В "Сбербанке Онлайн" найдена "ахиллесова пята" (Эксперты разглядели серьезную уязвимость)

отметили
28
человек
в архиве
В "Сбербанке Онлайн" найдена "ахиллесова пята" (Эксперты разглядели серьезную уязвимость)

Серьезная уязвимость была обнаружена в «Сбербанке Онлайн». Оказалось, что с помощью сервиса можно перехватить данные клиентов и украсть их денежные средства.

Как отметил эксперт Олег Калабухин, в систему «Сбербанка Онлайн» внедрены сторонние приложения и счетчики, которые имеют доступ к личной информации клиентов. Эти приложения, по его словам, считывают пароли, логины и контактную информацию клиента банка.

Помимо этого, скрипты, которые действуют для того, чтобы фиксировать переход клиентов между страницам, возможно подменить на фишинговые. Эксперт посоветовал включать блокировщик рекламы, который частично защитит от утечки информации.

Добавил Никандрович Никандрович 31 Мая 2017
Комментарии участников:
В.В.Путин
+4
В.В.Путин, 31 Мая 2017 , url

А чтобы включить блокировщик рекламы — нужен рут.
А если рут, то Сбербанк.Онлайн работает в режиме readonly и платежи по шаблонам.
Замкнутый круг

unknown1
+3
unknown1, 31 Мая 2017 , url

Мне кажется, что тут имеет ввиду веб-версия сервиса, а не мобильная.

openid.mail.ru-inbox-setonfire
+3
openid.mail.ru-inbox-setonfire [вечный бан], 31 Мая 2017 , url
Комментарий удален
oleg_ws
+2
oleg_ws, 31 Мая 2017 , url

Не похоже. В вэб-версию, что бы вклинится, нужно сервер сбербанка взламывать. А если на стороне клинета, то эксперты говорили бы не «приложения», «троянец».

Судя по источнику, автор особо и не петрит в этих вопросах, а просто сделал тупой рерайт из какого-то другого источника.

В.В.Путин
+2
В.В.Путин, 31 Мая 2017 , url

Там могло получаться, что все данные передавапись в GET и уходили в сторонние сервисы в виде реферера. В частности могла передаваться сессия (токен и т.п.) использовав которую можно было подменять запросы. Но это все теория.
Вроде иных явных причин для этого нет.

oleg_ws
+1
oleg_ws, 1 Июня 2017 , url

GET может уйти не туда только лишь в том сулчае, если TCP-соединение ушло на подменный IP — а это уже на уровне настроек DNS у клиента (или hosts), куда в машине резолвится домен. Это — троянец. В крайнем случае — подмена на промежуточном маршрутизаторе — но это уже подлянки провайдера. Мало вероятно.

А реферер роли не играет — ну передасться на сервер url предыдущего просмотра и что?

Если менять на самой странице в js или в тэге form — это или троянец или вскрытие на сервере.

Перехватить то, что посылается — это значит где-то синфер стоит — или опыть троянец или где-то по маршруту. По маршруту вряд ли, так как передается по ssl/tsl

В.В.Путин
+1
В.В.Путин, 1 Июня 2017 , url

Я имел ввиду, что банковская страница открывается через GET допустим с токеном. На ней, например есть баннер, который подгружается со стороннего сервиса. Так в логи стороннего сервиса, откуда баннер, попадает url банковской страницы в виде реферера. Ну и токен там можно увидеть получается.

oleg_ws
+1
oleg_ws, 1 Июня 2017 , url

Обмен токенами обычно идет, когда задействованы 3 стороны: клиент-интернет-магазин-платежная система. И то не для всех платежных систем. Например при платеже через Яндекс.Деньги — там между Интернет-магазином и Яндекс.Деньгами идет обмен информацией с подтверждением через токены. А при платеже через Вэб-мани там совсем другой механизм. А здесь вроде подтверждение идет через код, передаваемый по СМС и задействованы 2 стороны

unknown1
-1
unknown1, 1 Июня 2017 , url

Во-первых, говорится, что бреш в системе, а не приложении,

Во-вторых, говорится, что в эту систему внедрены сторонние приложения и счетчики, в мобильной версии их нет.

В-третьих, "… скрипты, которые действуют для того, чтобы фиксировать переход клиентов между страницам...".

В совокупности, можно сделать вывод, что имеется ввиду именно браузерная версия. Уязвимость так себе, т.к. сторонний «виджет», всегда является слабым звеном. Решается тщательной модерацией этих виджетов и сторонних разработчиков.

oleg_ws
+1
oleg_ws, 1 Июня 2017 , url

И где же это у меня на компе система «Сбербанк Онлайн»????

Нет такой системы для компа пользователя! И если система на компе, то причем тут браузер??? Если бы была через браузер, то это был бы плагин к браузеру, но о таких что-то не слышно.

Так что система — это скорее всего назвали связку сервер Сбера — моблиьное приложение.

А вообще — тут автор так изначальный текст испоганил, что хрен что поймешь, что имелось на самом деле

unknown1
-1
unknown1, 2 Июня 2017 , url

Нормально он написал. Просто нужно быть хоть немного, хоть чуть-чуть в теме.

oleg_ws
0
oleg_ws, 2 Июня 2017 , url

Это ты не в теме. Да и тот, на кого ссылается тоже ерунду написал о подмене. Без троянца у пользователя или вскрытия серверов сбера, гугла или яндекса там хрен подменешь чего. А при таком раскладе такой огород по таким подменам вообще городить смысла нет.

А тут вообще все напутано.

Я все сказал. Разговор окончен

unknown1
-2
unknown1, 2 Июня 2017 , url

Ну ты и долбаёб… Там чётко написано «скрипты, которые действуют для того, чтобы фиксировать переход клиентов между страницам, возможно подменить на фишинговые».

Что уже говорит о вирусне, который подменяет DNS записи (например через hosts).

Статья написана грамотно, только без сухих подробностей, интересных только айтишникам.

oleg_ws
+2
oleg_ws, 1 Июня 2017 , url

p.s.

Прочитал более вменяемую заметку  об этой уязвимости. Судя по всему там некий блогер переживают за яндексовские и гугловские счетчики. Ну считываются они с сайтов Яндекса и Гугла. Ну так про подобный варинат писал, правда немного для другого случая

GET может уйти не туда только лишь в том сулчае, если TCP-соединение ушло на подменный IP — а это уже на уровне настроек DNS у клиента (или hosts), куда в машине резолвится домен. Это — троянец. В крайнем случае — подмена на промежуточном маршрутизаторе — но это уже подлянки провайдера. Мало вероятно



Войдите или станьте участником, чтобы комментировать