Многие клиенты сбербанка пользуются сервисом "Сбербанк онлайн" для управления своими финансами и платежами. У данного сервиса есть детище - приложение для iPad, имеющее похожее название - "Сбербанк ОнЛ@йн".

Сбербанк онлайн - дырка в приложении для iPad

В принципе, приложение "Сбербанк ОнЛ@йн" не плохое и довольно удобное. По сравнению с доступом через сайт к сервису "Сбербанк онлайн" гораздо проще реализована авторизация - нужно ввести только собственный пароль. Из минусов - немного ограниченный функционал и плохое сопряжение с сайтом по операциям: сервис кардинально разделяет операции, выполненные через сайт "Сбербанк онлайн" и приложение "Сбербанк ОнЛ@йн" для iPad.




Недавно была обнаружена "дырка" в приложении для iPad "Сбербанк ОнЛ@йн". Хоть и не критичная, но, тем не менее, не приятная с точки зрения пользователя данным сервисом.

Сбербанк онлайн - дырка в приложении для iPad

Запускаем приложение "Сбербанк ОнЛ@йн"

Сбербанк онлайн - дырка в приложении для iPad

Предположим, что нам не известен пароль для доступа к приложению "Сбербанк ОнЛ@йн". Но мы видим кнопку "Мои платежи" и попробуем на нее нажать без ввода пароля. Опа! Что-то происходит. Идет загрузка:

Сбербанк онлайн - дырка в приложении для iPad

В результате мы попадаем в личный кабинет пользователя данного приложения и видим не только его имя и отчество (закрашенные слова после фразы "Добрый день"), но и даже несколько активных пунктов меню приложения "Сбербанк ОнЛ@йн", один из которых - "Шаблоны":

Сбербанк онлайн - дырка в приложении для iPad




Если прокрутить меню вверх, то видим, что все основные пункты меню (Карты, Вклады и счета, Кредиты и др.) приложения "Сбербанк ОнЛ@йн" не активны:

Сбербанк онлайн - дырка в приложении для iPad

 

Тогда вернемся к шаблонам. Мы видим шаблон, ожидающий подтверждения "Перевод частному лицу", попробуем открыть его. Идет загрузка!

Сбербанк онлайн - дырка в приложении для iPad

 

В результате мы видим, что пользователь приложения "Сбербанк ОнЛ@йн" выполнял перевод денег на пластиковую карту другого человека (или свою) и сохранил эту операцию в шаблон:

Сбербанк онлайн - дырка в приложении для iPad

 

Попробуем повторить данную операцию. Выбираем счет списания, видно, что карта VISA Calassic доступна для выбора:

Сбербанк онлайн - дырка в приложении для iPad




Карта выбрана, таким образом, с этой выбранной карты можно перевести средства:

Сбербанк онлайн - дырка в приложении для iPad

 

В шаблоне сохранена сумма 1500 руб, уменьшим ее и переведем 1 рубль:

Сбербанк онлайн - дырка в приложении для iPad

 

Нажимаем кнопку "Перевести". Идет загрузка:

Сбербанк онлайн - дырка в приложении для iPad

 

Закрываем два окна с информационными сообщениями:

Сбербанк онлайн - дырка в приложении для iPad

 

Подтверждаем перевод денег в размере 1 рубль:

Сбербанк онлайн - дырка в приложении для iPad

 

Сбербанк онлайн - дырка в приложении для iPad

 

Рубль успешно переведен с карты пользователя приложения Сбербанк онлайн без его участия и ведома и без ввода пароля к приложению на счет, сохраненный в шаблоне пользователя:

Сбербанк онлайн - дырка в приложении для iPad

Это, конечно, не критичный глюк, но, тем не менее, я считаю, что банковские программные продукты должны быть более защищенные и без дыр.

Комментарии (0)

Здесь не опубликовано еще ни одного комментария

Оставьте свой комментарий

  1. Опубликовать комментарий как Гость.
0 Значки
Вложения (0 / 3)
Поделитесь своим местоположением

      Как показать скрытые папки и файлы в Mac OS
      Как показать скрытые папки и файлы в Mac OS

      По умолчанию скрытые папки и файлы операционной системе Mac OS не отображаются. Они, в принципе, и не нужны чаще всего пользователям, и могут понадобиться далеко не каждому маководу, и уж точно не каждый день. Вариантов для отображения скрытых папок и файлов на МАКе несколько: Один раз посмотреть, после закрытия папки при возврате в нее скрытые файлы снова станут не видимыми; Включить постоянное отображение скрытых папок и...




      Кодовое обозначение аэродрома
      Кодовое обозначение аэродрома

      Кодовое обозначение аэродрома (aerodrome reference code) было придумано для того, чтобы упростить сопоставление многочисленных требований к характеристикам аэродромов в целях обеспечения соответствия ряда аэродромных сооружений, оборудования и средств тем типам самолетов, которые предназначены для эксплуатации на данном аэродроме. Термин "Кодовое обозначения аэродрома" (Aerodrome reference...




      Как учить авиационный английский
      Как учить авиационный английский

      Кому-то иностранные языки даются легко, кому-то не очень. Но мировая тенденция популяризации английского языка наблюдается уже довольно давно. Англичане по идее должны гордиться, что их язык выбран в качестве основного иностранного языка, который изучают по умолчанию. Не смотря на то, что официальными языками ИКАО являются в том числе и немецкий, французский и даже русский языки и другие..., фразеология...




      Выполнение полетов без бумаги
      Выполнение полетов без бумаги

      Настал тот день, когда в кабине летного экипажа все чаще используется электронная система отображения данных, известная как электронная система бортовой документации (Electronic Flight Bags - EFBs). Однако вместе с этим Система донесений о безопасности полетов (ASRS) все чаще получает отчеты об инцидентах, происходящих при использовании данных безбумажных технологий. Аппаратное обеспечение EFB...




      Как узнать IP-адрес сайта
      Как узнать IP-адрес сайта

      В сети интернет есть несколько сервисов, которые могут сообщить IP-адрес сайта. Зачастую, эти сайты кроме ввода имени домена требуют ввести капчу, иногда имя и адрес электронной почты... - вот такая бюрократия! Для того, чтобы определить IP-адрес DNS-сервера, к которому относится сайт, точнее его доменное имя, и без ввода всяких дополнительных даных, существует несколько способов. Самый простой - это через...




      Отключить надпись «Это соединение не защищено...» в Firefox
      Отключить надпись «Это соединение не защищено...» в Firefox

      Некогда любимая многими рыжая лисичка по имени Mozilla Firefox в быстротечном процессе развития дообновлялась аж до версии № 52 и... в очередной раз слегка деградировала :( И теперь Firefox не только жрет оперативную память и отсылает куда-то отчеты по активности пользователей, но и по умолчанию отображает при попытке ввода паролей на сайтах страшную надпись: «Это соединение не защищено. Логины,...




      Python - FizzBuzz
      Python - FizzBuzz

      Один программист при устройстве на работу получил задание - написать программу, которая выводит на экран числа от 1 до 100. При этом вместо чисел, кратных трем, программа должна выводить слово «Fizz», а вместо чисел, кратных пяти — слово «Buzz». Если число кратно и 3, и 5, то программа должна выводить слово «FizzBuzz».



Яндекс.Метрика