Многие клиенты сбербанка пользуются сервисом "Сбербанк онлайн" для управления своими финансами и платежами. У данного сервиса есть детище - приложение для iPad, имеющее похожее название - "Сбербанк ОнЛ@йн".

Сбербанк онлайн - дырка в приложении для iPad

В принципе, приложение "Сбербанк ОнЛ@йн" не плохое и довольно удобное. По сравнению с доступом через сайт к сервису "Сбербанк онлайн" гораздо проще реализована авторизация - нужно ввести только собственный пароль. Из минусов - немного ограниченный функционал и плохое сопряжение с сайтом по операциям: сервис кардинально разделяет операции, выполненные через сайт "Сбербанк онлайн" и приложение "Сбербанк ОнЛ@йн" для iPad.




Недавно была обнаружена "дырка" в приложении для iPad "Сбербанк ОнЛ@йн". Хоть и не критичная, но, тем не менее, не приятная с точки зрения пользователя данным сервисом.

Сбербанк онлайн - дырка в приложении для iPad

Запускаем приложение "Сбербанк ОнЛ@йн"

Сбербанк онлайн - дырка в приложении для iPad

Предположим, что нам не известен пароль для доступа к приложению "Сбербанк ОнЛ@йн". Но мы видим кнопку "Мои платежи" и попробуем на нее нажать без ввода пароля. Опа! Что-то происходит. Идет загрузка:

Сбербанк онлайн - дырка в приложении для iPad

В результате мы попадаем в личный кабинет пользователя данного приложения и видим не только его имя и отчество (закрашенные слова после фразы "Добрый день"), но и даже несколько активных пунктов меню приложения "Сбербанк ОнЛ@йн", один из которых - "Шаблоны":

Сбербанк онлайн - дырка в приложении для iPad




Если прокрутить меню вверх, то видим, что все основные пункты меню (Карты, Вклады и счета, Кредиты и др.) приложения "Сбербанк ОнЛ@йн" не активны:

Сбербанк онлайн - дырка в приложении для iPad

 

Тогда вернемся к шаблонам. Мы видим шаблон, ожидающий подтверждения "Перевод частному лицу", попробуем открыть его. Идет загрузка!

Сбербанк онлайн - дырка в приложении для iPad

 

В результате мы видим, что пользователь приложения "Сбербанк ОнЛ@йн" выполнял перевод денег на пластиковую карту другого человека (или свою) и сохранил эту операцию в шаблон:

Сбербанк онлайн - дырка в приложении для iPad

 

Попробуем повторить данную операцию. Выбираем счет списания, видно, что карта VISA Calassic доступна для выбора:

Сбербанк онлайн - дырка в приложении для iPad




Карта выбрана, таким образом, с этой выбранной карты можно перевести средства:

Сбербанк онлайн - дырка в приложении для iPad

 

В шаблоне сохранена сумма 1500 руб, уменьшим ее и переведем 1 рубль:

Сбербанк онлайн - дырка в приложении для iPad

 

Нажимаем кнопку "Перевести". Идет загрузка:

Сбербанк онлайн - дырка в приложении для iPad

 

Закрываем два окна с информационными сообщениями:

Сбербанк онлайн - дырка в приложении для iPad

 

Подтверждаем перевод денег в размере 1 рубль:

Сбербанк онлайн - дырка в приложении для iPad

 

Сбербанк онлайн - дырка в приложении для iPad

 

Рубль успешно переведен с карты пользователя приложения Сбербанк онлайн без его участия и ведома и без ввода пароля к приложению на счет, сохраненный в шаблоне пользователя:

Сбербанк онлайн - дырка в приложении для iPad

Это, конечно, не критичный глюк, но, тем не менее, я считаю, что банковские программные продукты должны быть более защищенные и без дыр.

Комментарии (0)

Здесь не опубликовано еще ни одного комментария

Оставьте свой комментарий

  1. Опубликовать комментарий как Гость.
0 Значки
Вложения (0 / 3)
Поделитесь своим местоположением

      Сертификат безопасности аккумулятора Apple iPad
      Сертификат безопасности аккумулятора Apple iPad

      Планшеты iPad имеют усовершенствованный литий-полимерный аккумулятор, который обеспечивает до десяти часов работы*. Кроме требования длительного времени функционирования аккумулятор для iPad батарей был разработан в соответствии с международными стандартами техники безопасности.




      Сравнение PDF-файлов
      Сравнение PDF-файлов

      Существует множество программ для сравнения текстовых файлов типа TXT, DOC и т.п. Такие программы могут легко сравнить два файла и отобразить в отчете все различия: что было удалено, что было добавлено, а что не было отредактировано и осталось без изменения. Программами для сравнения файлов часто пользуются программисты, составители различных инструкций, ТЗ и др. документации, которым приходится периодически...




      301 редирект страницы с параметром с помощью .htaccess
      301 редирект страницы с параметром с помощью .htaccess

      В интернете написано много примеров, как настроить с помощью файла .htaccess переадресацию с одной конкретной страницы сайта на другую, с нескольких страниц на одну, с WWW на без WWW, с HTTP на HTTPS и др. Но нормальных примеров для 301 редиректа с использованием страниц, имеющих параметры, не удалось найти. Как-то просматривая логи сайта https://skalolaskovy.ru, были обнаружены левые попытки авторизации...




      Как убрать оперу из трея
      Как убрать оперу из трея

      Хоть браузер Опера - гавно, некоторые пользователи сети Интернет им все равно пользуются, в том числе и я. Иногда. Когда проверяю как себя ведет какой-нибудь сайт или скрипт в различных браузерах. В этом случае проверка осуществляется на максимально возможном количестве браузеров: Mozilla Firefox, Chrome, Opera, Safari, Internet Explorer.




      Как создать корзину на флэшке
      Как создать корзину на флэшке

      Как известно, по умолчанию корзина Windows создается только на жестких дисках (HDD), на флэшках ее нет. Поэтому, случайно удалив что-нибудь на флешке, для восстановления приходится прибегать к помощи специальных реанимационных программ. Иногда, правда в результате воздействия вирусов на флэшках может появиться визуально похожий на Корзину объект, но это - не настоящая корзина, и в ней кроме вирусов...




      Снежное и ледяное покрытие ВПП и рулёжек - кодировка в NOTAM Японии
      Снежное и ледяное покрытие ВПП и рулёжек - кодировка в NOTAM Японии

      Состояние ВПП и рулёжных дорожек, перрона по степени их покрытия снегом и льдом, наличие сугробов, а также коэффициент сцепления подробно описывается в японских НОТАМ в виде буквенно-цифровых кодов.




      В скайпе вирус
      В скайпе вирус

      В мае 2011 года компания Microsoft купила Skype. Многие пользователи этой программы не особо были рады этому событию, некоторые из них громко сказали "Фу!" Но, тем не менее, я лично не знаю ни одного человека, который перестал пользоваться программой Skype после смены владельца.



Яндекс.Метрика