Еще один специалист по компьютерной безопасности Евгений Докукин сообщил о дыре в безопасности мобильного приложения “Приват24», об этом пишет Threatpost. Но в “ПриватБанке” отмечают, что описание проблемы некорректно, и фактически речь идет о той же уязвимости, которую обнаружил Алексей Мохов. Уязвимость, кстати, уже устранили.
Механизм работы уязвимости описан в англоязычной рассылке Full Disclosure и в переводе звучит таким образом: “ПриватБанк” защищает учетные записи пользователя с помощью номера его мобильного телефона – в качестве имени пользователя – и пароля. Пользователь должен ввести свой пароль для логина, с или без одноразового пароля. В этом и состоит сложность выполнения атаки. Злоумышленник должен выполнить вторую атаку, возможно с помощью вредоносного приложения или с использованием фишинговой схемы, для получения пароля пользователя, и лишь тогда он сможет компрометировать приложение и потенциально украсть деньги”.
Как AIN.UA сообщил Алексей, описание в стиле “мобильное приложение уязвимо для кражи учетных данных” вызывает вопросы, ведь если у пользователя уведут логин и пароль, любое мобильное приложение, к примеру, Facebook, станет уязвимым.
Кроме того, в описании говорится, что мошенник должен провести вторую атаку, возможно, с помощью вируса или фишинга, чтобы получить пароль, и тогда сможет потенциально украсть средства. Тогда получается, уязвимость в том, что банк не высылает мобильному пользователю постоянно одноразовые пароли (OTP), как это происходит в веб-версии.
“Давно известно, что “Приват24» в мобильной версии валидирует приложение только один раз через SMS, а далее использует только вход по логину и паролю. Соответственно, если знать протокол общения с банком и учетные данные пользователя, можно красть с его счета средства. Так что особого открытия здесь нет”, – сказал Мохов. Тем же пользователям, которые хотят себя обезопасить, можно включить в настройках мобильного приложения двухфакторную авторизацию.
В “ПриватБанке” сообщили, что согласны с комментарием Мохова.
Напомним, Алексея Мохова после публикации отчета об уязвимости в Android-приложении “Приват24” зовут на работу в два банка – «ПриватБанк» и BitBank.