JM
Надеюсь, то самое приложение - это не Каспи 🙂
Size: a a a
2019 December 26
BG
Дело раскрыто.
NN
@askarsyzdykov Если в течении месяца не починят уязвимости то предлагаю назвать имя банка! =)
AS
@askarsyzdykov Если в течении месяца не починят уязвимости то предлагаю назвать имя банка! =)
надеюсь что релизнут в начале след года
NN
А ваще было бы круто если все казахстанские приложухи которые работают с деньгами так проверить!
BG
Поражает незамутненность разработчиков. Интересно, о чем они думали, когда составляли план работы?
- Итак, у нас самый популярный банк и миллионы пользуются нашими услугами. Хакеры могут заинтересоваться взломом и присвоить чужие деньги пользователей. Есть мысли?
- Хмм. А давайте обойдемся без обфускации и не будем шифровать sharedPreferences?
- Отличная идея! Повысьте этому чуваку зарплату!
- Итак, у нас самый популярный банк и миллионы пользуются нашими услугами. Хакеры могут заинтересоваться взломом и присвоить чужие деньги пользователей. Есть мысли?
- Хмм. А давайте обойдемся без обфускации и не будем шифровать sharedPreferences?
- Отличная идея! Повысьте этому чуваку зарплату!
BG
Надеюсь, то самое приложение - это не Каспи 🙂
В google play два с половиной приложений банков Казахстана.
BG
А нет, три с половиной
JM
В google play два с половиной приложений банков Казахстана.
Они наиболее популярные и подумал, что он бы сначала с них начал тестить приложения на уязвимость
BG
Они наиболее популярные и подумал, что он бы сначала с них начал тестить приложения на уязвимость
Другими банками настолько никто не пользуется, что нет смысла их тестить. По крайней мере в моем окружении.
ТР
В части шифирования и прочего согласен, но вопрос, как вы собрались взламывать без доступа к девайсу?
ТР
Прочитал статью
ТР
Страшилка для ребят которые в безопасности ни в зуб ногой. В целом приложение не самый интересный источник для поиска векторов атаки. Есть гораздо более интересные и действенные варианты.
AS
В части шифирования и прочего согласен, но вопрос, как вы собрались взламывать без доступа к девайсу?
1. я не собираюсь взламывать ;)
2. кому нужно достучаться до данных/денег, тот может и украсть устройство (на время/навсегда), я так это вижу)
2. кому нужно достучаться до данных/денег, тот может и украсть устройство (на время/навсегда), я так это вижу)
AS
Страшилка для ребят которые в безопасности ни в зуб ногой. В целом приложение не самый интересный источник для поиска векторов атаки. Есть гораздо более интересные и действенные варианты.
ок, давайте не будем защищать наши аппы)
AS
прошу заметить, что я не сравнивал атаку на моб аппу и на бэк, т.к нет в этом экспертизы. Кому-то статья может показаться наивной, но мне не понадобилось много времени, чтобы найти то, что я нашел. И, кстати, разработчики согласились, что это уязвимости :)
ТР
Я согласен что защищать нужно, но моя точка зрения заключается в следующем. 1) Личные данные пользователя достаточно просто найти в других источниках. 2) Забрать деньги из девайса скорее всего не получится, а если и так, то только потому что пользователь не заблокировал свои карточки. 3) В самом приложении вряд ли хранится из данных что то совсем уж критичное, так как на операции в любом случае будет 2х факторная авторизация. И последнее 4) Обфускация от реверс инжиниринга не спасет никак. Только слегка замедлит процесс.
ТР
В общем в банке взлом клиентской части не приведет ни к чему чтобы была возможность вывести деньги. Гораздо страшнее если дырявый бэк. Но тут ситуация получше будет