Многие клиенты сбербанка пользуются сервисом "Сбербанк онлайн" для управления своими финансами и платежами. У данного сервиса есть детище - приложение для iPad, имеющее похожее название - "Сбербанк ОнЛ@йн".

Сбербанк онлайн - дырка в приложении для iPad

В принципе, приложение "Сбербанк ОнЛ@йн" не плохое и довольно удобное. По сравнению с доступом через сайт к сервису "Сбербанк онлайн" гораздо проще реализована авторизация - нужно ввести только собственный пароль. Из минусов - немного ограниченный функционал и плохое сопряжение с сайтом по операциям: сервис кардинально разделяет операции, выполненные через сайт "Сбербанк онлайн" и приложение "Сбербанк ОнЛ@йн" для iPad.




Недавно была обнаружена "дырка" в приложении для iPad "Сбербанк ОнЛ@йн". Хоть и не критичная, но, тем не менее, не приятная с точки зрения пользователя данным сервисом.

Сбербанк онлайн - дырка в приложении для iPad

Запускаем приложение "Сбербанк ОнЛ@йн"

Сбербанк онлайн - дырка в приложении для iPad

Предположим, что нам не известен пароль для доступа к приложению "Сбербанк ОнЛ@йн". Но мы видим кнопку "Мои платежи" и попробуем на нее нажать без ввода пароля. Опа! Что-то происходит. Идет загрузка:

Сбербанк онлайн - дырка в приложении для iPad

В результате мы попадаем в личный кабинет пользователя данного приложения и видим не только его имя и отчество (закрашенные слова после фразы "Добрый день"), но и даже несколько активных пунктов меню приложения "Сбербанк ОнЛ@йн", один из которых - "Шаблоны":

Сбербанк онлайн - дырка в приложении для iPad




Если прокрутить меню вверх, то видим, что все основные пункты меню (Карты, Вклады и счета, Кредиты и др.) приложения "Сбербанк ОнЛ@йн" не активны:

Сбербанк онлайн - дырка в приложении для iPad

 

Тогда вернемся к шаблонам. Мы видим шаблон, ожидающий подтверждения "Перевод частному лицу", попробуем открыть его. Идет загрузка!

Сбербанк онлайн - дырка в приложении для iPad

 

В результате мы видим, что пользователь приложения "Сбербанк ОнЛ@йн" выполнял перевод денег на пластиковую карту другого человека (или свою) и сохранил эту операцию в шаблон:

Сбербанк онлайн - дырка в приложении для iPad

 

Попробуем повторить данную операцию. Выбираем счет списания, видно, что карта VISA Calassic доступна для выбора:

Сбербанк онлайн - дырка в приложении для iPad




Карта выбрана, таким образом, с этой выбранной карты можно перевести средства:

Сбербанк онлайн - дырка в приложении для iPad

 

В шаблоне сохранена сумма 1500 руб, уменьшим ее и переведем 1 рубль:

Сбербанк онлайн - дырка в приложении для iPad

 

Нажимаем кнопку "Перевести". Идет загрузка:

Сбербанк онлайн - дырка в приложении для iPad

 

Закрываем два окна с информационными сообщениями:

Сбербанк онлайн - дырка в приложении для iPad

 

Подтверждаем перевод денег в размере 1 рубль:

Сбербанк онлайн - дырка в приложении для iPad

 

Сбербанк онлайн - дырка в приложении для iPad

 

Рубль успешно переведен с карты пользователя приложения Сбербанк онлайн без его участия и ведома и без ввода пароля к приложению на счет, сохраненный в шаблоне пользователя:

Сбербанк онлайн - дырка в приложении для iPad

Это, конечно, не критичный глюк, но, тем не менее, я считаю, что банковские программные продукты должны быть более защищенные и без дыр.

Комментарии (0)

Здесь не опубликовано еще ни одного комментария

Оставьте свой комментарий

  1. Опубликовать комментарий как Гость.
0 Значки
Вложения (0 / 3)
Поделитесь своим местоположением

      Python - сумма всех четных из массива случайных чисел
      Python - сумма всех четных из массива случайных чисел

      В школе на информатике в 9 классе детям преподают Python! Вообще, это классно и лучше всяких бейсиков, фортранов и паскалей. Главное, чтобы преподаватель мог хорошо объяснить и заинтересовать детей в программировании. Соответственно, родителям приходится разбираться с домашними и самостоятельными работами по программированию:)




      Снежное и ледяное покрытие ВПП и рулёжек - кодировка в NOTAM Японии
      Снежное и ледяное покрытие ВПП и рулёжек - кодировка в NOTAM Японии

      Состояние ВПП и рулёжных дорожек, перрона по степени их покрытия снегом и льдом, наличие сугробов, а также коэффициент сцепления подробно описывается в японских НОТАМ в виде буквенно-цифровых кодов.




      Advego Plagiatus - проверка уникальности текстов
      Advego Plagiatus - проверка уникальности текстов

      Advego Plagiatus - замечательная программа с интуитивно понятным интерфейсом, предназначенная для поиска в Интернете частичных или полных копий текста. Например, написал ты статью - а, оказывается, она уже давным-давно размещена в Интернете на каком-то сайте и написана практически такими же словами :) И, так вот, чтобы не ударить "грязью в лицо", статью эту нужно предварительно проверить на...




      Microsoft Word предсказал терракт 11 сентября!
      Microsoft Word предсказал терракт 11 сентября!

      11 сентября 2001 года два гражданских самолета врезались в башни Всемирного торгового центра в Нью Йорке. После чего башни-близнецы загорелись и через несколько часов рухнули, полностью развалившись на части... Одни (в том числе и американское правительство) считают Алькаиду виновной в этом терракте, другие подозревают в случившемся диверсию американской власти и американских спецслужб...




      Apple iOS 11 не поддерживает 32-битные приложения
      Apple iOS 11 не поддерживает 32-битные приложения

      В июне 2017 прошла всемирная конференция для разработчиков на платформах Apple (WWDC - Apple Worldwide Developers Conference) на которой было официально заявлено со стороны Apple, что, операционные системы macOS High Sierra и iOS 11 все последующие за ними не будут поддерживать 32-битные программные приложения. Таким образом, на компьютеры Mac с операционной системой macOS High Sierra и на планшеты...




      Специализированные DOZORные программы
      Специализированные DOZORные программы

      У каждой команды, которая играет в DOZOR должен быть штаб. Обычно штаб размещается в квартире или в доме одного из игроков команды, иногда на работе одного или нескольких игроков. Второе - сложнее, т.к. при этом надо быть в очень хороших отношениях с начальством или быть этим самым начальством! :) Помимо стандартного обеспечения компьютерами, Интернетом, кофе, чаем, пивом и другими необходимыми полезностями и...




      Шезлонг Ларри или Мечты сбываются
      Шезлонг Ларри или Мечты сбываются

      В 1982 году Ларри Уолтерс, пенсионер из Лос-Анджелеса решил осуществить давнюю мечту - полететь, но не на самолете. Он изобрел собственный способ путешествовать по воздуху. Уолтерс привязал к удобному креслу сорок пять метеорологических шаров, наполненных гелием, каждый из которых имел метр в диаметре. Он уселся в кресло, взяв запас бутербродов, пиво и дробовик. По сигналу, его друзья отвязали веревку,...



Яндекс.Метрика