- Появляется уведомление о том, что может осуществляться мониторинг сети | huawei поддержка россия
- Реализуем IOS версию приложения
- Grаce щетка для сухого,антицеллюлитного массажа 39 см из натурального дерева(бук), щетина кабана — купить в интернет-магазине ozon с быстрой доставкой
- Звезда в подарок – подарить звезду, назвать звезду, сертификаты на звезды в москве – продажа звезд – astrometric registr официальный сайт
- Какие виды ssl-сертификатов есть и кто их выдаёт?
- Какие документы могут понадобится при обращении в салоны связи tele2
- Откуда берутся сертификаты?
- Скрытые мобильные подписки tele2: разбираемся, как все устроено
- Словарный запас
Появляется уведомление о том, что может осуществляться мониторинг сети | huawei поддержка россия
Проблема
На панели уведомлений появляется уведомление о том, что может осуществляться мониторинг сети. Нажатие на уведомление приводит к тому, что открывается сообщение, говорящее о том, что сертификат CA был установлен на телефон и расход мобильного трафика может отслеживаться или может быть изменен.
Причина
Механизм защиты безопасности телефонов Android будет активирован, если вы выберите опцию Установить корневой сертификат при установке стороннего приложения с сертификатом CA на ваш телефон (как показано на рисунке ниже). Эти приложения могут отслеживать или даже изменять сетевые данные. Вы получите уведомление, если подобное приложение будет обнаружено на телефоне.
Решение
Откройте Настройки, найдите и откройте раздел Надежные учетные данные, а затем откройте раздел Пользователь, чтобы проверить наличие установленных сертификатов CA. Нажмите на сертификат и выберите опцию Удалить. Удалите ранее установленное стороннее приложение, если вы его не используете.
Реализуем IOS версию приложения
Необходимо подключить к Вашему проекту Security.Framework
Для осуществления запроса нам необходимо извлечеть из PKCS#12 цифровой сертификат и ассоциированный с ним приватный ключ (SecIdentityRef). Наличие данного объекта позволит нам получить соответствующий NSURLCredential.
Итак реализуем функецию extractIdentityAndTrust.
OSStatus extractIdentityAndTrust(CFDataRef inP12data, SecIdentityRef *identity)
{
OSStatus securityError = errSecSuccess;
CFStringRef password = CFSTR("");
const void *keys[] = { kSecImportExportPassphrase };
const void *values[] = { password };
CFDictionaryRef options = CFDictionaryCreate(NULL, keys, values, 1, NULL, NULL);
CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
securityError = SecPKCS12Import(inP12data, options, &items);
if (securityError == 0) {
CFDictionaryRef myIdentityAndTrust = CFArrayGetValueAtIndex(items, 0);
const void *tempIdentity = NULL;
tempIdentity = CFDictionaryGetValue(myIdentityAndTrust, kSecImportItemIdentity);
*identity = (SecIdentityRef)tempIdentity;
}
if (options) {
CFRelease(options);
}
return securityError;
}
Производим извлечение при помощи функции SecPKCS12Import, незабываем указать пароль к серитификату.
Далее реализуем делегат canAuthenticateAgainstProtectionSpace, вызов данного делегата позволяет нам определить свойства сервера, а именно протокол, механизм авторизации. У нас реализация этого делегата будет простой, укажем, что обрабатываем любой способ аутентификации представленный сервером.
- (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace
{
return YES;
}
Обработаем возможные ошибки:
Grаce щетка для сухого,антицеллюлитного массажа 39 см из натурального дерева(бук), щетина кабана — купить в интернет-магазине ozon с быстрой доставкой
Звезда в подарок – подарить звезду, назвать звезду, сертификаты на звезды в москве – продажа звезд – astrometric registr официальный сайт
Продажа звезд официально – свидетельство о регистрации Эл № Фс77-51727, территория распространения – российская Федерация и зарубежные страны, выдан Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций. Хотите подарить звезду – обращайтесь. Звездное агентство «Астрометрик – Регистр” поможет выбрать и купить звезду в подарок.
Подобрать имя звезде и проверить свободно ли выбранное имя Вы можете на нашем сайте в разделе “Каталог”. Хотите подарить звезду дорогому человеку или назвать звезду именем своего шефа? А может Вы хотите купить звезду по названию компании? Звезда в подарок на небе – это подарок, который не оставит равнодушным ни одного человека, ведь звезда – это вечный след в истории человечества. На небе так много звезд – намного больше, чем людей на планете. Так почему бы не оставить след о своем близком человеке, о компании, холдинге, или даже о себе в звездном каталоге?
Звезды – это огромные скопления очень горячего газа. Солнце – звезда, она во много раз превосходит Землю по размерам. Звезды могут светиться голубым, желтым и красным светом. Это зависти от температуры той или иной звезды. На небе мы видим маленькие светящиеся точки, которые находятся так далеко от нас, но в реальности это большие горящие шары газа. Звезды входят в галактики, группируясь в огромные массы.
Звезды беспорядочно раскиданы по ночному небу. В некоторых участках они образуют узоры, которые называются звездными группами. Такие группы составляют легко различаемые звездные фигуры – созвездия. Каждому созвездию дано название какого-нибудь животного, человека или вещи. Редко случается, что очертание созвездия соответствует данному названию. Небо разделено на 88 созвездий, раньше ими пользовались и определяли путь, словно разворачивали перед собой небесную карту.
Какие виды ssl-сертификатов есть и кто их выдаёт?
Есть специальные центры сертификации или как ещё называют — удостоверяющие центры (УЦ). Вы могли встречать названия таких УЦ: Symantec, Comodo, GlobalSign, Thawte, GeoTrust, DigiCert. Они подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи.
