Еще один хакер сообщил о дыре в «Приват24», но к ее описанию есть вопросы
Еще один специалист по компьютерной безопасности Евгений Докукин сообщил о дыре в безопасности мобильного приложения «Приват24», об этом пишет Threatpost. Но в «ПриватБанке» отмечают, что описание проблемы некорректно, и фактически речь идет о той же уязвимости, которую обнаружил Алексей Мохов. Уязвимость, кстати, уже устранили.
Механизм работы уязвимости описан в англоязычной рассылке Full Disclosure и в переводе звучит таким образом: «ПриватБанк» защищает учетные записи пользователя с помощью номера его мобильного телефона – в качестве имени пользователя – и пароля. Пользователь должен ввести свой пароль для логина, с или без одноразового пароля. В этом и состоит сложность выполнения атаки. Злоумышленник должен выполнить вторую атаку, возможно с помощью вредоносного приложения или с использованием фишинговой схемы, для получения пароля пользователя, и лишь тогда он сможет компрометировать приложение и потенциально украсть деньги».
Как AIN.UA сообщил Алексей, описание в стиле «мобильное приложение уязвимо для кражи учетных данных» вызывает вопросы, ведь если у пользователя уведут логин и пароль, любое мобильное приложение, к примеру, Facebook, станет уязвимым.
Кроме того, в описании говорится, что мошенник должен провести вторую атаку, возможно, с помощью вируса или фишинга, чтобы получить пароль, и тогда сможет потенциально украсть средства. Тогда получается, уязвимость в том, что банк не высылает мобильному пользователю постоянно одноразовые пароли (OTP), как это происходит в веб-версии.
«Давно известно, что «Приват24» в мобильной версии валидирует приложение только один раз через SMS, а далее использует только вход по логину и паролю. Соответственно, если знать протокол общения с банком и учетные данные пользователя, можно красть с его счета средства. Так что особого открытия здесь нет», — сказал Мохов. Тем же пользователям, которые хотят себя обезопасить, можно включить в настройках мобильного приложения двухфакторную авторизацию.
В «ПриватБанке» сообщили, что согласны с комментарием Мохова.
Напомним, Алексея Мохова после публикации отчета об уязвимости в Android-приложении «Приват24» зовут на работу в два банка — «ПриватБанк» и BitBank.
Комментарии | 7
ОН НЕ ХАКИР, А НОВЫЙ БАБУШКИН) А вообще это все бред. Не какой серьезной угрозы то, что он нашел не несет. Чтобы ее эксплуатировать требуется наличия стороннего приложения на мобильном телефоне пользователя
Редакторы aim, может вы про меня напишите новости? Я нашел несколько десятков уязвимостей на привате. Есть скриншоты на несколько. Они не требуют постороннего приложения и многие эксплуатируются без участия клиента. О них всех я сообщил по банковской программе bug bounty и начинаю получать от банка денежные вознаграждения. А вы пишите про этот бред.
Если честно, я бы не обратила внимания, если бы ссылку у себя не опубликовал Касперский.
Просто то, что они вместе нашли никакой серьезной угрозы не несет.
Я же себя не пиарю в сми, а просто сообщаю в bug bounty банка, как все адекватные пользователи.
Кстати, если сообщите свои контакты на karpenko at ain.ua, буду обращаться к вам при подготовке статей о кибербезопасности.
Сергей, солидарен с вами, я вот тоже участвую в bug bounty, репортил несколько десятков багов, получал реварды. А то, что сделал Мохов и это Докукин — просто пиар.
подскажите, где в мобильном приложении включить двухфакторную авторизацию. на iOS не нахожу. спасибо.