Приложение проверка чеков не работает
Проверка чеков ФНС России
версия: 2.21.0
Последнее обновление программы в шапке: 15.10.2021
Краткое описание:
Приложение для проверки легальности кассовых чеков в ФНС России
Описание:
Приложение позволит получать и хранить кассовые чеки в электронном виде, а также проверить их легальность, добросовестность продавца или сообщить о нарушении.
Получив кассовый чек, покупатель сможет легко его проверить — передан ли чек в ФНС России. Для этого нужно ввести данные кассового чека в специальные поля приложения и отправить запрос в ФНС России на его проверку.
Сверив данные кассового чека и данные, пришедшие в ФНС России, приложение отобразит результат этой проверки. В случае расхождения или отсутствия данных по кассовому чеку пользователь сможет сообщить в ФНС России о нарушении.
Для удобства покупателя в приложении реализованы 2 способа идентификации кассового чека:
1. Ручной ввод фискальных данных из кассового чека:
— дата и время покупки;
— тип операции;
— номер чека;
— сумма чека;
— фискальный признак документа.
2. Сканирование QR-кода из кассового чека и его автоматическая проверка
Требуется Android: 5.0+
Русский интерфейс: Да
1.4.4.7
Внесено изменение по отображению на чеке ставки НДС 20%
1.4.4.4
Исправлена ошибка с отправкой чека для версий android 8.0
1.4.4.2
исправлена обработка чеков с пустым содержимым
1.4.4.1
Убрана обязательная авторизация !!
1.4.3.1
исправлена ошибка при получении выписки
Android 4.1+:
Версия: 2.13.0 от 10/12/2020 (iMiKED)
Версия: 2.12.2 от 25/11/2020 (iMiKED)
Версия: 2.12.0 от 09/11/2020 (iMiKED)
Версия: 2.11.1 от 09/10/2020 (iMiKED)
Версия: 2.10.0 от 09/09/2020 (iMiKED)
Версия: 2.9.0 от 05/08/2020 (iMiKED)
Версия: 2.8.0 от 14/07/2020 (iMiKED)
Версия: 1.4.5 Build №93 от 18/02/2020 (iMiKED)
Версия: 1.4.5 от 26/01/2020 (iMiKED)
версия: 1.4.4.7 Проверка кассового чека (Пост pokpok #82051346)
версия: 1.4.4.4 
Проверка чеков 1.4.4.4.apk ( 11,87 МБ )
версия: 1.4.4.2 Проверка чеков 1.4.4.2.apk ( 11,87 МБ )
версия: 1.4.4.1 Проверка чеков 1.4.4.1.apk ( 12,48 МБ )
версия: 1.4.3.1 Проверка чеков 1.4.3.1.apk ( 12,48 МБ )
версия: 1.4.3 Проверка кассового чека (Пост iMiKED #64514884)
версия: 1.4.2 Проверка чеков_v1.4.2(27).apk ( 14,23 МБ )
Сообщение отредактировал iMiKED — 15.10.21, 16:58
Блин умел бы он ещё данные из sms парсить фн, фд, ккт.
А то пришла смска с данными, а вручную долго
Сообщение отредактировал SnakeManson — 30.07.17, 19:38
Новая версия 1.4.3 от 29/08/2017
Список изменений:
- Улучшение безопасности данных пользователей
- Исправлена ошибка с зависанием диалога
- Изменено удаление чеков
Проверка чеков 1.4.3.apk ( 12,48 МБ )
Androgen13,
Mofix умеет выгружать чек из программы налоговой и сохранять как траты по-позиционно.
Про FinPix говорят, что умеет сразу грузить чек с сайта налоговой, сам не пробовал.
Сообщение отредактировал molotov19 — 09.10.17, 22:07
Программа бесполезна для проверки . страшный баг. как все вокруг
При проверке чека , убедившись в его корректности , нажмите получить чек и окажется что он был выбит на 3 часа ранее чем это было на самом деле.
