Главные уязвимости онлайн-банков: авторизация, аутентификация и Android

[anisart]

Скажем, злоумышленник переводит 0,29 рублей в доллары США. При стоимости одного доллара в 60 рублей, сумма в 0,29 рублей соответствует 0,00483333333333333333333333333333 долларов. Данная сумма будет округлена до двух знаков после запятой, т. е. до 0,01 доллара (один цент). Затем злоумышленник переводит 0,01 доллара обратно в рубли и получает 0,60 рублей. Таким образом злоумышленник «выигрывает» 0,31 рублей.

Пример идеализированный. Курс продажи от курса покупки же отличается. Хотя, конечно, мошенник все равно получит сумму из ниоткуда, но все же меньше.

[arkadym]

Проверил свой банк — заработал 1р. за 5 шагов… (4 раза купил евро по .29 и 1 раз продал). Надо отдать должное зачатки защиты есть — меньше .29 указать не дают. Хотя я думаю это всего лишь пример, есть наверно более успешный вариант использования ошибок округления.

[akirsanov]

Тему с округлением на практике неплохо поковырял Adrian Furtunã в 2013: 2013.zeronights.org/includes/docs/Adrian_Furtuna_-_Practical_exploitation_of_rounding_vulnerabilities_in_internet_banking_applications.pdf

[RomanPyr]

НЕКОРРЕКТНЫЙ КУРС КОНВЕРТАЦИИ. ОТКЛОНЕНИЕ СУММЫ ОТ ВЫЧИСЛЕННОЙ ПО КУРСУ ЦБ НА 90.04%, ЧТО БОЛЬШЕ, ЧЕМ ПРЕДЕЛЬНЫЕ 40.00%

[belonesox]

Снимал доклад от Digital Security эту тему «Мобильный банкинг — кража по воздуху» — в целом, там более алармичные настроения.

[ptsecurity]

«Более алармичные настроения» — красивое выражение для рекламы. Однако было бы интересней, если бы вы говорили более конкретными фактами и цифрами.

В исследовании Positive Technologies, которое является темой данного поста, написано:

«Критически опасные уязвимости содержатся в 70% приложений для Android и в 50% приложений для iOS».

А в исследовании по вашей ссылке написано:

«Уязвимы 23% приложений Android, 14% приложений iOS».

То есть Digital Security видит в три раза меньше уязвимостей в мобильных приложениях? Вы это хотели сказать?

[belonesox]

Гм. Я помню из доклада, что уж очень пугали, а тут как-то спокойней. А по сухим цифрам вы нашли получается больше, да. Я никоим образом не наезжал на ваше исследование, сорри, что могло создаться такое впечатление.

[d1g1]

Я — автор исследования: «Мобильный банкинг — кража по воздуху».

Сравнивать два данных исследования некорректно:
1) В данном исследовании рассматриваются все типы уязвимостей, а в моем исследовании целенаправленно анализируется только один тип уязвимостей, реализация которых позволяет осуществить атаку MiTM. Наличие проблем безопасности этого класса почти наверняка позволяет злоумышленнику удаленно (без физического доступа к устройству) осуществить кражу денег со счета и/или получить информацию о финансовых данных.
2) В данном исследовании непонятна выборка анализируемых приложений (2?,5?,10?,...), а в моем абсолютно все из магазинов Google Play и App Store на момент исследования с наличием платежного функционала.

Как вы наверняка понимаете, факт наличия уязвимости не гарантирует успешность проведения атаки и тем более компрометацию счета.

[belonesox]

Ага, спасибо за пояснения. Хотя, как простой пользователь, хочу тоже просто «позорного списка» банков и производителей зафейлившегося софта, хотя понимаю, что скорее всего, исследователи безопасности связаны NDA о неразглашении проблем с заказчиком.

[maximw]

По тексту куча процентов. А, кроме количества исследованных систем, не нашел ни одного из значений от которых эти проценты вычисляются. Интереснее были бы абсолютные значения.

[iG0Lka]

а список банков с указанием степени защищенности почему не показан?

[alcr]

А на третьей и четвёртой диаграммах цвета для одних и тех же сущностей сделаны разными чтобы запутать читателя?