Кроме того, есть проекты, CloudFlare или LetsEncrypt, где можно получить сертификат бесплатно и самостоятельно. Такой сертификат выпускается на 3 месяца и далее требует продления. Однако во время их установки и дальнейшей работы есть ряд нюансов, которые стоит учитывать.
Например, при выборе сертификата Cloudflare учтите, что он выдаётся сразу на 50 сайтов. Тем самым сертификат будет защищать не только ваш домен, но и ещё несколько чужих, что несёт за собой риски безопасности. Также у Cloudflare нет печати доверия. Если говорить о недостатках LetsEncrypt, то сюда можно отнести поддержку далеко не всех браузеров, отсутствие гарантии сохранности данных сайта и печати доверия.
Печать доверия — это особый знак, позволяющий посетителям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены.
Итак, существует несколько типов SSL-сертификатов по источнику подписи и типу проверки данных.
- Самоподписанные. Сертификат подписывается самим сервером. Его может сгенерировать любой пользователь самостоятельно. По сути, он бесполезен, потому что доверять ему будет только компьютер, на котором был сгенерирован такой сертификат. Большинство браузеров при посещении сайта с таким сертификатом выдаст предупреждение, что соединение не защищено.
- Подписанные доверенным центром сертификации (валидные). Речь о тех самых авторитетных УЦ выше. Сертификат корректно отображается во всех браузерах. Данные сертификата проверены и подтверждены в сертифицирующем центре.
Так вот, разница между самоподписанными сертифкатами и, выданными УЦ, как раз и заключается в том, что браузер знаком с УЦ и доверяет ему, и при использовании такого сертификата ваш посетитель никогда не увидит огромное уведомление о небезопасности ресурса. Купить такой SSL-сертификат можно как напрямую в УЦ, так и через хостинг-провайдеров.
Подписанные доверенным центром сертификаты, в свою очередь, тоже подразделяются по типу проверки данных:
- DV (Domain Validation) — базовый уровень сертификата, который обеспечивает только шифрование данных, но не подтверждает существование организации. Такие бюджетные сертификаты подойдут физическим и юридическим лицам.
- OV (Organization Validation) — обеспечивает не только шифрование данных, но и подтверждает существование организации. Такие сертификаты доступны только для юридических лиц.
- EV (Extended Validation) — это эффективное решение с самым высоким классом защиты, которое активно применяется в онлайн-бизнесе. Для оформления требуется пройти процедуру расширенной проверки, подтвердить законность организации и право собственности на домен.
Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:
- WildCard — защищает соединение с доменом и всеми его поддоменами.
- SAN — защищает домены по списку, указанному при получении SSL-сертификата.
Какие документы могут понадобится при обращении в салоны связи tele2
Для граждан РФ:
- паспорт гражданина РФ либо временное удостоверение, выдаваемое МВД на период оформления паспорта в случае его замены, утери либо хищения (для постоянно проживающих на территории РФ);
- удостоверение личности военнослужащего РФ (для офицеров, прапорщиков и мичманов);
- военный билет (для солдат, матросов, сержантов, старшин, проходящих военную службу по призыву или контракту, курсантов военных образовательных учреждений в период обучения);
- заграничный паспорт гражданина РФ при предъявлении документа, подтверждающего постоянное проживание за пределами РФ (для граждан, постоянно проживающих за пределами РФ).
Для граждан РФ младше 18 лет:
Заключить договор об оказании услуг связи с Tele2 могут лица, достигшие 14 лет, при предъявлении основного документа, удостоверяющего их личность на территории РФ.
Для несовершеннолетних абонентов ограничена возможность подключения ряда финансовых услуг, таких как: «Обещанный платеж», «Обещанный платеж », «На доверии», «Переводы и платежи», выпуск банковской карты Tele2, а также некоторых информационно-развлекательных сервисов, предоставляемых оператором, в том числе с возрастной категорией 18 .
Предусмотренные ограничения для несовершеннолетних абонентов отключаются:
- автоматически при достижении абонентом возраста 18 лет;
- при оформлении письменного заявления одним из родителей (попечителей, усыновителей) о снятии ограничений. Заявление оформляется по форме оператора в салоне связи Tele2 либо заверяется нотариально;
- при оформлении письменного заявления о снятии ограничений самим несовершеннолетним при условии предъявления документа о его полной дееспособности (свидетельства о заключении брака, решения органа опеки и попечительства либо суда).
Если один из родителей (попечителей, усыновителей) оформляет письменное заявление по форме Tele2 без нотариального удостоверения своей подписи, потребуется предъявить документ, удостоверяющий его личность, и документ, подтверждающий статус законного представителя в отношении несовершеннолетнего абонента. Это могут быть: свидетельство о рождении ребенка, решение органа опеки и попечительства о назначении опекуна или попечителя, решение суда об усыновлении или удочерении.
Оформленное заявление о снятии ограничений на номере несовершеннолетнего абонента обрабатывается оператором в срок до 72 часов.
Для иностранных граждан и лиц без гражданства:
- паспорт иностранного гражданина;
- иной документ, признаваемый на территории РФ удостоверяющим личность иностранного гражданина либо лица без гражданства.
Для представителя абонента либо лица, желающего подключиться к Tele2:
- документ, удостоверяющий личность представителя;
- нотариальная доверенность, содержащая необходимые полномочия, необходимые для заключения Договора с оператором связи и обслуживания по абонентскому номеру.
В связи с участившимися случаями предъявления поддельных доверенностей и совершения мошеннических действий с использованием абонентского номера оператор принимает меры, направленные на обеспечение защиты интересов своих абонентов, поэтому у представителя запрашивается нотариально удостоверенная доверенность.
Откуда берутся сертификаты?
Еще совсем недавно было всего 2 способа заполучить X.509 сертификат, но времена меняются и с недавнего времени есть и третий путь.
