Обнаружил уязвимость в безопасности приложения «Альфа-Банка»
Обладатели «Альфа-Карт» заметили, что теперь в приложении предлагается создать статичный пин-код для незначительных действий.
Обладатели «Альфа-Карт» заметили, что теперь в приложении предлагается создать статичный пин-код для незначительных действий.
Странно, альфа писала, что в течение суток обещали не давать доступ в приложение новым устройствам. Сам по себе один пароль на подтверждение транзакций вместо генерируемых гсч паролей на каждую транзакцию - это уже дырень в безопасности.
В любом случае альфа скажет, что код введен, разглашать его нельзя, сам юзер виноват.
Запретить банку давать доступ приложения альфы к счетам невозможно. И если кредитная история у вас хорошая, то зная ваш код мошенник прекрасно может взять кредит прямо в приложении на ваше имя, и перевести куда хочет. Тут вообще нет безопасности, но и в госбанки не охота бабло нести, а других крупных нет))
В чем "дырень"? Если мошенник клонирует сим-карту или уводит пришедшие коды вредоносным софтом, то при помощи них он бабки и уводит. Что в последнее время часто происходит. Дополнительное подтверждение кодом, который не генерируется и не может быть определен никаким способом, кроме разглашения самим пользователем - только плюс.
Если устройство новое, то на нем будут ограничения лимитов + все транзакции в рамках некоторого времени будут подтверждаться смс (не пуш), которое вам придёт на сим карту, предварительно по которой будет проверен имси.
В целом, правильно в хату заходить с вектором атаки, если у вас сомнения в защищенности приложения, на основе вектора строить гипотезы, как можно улучшить и есть ли в этом необходимость.