PeoPay, czy PeoSpy? Sprawdź, co wie o tobie popularna aplikacja do płacenia smartfonem

Czytanie SMS-ów, wysyłanie ich, dostęp do kamerki i do nazw kont, które masz w serwisach społecznościowych - tego wszystkiego żąda od użytkowników jedna z najpopularniejszych aplikacji do płacenia przez telefon. Nie musi to oznaczać inwigilacji korzystających z aplikacji. Nie musi, ale...
Banki wiedzą o nas coraz więcej, a te z nich, które w dodatku potrafią te informacje skutecznie przetworzyć, mogą uzyskać ogromną przewagę nad konkurencją. Każdy, kto ma konto w mBanku, zapewne zastanawia się, dlaczego w ramach programu rabatowego mOkazje podsuwają mu same świetne propozycje. A przecież wystarczy płacić za zakupy kartą, by analitycy bankowi potrafili stworzyć profil każdego konsumenta i podsuwać mu tylko te propozycje, które do tego profilu pasują. Zyskuje i bank (bo klient dobrze "trafiony" chętniej skorzysta), i klient, bo nie dostaje propozycji, które co najwyżej by go poirytowały. Z drugiej strony: dlaczego mam chodzić jako klient na krótkiej smyczy? O ciemnej stronie najnowocześniejszych programów lojalnościowych czytajcie w blogu "Subiektywnie o finansach"

Ale nawet inwigilacja, która ma miejsce za każdym razem, kiedy wyciągniemy z kieszeni kartę płatniczą, to pikuś w porównaniu z tym, czego bank może się o nas dowiedzieć, gdy wyciągniemy z kieszeni smartfona z aplikacją do bankowości mobilnej. Pan Paweł, czytelnik blogu "Subiektywnie o finansach" był łaskaw zainstalować w swoim smartfonie aplikację PeoPay, która pozwala płacić w sklepach za pomocą telefonu. Kto ma konto osobiste w Banku Pekao, może używać aplikacji zamiast karty debetowej, dla pozostałych jest to rodzaj elektronicznej portmonetki, którą najpierw trzeba doładować. Ostatnio największym sukcesem PeoPay było wprowadzenie tej odmiany płatności do sklepów "Biedronka". Czym PeoPay zdenerwował prezesa PKO BP i co Zbigniew Jagiełło na to? Czytajcie w blogu samcik.blox.pl

Pan Paweł nie ograniczył się jedynie do pobrania PeoPay i bezkrytycznego korzystania z aplikacji. "Lubię sobie czasem kompilować androida w moim telefonie i zamieszczać moduły debugujące inne aplikacje i blokujące im dostęp do różnych rzeczy. Podkusiło mnie, żeby sprawdzić pod tym względem PeoPay. Jak się okazuje, aplikacja robi różne ciekawe rzeczy, ponoć dla bezpieczeństwa użytkownika" - pisze pan Paweł.

Czytaj też: Polisz Big Data, czyli jakie interesy robią banki ze specami od inwigilacji?

Pan Paweł wymienia owe "ciekawe rzeczy". Otóż PeoPay w komórce użytkownika: "czyta SMS-y, może wysyłać własne SMS-y, czyta rejestr połączeń, odczytuje kontakty z telefonu, może wykonywać zdjęcia i nagrywać dźwięki bez pozwolenia i potwierdzenia, a także odczytuje konfiguracje kont zdefiniowanych w telefonie (czyli jak ktoś ma konto mobilne na Facebooku, czy w Instagramie, to aplikacja widzi ich nazwy" - wymienia pan Paweł. "Nie lubię takich aplikacji, które zbyt głęboko wnikają w dane w moim telefonie" - kończy czytelnik. Szczegółowy wykaz uprawnień, które ma aplikacja PeoPay znadziesz tutaj.

Bank Pekao, który zapytaliśmy o wyjaśnienia, zapewnia, że wykorzystuje tylko te funkcje smartfona użytkownika, które są niezbędne do prawidłowego działania aplikacji. Dostęp do SMS-ów? "Uprawnienia te są wymagane do działania mechanizmu weryfikacji SMS-ów autoryzacyjnych, wysyłanych podczas procesu rejestracji. Aplikacja jest zainteresowana wyłącznie odczytywaniem SMS-ów autoryzacyjnych, przesyłanych przez bank. Innych SMS-ów aplikacja nie czyta. Uprawnienia wysyłania SMS-ów też są konieczne do mechanizmu weryfikacji SMS-ów autoryzacyjnych. Z jego wykorzystaniem SMS-y odczytane i zweryfikowane są usuwane ze skrzynki odbiorczej".

To, że aplikacja czyta rejestr połączeń i odczytuje kontakty z telefonu Pekao tłumaczy tak: "Funkcjonalność wyboru odbiorcy przelewu z listy wymaga dostępu do kontaktów zapisanych w telefonie. Aplikacja nie posługuje się rejestrem połączeń i nie wymaga dostępu do niego. Uprawnienie związane z listą odbiorców jest wymagane tylko do działania funkcji przelewów zdalnych, wysyłanych na numery telefonów". Co do możliwości robienia zdjęć, nagrywania dźwięków bez pozwolenia, to Pekao tłumaczy, że jest to potrzebne, by prawidłowo działał skaner QR kodów. A o tym, jak kupować za pomocą QR kodów, jadąc autobusem albo czekając na tramwaj - było w blogu "Subiektywnie o finansach".

A dostęp do kont użytkownika np. w serwisach społecznościowych? W tym przypadku operator PeoPay'a też zapewnia, że nie inwigiluje. "Dostęp do konfiguracji kont (uprawnienie GET_ACCOUNTS) jest wykorzystywany wyłącznie w celu zweryfikowania gotowości telefonu użytkownika do wsparcia funkcji wysyłania przelewów zdalnych; uprawnienie nie daje możliwości wglądu w listy wiadomości czy w treści wiadomości; (nie ma możliwości technicznej uzyskania dostępu do konta facebookowego)".

Pod ciężarem tych argumentów częściowo uległ nawet pan Paweł. "Ogólnie argumenty ich są przekonujące. Jednakże nie jest prawdą, że aplikacja nie posługuje się rejestrem połączeń i nie wymaga dostępu do niego. Widzę, że aplikacja ma uprawnienia: android.permission.CALL_LOG. Po co? Jeśli chodzi o Facebooka, to zgodzę się, że nie ma dostępu do konta użytkownika. Ale ma dostęp do nazwy konta - w związku z tym może teoretycznie bank wiedzieć, które konto Facebooka jest czyje" - argumentuje pan Paweł.

Czy PeoPay zagląda w naszą prywatność bardziej niż inne programy do obsługi bankowości mobilnej? Niekoniecznie, inne aplikacje mobilne też bywają wścibskie. Czasem jest to niezbędne, by zapewniać użytkownikowi np. wygodne przelewanie pieniędzy. Chodzi o to, żebyśmy zdawali sobie sprawę, w co gramy - chodzenie po mieście z urządzeniem działającym online i z włączoną aplikacją bankową musi wiązać się z utratą prywatności. Pytanie tylko, jak głęboką i czy uzasadnioną.

Chcesz porozmawiać z autorem tekstu? Napisz! maciej.samcik@wyborcza.biz