Авторизация


 

Сбербанк онлайн - дырка в приложении для iPad

Многие клиенты сбербанка пользуются сервисом "Сбербанк онлайн" для управления своими финансами и платежами. У данного сервиса есть детище - приложение для iPad, имеющее похожее название - "Сбербанк ОнЛ@йн".

 

В принципе, приложение "Сбербанк ОнЛ@йн" не плохое и довольно удобное. По сравнению с доступом через сайт к сервису "Сбербанк онлайн" гораздо проще реализована авторизация - нужно ввести только собственный пароль. Из минусов - немного ограниченный функционал и плохое сопряжение с сайтом по операциям: сервис кардинально разделяет операции, выполненные через сайт "Сбербанк онлайн" и приложение "Сбербанк ОнЛ@йн" для iPad.

 

Недавно была обнаружена "дырка" в приложении для iPad "Сбербанк ОнЛ@йн". Хоть и не критичная, но, тем не менее, не приятная с точки зрения пользователя данным сервисом.





Сбербанк онлайн - дырка в приложении для iPad

 

Запускаем приложение "Сбербанк ОнЛ@йн"

Сбербанк онлайн - дырка в приложении для iPad

 

Предположим, что нам не известен пароль для доступа к приложению "Сбербанк ОнЛ@йн". Но мы видим кнопку "Мои платежи" и попробуем на нее нажать без ввода пароля. Опа! Что-то происходит. Идет загрузка:

 

Сбербанк онлайн - дырка в приложении для iPad

 

В результате мы попадаем в личный кабинет пользователя данного приложения и видим не только его имя и отчество (закрашенные слова после фразы "Добрый день"), но и даже несколько активных пунктов меню приложения "Сбербанк ОнЛ@йн", один из которых - "Шаблоны":

 

Сбербанк онлайн - дырка в приложении для iPad




Если прокрутить меню вверх, то видим, что все основные пункты меню (Карты, Вклады и счета, Кредиты и др.) приложения "Сбербанк ОнЛ@йн" не активны:

 

Сбербанк онлайн - дырка в приложении для iPad

 

Тогда вернемся к шаблонам. Мы видим шаблон, ожидающий подтверждения "Перевод частному лицу", попробуем открыть его. Идет загрузка!

 

Сбербанк онлайн - дырка в приложении для iPad

 

В результате мы видим, что пользователь приложения "Сбербанк ОнЛ@йн" выполнял перевод денег на пластиковую карту другого человека (или свою) и сохранил эту операцию в шаблон:

 

Сбербанк онлайн - дырка в приложении для iPad

 

Попробуем повторить данную операцию. Выбираем счет списания, видно, что карта VISA  Calassic доступна для выбора:

 

Сбербанк онлайн - дырка в приложении для iPad




Карта выбрана, таким образом, с этой выбранной карты можно перевести средства:

 

Сбербанк онлайн - дырка в приложении для iPad

 

В шаблоне сохранена сумма 1500 руб, уменьшим ее и переведем 1 рубль:

 

Сбербанк онлайн - дырка в приложении для iPad

 

Нажимаем кнопку "Перевести". Идет загрузка:

 

Сбербанк онлайн - дырка в приложении для iPad

 

Закрываем два окна с информационными сообщениями:

 

Сбербанк онлайн - дырка в приложении для iPad

 

Подтверждаем перевод денег в размере 1 рубль:

 

Сбербанк онлайн - дырка в приложении для iPad

 

Сбербанк онлайн - дырка в приложении для iPad

 

Рубль успешно переведен с карты пользователя приложения Сбербанк онлайн без его участия и ведома и без ввода пароля к приложению на счет, сохраненный в шаблоне пользователя:

 

Сбербанк онлайн - дырка в приложении для iPad

 

Это, конечно, не критичный глюк, но, тем не менее, я считаю, что банковские программные продукты должны быть более защищенные и без дыр.



Вконтакте
Facebook
Яндекс.Метрика