Мобильное приложение «ПриватБанка» уязвимо для кражи учетных данных

Уязвимость присутствует в версиях под iOS, Android и Windows Phone и позволяет злоумышленнику украсть деньги со счета пользователя после обхода двухфакторной аутентификации.

Проблема процесса валидации проистекает из конфигурации сервера «ПриватБанка», который работает со всеми клиентами мобильного банкинга. Исследователь в области безопасности Евгений Докукин в рассылке Full Disclosure и на своем сайте объяснил суть этой уязвимости, позволяющем ему обходить механизм одноразовых паролей Privat24. Тем не менее, ему пришлось прибегнуть ко второй атаке, потребовавшейся для полной компрометации банковского приложения.

В идеале Privat24 должно отправлять пользователю одноразовый пароль через стандартный сервис сообщений при каждом логине в приложение. На самом же деле банк отправляет этот код пользователям при первой установке приложения на их мобильное устройство. После того, как приложение установлено и проверено с помощью одноразового пароля, пользователь получает доступ к приложению без ограничений. В то же время вебсайт «ПриватБанка» отсылает пользователю новый одноразовый пароль при каждой попытке логина.

«ПриватБанк» защищает учетные записи пользователя с помощью номера его мобильного телефона – в качестве имени пользователя – и пароля. Пользователь должен ввести свой пароль для логина, с или без одноразового пароля. В этом и состоит сложность выполнения атаки Докукина. Злоумышленник должен выполнить вторую атаку, возможно с помощью вредоносного приложения или с использованием фишинговой схемы, для получения пароля пользователя, и лишь тогда он сможет компрометировать приложение и потенциально украсть деньги.

Докукин заявил, что он связался с «ПриватБанком» и сообщил им об уязвимости. Они подтвердили ему наличие проблемы, но еще не исправили. Исследователь пока не раскрывает всех технических деталей механизма атаки, но собирается сделать это сразу после того, как «ПриватБанк» обновит своих приложения с помощью патча, исправляющего ошибку.

Threatpost также связался с «ПриватБанком», но на момент публикации компания еще не дала свои комментарии.







Последние новости

Подгружаем последние новости