- Создать свой собственный сертификат и самому же его подписать. Плюсы — это бесплатно, минусы — сертификат будет принят лишь вами и, в лучшем случае, вашей организацией.
- Приобрести сертификат в УЦ. Это будет стоить денег в зависимости от различных его характеристик и возможностей, указанных выше.
- Получить бесплатный сертификат LetsEncrypt, доступны только самые простые DV сертификаты.
Для первого сценария достаточно пары команд и чтобы 2 раза не вставать создадим сертификат с алгоритмом эллиптических кривых. Первым шагом нужно создать закрытый ключ. Считается, что шифрование с алгоритмом эллиптических кривых дает больший выхлоп, если измерять в тактах CPU, либо байтах длины ключа. Поддержка ECC не определена однозначно в TLS < 1.2.
openssl ecparam -name secp521r1 -genkey -param_enc explicit -out private-key.pemДалее, создает CSR — запрос на подписание сертификата.
openssl req -new -sha256 -key private.key -out server.csr -days 730И подписываем.
openssl x509 -req -sha256 -days 365 -in server.csr -signkey private.key -out public.crtРезультат можно посмотреть командой:
openssl x509 -text -noout -in public.crtOpenssl имеет огромное количество опций и команд. Man страница не очень полезна, справочник удобнее использовать так:
openssl -help
openssl x509 -help
openssl s_client -helpРовно то же самое можно сделать с помощью java утилиты keytool.
keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity 360 -keysize 2048Следует серия вопросов, чтобы было чем запомнить поля owner и issuer
What is your first and last name?
What is the name of your organizational unit?
What is the name of your organization?
What is the name of your City or Locality?
What is the name of your State or Province?
What is the two-letter country code for this unit?
Is CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU correct?Конвертируем связку ключей из проприетарного формата в PKCS12.
keytool -importkeystore -srckeystore keystore.jks -destkeystore keystore.jks -deststoretype pkcs12Смотрим на результат:
Alias name: selfsigned
Creation date: 20.01.2021
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Issuer: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Serial number: 1f170cb9
Valid from: Sat Jan 20 18:33:42 MSK 2021 until: Tue Jan 15 18:33:42 MSK 2021
Certificate fingerprints:
MD5: B3:E9:92:87:13:71:2D:36:60:AD:B5:1F:24:16:51:05
SHA1: 26:08:39:19:31:53:C5:43:1E:ED:2E:78:36:43:54:9B:EA:D4:EF:9A
SHA256: FD:42:C9:6D:F6:2A:F1:A3:BC:24:EA:34:DC:12:02:69:86:39:F1:FC:1B:64:07:FD:E1:02:57:64:D1:55:02:3D
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3
Extensions:
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 30 95 58 E3 9E 76 1D FB 92 44 9D 95 47 94 E4 97 0.X..v...D..G...
0010: C8 1E F1 92 ....
]
]Значению ObjectId: 2.5.29.14 соответствует определение ASN.1, согласно RFC 3280 оно всегда non-critical. Точно так же можно узнать смысл и возможные значения других ObjectId, которые присутствуют в сертификате X.509.
subjectKeyIdentifier EXTENSION ::= {
SYNTAX SubjectKeyIdentifier
IDENTIFIED BY id-ce-subjectKeyIdentifier
}
SubjectKeyIdentifier ::= KeyIdentifierСкрытые мобильные подписки tele2: разбираемся, как все устроено
Всем привет, меня зовут Владимир Кузьмин, я руковожу проектом iFreedomLab (а то меня в прошлый раз обвинили в плагиате), мы расследуем бизнес скрытых мобильных подписок, разобрались с «Мегафоном», изучили «Билайн», дошла очередь и до Tele2.
Чуть сокращенная версия, если хотите прочитать полную, заходите к нам на сайт. Некоторое избыточное количество ссылок связано с просьбой нашего юриста. Погнали.
Напоминаю сразу, что из «большой четверки» именно Tele2 – главный борец за честность. Эта концепция появилась сразу после смены владельцев со шведских на российских в 2021 году.
В начале 2021 года реклама с честностью Tele2 закончилась: была анонсирована новая рекламная концепция — «Другие правила».
Но честность вскоре вернулась: в марте этого года компания запустила рекламную кампанию с упором на честность своих новых тарифов. На официальном сайте компании открыт поддомен honest.tele2.ru (honest — «честный»). Где крупно, белым по черному сообщается: «честные тарифы» и «у нас все честно».
А что с подписками?
Судя по комментариям, как минимум с 2021 года на народных площадках Рунета регулярно появляются жалобы абонентов на подписки. И далее не прекращаются до сих пор.
Скрытые подписки Tele2 — не существуют, но действуют?
Изучив жалобы пользователей в сети, я хочу отметить: подписочная кухня в Tele2 довольно сильно отличается от вполне схожих между собой, как мне кажется, практик «Мегафона» и «Билайна».
Оператор Tele2 развивает экосистему сервисов, многие из которых действительно могут пригодиться абонентам. Например, партнерство с сервисом Megogo.
Недопонятым сервисом стал «Образовательный портал» от Tele2. Его открытие «засветилось» во многих СМИ.
Образовательный портал заполнен курсами от известных платформ GeekBrains, CSC, Stepik и Лекторума, за доступ к которым абоненты Tele2 должны заплатить 9 рублей в день.
Я поэксперементировал с подписками на курсы, возникло несколько вопросов. Основных — два. Первый вопрос: почему нужно платить 9 рублей в день за курсы, многие из которых доступны бесплатно на других сайтах? Второй вопрос сложнее.
Курс «Азартная теория вероятностей» (почему он в категории «Личностный рост»?) на сайте «Лекториума» стоит 2 000 рублей. На сайте Tele2 он доступен без дополнительной платы в рамках подписки за 9 рублей в день. Курс рассчитан на 2 недели, то есть обойдется обучающемуся в 126 рублей, то есть скидка составит 93,7%. Более того, в рамках пробной подписки можно вообще бесплатно загрузить себе все видео с курса.
