„Vannak élethelyzetek, mikor a biztonság fontosabb a kényelemnél” – üzeni az államkincstár a mobilappja miatt elégedetlenkedőknek

„Eddig megelégedetten használtam. Most sikerült a biztonságot odáig fokozni, hogy ne férjek hozzá a saját pézemhez. Gratulálok, ha lehetne mínusz 10-est adnék!”

„Teljesen jól működött, most meg »biztonsági okokból« el sem indul. Érdekes módon 3 másik banki appnak semmi baja sincs ugyanezen a telefonon.”

„Hát ez most a frissítéssel olyan biztonságos lett, hogy nem lehet használni! Amúgy előtte egész jó volt. A frissítés frissítése se segített!”

Ez csak néhány azokból az egycsillagos felhasználói értékelésekből, amelyek az elmúlt néhány hétben ellepték a Magyar Államkincstár (MÁK) mobilalkalmazása, a MobilKincstár androidos változatának oldalát az alkalmazásboltban.

Több olvasónk is jelezte, hogy az appban a fejlesztők rendkívül szigorú biztonsági korlátozásokat vezettek be, emiatt az sokakat kidobott, vagy eleve belépni sem engedett, és a bejelentkezési képernyő helyett egy böngészőben megnyíló tájékoztatóra irányította őket. „Annak érdekében, hogy alkalmazásunk használata minden felhasználónk számára biztonságos maradjon, a MÁK olyan biztonsági ellenőrzéseket épített a folyamataiba, mely a felhasználói adatok és az ügyfelek vagyonának védelmét szolgálják. Eszközén bizonyos eszközbeállítások vagy szoftverkomponensek olyan biztonsági kockázatot jelenthetnek, melyre tekintettel – a vagyonának védelme érdekében – az alkalmazás automatikusan kiléptette Önt” – olvasható az oldalon.

Hawkingnak jó volt, az államkincstár fennakadt rajta

Amikor múlt hét elején megpróbáltam belépni az appba, én magam is így jártam. Az alkalmazás helyett megnyíló tájékoztató négy lehetséges támpontot adott, hogy mi lehet a probléma a telefonommal:

• „Győződjön meg arról, hogy eszköze gyári állapotú, nem módosított rendszerű.”
• „MobilKincstár alkalmazását a hivatalos App Store vagy Google Play felületekről töltse le.”
• „Használjon megbízható, hivatalos forrásból származó alkalmazásokat és gyárilag, előre feltelepített beviteli eszközöket (pl. billentyűzet).”
• „Frissítse eszköze operációs rendszerét és biztonsági beállításait a legújabb verzióra.”

Mivel a négyből három nálam biztosan rendben volt, kizárásos alapon arra jutottam, hogy a MobilKincstárnak az nem tetszik, hogy a gyári helyett a SwiftKey billentyűzetét használom. Ez azért volt meglepő, mert jól ismert fejlesztő széles körben használt appjáról van szó, amely az alkalmazásbolt szerint több mint egymilliárd letöltésnél jár, 4,7 csillagos értékelése van több mint négymillió felhasználói véleménnyel, ma már a nem éppen gyanús, kártékony alkalmazásairól híres Microsoft tulajdona, és eddig úgy voltam vele, hogy ha Stephen Hawkingnak jó volt, akkor nekem is jó lesz.

Mindennek ellenére azért tettem egy próbát, visszaállítottam a telefonom beviteli eszközét a gyári billentyűzetre, és láss csodát, a MobilKincstár így már valóban gond nélkül be is engedett – csak hogy ha belépés után visszaváltottam a megszokott billentyűzetemre, az app újra kidobjon. Másnap az alkalmazásbolt hozzászólásai között szétnézve találtam több olyan felhasználót is, akinek szintén a billentyűzet miatt nem sikerült a belépés. Egyikük viszont egy Smart Keyboard Pro nevű billentyűzetről nem a gyárira, hanem épp a SwiftKey-re váltva tudott végül bejelentkezni. Ekkor újra ellenőriztem én is, és már én is bejutottam billentyűzetváltás nélkül.

Ebből is látszik, hogy a MÁK-nál láthatták a fejlesztők, hogy szükség van a rendszer lazítására vagy legalábbis finomhangolására, és bővítették a „megbízható, hivatalos forrásból származó alkalmazások” listáját, illetve szűkítették azokét, amelyeket kockázatosnak ítélnek. A sikertelen belépéskor megnyíló tájékoztató egyébként június 24-i keltezésű, azaz már akkor is többhetes volt, amikor mi és a nekünk író olvasók találkoztak a problémával. Az app legutóbbi frissítését július 18-án adták ki, a hozzászólások alapján volt, akinek ez megoldotta a problémáját, és volt, akinek nem. „Magyar ékezetes billentyűzettel sem működik. Indítás előtt át kell kattintani az alapértelmezettet a gyári billentyűzetre (aztán vissza). Maga az app nem rossz (ha működik)” – írta például még július 28-án is egy felhasználó. Az én saját tesztemnél a SwiftKey elutasítása és elfogadása között nem frissült az app, ez alapján a támogatott alkalmazások listája alkalmazásfrissítéstől függetlenül is változhat.

