Одной уязвимостью меньше
Бывший сотрудник Samsung и Viewdle в Украине, Алексей Мохов, сообщил, что приложение онлайн-банкинга «Приват24» для устройств с Android, к сожалению, имеет серьезную уязвимость. Так как это приложение является очень популярным среди клиентов банка, то в данном случае это является проблемой.
Принцип уязвимости — возможность получения доступа к личным данным пользователя, который использует приложение. Дело в том, что приложение во время обмена данными с банком отправляет их в защищенном виде, но если на телефоне установлено мошенническое приложение, использующее протокол общения с банком, то оно может получать информацию со стороны банка, невзирая на отсутствие пароля в «Приват24». Таким образом, оборудование банка считает, что обмен данными происходит с авторизованным приложением. А если Вы хотите купить справку 2 НДФЛ в Ростове-на-Дону, тогда заходите на сайт ndflka.net.
Схема, с помощью которой может быть получена личная информация пользователей, заключается в том, что банку поступает запрос от приложения со специальными параметрами (appkey IMEY или некоторые другие) которые может быть подменено. Разрешение для приложения в ОС Android , которое позволяет не отправлять постоянно запросы в банк может сыграть на руку злоумышленникам, потому что вредоносное приложение может определить, что «Приват24» запущен.
По словам Алексея, вредоносный код, внедренный в приложение сможет определить только опытный, технически грамотный пользователь.
Что интересно, реакция банка на открытие Мохова была вначале не совсем стандартная, его обвинили в мошенничестве. Но, как пояснили представители банка в дальнейшем, это произошло благодаря обработке системы мониторинга безопасности платежей, которая определила активность программиста с приложениями как мошенничество и активизировала расследование службой СБ банка.
На данный момент, все обвинения сняты и Алексея Мохова приглашают на работу в Приватбанк.