Украина: Найдена уязвимость в Android-приложении “Приват24”

0

Разработчик Алексей Мохов, бывший сотрудник украинского Samsung и Viewdle сообщил о серьезной уязвимости, найденной в Android-приложении онлайн-банкинга “Приват24”. Суть уязвимости – в получении доступа к конфиденциальным данным пользователя, который авторизовался в приложении. Приложение “Приват24” обменивается данными с банком и все данные пересылаются в зашифрованном виде. Но если на телефоне установлено приложение, которое “знает” протокол общения с банком, то оно может получить всю информацию от банка, не зная даже телефона/пароля в “Приват24”. То есть, банк думает, что обменивается данными со своим приложением, как рассказал Алексей.


Технически это реализовывается как запрос от приложения к банку, содержащий некоторые параметры (appkey (секретный ключ приложения), IMEI (не стандартный IMEI, специальный приватовский идентификатор) и еще некоторые параметры, которые здесь не указаны специально. “В свое или чужое приложение, которое пользователь должен установить на телефон, можно вставить эти запросы с параметрами и получать ответы от банка. Только пользователь должен перед этим войти в приложение “Приват24”, – поясняет Алексей.

Проблема еще и в том, что подобный вредоносный код у себя в приложениях сможет обнаружить только пользователь, очень подкованный технически. Еще одна уловка, которая может здесь сработать: чтобы не высылать постоянно запросы в банк от вредоносного приложения (проверять, прошел ли авторизацию человек) хакер может воспользоваться разрешением для приложения в ОС Android. Если во вредоносном приложении будет такое разрешение, то оно сможет определить, что пользователь запустил “Приват24” и будет ожидать процесса авторизации.

Алексей говорит, что вчера уже отправил уведомление об уязвимости в службу безопасности банка, но ответ еще не был получен.

По словам Алексея, уязвимость удалось обнаружить, когда во время работы над технологией оплаты в приватовском терминале самообслуживания для сервиса такси разработчик начал изучать API-документацию банка и затем полностью декомпилировал код его Android-приложения. “В целом, безопасность приложения – на хорошем уровне, но такая уязвимость была найдена”, – говорит он. (Приватбанк/NovostIT)