Как стать автором
Поиск
Написать публикацию
Обновить

Android-клиент банка ВТБ показывает уведомления о всех операциях другого пользователя

Информационная безопасность*
Ожидает приглашения

Наблюдаемый эффект

Поступают уведомления обо всех операциях другого клиента банка ВТБ в виде всплывающих сообщений. При запуске приложения и до авторизации в нем (ввода PIN-кода) отображаются операции другого клиента, хотя в заголовке формы ввода PIN-кода указаны мои учетные данные. После ввода PIN-кода и до момента выхода из сессии отображаются только мои уведомления об операциях.

Немного деталей

PUSH-уведомления не активированы, в моменты отображения на экране телефона уведомлений о чужих операциях я не авторизован в личном кабинете, приложение оставалось запущенным "в фоне".

В случае, если на момент совершения операций "чужим" клиентом приложение ВТБ в фоне не работало, то на экране уведомление об операции в виде всплывающего окна не отображалось. Однако если запустить приложение, то в окне авторизации можно увидеть число пропущенных уведомлений у символа "колокольчик", по нажатию на который открываются пропущенные "чужие" уведомления.

Уведомления о моих операциях никогда не отображались в приложении (прим.: логичный вопрос - а кому же тогда поступают мои уведомления?)

Переустановка приложения с очисткой памяти и сменой пароля учетной записи не устранила проблему (история, разумеется, сбросилась, но "чужие" уведомления продолжали поступать).

Гипотезы

Предположу, что возможна ошибка в работе Android приложения, вследствие чего на сервер формируется запрос (идентификатор сессии) с признаком "другого клиента", а сервер не проверяя авторизацию выдает данные о транзакциях.

При этом вероятно наличие критической ошибки на стороне сервера, т.к. фактически без авторизации пользователя (пароль/PIN-код пользователем не вводится) предоставляется конфиденциальная информация.

Если так, то существует ненулевая вероятность, что "специальным образом" модифицированное приложение способно предоставлять злоумышленнику данные об операциях целевого клиента.

Примеры данных

  1. "Карта *4716: Оплата 250.00 RUB; Сити Ресторантс;20.11.2018 15:59, Доступно 22903.61 RUB"

  2. "Списано 2884,00р Счет *0885 получатель Иван У. Баланс 27925,11р 16:59" от 19.10.2020

  3. 11.09.2020, 11:58, "Списано 50013,66 RUB Счет *1306 перевод между счетами/картами Баланс 0,00 RUB 11:58"

Вместо заключения

Надеюсь, что сообщество поможет разработчикам найти и исправить ошибку.

Хотелось бы верить, что я ошибаюсь и наблюдаемый эффект - это только следствие неверной записи в базе данных пользователей.

Считаю возможным опубликовать эту информацию здесь с учетом того, что с 2019г. я уже четыре раза обращался по этому вопросу в техническую поддержку и мое лучшее достижение - ответ "Уважаемый клиент! Ваша заявка SD-*** в службу технической поддержки рассмотрена. С уважением, ВТБ (ПАО)".

Теги:
Хабы:
Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr