Avira для Windows 10 info@avirus.ru

Разработчик обнаружил брешь в Android-приложении крупного украинского банка

По сообщению AIN.ua, украинский разработчик Алексей Мохов обнаружил серьезную уязвимость в мобильном приложении "Приват-24" для ОС Android.

Как говорит разработчик, приложение позволяет получить доступ к личной информации любого пользователя который авторизован в приложении. Все данные которыми обменивается клиент с сервером и наоборот, пересылаются в зашифрованном виде. Мохов создал приложение, которое является посредником между клиентом и банком и распознает протокол общения "Приват-24", перехватывая траффик, соответственно и всю информацию о клиенте, не зная даже телефона либо пароля в "Приват-24".

Используя такую уязвимость, банк даже и не подозревает о вредоносной деятельности. Эксплуатируя данную уязвимость, можно получить информацию о названии карты, баланс, валюта, внутренний номер карты в банке, тип карты, статус и другое.

Разработчик считает, что вредоносные приложения ОС Android получившие авторизацию, не должны постоянно отправлять запрос серверу банка на постоянную авторизацию. Если же такое разрешение будет, то приложение поймет что приложение "Приват-24" запущено, и будет ждать авторизации.

Найденная уязвимость была отправлена в службу безопасности, и в скором времени представительство "ПриватБанка" устранило данную брешь.

Источник: www.securitylab.ru