Privat24, приложение мобильного банкинга крупнейшего на Украине коммерческого банка, содержит уязвимость недостаточного валидирования. Уязвимость присутствует в версиях под iOS, Android и Windows Phone и позволяет злоумышленнику украсть деньги со счета пользователя после обхода двухфакторной аутентификации.

Проблема процесса валидации проистекает из конфигурации сервера ПриватБанка, который работает со всеми клиентами мобильного банкинга. Исследователь в области безопасности Евгений Докукин в рассылке Full Disclosure и на своем сайте объяснил суть этой уязвимости, позволяющей ей обходить механизм одноразовых паролей Privat24. Тем не менее ему пришлось прибегнуть ко второй атаке, потребовавшейся для полной компрометации банковского приложения.

В идеале Privat24 должно отправлять пользователю одноразовый пароль через стандартный сервис сообщений при каждом логине в приложение. На самом же деле банк отправляет этот код пользователям при первой установке приложения на их мобильное устройство. После того как приложение установлено и проверено с помощью одноразового пароля, пользователь получает доступ к приложению без ограничений. В то же время веб-сайт ПриватБанка отсылает пользователю новый одноразовый пароль при каждой попытке логина.

ПриватБанк защищает учетные записи пользователя с помощью номера его мобильного телефона — в качестве имени пользователя — и пароля. Пользователь должен ввести свой пароль для логина, с одноразовым паролем или без него. В этом и состоит сложность выполнения атаки Докукина. Злоумышленник должен выполнить вторую атаку, возможно, с помощью вредоносного приложения или с использованием фишинговой схемы, для получения пароля пользователя, и лишь тогда он сможет компрометировать приложение и потенциально украсть деньги.

Докукин заявил, что он связался с ПриватБанком и сообщил им об уязвимости. Они подтвердили ему наличие проблемы, но еще не устранили ее. Исследователь пока не раскрывает всех технических деталей механизма атаки, но собирается сделать это сразу после того, как ПриватБанк обновит свои приложения с помощью патча, исправляющего ошибку.

Threatpost также связался с ПриватБанком, но на момент публикации компания еще не дала свои комментарии.

Категории: Уязвимости