Украинский разработчик нашел уязвимость в Android-приложении «Приват24»

8165
41

Разработчик Алексей Мохов, бывший сотрудник украинского Samsung и Viewdle, сообщил о серьезной уязвимости, найденной в Android-приложении онлайн-банкинга «Приват24». Об этом он рассказал AIN.UA.

Суть уязвимости — в получении доступа к конфиденциальным данным пользователя, который авторизовался в приложении. Приложение «Приват24» обменивается данными с банком и все данные пересылаются в зашифрованном виде. Но если на телефоне установлено приложение, которое «знает» протокол общения с банком, то оно может получить всю информацию от банка, не зная даже телефона/пароля в «Приват24». То есть, банк думает, что обменивается данными со своим приложением, как рассказал Алексей.

Технически это реализовывается как запрос от приложения к банку, содержащий некоторые параметры (appkey (секретный ключ приложения), IMEI (не стандартный IMEI, специальный приватовский идентификатор) и еще некоторые параметры, которые здесь не указаны специально. «В свое или чужое приложение, которое пользователь должен установить на телефон, можно вставить эти запросы с параметрами и получать ответы от банка. Только пользователь должен перед этим войти в приложение «Приват24», — поясняет Алексей. Какие данные приложение может получить в результате, указано на скриншоте (лог реальной сессии, кликните, чтобы увеличить).

priv24_0

Проблема еще и в том, что подобный вредоносный код у себя в приложениях сможет обнаружить только пользователь, очень подкованный технически. Еще одна уловка, которая может здесь сработать: чтобы не высылать постоянно запросы в банк от вредоносного приложения (проверять, прошел ли авторизацию человек) хакер может воспользоваться разрешением для приложения в ОС Android. Если во вредоносном приложении будет такое разрешение, то оно сможет определить, что пользователь запустил «Приват24» и будет ожидать процесса авторизации.

Алексей говорит, что вчера уже отправил уведомление об уязвимости в службу безопасности банка. Редакция AIN.UA ожидает официального комментария по этому поводу.

По словам Алексея, уязвимость удалось обнаружить, когда во время работы над технологией оплаты в приватовском терминале самообслуживания для сервиса такси разработчик начал изучать API-документацию банка и затем полностью декомпилировал код его Android-приложения. «В целом, безопасность приложения — на хорошем уровне, но такая уязвимость была найдена», — говорит он.

Update: В «ПриватБанке» сообщили об устранении уязвимости: «Два мошеннических приложения Мохова были оперативно выявлены. На сегодняшний день система безопасности Приват24 Android усилена. Система без проблем  умеет отличать вход клиента в аккаунт от попытки вмешательства постороннего приложения, маскирующегося под оригинальное».

Вчера разработчик встречался с представителями банка, которые связались с Моховым и даже предлагали работу. «Встретился со службой безопасности «ПриватБанка». Рассказал и показал все. Опроверг их официальное заявление. Встречей доволен. Сегодня/завтра информация уйдет к председателю правления», — рассказал он во «ВКонтакте».  По итогам встречи Мохов написал объяснение на имя председателя правления Александра Дубилета.

По словам разработчика, «мошеннические приложения» и «попытки взлома» относились к демонстрационным переводам с карты случайного человека небольших сумм денег, которые сразу были возвращены.

Оставить комментарий

Комментарии | 41

Поиск