А за это у нас АДМИНИСТРАТИВНАЯ ОТВЕТСТВЕННОСТЬ . КОРОЧЕ КОГО ХОЧЕШЬ МОЖНО НА ДЕНЬГИ. НЕ. НА НАЛОГИ РАЗВЕСТИ ))))))
Сообщение отредактировал bibi70 — 17.10.17, 17:34
М, прикольная программка! А где она сохраняет чеки?
Жалко нельзя давать чекам название.
Сообщение отредактировал urban32 — 19.10.17, 00:18
molotov19,
Как считаете, ресурс http://proverkacheka.nalog.ru будет стабильно доступен остальным для обращения через сторонние приложения? Хотелось бы в ближайшем будущем увидеть приложения, умеющие выдергивать электронную версию чека с налог.ру и раскладывающее расходы по категориям. Mofix и Finpix в app store не нашел.
gar_alex,
, есть ли информация по этому вопросу? будут ли ограничения по доступу к базе?
Добавлено 25.10.2017, 08:57:
у нас в магазине нашел spendlist — на сегодняшний день не работоспособная, зависает после сканирования чека при обращении к серверу. один чек из десяти распознал.
golder87, привет!
мы только совсем недавно опубликовали приложение. да, в первых версиях были подобные проблемы ;(
исправление описанных проблем появилось в последней версии 😉
если кто-то готов дать обратную связь о работе приложения пишите пожалуйста в vk.com/spendlist, чтобы мы могли сделать максимально полезное приложение для вас
spendlist доступен для ios и для android! скоро появятся новые интересные фичи, о которых так пишут в комментариях в сторах этого и других приложений.
официальное приложение от налоговой нацелено, насколько я это понимаю на гражданский контроль в сфере розничной торговли, мы же делаем приложение, которое будет упрощать процесс контроля собственных расхода, а с некоторыми фичами, которые появятся в ближайшие месяцы, позволят удобным образом еще и совершать более выгодные покупки. и все это, как в меме «без регистрации и смс» 😉
в версии приложения на момент этого комментария в приложении можно добавлять чеки в список покупок через сканирование QR кода с бумажного чека. приложение отображает информацию о позициях в чеке и показывает место покупки на карте, через кнопку «поделиться» можно получить ссылку на веб-версию онлайн чека, которую можно отправить любому и открыть в браузере
Сообщение отредактировал maxkarelov — 28.10.17, 22:31
Источник
Как я нашел в публичном доступе исходники нескольких сервисов ФНС
Предыстория
Возьмём приложение «Проверка чека» и разберемся что оно делает и зачем ваще кому-то понадобилось проверять чеки с помощью приложения.
Суть приложения «Проверка чеков»
Если у вас тоже немного припекает от всех этих аббревиатур, то вот вам терминальная стадия аббревиатуринга в лице названия организации которая отвечает за приложение «Проверка чека» — ФГУП ГНИИВЦ ФНС РФ.
К этому моменту — мы еще вернёмся, кстати.
Страница приложения «Проверка чеков» в App Store
Прикладной смысл вышеописанного очень лёгко понять на примере сервиса заказа еды.
После заказа вы получаете на почту электронный чек, это и есть те самые фискальные данные. Отправляет их в ваш адрес, однако, не сервис заказа еды, а именно ОФД, которое используется сервисом, в данном случае — Яндекс
Любой подобный чек всегда содержит несколько обязательных идентификаторов в натуральном виде и в виде QR-кода, который можно отсканировать с помощью исследуемого нами приложения «Проверка чека».
В итоге, в приложении «Проверка чека», появляется электронная копия данного чека и тут я хочу обратить ваше внимание на атрибутивный состав кортежа с данными, а именно, на полный и детальный список чего и когда и за сколько денег моя персона приобрела, это — важно.
Но всё бы ничего, если бы не один недавний апдейт данного поделия, который и привёл меня в ужас. До недавних пор приложение оперировало лишь теми данными которые ты сам соизволил туда засунуть путём сканирования QR-кодов и не представляло, ни особого интереса, ни особой угрозы личной безопасности.