Не понял истоки неслыханной щедрости, информации о партнерстве нет. Поэтому отправил запросы, для начала в GeekBrains и CSC, с просьбой прояснить условия сотрудничества этих платформ с Теле2, и от GeekBrains получили странноватый ответ:
Но даже сомнительные подписки, которые я встретил у Tele2, как мне кажется, заметно отличаются от операторов, попавших под наблюдение ранее. Если у них скрытые мобильные подписки выглядят скорее как хвост у ящера, который если что можно и отбросить со словами «вам показалось», то подписки даже от сторонних разработчиков у Tele2 оформлены в фирменном стиле оператора, их можно найти в официальном каталоге. Некоторые из них даже работают, расползаясь по шкале приемлемости от “компиляций из бесплатно доступного в Сети контента в милом дизайне” до визуально «годного сервиса».
Хотя, какими бы распрекрасными ни были сервисы и дизайны, главное все-таки – чтобы подписка была добровольной. А с этим случаются промахи.
Как и уже рассмотренные операторы, Tele2, судя по отзывам, практикует все уже хорошо знакомые нам способы сомнительной продажи клиентам ненужных им услуг.
Доступна вся старая добрая классика в полном объеме, но компания позволяет себе и творческое переосмысление: не только новые названия для всего старого, но и внедрение блестящих ноу-хау в развитии сомнительных услуг.
Перечисленные особенности заставляют задуматься, во-первых, о гораздо большем внимании оператора к подписочному бизнесу по сравнению с «Билайном» или «Мегафоном», а во-вторых, — о руководящей роли в нем.
Еще одна важная черта истории с подписками от Tele2 – их максимальная запутанность, вопреки перманентно декларируемой честности и простоте.
Для тестов я использовал симку Tele2, купленную по случаю в Рязани, так как по слухам, Москва и Питер менее подвержены подписочному злу.
При ее покупке никаких дополнительных манипуляций/запросов/настроек не производилось. Уже на этом этапе исследования случился первый инцидент. Из двух подключенных в формате «пробный период бесплатно, потом платно» сервисов «Живой баланс» по истечении бесплатного периода вежливо отключился, а второй — «Мой помощник» — остался и превратился в платный. Ну и чтобы стало еще веселее: если «Мой помощник» (1 руб./день) отключить, вместо него самостоятельно подключается «Кто звонил» (60 коп./день). Бди, абонент.
Но это собственные сервисы оператора. А как поймать подписку на какой-нибудь страшно полезный контент?
Как поймать сомнительную подписку, версия от Tele2
До этого самым частым способом словить подписку было посещение замаскированного сайта с подпиской. Только в части случаев подписка как-то находилась сама. А вот у Tele2, кажется, никто не в силах объяснить, откуда в дебрях личного кабинета взялась подписка.
Еще более занятно, что, судя по отзывам абонентов Tele2, пользователи могут словить подписку, даже если их SIM-карта год лежала в столе отдельно от телефона.
Судя по народным отзывам, абоненты Tele2 сталкиваются со всеми известными способами получения скрытых подписок:
Именно последний способ — самый распространенный и наиболее творчески переосмысленный оператором Tele2, судя по отзывам в Рунете.
Вот свежие истории: апрель этого года, вот май, вот июнь, вот уже июль.
У Tele2 подписочное хозяйство организовано крайне хаотично.
Хаос номер 1. Подписки
Запретное слово
Как сделать так, чтобы не было платных подписок? Запретить? Защитить? Перестать называть подписки подписками!
В абсолютном большинстве найденных договоров-оферт дополнительные услуги именуются «подписками» и/или имеют пометку, что данная «услуга оказывается на условии подписки».
Формулировка «Подписки» с обозначением трат на них встречается, но чаще абоненты видят некие «периодические списания». В отзывах нам встречалась формулировка «Разовые списания». А бывает при отсутствии «Платных услуг» просто «Платные подписки» — прямо рядом. Абоненты вообще отмечают множественные пункты меню Личного кабинета, в которых могут быть запрятаны платные услуги.
Я подписался на сервис «Автоштрафы ». Она стоит 9 рублей в день. Есть еще просто «Автоштрафы» за 4 рубля в день.
За эти деньги абонент получает то, что он может в других сервисах получить бесплатно, зато за деньги и в миленьком дизайне. Особенно «полезны» ПДД в редакции 2021 года.
Затем проверил личный кабинет:
Подключенных платных услуг нет, есть ПЕРИОДИЧЕСКИЕ СПИСАНИЯ. Где заканчиваются «платные услуги» и начинаются «периодические списания»?
В договоре, меж тем, фигурирует однозначный термин — подписка.
Напомним, что говорят о самих себе в Tele2.
«Кроме того, Tele2 делает подключение услуг максимально прозрачным для клиентов. В личном кабинете — на сайте и в приложении — абоненты видят список подключенных сервисов и могут легко управлять ими. Обращения по теме контентных услуг в службу поддержки минимальны, и в любом случае мы всегда решаем вопрос в пользу клиента», — заявили в пресс-службе Tele2.
Дополнительные услуги: взболтано и смешано
Это уже не про запрятывание платежей за сомнительные услуги по разным разделам, а про запутанную систематизацию сервисов. Tele2 развивает целую экосистему сервисов для своих клиентов; однако вопреки понятию «экосистема», которое по определению подразумевает наличие некой «системы», предложения от Tele2 рассыпаны совершенно непредсказуемо по самым разным закоулкам их обширного хозяйства сервисов.
Так, в разделе финансовых услуг среди перечисления платежных систем и финансовых продуктов я нашел такие предложения, как «муж на час» и ветеринарные онлайн-консультации.
