Мобильное приложение «ПриватБанка» уязвимо для кражи учетных данных

Уязвимость присутствует в версиях под iOS, Android и Windows Phone и позволяет злоумышленнику украсть деньги со счета пользователя после обхода двухфакторной аутентификации.

Проблема процесса валидации проистекает из конфигурации сервера «ПриватБанка», который работает со всеми клиентами мобильного банкинга. Исследователь в области безопасности Евгений Докукин в рассылке Full Disclosure и на своем сайте объяснил суть этой уязвимости, позволяющем ему обходить механизм одноразовых паролей Privat24. Тем не менее, ему пришлось прибегнуть ко второй атаке, потребовавшейся для полной компрометации банковского приложения.

В идеале Privat24 должно отправлять пользователю одноразовый пароль через стандартный сервис сообщений при каждом логине в приложение. На самом же деле банк отправляет этот код пользователям при первой установке приложения на их мобильное устройство. После того, как приложение установлено и проверено с помощью одноразового пароля, пользователь получает доступ к приложению без ограничений. В то же время вебсайт «ПриватБанка» отсылает пользователю новый одноразовый пароль при каждой попытке логина.

«ПриватБанк» защищает учетные записи пользователя с помощью номера его мобильного телефона – в качестве имени пользователя – и пароля. Пользователь должен ввести свой пароль для логина, с или без одноразового пароля. В этом и состоит сложность выполнения атаки Докукина. Злоумышленник должен выполнить вторую атаку, возможно с помощью вредоносного приложения или с использованием фишинговой схемы, для получения пароля пользователя, и лишь тогда он сможет компрометировать приложение и потенциально украсть деньги.

Докукин заявил, что он связался с «ПриватБанком» и сообщил им об уязвимости. Они подтвердили ему наличие проблемы, но еще не исправили. Исследователь пока не раскрывает всех технических деталей механизма атаки, но собирается сделать это сразу после того, как «ПриватБанк» обновит своих приложения с помощью патча, исправляющего ошибку.

Threatpost также связался с «ПриватБанком», но на момент публикации компания еще не дала свои комментарии.





Интересные новости
Анонсирован "гуглофон" G1 от T-Mobile
Nokia N65 «в красном»Nokia N65 «в красном»
Тёмные музыкальные шкатулки: Nokia N70, N73 и N91Тёмные музыкальные шкатулки: Nokia N70, N73 и N91
Фото-дня: Sony Ericsson K800 или Nokia N82?Фото-дня: Sony Ericsson K800 или Nokia N82?
«МТС-Украина» вводит тариф «Супер МТС все сети»
Блок рекламы


Похожие новости
Spotify убрал свое приложение из магазинов Google и Apple для пользователей из РоSSииSpotify убрал свое приложение из магазинов Google и Apple для пользователей из РоSSии
В Украине заработало новое мобильное приложение для проверки гражданВ Украине заработало новое мобильное приложение для проверки граждан
Google и Apple удалили приложение «Сбербанка» РоSSииGoogle и Apple удалили приложение «Сбербанка» РоSSии
В Украине создали приложение для проверки подозрительных лиц и выявления диверсантовВ Украине создали приложение для проверки подозрительных лиц и выявления диверсантов
Приложение "Воздушная тревога" обновилиПриложение "Воздушная тревога" обновили
Мобильное приложение Revolut заработало для украинских беженцевМобильное приложение Revolut заработало для украинских беженцев
Через приложение "Дия" на украинскую армию собрали 80 млн грн, - МинцифрыЧерез приложение "Дия" на украинскую армию собрали 80 млн грн, - Минцифры
В Google Play обнаружено заражённое вирусом Joker приложение
Чрезвычайники анонсировали мобильное приложение "Спасение в горах"
Мобильное направление Samsung теперь будет называться MX Business
Последние новости
Подгружаем последние новости