В Андроид-приложении банка Украины обнаружена уязвимость

Воскресенье, 5 Апреля 2015 г.

В Андроид-приложении банка Украины обнаружена уязвимость

19 сентября 2013

Ресурс AIN.UA сообщает, что разработчик Алексей Мохов раскрыл брешь а Андроид-приложении для операций онлайн-банкинга "Приват-24".

С помощью бреши были доступны личные пользовательские данные, зарегистрированные в приложении. "Приват-24" пересылает данные в закодированном виде банку. Мохов разработал два фальшивых приложения чтобы перехватить информацию, которую пересылают. Поддельные приложения определяют протокол общения "Приват-24" с банком и получают всю информацию от банка. В результате банк не подозревает о вредоносной деятельности и антивирус ни о чем не сигнализирует.

Технически это происходит как запрос от приложения к банку, который содержит некоторые опции. Этот запрос вставлен в фальшивые приложения.

Мохов подчеркнул, что шпионские приложения, которые получили разрешение в ОС Андроид не должны отправлять в банк запросы о проверке регистрации пользователя. Если вредоносное приложение содержит такое разрешение, то оно сможет опознать, что пользователь запустил "Приват-24" и будет ожидать процесс регистрации.

Служба безопасности банка получило уведомление об найденной бреши. Позже представители "ПриватБанка" объявили об ее устранении.