Доброго дня!
В продолжении темы про интернет-банкинг хотелось бы рассказать как обстоят дела и в мобильном банкинге. И так, я использую две программы для доступа к счетам, это SmartBank (Евразийский банк) и HomeBank (КазКом), просмотрев данные которые сохраняют эти приложения в памяти телефона, я был немного удивлен, например SmartBank сохраняет информацию о счетах и пользователе в открытом виде, и это еще не все, для каждого пользователя который заходил с данного аппарата в свой кабинет в кеше будет создан свой файл:
"RetrofitObjectPersisterFactory_RetrofitObjectPersister_a_ИМЯ ПОЛЬЗОВАТЕЛЯ В КИРИЛИЦЕ"
вот с таким вот содержанием:
{"body":{"accounts":[{"actions":["CRED","PAYM","STMT","TLOC","TOUT","TSLF"],"actualBalance":200.01,
"type":"CARD","currency":"KZT","title":"Карточный счёт",
"number":"KZ4494*******10**200","status":"ACTIVE",
"showBalance":true,"priority":0,"interestRate":0.0,"allowTransfer":true}],
"totalAssetsAndLiabilities":{"totalAssets":200.01,"totalAssetsCurrency":"KZT","totalLiabilities":0,
"totalLiabilitiesCurrency":"KZT"}},"success":true,"bodyType":"AccountSummary",
"errorCode":0,"code":1}
Т.е. просмотрев данный файл мы узнаем номер карт-счета и текущий баланс, а так же исходя из названия файла и владельца данного карт-счета!
----------------------------------------------------------------------------------------
А вот с HomeBank ситуация по лучше, бегло просмотрев файлы я нашел вот такой вот файлик homebank_settings.xml вот с такими данным:
<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
<string name="lang">ru</string>
<int name="database_version" value="6" />
<int name="selected_city" value="10" />
<string name="homebank_id">МОЙ ID для доступа</string>
</map>
Конечно это не номер счета, не пароль и не какая-нибудь другая информация о владельце, но зная ID можно попробовать произвести брутфорс атаку, конечно придется делать гигантские тайауты, но попробовать можно было бы :) и это хоть и чуть-чуть но приближает потенциального злоумышленника к своей цели!
К сожалению, у меня была возможность проверить только два приложения, но думаю если копаться дальше, то можно было бы найти куда более серьезные ошибки.
Всем доброго дня! И удачной рабочей недели!