Украинский разработчик обнаружил брешь в Android-приложении «Приват24»

Недавно в СМИ появилась информация о том, что украинский разработчик Алексей Мохов, бывший сотрудник украинского Samsung и Viewdle, обнаружил серьезную уязвимость в Android-приложении онлайн-банкинга «Приват24». Первыми об этом рассказали AIN.UA.

Суть найденой уязвимости – в получении доступа к конфиденциальным данным пользователя, который авторизовался в приложении. Приложение «Приват24» обменивается данными с банком и все данные пересылаются в зашифрованном виде. Но если на телефоне установлено приложение, которое «знает» протокол общения с банком, то оно может получить всю информацию от банка, не зная даже телефона/пароля в «Приват24». То есть, как рассказал Алексей, банк думает, что обменивается данными со своим приложением.

Технически это реализовывается как запрос от приложения к банку, содержащий некоторые параметры (appkey (секретный ключ приложения), IMEI (не стандартный IMEI, специальный приватовский идентификатор) и еще некоторые параметры, которые специально не указываются. «В свое или чужое приложение, которое пользователь должен установить на телефон, можно вставить эти запросы с параметрами и получать ответы от банка. Только пользователь должен перед этим войти в приложение «Приват24», - поясняет разработчик.

Данные, которые получает приложение показаны на скриншоте (лог реальной сессии):
 

priv24_0.jpg

 

Все данные, которые получает приложение показаны на скриншоте.

Подробнее: http://www.securitylab.ru/news/444209.php

Проблема заключается еще и в том, что подобный вредоносный код у себя в приложениях сможет обнаружить только пользователь, очень подкованный технически. Еще одна уловка, которая может здесь сработать: чтобы не высылать постоянно запросы в банк от вредоносного приложения (проверять, прошел ли авторизацию человек) хакер может воспользоваться разрешением для приложения в ОС Android. Если во вредоносном приложении будет такое разрешение, то оно сможет определить, что пользователь запустил «Приват24» и будет ожидать процесса авторизации.

Алексей отправил уведомление об уязвимости в службу безопасности банка. На сегодняшний день в «ПриватБанке» сообщили об устранении уязвимости. Причем разработчика, обнаружившего эту ошибку, не только не поблагодарили, но и «мошеннические приложения» назвали в его часть: «Два мошеннических приложения Мохова были оперативно выявлены. На сегодняшний день система безопасности Приват24 Android усилена. Система без проблем умеет отличать вход клиента в аккаунт от попытки вмешательства постороннего приложения, маскирующегося под оригинальное», - передает слова специалистов из службы безопасности банка AIN.UA.

Один из комментаторов этой новости на AIN.UA говорит, что в «ПриватБанке» действительно имеют место такие методы работы, при которых «белым» хакерам приписываются взломы за их попытки сообщить о проблемах банка. В комментарии пользователь «Privet Bank!» добавил заявление от «ПриватБанка» в МВД о взломе. «Человек сообщал руководству ПриватБанка о проблемах, они игнорили, опубликовал на форуме Финанс.уа - получил заявление о взломе в МВД + занесение в черный список ПриватБанка в категорию «МОШЕННИКИ», - делится своим опытом пользователь.

Еще интересное

В истории вирусописательства и охоты на вредоносное ПО есть ряд забавных случаев, когда программа, на первый взгляд имеющая все признаки типичного зловреда, на деле не наносила никакого вреда компьютеру, а лишь заставляла пользователя улыбнуться. Бывали и совсем фантастические случаи, когда вирус помогал избавиться от опасного вредоносного ПО, заразившего систему, или оптимизировал использование ресурсов компьютера.

Суд в Греции в четверг приговорил к 10 месяцам тюрьмы условно за оскорбление религий блогера Филлипоса Лоизоса — автора сатирической страницы «старца Пастиция» в Facebook.

Министерство обороны Германии намерено отказаться от закупки новых беспилотных летательных аппаратов различных классов. Об этом, как сообщает Jane's, заявила министр обороны страны Урсула фон дер Ляйен. По ее словам, военным с точки зрения получения лицензий и дальнейшей модернизации выгоднее брать такие аппараты в лизинг.

Владельцы смартфонов iPhone стали жертвами шутки про то, что новое программное обеспечение iOS 7 делает телефон водонепроницаемым.
В век индустриализации, технического прогресса и стремительного развития информационных технологий выполнять какие-либо повторяющиеся действия посредством
Американский закон The Patriot Act предусматривает, что власти могут направить интернет-компании секретный ордер на слежку за пользователем