Egy pénzügyi szolgáltatásokat kínáló alkalmazásnál, pláne olyannál, amelyet állami szerv üzemeltet, minden kétséget kizáróan prioritást kell, hogy élvezzen a biztonság, a lehetséges csalások elkerülésének minél hatékonyabb segítése. Ezzel együtt is szokatlan az ilyen mértékű szigor, hiszen más, érzékeny információt, pénzügyi tranzakciókat kezelő appok, például banki alkalmazások esetében jellemzően nem találkozni ilyen szigorú biztonsági korlátozásokkal.

Ezért megkerestük az Államkincstárt, hogy a szigorú előírások hátteréről érdeklődjünk, illetve arról, hogy a felhasználói visszajelzések alapján terveznek-e lazítani ezeken. A nyolc nappal később érkezett válaszban részletesen írtak arról, hogy kiemelten fontosnak tartják az ügyfeleik és az általuk vezetett számlák védelmét.

Lehet, hogy kényelmetlen, de hasznos

„Természetesen a Kincstár rendszerei biztonságosak, de a világszerte tapasztalható fokozott adathalász tevékenységekre tekintettel a Kincstár is folyamatosan arra törekszik, hogy fejlesztései az ügyfelei részére fokozott biztonságot nyújtsanak. Ennek keretében számos új biztonsági funkcióval bővült az elmúlt években a WebKincstár és a MobilKincstár alkalmazás. Az ügyfelek és befektetéseik fokozott biztonságát szolgálják a MobilKincstár 2025. május 28. óta publikált azon új verziói is, melyek egy újabb védelmi réteget képező informatikai biztonsági alkalmazással egészültek ki” – írták.

Ennek az új védelmi rétegnek több eleme is van:

• a MobilKincstár nem enged az appon belül képernyőfotót és -videót készíteni, így érzékeny adatok is nehezebben oszthatók meg véletlenül;
• nem lehet az appot másik eszközre tükrözve használni, így ha egy adathalász rá is venne egy gyanútlan felhasználót, hogy adjon neki távoli elérést, csak fekete képernyőt látna;
• a képernyő-felolvasó alkalmazások közül csak a gyáriak működnek a MobilKincstárral;
• rootolt, illetve iOS esetében jailbreakelt telefonon az app egyáltalán nem működik;
• és végül a már ismert feltétel: „nem megbízható, nem hivatalos forrásból származó biztonsági kockázatot jelentő egyes alkalmazások, telepített beviteli eszközöket (pl. billentyűzet) esetén a MobilKincstár alkalmazás nem használható”.

A két utóbbi kitétel az, amelyen haladóbb szintű felhasználók felhúzhatják a szemöldöküket, de mint láttuk is, főleg az utolsó az, ami sokakat érinthet, illetve a gyakorlatban: sokaknál lehetetlenítheti el az app használatát.

Válaszukban hozzátették, hogy persze törekednek arra, hogy az app ne csak biztonságos, hanem használható is legyen: „A biztonsági korlátozásokat a Kincstár folyamatosan aktualizálja a kockázati környezetre tekintettel és az ügyfelek visszajelzései alapján törekszik azok felhasználóbarát optimalizálására.” Állításuk szerint egy múlt heti frissítés a billentyűzetes problémát a legtöbb felhasználónál meg is oldotta. „Jelenleg az ügyfeleink egy olyan kisebb köre találkozhat tárgyi hibával, akinek több éve nem frissített Android operációs rendszer van telepítve a telefonjára. Ezen ügyfélkörre tekintettel tervezetten a héten egy újabb MobilKincstár verzió kerül publikálásra” – tették hozzá.

„Szeretnénk hangsúlyozni, hogy vannak élethelyzetek, mikor a biztonság fontosabb a kényelemnél”

– írták arra a kérdésünkre, hogy miért látták indokoltnak ezt a mértékű szigort.

„Az adathalász csalók által okozott, ügyfeleket célzó megtévesztések elkerülése érdekében a Kincstár több intézkedést hozott az elmúlt években, azonban ezek közül a leghatékonyabbnak azok bizonyultak, melyek megakadályozzák, hogy az ügyfelek sikeres megtévesztése esetén a csalók az ügyfelek vagyonához hozzáférjenek. Bár a szolgáltatást igénybevevő ügyfeleink szempontjából az Ön által jelzett esetek kényelmetlenséget okozhatnak, mégis az ennek okát kiváltó védelmi intézkedések sok ügyfelünk esetében segít megakadályozni a megtévesztésen alapuló bűncselekmények végrehajtását” – tették hozzá.