МОСКВА, 15 фев - РИА Новости. Уязвимости, связанные с авторизацией в банковских приложениях, из-за которых возможны хищения средств клиентов, встречаются нередко, и не только в системах онлайн-банкинга, рассказал РИА Новости руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин.
Ранее в понедельник газета "Коммерсант" сообщила, что Банк России разослал банкам предупреждение о схеме, с помощью которой мошенники похищали средства со счетов юрлиц, используя систему дистанционного банковского обслуживания (ДБО). По данным издания, мошенник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки и изучил порядок и структуру вызовов API (программного интерфейса приложения) ДБО.
"Такие уязвимости не редкость: по нашему опыту, аналогичные проблемы авторизации обнаруживаются в шести из семи проанализированных API (интерфейс для обработки запросов клиента приложения), а в сумме возможность проведения такой атаки составляет 34%", - сообщил Бабин.
Степень же риска пострадать от этой уязвимости, по его словам, зависит от конкретного места, где при разработке допущена ошибка. Например, если она в функциях смены PIN-кода, то атакующий сможет изменить PIN-код любой карты любого клиента банка. А если в функциях переводов, то перевести деньги можно будет с любого счета.
"Эта уязвимость специфична не только для систем онлайн-банкинга, она может встретиться в любом веб-приложении: социальной сети, мессенджерах, блогах и других сервисах. Однако критичнее всего, когда она встречается в системе дистанционного банковского обслуживания". – резюмировал эксперт.
При перепечатке и цитировании (полном или частичном) ссылка на РИА "Новости" обязательна. При цитировании в сети Интернет гиперссылка на сайт http://ria.ru обязательна.
Комментарии отключены.
