Многие клиенты сбербанка пользуются сервисом "Сбербанк онлайн" для управления своими финансами и платежами. У данного сервиса есть детище - приложение для iPad, имеющее похожее название - "Сбербанк ОнЛ@йн".

Сбербанк онлайн - дырка в приложении для iPad

В принципе, приложение "Сбербанк ОнЛ@йн" не плохое и довольно удобное. По сравнению с доступом через сайт к сервису "Сбербанк онлайн" гораздо проще реализована авторизация - нужно ввести только собственный пароль. Из минусов - немного ограниченный функционал и плохое сопряжение с сайтом по операциям: сервис кардинально разделяет операции, выполненные через сайт "Сбербанк онлайн" и приложение "Сбербанк ОнЛ@йн" для iPad.




Недавно была обнаружена "дырка" в приложении для iPad "Сбербанк ОнЛ@йн". Хоть и не критичная, но, тем не менее, не приятная с точки зрения пользователя данным сервисом.

Сбербанк онлайн - дырка в приложении для iPad

Запускаем приложение "Сбербанк ОнЛ@йн"

Сбербанк онлайн - дырка в приложении для iPad

Предположим, что нам не известен пароль для доступа к приложению "Сбербанк ОнЛ@йн". Но мы видим кнопку "Мои платежи" и попробуем на нее нажать без ввода пароля. Опа! Что-то происходит. Идет загрузка:

Сбербанк онлайн - дырка в приложении для iPad

В результате мы попадаем в личный кабинет пользователя данного приложения и видим не только его имя и отчество (закрашенные слова после фразы "Добрый день"), но и даже несколько активных пунктов меню приложения "Сбербанк ОнЛ@йн", один из которых - "Шаблоны":

Сбербанк онлайн - дырка в приложении для iPad




Если прокрутить меню вверх, то видим, что все основные пункты меню (Карты, Вклады и счета, Кредиты и др.) приложения "Сбербанк ОнЛ@йн" не активны:

Сбербанк онлайн - дырка в приложении для iPad

 

Тогда вернемся к шаблонам. Мы видим шаблон, ожидающий подтверждения "Перевод частному лицу", попробуем открыть его. Идет загрузка!

Сбербанк онлайн - дырка в приложении для iPad

 

В результате мы видим, что пользователь приложения "Сбербанк ОнЛ@йн" выполнял перевод денег на пластиковую карту другого человека (или свою) и сохранил эту операцию в шаблон:

Сбербанк онлайн - дырка в приложении для iPad

 

Попробуем повторить данную операцию. Выбираем счет списания, видно, что карта VISA Calassic доступна для выбора:

Сбербанк онлайн - дырка в приложении для iPad




Карта выбрана, таким образом, с этой выбранной карты можно перевести средства:

Сбербанк онлайн - дырка в приложении для iPad

 

В шаблоне сохранена сумма 1500 руб, уменьшим ее и переведем 1 рубль:

Сбербанк онлайн - дырка в приложении для iPad

 

Нажимаем кнопку "Перевести". Идет загрузка:

Сбербанк онлайн - дырка в приложении для iPad

 

Закрываем два окна с информационными сообщениями:

Сбербанк онлайн - дырка в приложении для iPad

 

Подтверждаем перевод денег в размере 1 рубль:

Сбербанк онлайн - дырка в приложении для iPad

 

Сбербанк онлайн - дырка в приложении для iPad

 

Рубль успешно переведен с карты пользователя приложения Сбербанк онлайн без его участия и ведома и без ввода пароля к приложению на счет, сохраненный в шаблоне пользователя:

Сбербанк онлайн - дырка в приложении для iPad

Это, конечно, не критичный глюк, но, тем не менее, я считаю, что банковские программные продукты должны быть более защищенные и без дыр.

Комментарии (0)

Здесь не опубликовано еще ни одного комментария

Оставьте свой комментарий

  1. Опубликовать комментарий как Гость.
0 Значки
Вложения (0 / 3)
Поделитесь своим местоположением

      Принцип работы flightradar24
      Принцип работы flightradar24

      Flightradar24© является следящей системой за полетами воздушных судов, отображающей в режиме реального времени воздушное движение всего мира. Для отображения воздушных поток Flightradar24 использует несколько источников информации: ADS-B, MLAT и FAA. Данные от ADS-B, MLAT и FAA объединяются с расписанием рейсов и информацией о статусах воздушных судов, получаемых от авиакомпаний и аэропортов, - все это выполняется в целях...




      Jeppesen FD PRO and JDM PRO
      Jeppesen FD PRO and JDM PRO

      Фирма Jeppesen в лице Kellie Isaac - руководителя отдела обновления баз данных анонсировала новое аэронавигационное приложение для iPad - Jeppesen FliteDeck PRO, работающую совместно с Jeppesen Distribution Manager Pro (JDM Pro). Jeppesen FliteDeck Pro ориентирован на коммерческих и военных эксплуатантов ВС. Частная и бизнес авиация радостно использует обычную версию Jeppesen Mobile FliteDeck.




      Программа для офисного бездельника
      Программа для офисного бездельника

      "Ура!" - воскликнут дружно все офисные лодыри и бездельники. Ведь для них создана специальная программа для имитации бурной деятельности (ИБД). То есть теперь можно, запустив эту программу, сидеть перед компьютером и ничего не делать. Отмазка по поводу безделья есть: "Осуществляется важный процесс, который нельзя прерывать!".




      Синий экран смерти (Blue Screen of Death)
      Синий экран смерти (Blue Screen of Death)

      Синий экран XP (по терминологии Blue Screen of Death - "синий экран смерти", он же BSoD)- это метод генерации сообщения о фатальной ошибке в операционных системах Windows NT 4.0, Windows 2000, Windows 2003, Windows XP или Windows Vista, вызванной нарушениями в работе некоторых программ, чаще из-за аппаратных сбоев компьютера. Синий экран XP или по другому STOP-ошибка (от слова STOP -...




      Ненадежный корпоративный разработчик
      Ненадежный корпоративный разработчик

      Если iOS-приложение было скомпилировано с использованием сертификата и профиля Enterprise-разработчика (учетная запись за 299$ в год), то при установке на не корпоративное (личное) устройство может возникнуть ошибка - при первом запуске операционная система не даст приложению работать и отобразит сообщение: Если такое приложение устанавливать на корпоративные устройства, которые являются...




      Сертификат безопасности аккумулятора Apple iPad
      Сертификат безопасности аккумулятора Apple iPad

      Планшеты iPad имеют усовершенствованный литий-полимерный аккумулятор, который обеспечивает до десяти часов работы*. Кроме требования длительного времени функционирования аккумулятор для iPad батарей был разработан в соответствии с международными стандартами техники безопасности.




      Идентификаторы применения в УПД
      Идентификаторы применения в УПД

      При передаче товаров, подлежащих маркировке, в универсальном передаточном документе (УПД), кроме стандартной бухгалтерской информации о контрагентах, товаре, цене, количестве и пр..., должны фигурировать коды маркировки данных товаров. Но все так просто - эти коды должны быть только в УПД в формате XML, в печатном PDF-файле их не должно быть.



Яндекс.Метрика
Сайт работает на быстром VPS/VDS хостинге от FASTVPS