Безопасно ли устанавливать приложение Сбербанка на iPhone через сотрудника в отделении?

Отвечает Senior iOS Developer Cogni, ex-Senior iOS Developer в SberDevices Антон Малыгин.

Если сотрудник банка вводит Apple ID для App Store, то это безопасно для пользователя. Риск, что у банка останется доступ к устройству, есть только в случае ввода Apple ID как учётной записи iCloud. Так что нужно просто проверить, что учётные данные вводятся в настройках Apple ID -> Контент и покупки. Таким образом, будет изменён аккаунт только для App Store, и пользователь в любой момент может выйти из него и зайти в свой. Это не повлияет на дальнейшую работу приложения. Такой подход безопасен для пользователя.

Но, насколько я знаю, в отделениях Сбера не используют данный подход. Там используется установка приложения с помощью корпоративного аккаунта разработчика. Файл .ipa приложения при сборке подписывается корпоративным Apple ID, и далее такой ipa-файл можно установить через шнур или даже с веб-сайта, минуя App Store. Это тоже безопасно для пользователя — при учёте того, что пользователь доверяет Сберу. Но в таком подходе есть ограничения от Apple, потому что такой аккаунт предназначен для корпоративного использования, например компания разработала приложение для внутреннего пользования и хочет распространять его через свои корпоративные сервисы.

Многие компании делают свой внутренний App Store, используя данный метод. Это легально, пока этот «магазин» не общедоступен, а используется только в качестве корпоративного, для сотрудников. Соответственно, в случае, если Apple обнаружит нарушение, то последует бан корпоративного аккаунта разработчика и приложение перестанет запускаться на устройствах, на которые ранее было установлено.

Отвечает старший разработчик мобильных приложений Алексей Маринин.

Apple позволяет устанавливать на устройство корпоративный сертификат, который даёт возможность компаниям устанавливать на устройства сотрудников свои внутренние приложения. Благодаря этому способу Сбербанк в отделении устанавливает приложение своим пользователям.

У этого решения есть несколько минусов:

1. Приложения, установленные таким образом, не проверяются Apple Store, это означает, что приложение может делать что угодно, и пользователь от этого никак не защищён.
2. Для работы приложения данного типа устройство с определённой периодичностью будет подключаться к интернету и проверять актуальность сертификата. Есть риск, что Apple отзовёт сертификат и приложение перестанет работать.

На мой взгляд, решение довольно безопасное, но всё зависит от того, доверяете ли вы компании Сбербанк. Если у вас есть какие-либо опасения, рекомендую пользоваться онлайн-версией банка через браузер. Данный способ гораздо безопаснее, и в нём полностью отсутствует риск блокировки.