ОКО ПЛАНЕТЫ > Хроника необычного > Британский эксперт по безопасности продемонстрировал, как любой желающий может взломать банковское приложение при помощи бесплатных программ из Интернет

Британский эксперт по безопасности продемонстрировал, как любой желающий может взломать банковское приложение при помощи бесплатных программ из Интернет


23-05-2014, 16:29. Разместил: Редакция ОКО ПЛАНЕТЫ

 

Источник перевод для gearmix ()

 

 

Добрая половина из нас теперь использует смартфоны для осуществления платежей и проверки банковских балансов в Интернете.

 

510_1004_pb_pr_pressebilder_online_0911_ChipTAN1_5

 

Конечно, банковские приложения включают ряд мер безопасности — двухступенчатую систему аутентификации паролей и PIN-кодов – но, к сожалению, даже они не гарантируют защиту ваших денег.

 

Эксперт по мобильной безопасности раскрыл в статье для MailOnline, как эти банковские приложения могут быть взломаны с помощью бесплатных программ, доступных в Интернете — и для этого хакерам вообще не требуются данные пользователя для входа в аккаунт.

 

Уинстон Бонд, технический менеджер из компании Arxan Technologies для  выделения рисков разработал фиктивное банковское приложение и успешно подключил его к внешнему серверу.

 

article-2636160-1E19D30400000578-418_634x303

 

При этом он использовал средства отладки программ, воспользовавшись «дырами» в исходном двоичном коде, куда и вставил команды перехода на фиктивное банковское приложение.

 

article-2636160-1E19D2FD00000578-595_634x286

 

Исходный код открывает хакерам, как пошагово работает приложение, необходимое для выполнения определённых задач, а также сведения о структуре приложения.

 

Хакеры способны манипулировать этим исходным кодом, добавляя строки команд, выгружающих малверное приложение на внешний сервер.

 

Более сложные коды используются для создания правил — например, что каждый раз, когда платежное поручение выполняется, то же самое количество денег отправляется на счёт хакера.

 

Продвинутые хакеры могут так изменить код, чтобы убрать эти изменения из основной программы, поэтому программа будет предполагать, что всё работает как надо.

 

После того, как были сделаны эти изменения, отредактированный код загружается обратно на сервер компании.

 

И, как описал Уинстон Бонд, все эти шаги могут быть выполнены с помощью инструментов, свободно доступных в Интернете.

 

Во время демонстрации журналистам он успешно осуществил все эти действия и даже получил средства на свой фиктивный счёт.


Вернуться назад