StoryEditor

Slovenská sporiteľňa mala chybu vo svojej Android aplikácii

17.09.2014, 19:23
Autor:
dpidpi
Aplikácia sporiteľne trpela bezpečnostnou chybou, ktorá umožňovala prácu s účtom zákazníka, a to vrátane platieb.

Aktualizované: - Podľa informácii už banka bezpečnostnú chybu v aplikácii odstránila. Na to, aby ste mali v telefóne už opravenú verziu aplikácie ju je nutné aktualizovať. 

_____________________________________________________________________________

Slúži na úhradu platieb či kontrolu účtov. Síce je aplikácia Slovenskej sporiteľne chránená pri každom spustení štvromiestnym heslom, podľa správy, ktorú priniesol server dsl.sk, je túto ochranu možné obísť. No len v prípade jej verzie, ktorá sa inštaluje na mobilné telefóny so systémom Android. 

Obíde heslo

Na chybu mal prísť samotný čitateľ serveru dsl.sk, ktorý prišiel na jednoduchý spôsob, ako pri odcudzení alebo strate telefónu ochranu aplikácie prekonať. Bezpečnostnú chybu priznala aj samotná Slovenská sporiteľňa. Chybu majú podľa ich stanoviska opraviť v najbližších dňoch. 

Zneužitie využíva chybu, ak sa samotný zákazník z aplikácie neodhlási, ale len ju opustí iným spôsobom. Napríklad použije tlačidlo späť, hlavné tlačidlo či sa prepne na vyskočenú notifikáciu alebo inú aplikáciu. Následne je možné sa do bankovej aplikácie vrátiť aj bez zadania štvormiestného kódu. Vtedy by mala byť dostupná len v obmedzenom režime, no ďalším gestom, kde napríklad v položke obraty stlačíte opäť tlačidlo späť, je možné získať plný prístup, a to aj k vykonávaniu platieb. Detailný postup je opísaný na stránkach dsl.sk. 

Niektoré nespresnené mobilné telefóny s Androidom by však mali byť voči tomuto postupu imúnne tak, že zákazníka automaticky odhlásia. Rovnako platby môžu byť napríklad chránené SMS notifikáciou, ktorú je v prípade odcudzenia celého telefónu možné zneužiť. 

Chyba má viacero obmedzení

Objavená bezpečnostná chyba má ale viacero limitujúcich faktorov. Je síce možné dostať sa až k úplnej kontrole nad účtom, no za predpokladu, že sa útočník dostane k odomknutému telefónu, kde bola aplikácia banky spustená najviac pred 15 minútami. Po danom limite nemá byť tento útok možný. 

Celému procesu je rovnako možné jednoducho zabrániť tým, že si na odomykanie telefónu nastavíte heslo. Jedná sa takto o prvú verejnú chybu mobilnej aplikácie slovenskej banky, ktorú je prakticky možné zneužiť. 

Snímky: Peter Mayer

01 - Modified: 2022-05-19 22:00:00 - Feat.: - Title: Niekto vás sleduje, hlásia iPhony. Niekedy však ide o znepokojivú chybu 02 - Modified: 2022-07-07 08:20:46 - Feat.: - Title: Case study: Vlastné televízne štúdio k dispozícii 24/7. Kam až siahajú súčasné inovácie v korporátnej komunikácii? 03 - Modified: 2022-03-25 11:54:19 - Feat.: - Title: Túto appku si radšej okamžite vymaž. Kradne citlivé údaje 04 - Modified: 2022-03-21 11:39:41 - Feat.: - Title: Zdražovanie hypoték: Najväčší hráč na trhu dvihol ďalšie sadzby. Nejde o posledné zvýšenie, varuje člen vedenia 05 - Modified: 2022-02-22 10:44:12 - Feat.: - Title: Zdražovanie hypoték naberá na obrátkach. Úrokové sadzby dvihol už aj najväčší hráč
menuLevel = 2, menuRoute = style/tech, menuAlias = tech, menuRouteLevel0 = style, homepage = false
15. august 2022 02:21