eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiNiebezpieczne mobilne aplikacje bankowe
Ilość wypowiedzi w tym wątku: 25

  • 1. Data: 2016-11-15 23:12:39
    Temat: Niebezpieczne mobilne aplikacje bankowe
    Od: Marcin <n...@n...com>

    Podano kilka przykladow podstawowych bledow znalezionych w aplikacjach
    na smartfony oferowane przez polskie banki:

    https://niebezpiecznik.pl/post/bledy-w-aplikacjach-m
    obilnych-polskich-bankow/

    Niby juz polatane te dziury ale zastanawa mnie, ze ktos znajduje tak
    podstawowe bledy w aplikacjach pracujacych z tak wrazliwymi danymi jak
    nasze finanse. IMHO oznacza to, ze banki nie traktuja tego powaznie
    (realnych uzytkownikow nie ma tak duzo jak to banki raportuja?) i nie
    przprowadzaja podstawowych testow bezpieczenstwa. Ciekawe jakie jeszcze
    bledy sie tam znajduja....


    Pozdrawiam,
    Marcin


  • 2. Data: 2016-11-16 04:09:51
    Temat: Re: Niebezpieczne mobilne aplikacje bankowe
    Od: "Eneuel Leszek Ciszewski" <p...@c...fontem.lucida.console>


    "Marcin" 582b885c$0$5144$6...@n...neostrada.pl

    > Niby juz polatane te dziury ale zastanawa mnie, ze ktos znajduje
    > tak podstawowe bledy w aplikacjach pracujacych z tak wrazliwymi
    > danymi jak nasze finanse. IMHO oznacza to, ze banki nie traktuja
    > tego powaznie (realnych uzytkownikow nie ma tak duzo jak to banki
    > raportuja?) i nie przprowadzaja podstawowych testow bezpieczenstwa.
    > Ciekawe jakie jeszcze bledy sie tam znajduja....

    I ja uważam, że mało nam płacą za agresywne testowanie aplikacji. :)

    --
    _._ _,-'""`-._ .`'.-. ._. http://eneuel.w.duna.pl .-.
    (,-.`._,'( |\`-/| .'O`-' ., ; o.' http://danutac.net.pl '.O_'
    `-.-' \ )-`( , o o) `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`.,
    -bf- `- \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/......


  • 3. Data: 2016-11-16 12:15:59
    Temat: Re: Niebezpieczne mobilne aplikacje bankowe
    Od: Waldek <m...@n...dam>

    W dniu 2016-11-16 o 04:09, Eneuel Leszek Ciszewski pisze:
    >
    > "Marcin" 582b885c$0$5144$6...@n...neostrada.pl
    >
    >> Niby juz polatane te dziury ale zastanawa mnie, ze ktos znajduje
    >> tak podstawowe bledy w aplikacjach pracujacych z tak wrazliwymi
    >> danymi jak nasze finanse. IMHO oznacza to, ze banki nie traktuja
    >> tego powaznie (realnych uzytkownikow nie ma tak duzo jak to banki
    >> raportuja?) i nie przprowadzaja podstawowych testow bezpieczenstwa.
    >> Ciekawe jakie jeszcze bledy sie tam znajduja....
    >
    > I ja uważam, że mało nam płacą za agresywne testowanie aplikacji. :)
    >

    Słusznie prawisz - ot, rzucą siakąś lokatę mobilną
    z dodanym "ochłapem" procenta & marną kwotę ~10k - i tyla ;)

    Ps. Miałem ostatnio przetestować "przelew na telefon"
    i jakoś brakło mi chęci... ale może jakieś wisienki przyjmę tą drogą ? LOL

    Pozdro


  • 4. Data: 2016-11-16 13:32:18
    Temat: Re: Niebezpieczne mobilne aplikacje bankowe
    Od: Wojciech Bancer <w...@g...com>

    On 2016-11-15, Marcin <n...@n...com> wrote:

    > Niby juz polatane te dziury ale zastanawa mnie, ze ktos znajduje tak
    > podstawowe

    "Tak podstawowe błędy" zostały opisane tak:

    "Na koniec, jeśli korzystacie z którejś z testowanych przez Tomasza aplikacji
    mobilnej, uspokajamy. Błędy występują, ataki są możliwe, ale poza incydentalnymi
    przypadkami, nie stanowią one dużego zagrożenia, które rozumiemy jako natychmiastowa,

    masowa kradzież środków z kont klientów lub ich danych."

    więc nie przesadzałbym.