Хаос с музыкой!
Кроме загадочных сервисов, даже вполне привычные для рынка мобильной связи услуги компания иной раз представляет так, что я несколько путаюсь. Так, простейшая услуга по замене гудков на музыку организована так, что я потратил день на то, чтобы с ней разобраться. Для нее существует десяток разных опций, которые регламентируются тремя договорами оферты (!). Кроме того, имеется еще бесплатное мобильное приложение «Гудок». Но с той же мешаниной бесплатно-платных услуг. Некоторые опции работают только в связках. Другие платные опции могут включаться автоматически (а таким же образом отключаться — не могут :)). И все это с кучей условий и оговорок. И вишенка на этом торте: дополнительные платные услуги на сайте предлагается включить БЕСПЛАТНЫМ запросом:
Да-да, «Гудок » — это дополнительная платная опция к платной услуге «Гудок», которую, как вы видите, Tele2 предлагает подключить бесплатной командой.
Поиграем в платное/бесплатное
Добавляют красок в общение абонентов с компанией навязчивые сообщения с предложениями что-нибудь подключить. Речь идет о хорошо знакомых абонентам Tele2 выскакивающих модальных окнах с самыми разнообразными предложениями.
Эти «окошки» работают по технологии SIM Toolkit (по умолчанию встроено в OS Android), и у Tele2 есть несколько сервисов, которые построены именно на ней. Многие знакомы с подобного рода уведомлениями:
Например, это предложение на скрине от сервиса «Tele2-Меню» — любой абонент Tele2 найдет его в так называемом SIM-меню (да, и там можно подписаться на платные услуги) и он является бесплатным. А вот предложения, которые он вам присылает, платные. Нашел 166 актуальных предложений для «Tele2-Меню». По тому же принципу работает «Tele2-Тема» — и там почти 400 предложений. Они, согласно оферте, иногда платные, иногда нет. А еще есть «Tele2-Гид». И если у вас неосторожно подключена одна из этих бесплатных услуг, то у вас перед глазами постоянно крутится вот такой калейдоскоп всякой всячины с риском нечаянно ее прикупить, неудачно смахнув модальное окно.
Нарваться на платные услуги абоненты Tele2 могут в разных местах, о которых иногда и не подозревают. Компания не теряет возможности предложить своим клиентам что-нибудь дополнительное и платное, используя максимум технических, юридических (об этом ниже) и социоинжиниринговых наработок.
Подписки, которые не работают
Итак, подписки на самом деле не подписки, они очень сложно устроены юридически и запутанно описаны. Все бы ничего, но и работоспособность их бывает невысока.
В приложении Tele2 для смартфонов есть «Каталог приложений» от AppsClub. В рамках услуги абонентам предлагают установить себе приложения — игры, фитнес-помощники, и т.п. Такой же сервис есть у «Билайна», я его уже проверял и был им несколько возмущен, но он хотя бы работал.
Что предлагают: установить каталог приложений с ежедневной платой 15 рублей. И бесплатно пользоваться очень дорогими играми, стоимостью аж в 9 000 рублей, но со скидкой 100%. Правда, бОльшую часть приложений можно бесплатно скачать в PlayMarket. Владеет AppsClub контент-провайдер BeMobi International c офисами в Сан-Пауло, Осло и Одессе.
Цены на простенькие мобильные приложения восхитили. Не все в курсе цен на видеоигры, за 10 000 рублей в Москве на маркетплейсе можно купить игровую консоль Nintendo Switch Lite с парой игр. А мобильные приложения для Android за такие деньги хоть и бывают, но, как правило, они призваны помогать владельцам зарабатывать деньги: вроде пособий для дантистов, ветеринаров или справочников по металлургии.
Не смог пройти мимо знакомого по расследованию о Билайне AppsClub и подписался. Тут что-то пошло не так. Подписка оформлена, а обещанное СМС с подробностями не пришло. Зато получил на почту уведомление о том, что я подписан на программу лояльности от Tele2 с названием «Больше». Почему? На каких основаниях? Где мой доступ каталогу приложений?
Не смог разобраться и обратился в техпо, которая также происходящее прокомментировать не смогла. Диалог:
Хотя как внезапно навязанная подписка, она вполне работает: абоненты рассказывали о внезапном подключении именно этой услуги.
Сверхсекретность
Тут я решил уточнить полный список подписок Tele2 и попросил коллегу задать этот вопрос техпо. Ответ был непритязателен:
С поиском списка коротких номеров с описанием услуг по ним (подписки привязаны к коротким номерам, как и другие сервисы) справился сам: в Tele2, как и у других операторов, подписки крепятся к коротким номерам, а на сайте можно эти номера проверить — так мы вычислили около 4,5 тысяч партнерских сервисов Tele2, имеющих о себе информацию на сайте компании. Кстати, делимся файлом.
Кстати, даже сюда попала информация не обо всех сервисах, которые прямо сейчас есть на сайте компании и в договорах-офертах и которых имеются короткие номера: не смог найти, например, «Спортивный портал», разработанный «Фабрикой мобильного контента» и представленный от имени Tele2.
В общем, похоже, полный список подписок от Tele2 — секретная тайна.
Итак, более 4 500 подписок! Часть номеров из списка обслуживают, например, банки или онлайн-кинотеатры, но львиная доля — это подписки от поставщиков контента.
Всевозможные подписки от них можно получать самыми разными способами: через СМС, USSD и голосовые запросы. Среди них — масса уже известных нам по другим расследованиям контент-провайдеров, активно практикующих бизнес сомнительных подписок.
И приятный дизайн, и тот факт, что многие сервисы от партнеров выполнены в фирменном стиле Tele2, на наш взгляд, в данном случае вовсе не являются плюсом. Визуальное единообразие скорее свидетельствует о том, насколько мощно интегрирован Tele2 в этот бизнес и насколько много он позволяет своим партнерам.
