Украинский разработчик нашел уязвимость в Android-приложении «Приват24»

Тема в разделе "Новости", создана пользователем Vladimir, 4 сен 2013.

  1. Vladimir

    Vladimir Мастер

    Украинский разработчик нашел уязвимость в Android-приложении «Приват24» - AIN.UA

    Украинский разработчик нашел уязвимость в Android-приложении «Приват24»

    Разработчик Алексей Мохов, бывший сотрудник украинского Samsung и Viewdle сообщил о серьезной уязвимости, найденной в Android-приложении онлайн-банкинга «Приват24». Об этом он рассказал AIN.UA.
    Суть уязвимости — в получении доступа к конфиденциальным данным пользователя, который авторизовался в приложении. Приложение «Приват24» обменивается данными с банком и все данные пересылаются в зашифрованном виде. Но если на телефоне установлено приложение, которое «знает» протокол общения с банком, то оно может получить всю информацию от банка, не зная даже телефона/пароля в «Приват24». То есть, банк думает, что обменивается данными со своим приложением, как рассказал Алексей.
    Технически это реализовывается как запрос от приложения к банку, содержащий некоторые параметры (appkey (секретный ключ приложения), IMEI (не стандартный IMEI, специальный приватовский идентификатор) и еще некоторые параметры, которые здесь не указаны специально. "В свое или чужое приложение, которое пользователь должен установить на телефон, можно вставить эти запросы с параметрами и получать ответы от банка. Только пользователь должен перед этим войти в приложение «Приват24», — поясняет Алексей. Какие данные приложение может получить в результате, указано на скриншоте

    [​IMG]


    Проблема еще и в том, что подобный вредоносный код у себя в приложениях сможет обнаружить только пользователь, очень подкованный технически. Еще одна уловка, которая может здесь сработать: чтобы не высылать постоянно запросы в банк от вредоносного приложения (проверять, прошел ли авторизацию человек) хакер может воспользоваться разрешением для приложения в ОС Android. Если во вредоносном приложении будет такое разрешение, то оно сможет определить, что пользователь запустил «Приват24» и будет ожидать процесса авторизации.
    Алексей говорит, что вчера уже отправил уведомление об уязвимости в службу безопасности банка. Редакция AIN.UA ожидает официального комментария по этому поводу.
    По словам Алексея, уязвимость удалось обнаружить, когда во время работы над технологией оплаты в приватовском терминале самообслуживания для сервиса такси разработчик начал изучать API-документацию банка и затем полностью декомпилировал код его Android-приложения. «В целом, безопасность приложения — на хорошем уровне, но такая уязвимость была найдена», — говорит он.
     
  2. Nook

    Nook Читатель

    Нормальные люди сначала контактируют с разработчиком, ждут закрытия уязвимости, получают разрешение на публикацию информации…
    Но, украинский «разработчик» не такой, естественно.
     
  3. FIGHTER

    FIGHTER Ассасин Мастера Команда форума

    Нормальные люди не доверяют управление своими банковскими счетами мобильным приложениям телефонов, которые нормальные среднестатистические люди теряют чаще чем зонтики...
     
    Vlad, danilevskiy, overclocker и ещё 1-му нравится это.

Поделиться этой страницей