Добрая половина из нас теперь использует смартфоны для осуществления платежей и проверки банковских балансов в Интернете.
Конечно, банковские приложения включают ряд мер безопасности — двухступенчатую систему аутентификации паролей и PIN-кодов – но, к сожалению, даже они не гарантируют защиту ваших денег.
Эксперт по мобильной безопасности раскрыл в статье для MailOnline, как эти банковские приложения могут быть взломаны с помощью бесплатных программ, доступных в Интернете — и для этого хакерам вообще не требуются данные пользователя для входа в аккаунт.
Уинстон Бонд, технический менеджер из компании Arxan Technologies для выделения рисков разработал фиктивное банковское приложение и успешно подключил его к внешнему серверу.
При этом он использовал средства отладки программ, воспользовавшись «дырами» в исходном двоичном коде, куда и вставил команды перехода на фиктивное банковское приложение.
Исходный код открывает хакерам, как пошагово работает приложение, необходимое для выполнения определённых задач, а также сведения о структуре приложения.
Хакеры способны манипулировать этим исходным кодом, добавляя строки команд, выгружающих малверное приложение на внешний сервер.
Более сложные коды используются для создания правил — например, что каждый раз, когда платежное поручение выполняется, то же самое количество денег отправляется на счёт хакера.
Продвинутые хакеры могут так изменить код, чтобы убрать эти изменения из основной программы, поэтому программа будет предполагать, что всё работает как надо.
После того, как были сделаны эти изменения, отредактированный код загружается обратно на сервер компании.
И, как описал Уинстон Бонд, все эти шаги могут быть выполнены с помощью инструментов, свободно доступных в Интернете.
Во время демонстрации журналистам он успешно осуществил все эти действия и даже получил средства на свой фиктивный счёт.
Я читал эту статью на английском. Обычная газетная «сенсация» — мужик сам написал на коленке софтину и сам же ее взломал. Тоже мне, фокус.