Predplatné
StoryEditor

Slovenská sporiteľňa mala chybu vo svojej Android aplikácii

17.09.2014, 19:23
Autor:
dpidpi
Aplikácia sporiteľne trpela bezpečnostnou chybou, ktorá umožňovala prácu s účtom zákazníka, a to vrátane platieb.

Aktualizované: - Podľa informácii už banka bezpečnostnú chybu v aplikácii odstránila. Na to, aby ste mali v telefóne už opravenú verziu aplikácie ju je nutné aktualizovať. 

_____________________________________________________________________________

Slúži na úhradu platieb či kontrolu účtov. Síce je aplikácia Slovenskej sporiteľne chránená pri každom spustení štvromiestnym heslom, podľa správy, ktorú priniesol server dsl.sk, je túto ochranu možné obísť. No len v prípade jej verzie, ktorá sa inštaluje na mobilné telefóny so systémom Android. 

Obíde heslo

Na chybu mal prísť samotný čitateľ serveru dsl.sk, ktorý prišiel na jednoduchý spôsob, ako pri odcudzení alebo strate telefónu ochranu aplikácie prekonať. Bezpečnostnú chybu priznala aj samotná Slovenská sporiteľňa. Chybu majú podľa ich stanoviska opraviť v najbližších dňoch. 

Zneužitie využíva chybu, ak sa samotný zákazník z aplikácie neodhlási, ale len ju opustí iným spôsobom. Napríklad použije tlačidlo späť, hlavné tlačidlo či sa prepne na vyskočenú notifikáciu alebo inú aplikáciu. Následne je možné sa do bankovej aplikácie vrátiť aj bez zadania štvormiestného kódu. Vtedy by mala byť dostupná len v obmedzenom režime, no ďalším gestom, kde napríklad v položke obraty stlačíte opäť tlačidlo späť, je možné získať plný prístup, a to aj k vykonávaniu platieb. Detailný postup je opísaný na stránkach dsl.sk. 

Niektoré nespresnené mobilné telefóny s Androidom by však mali byť voči tomuto postupu imúnne tak, že zákazníka automaticky odhlásia. Rovnako platby môžu byť napríklad chránené SMS notifikáciou, ktorú je v prípade odcudzenia celého telefónu možné zneužiť. 

Chyba má viacero obmedzení

Objavená bezpečnostná chyba má ale viacero limitujúcich faktorov. Je síce možné dostať sa až k úplnej kontrole nad účtom, no za predpokladu, že sa útočník dostane k odomknutému telefónu, kde bola aplikácia banky spustená najviac pred 15 minútami. Po danom limite nemá byť tento útok možný. 

Celému procesu je rovnako možné jednoducho zabrániť tým, že si na odomykanie telefónu nastavíte heslo. Jedná sa takto o prvú verejnú chybu mobilnej aplikácie slovenskej banky, ktorú je prakticky možné zneužiť. 

Snímky: Peter Mayer

#ANDROID#CHYBA#SLOVENSKÁ SPORITEĽŇA
01 - Modified: 2024-03-13 13:04:10 - Feat.: - Title: KVÍZ: Porucha alebo nevinná informácia? Vyskúšajte, ako dobre poznáte kontrolky v aute 02 - Modified: 2024-02-29 14:52:40 - Feat.: - Title: Slovenskej sporiteľni sa darilo. Čistý zisk banky vlani vzrástol o vyše štvrtinu 03 - Modified: 2024-02-05 13:22:37 - Feat.: - Title: Tesla zvoláva takmer všetky svoje modely. V ohrození môže byť bezpečnosť posádky 04 - Modified: 2023-12-11 23:00:00 - Feat.: - Title: Nechcete sa stať obeťou online podvodov? Takto sa im vyhnete 05 - Modified: 2023-11-23 14:13:06 - Feat.: - Title: Batériový závod v Šuranoch by mohol priniesť až štyri percentá HDP, tvrdí analytik Slovenskej sporiteľne
menuLevel = 2, menuRoute = style/tech, menuAlias = tech, menuRouteLevel0 = style, homepage = false
20. apríl 2024 04:02