    --
    Wojciech Bańcer
    w...@g...com


  • 5. Data: 2016-11-16 13:55:45
    Temat: Re: Niebezpieczne mobilne aplikacje bankowe
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Marcin" napisał w wiadomości grup
    dyskusyjnych:582b885c$0$5144$6...@n...neostrada
    .pl...
    >Podano kilka przykladow podstawowych bledow znalezionych w
    >aplikacjach na smartfony oferowane przez polskie banki:
    >https://niebezpiecznik.pl/post/bledy-w-aplikacjach-
    mobilnych-polskich-bankow/

    >Niby juz polatane te dziury ale zastanawa mnie, ze ktos znajduje tak
    >podstawowe bledy w aplikacjach pracujacych z tak wrazliwymi danymi
    >jak nasze finanse. IMHO oznacza to, ze banki nie traktuja tego
    >powaznie (realnych uzytkownikow nie ma tak duzo jak to banki
    >raportuja?) i nie przprowadzaja podstawowych testow bezpieczenstwa.
    >Ciekawe jakie jeszcze bledy sie tam znajduja....

    Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy system
    informatyczny zawiera nieskonczona ilosc bledow, tylko nie wszystkie
    zostaly jeszcze wykryte.

    Po drugie - bank rzadko pisze jakies aplikacje, raczej je po prostu
    zamawia.
    U taniego dostawcy, ktory zatrudnia studentow. No to jak one moga byc
    dobre ?
    W dodatku termin goni, na testowanie nie ma czasu :-)

    Po trzecie - wykorzystanie takiej wykrytej dziury wymaga zlych ludzi i
    nakladu pracy z ich strony, a czesto jeszcze dodatkowych dziur, wiec
    nasze pieniadze sa dosc bezpieczne.

    J.


  • 6. Data: 2016-11-16 16:59:26
    Temat: Re: Niebezpieczne mobilne aplikacje bankowe
    Od: "Michal 'Amra' Macierzynski" <m...@g...com>

    W dniu środa, 16 listopada 2016 13:55:49 UTC+1 użytkownik J.F. napisał:
    > Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy system
    > informatyczny zawiera nieskonczona ilosc bledow, tylko nie wszystkie
    > zostaly jeszcze wykryte.
    >
    > Po drugie - bank rzadko pisze jakies aplikacje, raczej je po prostu
    > zamawia.
    > U taniego dostawcy, ktory zatrudnia studentow. No to jak one moga byc
    > dobre ?
    > W dodatku termin goni, na testowanie nie ma czasu :-)
    >
    > Po trzecie - wykorzystanie takiej wykrytej dziury wymaga zlych ludzi i
    > nakladu pracy z ich strony, a czesto jeszcze dodatkowych dziur, wiec
    > nasze pieniadze sa dosc bezpieczne.
    >
    > J.

    Nie ma oprogramowania idealnego - o czym swiadcza dziury w systemach operacyjnych -
    niektore dziury nie sa zalatane przez wiele lat (bo nikt o nich nie wie, albo nie
    znalazl sie nikt, kto wiedzialby jak je wykryc/wykorzystac). Natomiast pytanie czy
    wszystkie bledy sa dziurami, ktore mozna wykorzystac w celu wlamania -oczywiscie, ze
    tak nie jest. Co do zabezpieczen - duze audyty robi sie przy wiekszych aktualizacjach
    - to zajmuje czas i pieniadze. Dlatego robi sie to cyklicznie - ale to powoduje, ze
    przy mniejszych poprawkach pojawiaja sie jakies bledy.

    Na tym rynku jest tylko kilka firm i kazda chce jakos zaistniec. Te bledy, ktore
    zostaly wykryte - nie sa jakies krytyczne - czesto wynikaja z jakiegos niechlujstwa
    progamistow. A pamietajcie, ze pisze sie na 2-3 duze platformy, a do tego jest to
    znacznie wieksza sztuka niz w przypadku stron WWW. Deweloperow jest malo, a tych
    doswiadczonych jeszcze mniej. Z mojej perspektywy media przedstawily to tak, zeby sie
    naklikalo, zedne jakos nie pokusilo sie o ocene tych bledow i sformulowania
    prawdopodoienstwa skutecznego ataku.


