искам) в случаях, когда прошивка смартфона открывается нараспашку любым приложениям по одному нажатию клавиши. И банков-партнёров Google не волнует, сколько раз вы устанавливали Cyanogen/TWRP и насколько правильно конфигурировали SuperSU — они знают, что перехватить данные в процессе оплаты можно настолько же легко, как молодёжь «взламывает на деньги» мобильные игры. По этой причине фирменные банковские приложения отказываются работать на смартфонах с root-доступом или даже просто кастомной прошивкой (никого не волнует, что у вас не было другого выхода, кроме как заменить стандартный Android 4.1 на самосборный 5.0). Выручают перепакованные варианты банк-клиентов, но банки периодически перекрывают доступ таким приложениям, да и всегда есть риск, что внутри «репака» сидит вирус/троян.
Как запустить Android Pay на рутованном смартфоне
23 мая в России заработал платёжный сервис Android Pay от компании Google. Он позволяет оплачивать покупки с помощью смартфона. Многие пользователи столкнулись с тем, что сервис не доступен или не работает на их устройствах. Чаще всего это связано с тем, что Google с целью безопасности запрещает использовать Android Pay на смартфонах с полученными правами суперпользователя (root) и установленной кастомной, модифицированной или нестабильной прошивкой. Возможность обойти блокировку есть. Инструкцию читайте под катом.
Чтобы Android Pay заработал на смартфоне с правами суперпользователя, вам необходимо скрыть наличие root от платёжного сервиса. Для этого используйте утилиту Magisk. Сразу отметим, что данный способ не работает на смартфонах Google Pixel и Pixel XL.
Перед началом убедитесь, что у вас разблокирован загрузчик, установлено кастомное рекавери и сделана резервная копия данных.
Если у вас установлен официальный рут SuperSU (Android 6.0 и выше) или MagiskSU, то просто установите Magisk Manager из Google Play или скачайте APK-файл с нашего форума. Затем из Magisk Manager нужно установить/обновить утилиту Magisk и перезагрузить устройство.
Magisk Manager
topjohnwu
Уже скачали: 20872 пользователя
Если же у вас установлен любой другой рут, то для начала вам придётся его удалить и установить один из двух рутов, упомянутых выше: SuperSU или MagiskSU.
Для удаления неподдерживаемого рута используйте специальный скрипт, запускаемый через кастомное рекавери. Он поддерживает удаление следующих рутов:
Когда утилита Magisk успешно установлена на ваше рутованное устройство, приступаем к скрытию рута от Android Pay. Для этого запускаем Magisk Manager и в настройках активируем пункт Magisk Hide. После этого нужно перезагрузить устройство. Снова открываем Magisk Manager и в боковом меню выбираем появившийся раздел Magisk Hide. На экране откроется список приложений и сервисов, где нужно найти и активировать Android Pay. Затем в последний раз перезагружаем устройство.
Если вы всё сделали правильно, то теперь приложение Android Pay будет работать, и вы сможете прикрепить свои банковские карты. Если что-то не получается, читайте подробную инструкцию и комментарии в тематической ветке на форуме 4PDA.
Борьба за права. Что делать банкам с модифицированным Android
Все больше финансовых организаций выпускают приложения для мобильной платформы Android и реализуют возможность облачной бесконтактной оплаты. При этом многие пользователи обладают смартфонами с полным доступом к системе. Перед банками встает вопрос, давать ли клиентам с такой«дырой» в безопасности доступ к своим сервисам.
Наличие прав суперпользователя (root) дает возможность копирования и изменения системных данных. Изначально владелец смартфона ими, как правило, не обладает — устройство продается с заводской прошивкой, в которой права пользователя ограничены. Однако есть ряд факторов, повышающих долю использования root. Во-первых, растет техническая грамотность пользователей, и им интересно получить расширенные возможности. Во-вторых, появляются сторонние модифицированные версии систем, такие как CyanogenMod. В условиях, когда производители часто прекращают выпуск обновлений для своих смартфонов, установка такой системы может стать единственным способом получения новых современных функций Android. В-третьих, производители некоторых смартфонов изначально дают возможность получения root-прав в системе. С учетом роста популярности недорогих китайских смартфонов в России, таких становится все больше.
Банки и другие финансовые сервисы по-разному реагируют на проблему наличия прав суперпользователя. Некоторые, такие как Банк Москвы в приложении «Мой проездной», вовсе запрещают доступ в этом случае. Другие, такие как Сбербанк, ограничивают набор доступных функций только транзакциями по созданным в интернет-банке шаблонам. «Работа с такой прошивкой существенно повышает вероятность мошенничества через вирусы. Антивирус, который входит в “Сбербанк Онлайн”, как и любое другое приложение, установленное на Android с root-прошивкой, не имеет полного контроля над смартфоном. Именно поэтому для телефонов Android с такой прошивкой мы ограничиваем проведение операций — мы сталкиваемся с ограничением системы, которое не позволяет антивирусу корректно проводить поиск и удаление вирусов», — пояснили FutureBanking в Сбербанке.
