ПОДЕЛИТЬСЯ
Лого Приват24
Евгений Докукин, исследователь в области безопасности сообщил об обнаружении уязвимости у мобильного приложения «Приват24». По словам специалиста, мобильный сервис можно взломать с помощью двух атак и теоретически получить доступ к средствам на счету абонента. В «ПриватБанке» сообщили, что ныне работают над устранением обнаруженной уязвимости.
Лого Приват24

Уязвимость, по словам Докукина, есть во всех версиях приложения – для операционных систем iOS, Android и Windows Phone. Суть уязвимости заключается в том, что с помощью первой атаки можно добиться обхода аутентификации, связанной с отправлением на телефон одноразового пароля. После того, как вход в аккаунт оказывается не привязанным к мобильному, необходима вторая атака, позволяющая украсть пароль пользователя. После этого деньги на счету клиента банка оказываются под угрозой.

Если бы приложение отправляло одноразовый пароль на телефон каждый раз при входе в аккаунт, то уязвимость бы не возникла. На деле же пароль высылается только при регистрации, далее вводить его каждый раз при входе в приложение не обязательно. В веб-версии «Приват24» обойти аутентификацию при каждом входе нельзя. Порой это неудобно – каждый раз вводить пароль из СМС, однако уровень безопасности такая мера повышает.

Таким образом, первая атака может заставить разрешить злоумышленнику войти в аккаунт без одноразового пароля, а вторая – с помощью вредоносного ПО или фишинговой системы ворует нужный пароль, что позволяет в итоге залогиниться.

Докукин заявляет, что раскроет подробности уязвимости сразу, как только она будет устранена банком.

В. Костенко