BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2020/06/01.html

ГПБ vs TV
dl // 06.06.20 21:47
Газпромбанк на днях обновил своё приложение, после чего словил кучу единиц в AppStore и Google Play за попытку принудить к удалению TeamViewer, поскольку «с его помощью мошенники могут получить доступ к банковским картам».
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2020/06/01.html]
Выдав при запуске это сообщение, приложение сразу же гордо завершается. Я бы ещё понял наезд на TV Quick Support, там хоть экран посмотреть можно, но TV Remote Control в принципе не позволяет получить доступ к телефону, это исключительно средство доступа к другим устройствам.

Теперь ребята разродились попыткой объяснения с совершенно фантастическим и высосанным из пальца сценарием взлома, при котором вы спокойно сообщаете злоумышленникам id/пароль для доступа к TV на домашнем компьютере. Как справедливо замечают в комментариях, логичным шагом был бы полный запрет приёма звонков, ведь можно столько всего выболтать злобным хакерам.

Что забавно, в случае описанного сценария снос TV на телефоне никак не спасает от выбалтывания id/пароля к домашнему компьютеру, так что это лишь лихорадочная попытка «одних из лучших специалистов по информационной безопасности на рынке» на ходу придумать оправдание. Я сходу могу сочинить и чуть менее смехотворный вариант: попросить зайти через TV на компьютер «саппорта», где уже заботливо открыта фишинговая страница. Но и этот сценарий из серии ирландского вируса.

Конечно, с паранойей и заботливым обереганием меня от использования моих денег в ГПБ зашкаливает — не далее как в мае мне приходилось проходить квест с разблокировкой карты после перекидывания денег на ВТБшный счёт через ВТБшный сервис, когда внезапно потребовалось снять наличные (просто ВТБшный банкомат физически ближе).

Девушка с мучительной настойчивостью (и для себя, думаю, но отойти от скрипта не могла) требовала назвать три последние операции по карте, которой я практически не пользовался, поэтому не мог набрать нужное количество операций с пин-кодом. Это был зарплатный «Мир», с которого я обычно сразу скидывал деньги на нормальную Visa — в тот момент уже просроченную, но разрешённую к использованию из-за карантина. Но как раз операции перевода на просроченную, пусть и работающую карту уже не засчитывались.

Усугубляло всё то, что даже использовать эту карту для оплаты чего-нибудь из этого гениального приложения (чтоб получить подтверждаемую, пусть и отвергнутую операцию) уже было нельзя, в списке возможных источников средств её уже тупо не было.

Пришлось тащиться к банкомату и в качестве новых подтверждаемых операций запросить там три раза баланс — при том, что именно этого похода тогда и хотелось избежать.

Update: Приятно, но ребята сломались и выпустили обновлённую версию, ничего не имеющую против TV.

Источник: vc.ru      
теги: клоуны  |  предложить новость  |  обсудить  |  все отзывы (0) [1002]
назад «  » вперед

аналогичные материалы
Infosec-сообщество не поддержало отказ от термина black hat // 04.07.20 18:50
Расово верная чистка IT-терминологии // 16.06.20 18:03
Все дополнения в Firefox поломались из-за просроченного сертификата // 04.05.19 15:39
Страшный бэкдор в роутерах Huawei оказался обычным телнетом // 01.05.19 17:43
Facebook хранил часть пользовательских паролей в открытом виде // 22.03.19 10:13
Apple случайно превратила FaceTime в инструмент для прослушки // 29.01.19 04:31
Октябрьские патчи от MS и перевыпуск октябрьского обновления Windows 10 // 10.10.18 00:56
 
последние новости
Infosec-сообщество не поддержало отказ от термина black hat // 04.07.20 18:50
Расово верная чистка IT-терминологии // 16.06.20 18:03
ГПБ vs TV // 06.06.20 21:47
Число обнародованных уязвимостей упало на 20% // 30.05.20 02:21
Последний второй Python // 25.04.20 23:22
Microsoft предупредила о двух незакрытых уязвимостях // 24.03.20 00:44
Перевод Firefox на DNS over HTTPS // 25.02.20 16:33



  Copyright © 2001-2020 Dmitry Leonov Design: Vadim Derkach