И тут мы подошли к главному — к партнерам. Потому что все сервисы Теле2 делают партнеры, и Теле2 этого совершенно не скрывает.
Хаос номер 2: поставщики и партнеры
Если верить Tele2, компания очень строго относится к выбору партнеров. В компании даже существует целый этический кодекс для партнеров.
Многие из сервис-провайдеров Tele2 существуют на рынке мобильного контента много лет и широко известны в узких кругах: ООО «А1 Системс» (на него приходится почти 1 000 подписок из найденных нами); ООО «ТД МЕДИА»; ООО «Брэдбери Лаб» — создатели вполне годного сервиса Tele2 TV и других работающих сервисов (среди учредителей, кстати, можно обнаружить Никиту Михалкова); ООО «Фабрика мобильного контента» (а вот этих по короткому номеру найти нельзя, но можно найти в офертах); ООО «ИМТехнологии»; ООО «ИНТЕК ГЛОБАЛ».
Несмотря на несколько вполне адекватных разработчиков современных сервисов, бОльшая часть из них — настоящие ветераны подписочного бизнеса, или, если говорить комплиментарно, рынка мобильного контента. Они существуют много лет, некоторые — с нулевых годов; они растут и развиваются вместе с этим рынком. Часть из них, например, периодически фигурируют в некоторых расследованиях подписочного бизнеса.
С Tele2 TV от ООО «Брэдбери Лаб» вообще интересная история: судя по отзывам, это в целом работоспособный сервис, установить его можно, скачав соответствующее приложение в Google Play или AppStore. Правда, в описании обновлений в AppStore он все еще называется Amediateka. Да и абоненты жалуются, что сначала они получают подписку, а уже потом скачивают приложение, чтобы от этой подписки избавиться. Поневоле задумаешься: возможно, именно поэтому приложение имеет более миллиона установок? Каким именно образом достигнут столь высокий показатель? Что возвращает нас к самому главному выводу относительно корректности предоставления мобильных услуг: каким бы прекрасным ни был сервис, подписка на него должна быть добровольной.
Поиски какой-либо информации о партнерских подписках и о том, как они работают, — процесс довольно нетривиальный. Например, техподдержка на вопросы о сервисах и их владельцах реагирует как-то странно:
Партнерки: все включено!
Классический вариант словить скрытую подписку — случайно ткнуть рекламный баннер или зайти на сайт, где абонента уже ждут с распростертыми объятиями и переводят на лендинг. Мы решили проверить, работает ли такая схема у Tele2? И похоже, классический вариант с партнерскими программами по незаметному навязыванию скрытых подписок у Tele2 также в ходу.
Вот и отзыв «поймавшего» «RedMusic»:
Хаос номер 3. Это не подписка, а мобильная коммерция
Этот способ «заработка» заставляет задаться вопросом: «А что, так можно было?»
Итак, внимание:
Теперь, кроме подписок и периодических списаний, деньги у абонента уходят на некие денежные платежи/мобильную коммерцию. В чем бонус? Абонент платит со счета мобильного, но это не подписка, поэтому контент-счет от нее не страхует и не защищает.
Напомним, что мобильная подписка в классическом смысле — это контент/сервис, предоставленный партнером, и инфраструктура (биллинг, короткие номера), которую дает оператор. Чтобы оплачивать эти сервисы, был придуман контент-счет.
А что же перед нами, если не мобильная подписка? Это «подписка, которая работает через мобильную коммерцию». Оператор предоставляет биллинг и короткие номера, но в случае с мобильной коммерцией используется другой способ оплаты, отличный от классической мобильной подписки, — денежный перевод со счета мобильного телефона через небанковскую кредитную организацию.
ОПЕРАТОР ЭЛЕКТРОННЫХ ДЕНЕЖНЫХ СРЕДСТВ (ОЭДС) – это оператор по переводу денежных средств, осуществляющии перевод электронных денежных средств без открытия банковского счета (перевод электронных денежных средств). В частности, в примере выше ОЭДС_10 – это ООО РНКО «Единая касса».
Поэтому где деньги потеряли — туда и пишите о возврате. Оператор к этому отношения не имеет. ГЕНИАЛЬНО!
Правда, подписка происходит через ресурсы самого оператора, отписка тоже… Но это сторонний ресурс, конечно.
Мы нашли целую группу ресурсов, жалобы на которые Tele2 может почитать в своих же группах в соцсетях. Но ведь это не мобильные подписки, да? Поэтому не считается, да? По нашему мнению, еще как считается.
Зато как удобно говорить, что вы тут не при чем:
Домены сложной судьбы
Абоненты Tele2 в рамках опции «мобильные платежи» активно «покупают» услуги странноватых информационных сервисов. Так как это не мобильные подписки (хотя оплата — за день использования), то контент-счет от них не спасает, оповещений никаких нет, и радость исчезновения денег настигает пользователей не сразу.
Мы выявили несколько доменов, за подписку на услуги которых дорого платят абоненты Теле2:
Но таких «сервисов» может быть гораздо больше, мы не рассчитываем, что нашли все. В перечне доступных абонентам сервисов их нет.
История этих доменов длинная, она насыщена событиями, сменами владельцев, знавала и временное забвение, однако в 2021 году они все выплыли из небытия, а в данных всех доменов сейчас значится кипрская компания DANESCO TRADING LTD, директор — Анна Правденко. Похоже, эта компания просто прикрывает имя настоящего бенефициара, но зачем же Tele2 допускает ситуацию, при которой абоненты такого крупного огосударствленного мобильного оператора покупают что-то на подобных ресурсах?
