Как сообщил исследователь информационной безопасности Сатья Пракаш, осенью минувшего года он выявил критические уязвимости в приложении одного из самых крупных индийских банков. Используя найденные уязвимости, Пракаш мог украсть около 25 миллионов долларов.
Исследователь обстоятельно изучил iOS-приложение одного из крупнейших банков Индии и выявил в нем большие проблемы с certificate pinning. В результате Пракаш смог осуществить атаку типа man-in-the-middle и изменить версию SSL-протокола, используемого для соединения, чтобы позже осуществить перехват запросов в виде обычного текста с помощью поддельных сертификатов.
Пракаш выяснил, что в приложении вообще не реализован какой-либо механизм проверки ID клиента. Таким образом программа не отличит мошенника от настоящего клиента. Для входа в приложение не нужно вводить логин и пароль. Кроме того, отсутствует механизм проверки PIN-кода авторизации транзакции. Таким образом, киберпреступник может, выдавая себя за клиента банка, без труда ознакомиться с данными о балансе банковского счета и депозитах жертвы. Позже эта информация может быть использована для проведения мошеннических транзакций.
Пракаш подчеркивает, что, поскольку при денежном переводе API работает непосредственно с CURL, у него была возможность перевести деньги со счетов клиентов, которые отсутствовали в его списке получателей.
Любой человек, который имеет счет в данном банке и установил соответствующее мобильное приложение, мог осуществлять денежные переводы с аккаунтов, принадлежащих другим пользователям. Как утверждает Пракаш, он провел проверку уязвимостей, используя учетные записи членов его семьи. Уязвимости функционировали несмотря на то, что некоторые аккаунты даже не были подключены к интернет-банкингу или мобильному банкингу.
13 ноября минувшего года Пракаш сообщил представителям банка обо всех обнаруженных уязвимостях. Служащие банка ответили исследователю только 25 ноября. С Пракашем связался заместитель генерального директора банка, который сообщил об устранении всех уязвимостей. Исследователь не получил никакого вознаграждения, лишь благодарность за бдительность. На вопрос о наличии у банка программы вознаграждения за найденные уязвимости Пракаш не получил ответа.