Отдельно можно выделить сервисы, позволяющие производить бесконтактную оплату с помощью смартфона по облачной технологии HCE. Приложение Visa QIWI Wallet, недавно получившее такую функцию, не дает возможности выпуска облачной карты в среде root. Приложение «Кошелек», разработанное CardsMobile, функционирует, но предупреждает пользователя, что в среде root он делает все на свой страх и риск.
«Проблема с облачными картами в том, что при наличии достаточной квалификации и сильно модифицированной ОС есть возможность сделать временный дубликат EMV-карты, — говорит Кирилл Горыня, генеральный директор компании CardsMobile. — Root — это первый шаг на пути маскировки действий злоумышленников по модификации операционной системы. Мы добавляем реакцию приложения на root по двум причинам. Во-первых, это требование международных платежных систем. Во-вторых, потому что руководствуемся здравым смыслом, и действительно делаем все возможное для обеспечения безопасности пользователя. Да, облачная технология МasterСard прекрасно работает в незащищенной «рутованой» среде Android, и поэтому мы не запрещаем работу приложения при наличии root-доступа. Но! На момент выпуска банковской карты в свой телефон пользователь должен точно осознавать, что root на его устройстве — его осознанное и актуальное желание. Он понимает как это работает, и какие возможности у приложений от этого появляются. Есть достаточно кулибиных, которые год назад “ради интереса рутанули телефон”, не поняли толком, что сделали, наигрались с каким-нибудь Xposed, бросили и забыли. А root никуда не делся. И вот таким пользователям полезно еще раз напомнить, что root, хоть и не «открытая дверь» ко всем данным в мобильном устройстве, но возможностей для злонамеренных манипуляций он открывает на порядок больше».
Перенос ответственности на пользователя в случае наличия у него модифицированной прошивки все более активно используется. 28 августа Альфа-Банк внес изменения в свой «Договор о комплексном банковском обслуживании физических лиц», добавив в него два пункта, касающихся наличия расширенных прав доступа к системе. Банк обязывает клиента не подвергать программное обеспечение и/или мобильное устройство, с использованием которых осуществляется доступ к услугам дистанционного обслуживания, модификациям, нарушающим пользовательское соглашение, заключенное между клиентом и производителем программного обеспечения и/или мобильного устройства. Кроме того, в договоре сказано, что «клиент несет ответственность за все операции, проводимые клиентом и/или третьими лицами с ведома или без ведома клиента при использовании услуг «Альфа-Мобайл», «Альфа-Мобайл-Лайт», «Альфа-Чек», «Альфа-Диалог», Интернет Банка «Альфа-Клик», Телефонного центра «Альфа-Консультант», в том числе в случае если программное обеспечение и/или Мобильное устройство Клиента, с использованием которых осуществляется доступ к данным услугам, были подвержены модификациям, нарушающим пользовательское соглашение, заключенное между клиентом и производителем программного обеспечения и/или мобильного устройства, а также в случае если на мобильном устройстве был активирован режим для разработчиков».
Юристы Альфа-Банка пояснили FutureBanking нововведения следующим образом: «Внесенные изменения направлены на снижение риска совершения мошеннических операций, и как следствие, необоснованного списания денежных средств со счетов клиента, при получении клиентом услуг дистанционного банковского обслуживания посредством программного обеспечения и/или мобильного устройства. Указанные в п.15.8 Договора случаи, при которых Клиент несет ответственность, включают в себя случаи использования модифицированного программного обеспечения и/или мобильного устройства».
Зачем в договоре отдельно сказано про модифицированное ПО, если используются выражение «в том числе», то есть, по сути, клиент несет ответственность за все операции, в Альфе-Банке так и не рассказали.
«На самом деле тема крайне важная, — комментирует исполнительный директор Ассоциации “Национальный платежный совет” Мария Михайлова. — Ситуация в том, что телефон юридически не является ни платежным инструментом, ни элементом платежной инфраструктуры. Банки проникли в телефоны как бы стихийно. Нужно какое-то общее нормативное поле как может использоваться телефон (который сам по себе тоже подчиняется двум разным сегментам — операторам связи и производителям) при оказании платежных услуг».
Впрочем, не все банки считают, что наличие расширенных прав и модификаций системы должно накладывать какие-то дополнительные ограничения на возможности пользователя. Тинькофф Банк, например, ранее «дискриминировал» пользователей с root, но сейчас приложение вообще никак не реагирует на наличие таких прав с точки зрения клиента. «Мы приняли решение отказаться от подобного пункта в оферте в рамках клиентоориентированности и по мере развития наших систем антифрод-мониторинга, — пояснили в банке. — Кроме того, порядок использования способов дистанционного обслуживания регулируется договором между банком и клиентом и политикой конфиденциальности. Система антифрод-мониторинга в режиме реального времени выявляет подозрительную и нехарактерную активность пользователя (причем не только в рамках мобильного приложения) вне зависимости от того, есть ли на устройстве root-доступ и установлен ли на устройстве «режим разработчика. Порядок root-доступа регулируется лицензионным соглашением между пользователем и производителем устройства, а не договором между банком и пользователем».