А дальше интереснее, потому что пользовательское соглашение этих сервисов показывает нам вовсе не кипрскую компанию. Договор пользователь заключает с ООО «Вива» или ООО «Хелги» (обе компании — из Нижнего Новгорода).
Бенефициар ООО «Вива» — Ваге Амбарцумян. «Вива» имеет неплохие доходы, хотя и расходы на 7 сотрудников весьма велики:
ООО «Хелги» тоже заработало более 100 000 000 рублей в прошлом году.
ООО «Вива» иногда действует в пользовательском соглашении от своего лица единолично (в случае с доменом checkyour.name). А иногда и «Вива», и «Хелги» действуют на основании лицензионного договора с LemonBit Limited — юрлица, зарегистрированного в Ирландии.
Купил выписку из ирландского реестра:
Владелец LemonBit — резидент ЕС, Сергей Симахин, живет в Риге. Доходы LemonBit «скромны» — всего 4 миллиона евро за год.
Перемещаемся в Ригу. Там Сергей Симахин владеет половиной некоего OneClick SIA, баннерной сетки https://one-click.lv/. А кто же владеет второй половиной OneClick SIA? Правильно, Ваге Амбарцумян. Который, как мы помним, является бенефициаром ООО «Вива». Такая вот несложная схемка.
У LemonBit, кстати, есть еще 5 приложений в AppStore: CheckName, Dok2PDF, Triplook, JinFile.com и FileXload, они тоже работают в паре «Хелги» LemonBit и «Вива» LemonBit.
Предположим, что схема просто нужна для бесшовного вывода денег в Евросоюз. И Tele2 ничего об этом не знает, потому что это сторонний ресурс.
Но и это еще не все! Чтобы отписаться от полезной подписки, например, от checkyour.name, нужно отправить СМС на короткий номер 659. Этот номер принадлежит провайдеру «ИНТЕК ГЛОБАЛ», Информационно-Развлекательная услуга «333_Sverh-oe_5». Тип услуги — подписка. Прямо задумались, как расшифровывается «Сверх-ое». Сверхполезное? Отличное описание сервиса.
Всего к «ИНТЕК ГЛОБАЛ» относится 96 подписок на сайте Tele2, в 2020 году компания заработала свыше 400 миллионов рублей.
Так подписка или не подписка? Что за сложная схема с юрлицами в ЕС? Как компания Tele2 может быть не в курсе, если отписываться надо через ее собственные номера?
Зачем оператор с госучастием допускает к работе со своими абонентами непонятные «многоходовочки» из разных юрлиц, части которых — вообще не в России? Учитывая, что на эти компании из Ирландии не один и не два раза жаловались его абоненты?
Более глобальные вопросы, как это часто бывает, риторические: если столько жалоб, то почему не отключить всем абонентам денежные платежи по умолчанию, а включать тем, кому они действительно нужны по запросу? Ррраз — и абоненты под надежной защитой! Или, например, запрашивать СМС-кой согласие? Несложно, но тоже убережет абонента.
Перечисленные домены трудной судьбы от «Хелги», Ленмонбита и «Вивы» — это далеко не полный список того, но что могут попасться абоненты.
Например, вот сервис https://adfix.pro/, на который абоненты Tele2 «натыкаются» в рамках все той же мобильной коммерции. Сайт, кстати, заявляет, что они работают также и с «Мегафоном» и МТС, но подключиться к нему с использованием SIM-карты этого оператора нам не удалось. То же самое произошло при попытке использовать SIM-карту МТС.
Сервис во всех отношениях полезный, особенно понравились фотографии из фото-стоков, использованные в качестве аватарок для горячо рекомендующих сервис пользователей.
На сайте Adfix мы выяснили, что договор пользователь заключает с ИП, зарегистрированным в 2020 году. Видимо, индивидуальный предприниматель Шорин А.А., с которым абонент заключает договор оферты, трудится не покладая рук над своим продуктом.
Tele2, на вопрос, кому принадлежат короткие номера сервиса AdFix 1591 и 2583 (их нет в базе из 4 500 номеров, но они указаны в оферте),
Хаос номер 4. Защита
В борьбе за защиту своего баланса абонента Tele2 также ждет масса дополнительных препятствий. Часть сервисов — мобильная коммерция, ее можно отключить. Но иногда абоненты ею пользуются и отключать не хотят. А как насчет защиты от классических подписок Сервисы защиты есть, и они полностью поддерживают стиль Tele2: их много, они находятся в неожиданных местах, они непонятно описаны, и что в конечном итоге дают абонентам — также не очень понятно. Своеобразием многочисленных сервисов по защите от платных подписок и особенностями их работы восхищались и абоненты Tele2 на народных площадках Рунета: в Личном кабинете есть, например, опция «Защита от случайных подписк» (бесплатно) и «Защита от платных подписок в интернете» (2 руб./день). Кроме того, абонентам предлагается некая защита за 4 руб. в день. А также «Безопасный режим» за 6 руб. в день.
Мы тоже попробовали поставить запрет на нежелательные подписки, выбрав систему «Безопасный режим» за 6 рублей:
Действительно, надо быть внимательным: отключили нас только от каких-то WEB-подписок, что бы это ни значило.
Да и по свидетельствам пострадавших абонентов, запреты так хитро организованы, что попросту не работают.
Например, от надоедливой истории с модальными окнами абоненты Tele2 могут отказаться, но через SIM-меню, а не в личном кабинете.
Какой такой контентный счет?
Пострадавшим от скрытых мобильных подписок часто советуют подключить контентный счет.
Напомним, понятие контентного счета было введено законодательно в 2021 году как раз для борьбы со скрытыми подписками. Согласно новой редакции закона, все дополнительные услуги сотовых операторов должны оплачиваться со специального контентного счета, который абонент должен специально открыть и целенаправленно внести на него деньги. Если счета нет или он пуст, никакая платная услуга оказываться не может.