  • 7. Data: 2016-11-16 20:08:38
    Temat: Re: Niebezpieczne mobilne aplikacje bankowe
    Od: Alf/red/ <a...@u...waw.pl>

    W dniu 16.11.2016 o 13:32, Wojciech Bancer pisze:
    > "Tak podstawowe błędy" zostały opisane tak: [...]

    > więc nie przesadzałbym.

    Są o tyle podstawowe, że - z pamięci - zostały znalezione z marszu,
    przez kilka godzin każdy, w dodatku nie dotykając komunikacji z bankiem.
    I są w większości takiego kalibru, że *nie powinny* się wydarzyć - hasła
    testowe, nieużywana biblioteka, pominięcie sprawdzenia czegoś, używanie
    niezaufanych danych.
    Świadczy to o ogólnym niechlujstwie / pośpiechu, a w takim razie mogły
    zostać niewykryte znacznie bardziej bolesne niedopatrzenia. A czego byś
    chciał żeby 'przesadzić', możliwości wyprowadzenia feftyliona $$
    dostępnej dla każdego bardziej dociekliwego studenta 1-go roku?

    --
    Alf/red/


  • 8. Data: 2016-11-16 21:36:40
    Temat: Re: Niebezpieczne mobilne aplikacje bankowe
    Od: Kris <k...@g...com>

    W dniu środa, 16 listopada 2016 20:08:40 UTC+1 użytkownik Alf/red/ napisał:
    > - hasła testowe,
    Jakie to zagrożenie dla zwykłego Kowalskiego?




  • 9. Data: 2016-11-16 22:42:51
    Temat: Re: Niebezpieczne mobilne aplikacje bankowe
    Od: janek z pola <a...@e...pl>

    Kris wrote:

    > W dniu środa, 16 listopada 2016 20:08:40 UTC+1 użytkownik Alf/red/
    > napisał:
    >> - hasła testowe,
    > Jakie to zagrożenie dla zwykłego Kowalskiego?

    To pokazało schemat haseł, jaki siedzi w głowach ludzi od IT tego banku.

    Jest wysoce prawdopodobne, że są to też domyślne hasła np. na nowych userów
    (nowych pracowników oddziałów, etc.).

    Poza tym to były prawdopodobnie konta testowe na produkcji - z prawdziwymi
    pieniędzmi, które można było prawdopodobnie ukraść.

    --
    Wysłane z pola.


  • 10. Data: 2016-11-16 22:51:33
    Temat: Re: Niebezpieczne mobilne aplikacje bankowe
    Od: Wojciech Bancer <w...@g...com>

    On 2016-11-16, Alf/red/ <a...@u...waw.pl> wrote:

    [...]

    > Są o tyle podstawowe, że - z pamięci - zostały znalezione z marszu,
    > przez kilka godzin każdy, w dodatku nie dotykając komunikacji z bankiem.
    > I są w większości takiego kalibru, że *nie powinny* się wydarzyć - hasła
    > testowe,

    Kompletnie nieistotne z punktu widzenia klienta.
    I z tą produkcją, to nikt tego nie potwierdził.

    > nieużywana biblioteka,

    Pokaż mi przypadek shakowania NIEUŻYWANEJ (w tym nieuruchamianej)
    biblioteki, proszę Cię. Jak masz nieużywany plik/bibliotekę na dysku,
    to krzywda Ci się od niego stanie?

    > pominięcie sprawdzenia czegoś,

    No brzmi serio-serio :)

    > używanie niezaufanych danych.

    Z tego co przeczytałem, to do wyświetlenia:
    - menu aplikacji
    - regulaminów
    - pdfów
    więc hm.

    > Świadczy to o ogólnym niechlujstwie / pośpiechu, a w takim razie mogły
    > zostać niewykryte znacznie bardziej bolesne niedopatrzenia.

    Nie zgodzę się. Świadczy to IMHO jedynie o medialnym rozdmuchaniu mało
    istotnych pierdół w imię szukania sensacji.

    > chciał żeby 'przesadzić', możliwości wyprowadzenia feftyliona $$
    > dostępnej dla każdego bardziej dociekliwego studenta 1-go roku?

    Chciałbym, żeby nikt nie robił z pierdół sensacji medialnej, ale
    na co ja w sumie liczę...

    --
    Wojciech Bańcer
    w...@g...com

strony : [ 1 ] . 2 . 3


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1