Как видно, запрещать ли пользователям с расширенным доступом к системе и модифицированными прошивками использование финансовых приложений, перекладывать на них ответственность, просто предупреждать или дорабатывать свои системы безопасности — вопрос дискуссионный, и требует внимания со стороны финансового сообщества.
Эта статья была разослана 1020 людям, которые подписались на тему «Mobile»
Чтобы подписаться на «Mobile», просто введите Ваш
электронный адрес.
Запускаем Сбербанк Онлайн с рут правами
Права суперпользователя дают множество интересных возможностей. К сожалению, полным доступом к устройству могут воспользоваться в том числе злоумышленники. Поэтому, некоторые разработчики блокируют свои приложения после установки на взломанное устройство. Яркий пример — клиент мобильного банка Сбербанк Онлайн. Каждый любитель рутирования не раз сталкивался с подобным сообщением:
К счастью, существует несколько способов обойти ограничения и запустить Сбербанк на смартфоне с рут правами:
Содержание
Внимание: статья носит строго рекомендательный характер. Все нижеописанные действия выполняются на свой страх и риск.
Перед выполнением любого способа убедитесь, что приложение Сбербанк Онлайн ни разу не запускалось после установки. Защита не должна сработать!
Способ №1. Скрытие прав суперпользователя с помощью Magisk Hide
С подробной инструкцией по установке и использованию Magisk Manager можно ознакомиться в отдельной статье. Отмечу лишь то, что для скрытия рут прав требуется встроенный администратор привилегий MagiskSU.
Для разблокировки полного функционала Сбербанк Онлайн проделайте следующее:
Данный метод актуален только для официальных рутованных прошивок. Кастомы LineageOS, Resurrection Remix и подобные поставляются с собственным администратором прав суперпользователя, данный способ для них не подходит.
Способ №2. Специальные модули для Xposed
Если Вы используете Xposed, можно применить модуль BankShmut для отключения проверки Сбербанк Онлайн. Для этого необходимо установить и активировать модуль BankShmut последней версии. После перезагрузки смартфона, будет открыт полный функционал онлайн-банкинга.
Помимо этого, существует модуль для скрытия прав суперпользователя — RootCloak, который работает по аналогии с Magisk Hide. Для его применения необходимо:
Способ №3. Разблокировка функционала с помощью My Android Tools
Как альтернативный метод, который работает на любых прошивках можно использовать My Android Tools, либо подобную утилиту, для отключения защитного модуля банковского приложения.
Каждый раз Сбербанк Онлайн будет сообщать об ограниченном функционале, уведомления можно игнорировать, приложение будет работать нормально.
Способ №4. Патчинг с помощью Lucky Patcher
Также от назойливой проверки можно избавиться с помощью небезызвестного Lucky Patcher и специального патча. Отмечу, что данное приложение стоит использовать с особой осторожностью.
Модификация приложений с помощью Lucky Patcher — нежелательная процедура. В то же время, данный способ совместим абсолютно со всеми прошивками и прост в выполнении. После применения модификации, Lucky Patcher можно удалить.
Также существуют заранее модифицированные apk-файлы. Однако, измененный файл может содержать как полезные нововведения, так и всевозможные вирусы, трояны о существовании которых можно и не догадываться. Мод не будет обновляться через Google Play, каждый раз необходимо искать и скачивать обновленную версию вручную. Этот способ применяйте на свой страх и риск!
Какой способ всё-таки выбрать?
Какие бы ограничения не накладывали разработчики, получить полнофункциональный Сбербанк с рут на Андроид — не проблема.
Если Вы используете официальную прошивку с правами суперпользователя и TWRP, следует присмотреться к способу №1 и Magisk Hide.
Для любителей Xposed не составит труда добавить ещё один модуль к уже имеющимся. Способ №2 и BankShmut или RootCloak — для вас.
Самый универсальный способ №3 с применением My Android Tools содержит в себе неудобство — сообщение о неполной функциональности. В то же время, он прост в применении и подходит в абсолютном большинстве случаев.
Способ №4 — модификация клиента с помощью Lucky Patcher, либо применение готовых модов — также универсальное решение. Но я не считаю его безопасным, поэтому, он актуален в последнюю очередь, если другие способы не сработали.
Для прошивок вроде: CyanogenMod, LineageOS, BlissPOP, — подойдёт любой метод, кроме Magisk Hide и RootCloak.