Всё изменилось две недели назад после обновления 2.15.0 в рамках которого был выкачен функционал «отображение чеков из сервиса Мои Чеки Онлайн».
История версий приложения «Проверка чека»
Обновление 2.15.0
Если пройти аутентификацию в приложении «Проверка чека» указав номер телефона, который вы так же используете в популярных сервисах, например, в Яндекс.Еде, Яндекс.Такси, Самокате, Ситимобиле и других, то в разделе «Мои чеки» автомагически будут отображены все ваши чеки по всем операциям в этих сервисах за «всё время ».
В моём случае, это порядка 400 чеков, каждый из которых содержит детальный набор «сколько, за что, когда и куда».
Мне сразу же стало интересно насколько хорошо подобный массив данных защищен и может ли предполагаемый злоумышленник получить несанкционированный доступ к нему.
Для исследования я поставил в разрыв между интернетом и приложением «Проверка чека» простой прокси и записывая сетевую активность приложения потыкал в кнопки.
Довольно быстро выяснилось, что эндпойнт с данными находится по адресу irkkt-mobile.nalog.ru:8888 на котором живёт простейшее приложение на NodeJS с применением фреймворка Express, а механизм аутентификации пользователя пускает тебя к данным, если ты верно указал заголовок «sessionId» значение которого представляет из себя какой-то самопальный токен генерирующийся на стороне сервера.
При этом, если нажать кнопку «Выйти» в приложении «Проверка чека», то как оказалось, инвалидации данного токена не происходит. Так же нет функционала просмотра всех своих сесссий и нет кнопки «Выйти на всех устройствах».
Таким образом даже если вы каким-то образом поняли что токен доступа был скомпрометирован, то нет никакой возможности его сбросить и тем самым гарантировать с этого момента отсутствие у предполагаемого злоумышленника доступа к вашим данным.
Крайне безответственно, но не фатально.
Sentry
В процессе просмотра «улова» на промежуточном прокси я обратил внимание, что в случае крэша приложения оно отправляет диагностические данные в Sentry располагающийся по адресу не связанному, ни с ФНС, ни с ФГУП ГНИИВЦ ФНС РФ, а на домен зарегистрированный на физическое лицо — sentry.studiotg.ru.
Страница входа в Sentry команды Studio TG
Рядом сразу же был обнаружен gitlab.studiotg.ru.
Страница входа в GitLab команды Studio TG
Дальнейшее исследование эндпойнта привело к ссылками на публичные репозитории в этом Гитлабе находящиеся в индексе Гугла уже более года.
Содержимое публичных репозиториев заставило меня биться в истерике.
Публично доступный репозиторий ansible_conf/install_geo Содержимое архивов из репозитория ansible_conf/install_geo
Пояснение к скриншоту выше: папки содержащие подстроки «lkio», «lkip», «lkul» напрямую относятся к одноименным сервисам ФНС на домене nalog.ru.
Содержимое папки lkip-web-login, это — исходный код сервиса lkip2.nalog.ru
Для сверки, что обнаруженные исходники действительно относятся к сервисам ФНС, проведена простая проверка наличия на боевом веб-сервере файла uppod-styles.txt, который не мог там оказаться по случайному совпадению.
uppod-styles.txt на сайте lkip2.nalog.ru Содержимое файла .env судя по всему прямиком с боевых серверов
В итоге
Фактический разработчик мобильного приложения «Проверка чека» некая studiotg.ru.
Вероятно есть нарушение соглашений об обработке персональных данных в силу передачи диагностических сведений со стороны ФГУП ГНИИВЦ ФНС РФ в адрес третьих лиц.
Данные ребята так же причастны к разработке сервисов lkip.nalog.ru, lkul.nalog.ru и lkio.nalog.ru.
По их вине исходный код данных сервисов находится в публичном доступе уже около года.
Исходя из общей картины, предположу, что данные о ваших покупках попадающие в ОФД путём информационного обмена фискальными данными с ФНС, на текущий момент, находятся под угрозой утечки.
Как-то так.
Источник