Кстати, контентный счет в Tele2 подключается только в офисе и только с паспортом, в отличие от того же «Билайна», где это можно сделать командой онлайн.
В прошлом расследовании я обратил внимание на то, что плата за некоторые подписки «Билайна», даже партнерские, списывается с основного счета и контентный не работает. У Tele2 это качественно переосмыслено.
Объяснение находится в договорах оферты (они же — правила оказания услуг). Они составлены таким образом, что абонент не имеет шанса отказаться платить за дополнительную услугу: там предусмотрено все, чтобы никакой контентный счет не помешал списанию средств с основного счета абонента.
Согласно некоторым офертам, дополнительные услуги оплачиваются сразу без экивоков с основного счета:
Публичная оферта, Правила предоставления услуги «Подписка на Сервис «Услуга Гудок» для Абонентов Оператора Tele2, п. 10:
Оплата услуги «Подписка» и опций «Подписки» осуществляется за счет ранее авансированных денежных средств в оплату услуг связи и отраженных на лицевом счете Абонента.
Правда, и соблюдение закона с контентным счетом тоже не будет панацеей — приведенные на сайте оферты предполагают, что деньги будут списываться с основного счета, если контентного нет: Правила предоставления услуги «Доступ к «Образовательному порталу Tele2» дляАбонентов Оператора Tele2, п. 9:
Оказание Услуги осуществляется на условиях подписки: плата для Абонента за пользование услугой устанавливается в размере 9 (девяти) рублей 00 копеек в день, включая НДС. Плата списывается Оператором с контентного лицевого счета Абонента, а при его отсутствии — с основного лицевого счета Абонента ежедневно за каждый день предоставления услуги.
Но, кажется, самое прекрасное в том, многие же оферты содержат разрешение загонять абонента подписками в долги:
Правила на предоставление услуги «Подписка на Сервис «Tele2 игровой портал»Абонентам Оператора Tele2 (далее — Абонент), п. 13:
В случае невозможности списания с лицевого счета Абонента денежных средств за использование услуги «Подписка» в полном размере (в силу отсутствия достаточного количества денежных средств на лицевом счете Абонента), услуга «Подписка» может быть предоставлена Абоненту с последующей дотарификацией.
Выводы
Весьма важная в контексте темы ремарка о виртуальных операторах, вроде «Тиньков Мобайл» и «Сбер Мобайл»: «В 2021 году Tele2 становится лидером в развитии MVNO в стране. MVNO — это виртуальный оператор мобильной связи, который пользуется инфраструктурой другого оператора, чтобы продавать услуги под собственным брендом. Tele2 является единственной в России «фабрикой MVNO», доказывая, что собственного оператора могут иметь банк, сеть супермаркетов, футбольная команда, блогер и медийная личность. Tele2 запускает виртуальных операторов с «Ростелекомом», Сбербанком, «ТрансТелекомом», Тинькофф Банком. В декабре начинает работать MVNE-платформа Tele2: она позволяет поставить создание виртуальных операторов на поток», — это цитата из собственного блога Tele2.
Напомню довольно известный факт: MVNO-операторы не страдают сомнительными подписками. Ни те, которые работают на сетях Tele2, ни Yota, которая работает на сетях «Мегафона».
Т.е. развернутые на технической базе Tele2 виртуальные сети каким-то непостижимым образом могут блокировать абсолютно любые подписки.
Вероятно, объяснить это можно только «социальной ответственностью» больших операторов перед абонентами, о которой они так любят докладывать у себя на сайтах, в годовых отчетах и на пресс-конференциях.
Поэтому в качестве вывода:
А вот использование мобильной коммерции для создания «подписок 2.0» кажется нам тревожным симптомом, пока мы не видели жалоб от абонентов других операторов, но если вы с этим сталкивались — напишите на info@ifreedomlab.net.
Хотя оператор открещивается от участия в этом, но в таком случае непонятно: как эти «сервисы» продолжают не первый день существовать, несмотря на потоки жалоб на них со стороны абонентов.
[моё] Подписка Сотовые операторы Теле2
Словарный запас
Определение X.509 сертификатов есть в архиве ITU-T
Certificate ::= SEQUENCE {
tbsCertificate TBSCertificate,
signatureAlgorithm AlgorithmIdentifier,
signatureValue BIT STRING }
TBSCertificate ::= SEQUENCE {
version [0] EXPLICIT Version DEFAULT v1,
serialNumber CertificateSerialNumber,
signature AlgorithmIdentifier,
issuer Name,
validity Validity,
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version MUST be v2 or v3Для того, чтобы досконально понять обозначения и синтаксис, придется читать спеки X.680 редакции 2008 г., где есть полное описание ASN.1. В понятиях ASN.1SEQUENCE обозначает примерно то же самое, что и struct в Си. Это может сбить с толку, ведь по семантике оно должно было соответствовать скорее массиву. И тем не менее.
Стандарт X.690 определяет следующие правила кодирования структур данных, созданных в соответствии с ASN.1: BER (Basic Encoding Rules), CER (Canonical Encoding Rules), DER (Distinguished Encoding Rules). Есть даже XER (XML Encoding Rules), который на практике мне никогда не встречался.
Да, но для чего нужны сертификаты X.509, которые доставляют столько головной боли? Первая и основная функция сертификатов X.509 — служить хранилищем открытого или публичного ключа PKI (public key infrastructure). К этой функции нареканий нет, а вот со второй не все так однозначно.
Вторая функция сертификатов X.509 заключается в том, чтобы предъявитель сего был принят человеком, либо программой в качестве истинного владельца некоего цифрового актива: доменного имени, веб сайта и пр. Это получается по-разному, далеко не все сертификаты имеют высокую ликвидность, если пользоваться финансовой терминологией.